Site Search

Loading Results

Hvordan kan bestyrelsen sikre effektiv risikostyring?
#

Risikostyring er et værdifuldt værktøj for både ledelsen og bestyrelsen, da det bidrager til bedre beslutningstagning, sikrer en afbalanceret vurdering af risici og hjælper med at nå mål og opretholde kontrol. Denne artikel stiller skarpt på, hvordan direktion og bestyrelse gennem seks trin kan skabe rammerne for en robust og effektiv risikostyring. 

Introduktion

I en stadig mere uforudsigelig og foranderlig verden er det hensigtsmæssigt at have en formaliseret, tværgående og standardiseret risikostyring tilpasset den enkelte virksomheds strategi. Herved giver virksomheden sig selv de bedste forudsætninger for at være på forkant og minimere eller afværge konsekvenserne af væsentlige risici, der kan have påvirkning på virksomheden og dens mål.

Hvor risikostyring i tidligere år omhandlede rapportering, er der en stærk trend mod, at risikostyring integreres i virksomhedens løbende ledelsesinformation, således at risikostyringen aktivt bidrager til den daglige ledelse. Fokus bør være på at skabe værdi og overblik for virksomheden og dens beslutningsprocesser, så der opnås styring af usikkerheden, og den strategiske eksekvering understøttes.

Det er derfor også centralt, at risikostyringen forholder sig til virksomhedens substantielle områder, kernekompetencer, bevæggrunde og kultur. Ledelsen og bestyrelsen kan bruge dette overblik til at tjekke, om virksomhedens risikostyring er integreret i kerneaktiviteter.

Kerneaktiviteter Risikostyring integreret/Ikke integreret
Strategiarbejde  
Budgettering  
Beslutningsoplæg - investeringer og større projekter  
Transformation - investeringer og større projekter  
Løbende ledelsesrapportering på tværs af områder (måneds- og kvartalsvis)  

I de senere år har effektiv og formel risikostyring haft en stigende værdi for områder som fx it/cyber, bæredygtighed og supply chain.

Forankring af risikostyring er altafgørende for at sikre opbygning og driften af et robust og gennemslagskraftigt program for risikostyring i virksomheden. Beslutningstagers involvering er essentiel for at skabe en bæredygtig tilgang, sikre programmets overlevelse og for tydeligt at sætte tonen fra toppen. Dette skaber fundamentet for, at risikostyringen og de underliggende aktiviteter understøttes på tværs af hele organisationen og på alle niveauer. Målet er at sikre en integreret og proaktiv risikostyring, der:

  • skaber værdi ved at understøtte virksomhedens mål, forretningsmodel og beslutningstagning

  • sikrer rettidig omhu gennem overblik, gennemsigtighed og afstemte kontrolhandlinger i overensstemmelse med den valgte risikoprofil.

Hvordan kan du vurdere din virksomheds risikostyringsmodenhed?

Bestyrelser bør stille spørgsmålstegn ved virksomhedens ERM-programs modenhed og hjælpe ledelsen med at sætte forventninger til, hvor organisationen ønsker at være i fremtiden. Nedenfor gennemgår vi de fem forskellige stadier af risikostyring: 

  1. Forberedende: Der er udarbejdet risikostyringsaktiviteter, men processerne er ikke blevet formaliseret og omfatter ikke hele virksomheden. Der er behov for væsentlige forbedringer, da dette modenhedsniveau sandsynligvis ikke er tilfredsstillende for tilsynsmyndigheder og andre interessenter. 
  2. Under udvikling: Der er udarbejdet risikostyringskriterier, men de anvendes ikke konsekvent. Risikostyringsaktiviteterne er ikke altid helhedsorienterede og har fokus på kontroltilsyn. Interessenter forventer afhælpende aktiviteter på prioriterede områder. 
  3. Færdigudviklet: Rammerne for risikostyringen er tilrettelagt og dækker alle komponenter bredt. Risikostyringsprocesser og -aktiviteter kommunikereres og forankres ikke altid på tværs af organisationen. Interessenter forventer, at der er fokus på forbedringsmuligheder. 
  4. Integreret: Rammerne for risikostyringen er godt udformet, og forretningsstrategien og kulturen afspejles på passende vis. Der er etableret grundlæggende principper, som er fuldt integreret. Aktiviteterne vil sandsynligvis være modstandsdygtige over for interessenters granskning. 
  5. Optimeret: Rammerne for risikostyring og -processer er fuldt integreret, værdiskabende og proaktive. Risikofunktionen er forberedt på og kan tilpasses ændringer. Risikofunktionen gør brug af effektive forretningspartnerskaber, offshore og near shore leveringsmodeller og en pulje af specialiserede ressourcer, der kan trækkes på. Effektivitetsfordele realiseres, samtidig med at de overstiger interessenters forventninger.

Hvordan forholder det sig i andre virksomheder?

PwC’s Global Risk Survey, der går på tværs af forskellige virksomhedsstørrelser og typer af organisationer, giver et øjebliksbillede af risikostyringens modenhed, og viser bl.a., at der globalt er sket en større integration af risikostyring, selvom det på nuværende tidspunkt ikke er på et niveau, som står i lyset af det risikomiljø, vi står over for. 

Undersøgelsen viser også, at der fortsat er betydelige muligheder for forbedringer i de fleste organisationer, da mere end to tredjedele af de undersøgte virksomheder i 2023 stadig ikke kan hævde, at de har "risikostyring fuldstændig på plads". Således beskriver kun 29 % af de adspurgte i undersøgelsen deres virksomheds tilgang til risikostyring som "moden" eller "robust".

Graden af de underliggende risikostyringsprocesser er stadig ret umoden (fx "meget umoden" eller "udviklende") for lidt over en tredjedel af dem, der besvarer undersøgelsen.

Seks trin, der kan sikre effektiv og værdifuld risikostyring

Trin 1: Ensret risikostyringen med strategien, når beslutninger skal træffes

  • Beslutningstagere bør integrere risikostyring i både strategisk planlægning og taktisk udførelse samt sikre, at risiko ikke adskilles fra strategien. 

  • Et klart overblik over virksomhedens strategi giver den første forsvarslinje en fælles vision om at tilpasse beslutninger og adfærd. Dette gør virksomheden i stand til at reagere hurtigere på risici og uforudsigelige forhold.

Trin 2: Risikostrategi og styring: Skab klarhed for håndtering og overvågning af risiko

  • Etablering af struktur for rapportering for at sikre klarhed og involvering af bestyrelsen. 

  • Tydelige rammer og snitflader mellem de tre forsvarslinjer bør identificeres og defineres for at gøre det muligt at koordinere roller og ansvar effektivt.

  • En driftsmodel, der inkluderer ressourcer (interne og eksterne) og processer, der vil understøtte risikostyringsmål.

Trin 3: Et fælles sprog: Sikr opfattelse af risiko 

  • Nøglepersoner bør indføre et fælles sprog for risiko på alle niveauer i organisationen. Dette skaber en enkelt version af sandheden og en ensartet opfattelse af risiko.

  • Bestyrelser bør søge standardisering i virksomhedens betingelser for risikostyring og processer.

  • Udarbejd en fælles begrebsramme for risikostyring, som styrer processen for aggregering, monitorering og antagelsen af risici. Denne proces bør udnytte teknologi og dataanalyse så vidt muligt, uden at det bliver for teknisk.

Trin 4: Risikovurdering: Hjælper ledelsen og bestyrelsen med at prioritere

  • Kriterier for prioritering af risici bør afspejle en kombination af finansielle, operationelle, omdømmemæssige og andre branchespecifikke faktorer.

  • Definér de risici, som virksomheden er villig til at tage for at opnå sine ambitiøse mål; risici, der ikke kan tolereres; risici, der kan tolereres over en kortere periode, og risici, som er nødvendige, da de er forbundet med opnåelsen af strategien.

  • Risikoappetitten og rammeværket bør kommunikeres klart og tydeligt til beslutningstagere.

  • Bestyrelser bør overveje ledelsens proces for løbende at gennemgå risikolandskabet samt vurdere nye risici, så virksomheden stadig kan nå sine strategiske mål.

Trin 5: Risikohåndtering: Håndtering af prioriterede risici

  • Klart formulerede risici, underliggende årsager, potentielle konsekvenser og indbyrdes relaterede risici, sammen med hvordan de relaterer til strategiske mål.

  • Risikoens væsentlighed vil bestemme den passende risikostyringstilgang med flere ressourcer allokeret til højere risici.

  • Bestyrelsen og ledelsen bør gennemgå risikoresponsstatusrapporter med samme hyppighed, som de gennemgår virksomhedens præstation.

Trin 6: Løbende monitorering: Sikr tilpasningen

  • Bestyrelsen bør sikre, at ledelsen har systemer på plads til løbende overvågning. Dette indebærer at gennemgå periodiske risikorapporter, vurdere risikofaktorer og overvåge risikoudsættelser i forhold til etablerede tolerancer.

  • Bestyrelsen bør også modtage regelmæssige opdateringer om nye risici, potentielle påvirkninger og strategier for afværgning.

  • Virksomhedens væsentlige risici bør tildeles ejere, som er forpligtet til at udarbejde detaljerede og tidsbestemte handlingsplaner.

PwC's anbefalinger til bestyrelsen

  • Gennemgå og godkend virksomhedens strategier, mål og risikoprofil.

  • Opnå forståelse for virksomhedens største risici, nye risici og sammenhængende risici gennem dialog med ledelsen.

  • Vurdér, om ledelsen foretager passende, mitigerendepassende mitigerende handlinger.

  • Sørg for, at bestyrelsens udvalgsstruktur og tilsynsprocesser muliggør effektivt tilsyn med de største risici.

  • Bemyndig et udvalg/bestyrelsesmedlem til at føre tilsyn med ledelsens fremskridt i design og drift af risikostyring.

  • Gennemgå og godkend virksomhedens overordnede risikovillighed og -politikker.

PwC som sparringspartner

PwC har mange års erfaring som rådgiver og sparringspartner for direktioner og bestyrelser.

Sådan kan vi hjælpe

Kontakt os

Monika Silkart

Partner, Capital Projects & Infrastructure (CP&I) i Risk Assurance, København, PwC Denmark

3093 4374

E-mail

Trine Vestengen Hopkins

Partner, Leder af Risk Assurance, København, PwC Denmark

5215 0003

E-mail

{{filterContent.facetedTitle}}

Om os Kontorer Presse Kontakt os

© 2021 - 2025 PwC. Alle rettigheder forbeholdes. PwC refererer til PwC netværket og/eller et eller flere af dets medlemsfirmaer, hvor hver enkelt virksomhed er en særskilt juridisk enhed. Se www.pwc.com/structure for yderligere detaljer.