Bestyrelsens risikodagsorden,
samt et gratis værktøj.

Udgivet September 2021

Risikostyring er et fast element på bestyrelsens årshjul. Punktet kan dog godt være lidt svært at håndtere, specielt i en nyetableret bestyrelse eller for ejerlederen der for første gang skal præsentere virksomhedens risici og fastlægge risikoappetitten sammen med bestyrelsen.

Punktet kan også virke lidt kedeligt og som noget compliance formalia der blot skal overstås. Men tilrettelægges arbejdet ordentligt, kan risiko analyse og håndtering af risici hurtigt gøres værdiskabende i den forstand at området er med til at tilsikre at virksomhedens øvrige værdiskabelse ikke går op i ”røg”. Risikoledelse skal derfor ses som en forlængelse af de eksisterende planlægnings-, styrings- og ledelsesværktøjer i organisationen.

Vi vil i denne opdaterede artikel forsøge at give lidt inspiration til hvorledes arbejdet kan tilrettelægges, samt at introducere dig til BoardPartner’s nye version af det gratis risikoværktøj.

Bestyrelsens rolle og ansvar:

Bestyrelsens rolle og ansvar i forhold til risikostyring er beskrevet i selskabsloven kapitel 7 §115. Her fremgår det af stk. 2 at bestyrelsens skal påse at:

”der er etableret de fornødne procedurer for risikostyring og interne kontroller”

Som følge af det lovmæssige krav, og idet bestyrelsen har det endelige ansvar for at godkende rammerne for virksomhedens risikostyring, bør bestyrelsen spille en aktiv rolle i risikostyringen – både når det gælder fastsættelse af risikoappetit, samt løbende monitorering af rapporterede af risici og hændelser.

Risikoarbejdet generelt:

Det anbefales at risikoarbejdet, ikke udelukkende er arbejde, der foretages i direktions- og bestyrelsesregi, for ligesom strategiarbejdet har rigtig godt af medarbejder forankring, har arbejdet med risiko det ligeså. Det er ligeledes medarbejderne der i deres hverdag kan identificere mulige risici, og de selvsamme der kan gøre en stor indsats for, at teoretiske risici ikke udvikler sig til faktisk risikohændelser.

Hvor det er muligt, bør hver afdeling derfor, identificere mulige risici og kvalificere deres sandsynlighed og konsekvens, samt beskrive forslag til hvordan disse kan imødegås og hermed mitigeres og håndteres. Arbejdet bør foregå løbende og minimum én gang om året bør resultatet af dette forelægges bestyrelsen til drøftelse og godkendelse.

I mange mindre virksomheder deltager bestyrelsen, eller bestyrelsesformanden i en dedikeret workshop når det struktureret risikoarbejdet skal initialiseres.

Risikoappetit:

En virksomheds risikoappetit er den mængde og størrelse af risici, som virksomheden er parat til at påtage sig, for at nå de forretningsmæssige mål. Risikoappetit bør derfor fastlægges indenfor rammerne at virksomhedens risikoevne, og dermed evnen til at bære tab. Risikoappetit kan dog stadig være en svær størrelse, en direkte økonomisk risiko i kroner og øre er til at forstå, mens eksempelvis omdømme risici kan være noget mere udflydende. For IT & Cyber risici kan det være en god ide at arbejde med hvor mange timer/dage man er parat til at acceptere at kritiske forretningsmæssige systemer er ude af drift.

Risikoejer:

Hvert risikoområde bør tildeles en risikoejer, der er ansvarlig for at mitigerings strategien og at risikohåndteringen gennemføres. Ledelsen er naturligvis den ultimative risikoejer, men ønsker man at en risiko bliver begrænset eller helt elimineret, kan ansvaret med fordel ligge hos de medarbejdere, der rent faktisk kan gøre noget ved risikoen.

Fastlæggelse af risici:

Hver risiko bør indeholde en kort beskrivelse, og hver risiko bør tildeles hhv. en sandsynlighed og en konsekvens.

Sandsynlighed for at hændelsen, der udløser risikoen, indtræffer, og vurderes ofte på en skala fra 1 til 5, hvor 1 er den laveste sandsynlighed for 5 den højeste:

1 – Meget usandsynligt
2 – Usandsynligt
3 – Sjældent
4 – Sandsynligt
5 – Ofte

Konsekvensen såfremt hændelsen, der udløser risikoen indtræffer, vurderes ofte ligeledes på en skala fra 1 til 5, hvor 1 er den laveste konsekvens og 5 den højeste:

1 – Ubetydelig
2 – Mindre
3 – Alvorlig
4 – Meget alvorlig
5 – Katastrofal

Risiko mitigering og håndtering:

Mitigeringsstrategien for hvorledes risiko overordnet skal afbødes, bør også fastlægges. Ofte opererer man med begreberne: Accepter, Reducer, Undgå, og Forsikre. ’Accepter’ hvis risikoen blot skal accepteres. ’Reducer’ hvis risikoen på en eller anden måde kan reduceres, ved at udføre en given handling. ’Undgå’ eller ’Imødegå’ kræver typisk en eller anden form for plan, og endelig ’Flyt’ eller ’Forsikre’ hvis risikoen flyttes til anden part, typisk mod en eller anden form for præmie.

Risikohåndteringen er en mere udførlig beskrivelse af hvorledes mitigringen skal udføres i praksis, ofte gennem en procedure, eksempelvis at debitorer med en kredit linje på over et fastsat beløb, skal kreditvurderes.

Visualisering af Risici:

Risiko matrix

Bestyrelsens risikomatrix

En meget anvendt visualisering af risici er at bruge en risiko matrix, hvor den vandrette linje den vurderede sandsynlighed for at hændelsen, og den lodrette linje viser effekten/konsekvensen hvis hændelsen indtræffer.

Sandsynlighed og konsekvens ganges herefter med hinanden og den samlede værdi fortæller om risikoens størrelse. Er scoren på 15 eller derover bør der udarbejdes en plan for hvordan risiko reduceres.
Er resultatet mellem 5 og 14 kræves der ikke umiddelbart handling men området bør observeres. Er score på under 5 er handling ikke påkrævet.

Udfordringen med risiko matrixen er at man ikke umiddelbart kan se sammenhænge imellem de forskellige risici. Hvis vi tænker tilbage til finanskrisen så oplevede mange virksomheder at de blev ramt af en orkan, idet de på et og samme tidspunkt oplevede ordre nedgang, tab på debitorer, ændret kredit forhold, m.v., idet finanskrisen viste sig at være en såkaldt systemisk risiko. Da Covid-19 ramte Danmark i 2020 oplevede andre en anden kedelig kombinations cocktail. Denne manglende visualisering skal man huske at tage højde for i den samlede risikovurdering.

Risiko områder:

Virksomhedens risici bør grupperes for at danne overblik. Nedenfor vises en mulig gruppering for at give inspiration til risikodagsordenen.

Finansielle risici:

Finansielle risici er bl.a. risikoen for tab på debitorer, effekt ved tab af større kunder, effekt af ændret kreditor kreditter, opsigelse af bankkreditter, m.v.

Debitorer: Størrelse og sammensætning af debitorer. Hvorledes godkendes debitorer til kredit og kan debitor risiko eventuelt reducere. Hvordan er debitorerne, altså kunderne, sammensat, følger virksomheden en klassisk 80/20 opdeling, eller er der større enkelt risici?

Kreditorer: Kreditorer er med til at finanserne virksomheden – er der enkelte større kreditorer? Og hvordan tilsikre vi en fortsat og eventuelt udvidet kreditlinje hos dem.

Finansiering: Hvordan er selskabets finansiering sammensat? er der evt. lån på anfordring der kan opsiges med kort varsel, eksempelvis 14 dg.? Alle der har været en tur igennem finanskrisen glemmer nok aldrig dette punkt fremadrettet.

Funktionsadskillelse, samt tilhørende risiko for underslæb og bedrageri bør også medtages her, eller under operationelle risici.

Alt efter temperament kan summen af andre risikotemaer også medtages under Finansielle risici, eksempelvis den økonomisk konsekvens af IT og Cyber, Operationelle risici, m.v.

Operationelle risici:

Operationelle risici er risikoen for tab på grund af utilstrækkelige eller fejlagtige interne procedurer og processer, menneskelige eller systemmæssige fejl, eksterne begivenheder, herunder juridiske risici.

Alt efter hvor man befinder sig i værdikæden, dvs. om man er producent, ’mellemhandler’, eller forhandler bør specifikke risici såsom risiko for nedbrud på produktionsapparat, producenterne leverance sikkerhed inkluderes, og tilsvarende hvis man er forhandler så bør producenterne eller distributørers leverance sikkerhed vurderes.

Hvis man er forhandler/distributør og en væsentlig del af omsætningen kommer via produkter fra een distributør/producent, bør sikkerheden for at man forsat er forhandler / eneforhandler naturligvis også indgå.

Procedure for at undgå underslæb og bedrageri kan også medtages under operationelle risici, herunder funktions adskillelse, og risiko for såkaldt CEO fraud, m.v. I de senere år har der også været en række svindelsager, hvor en person der udgiver sig for at være en underleverandør, anmoder om at få ændret bank og konto oplysninger, således at betalinger for fakturaer havner hos svindler fremfor hos leverandøren.

Så sent som i juni 2020 blev den danske producent af moderigtigt regntøj, Rains, snydt for knap 7 millioner kr. ved at IT-kriminelle fik ændret betalingsoplysninger til Rains underleverandører.

Strategiske risici:

Strategiske risici er risikoen for at selskabets strategi fejler, men også om udviklingen i samfundet og teknologien medfører at selskabets berettigelse eroderer, hvilket ofte omtales som disruption. Et aktuelt emne her er bl.a. hvordan virksomheden er gearet i forhold til ESG / Verdensmålene.

Organisatoriske risici:

Personale, organisatoriske og ledelse ricisi vedrører forhold omkring de personalemæssige ressourcer og kompetencer samt organiseringen af arbejdet. Mange mindre organisationer kan blive udfordret hvis en nøglemedarbejder bliver syg eller vælger at opsige sin stilling og dette bør naturligvis indgå i risikovurderingen.

Omdømme risici:

Omdømmerisici er ofte effekten af øvrige risici. Eksempelvis hvordan reagerer ens kunder, hvis man bliver ramt af et større reklamationssag, eller hvis man i forbindelse med et Cyber angreb kommer til at lække fortrolige person data. Mest udsat er nok B2C virksomheder der nemt og utilsigtet kan havne i en ’shitstorm’ på sociale medier.

Men B2B virksomheder kan også havne i en kedelig situation, eksempelvis blev revisionsfirmaet BDO i 2020 ved en fejl ’erklæret’ konkurs, idet nyhedstjenesten Bisnode pga. en it-fejl kom til at udsende en meddelelse om dette.

Kultur- og adfærdsrisici:

Kultur og adfærds risici omhandler de aktuelle handlemåder i en virksomhed. Det kan f.eks. være sikkerhedskultur i forhold til arbejdsmiljø, adfærdsforhold i forhold til at integrere nye personer og få dem lært godt op eller ledelsens engagement til at involvere medarbejdere og uddelegere ansvar. Aktuelt er naturligvis udfordringer med seksuel chikane.

Compliance risici:

”Compliance” er et samlebegreb for virksomhedens overholdelse af love og regulatoriske krav i bred forstand, samt også etiske forhold. Eksempler herpå er håndtering af handelsregler, konkurrenceregler, sikkerhed og miljø, ESG/Verdensmålene, skat og regnskabsregler, mandater og håndtering af persondata sikkerhed (GDPR).

IT og Cyber relaterede risici:

IT relaterede risici omfatter bl.a. virksomhedens IT-systemer – kan de klare fremtidens krav, er der tilstrækkelig kapacitet, er der oprettet tilstrækkelig back-up funktioner af data etc. Cyber risici omfatter virksomhedens evne til at håndtere et Cyber angreb, og få genoprettet IT systemerne oven på et evt. angreb. Et godt udgangspunkt er at tænke på hvor længe virksomheden vil kunne opretholde driften, såfremt et eller flere kritiske systemer ikke er tilgængelige.

sikkerdigital.dk kan virksomheden gennemføre en It-risikovurdering med Erhvervsstyrelsens IT-risikovurderingsværktøj, og BoardPartner har i den forbindelse opgraderet det gratis tilgængelige risikoværktøj til automatisk at kunne importere data fra det regneark som Erhvervsstyrelsens IT-risikovurderingsværktøj genererer.

Gratis værktøj:

For at bistå bestyrelsen og direktionens arbejde med risikoarbejdet, har BoardPartner udarbejdet et risikoværktøj målrettet mindre og mellemstore virksomheder, som ikke har adgang til et professionelt risikostyringsværktøj. Værktøjet, der er opdateret i september 2021, er et Excel regneark, der har separate faneblade for hvert risikotema, i alt op til 10 styk og konsoliderer risici fra de forskellige temaer til en samlet liste og et grafisk overblik i en risikomatrix.

For hvert tema er der plads til 12 risici, som ledelsen vurderer, er de væsentligste risici. Hver risiko under hvert tema indeholder en titel og en beskrivelse, samt sandsynlighed og konsekvens for og hvis hændelsen indtræffer. For hver risiko kan fastlægges en mitigerings strategi, og der kan tildeles en risikoejer. Det er desuden muligt at angive en risikohåndteringsbeskrivelse samt at sætte flueben, når denne er gennemført.

I den konsoliderede visning (liste og grafisk risikomatrix), er det muligt at sortere og filtrerer på alle relevante parametre, således at forskellige rapporter nemt kan udarbejdes.

Værktøjet kan gratis downloades fra BoardPartner’s hjemmeside under kategorien ‘værktøjer’ som du fínder her.

Klaus Bach Thomsen / BoardPartnerKlaus Bach Thomsen er partner i BoardPartner og eksternt bestyrelsesmedlem i flere virksomheder. Klaus er tidligere direktør for IF forsikring i Danmark.

Andreas Frøland / BoardPartnerAndreas Frøland er partner i BoardPartner og eksternt bestyrelsesmedlem i flere virksomheder. Andreas er tidligere ejerleder og VP i TDC Erhverv.

Følg BoardPartner på LinkedIn, eller meld dig ind i BoardPartners LinkedIn Forum for ’aktivt og værdiskabende bestyrelsesarbejde’ hvor medlemmerne løbende deler og debattere bestyrelsesrelevante emner.

©2024 Boardpartner

Log in with your credentials

Forgot your details?