For å stadfeste det først som sist; – styret og toppledelsen har det fulle ansvar for risikostyringen i enhver virksomhet. Og videre, – risikostyring er ikke synonymt med risikominimering. Uansett om det er snakk om finansielt motiverte mål eller ikke, må eiere av en virksomhet akseptere risiko for å oppnå sine mål. Jo mer ambisiøse mål, jo mer risiko må vi normalt påta oss. God risikostyring handler om å balansere nivået av usikkerhet vi lever med og hvor stor grad av måloppnåelse vi forventer eller ønsker. Dernest handler det om å jobbe systematisk for å håndtere usikkerheten mest mulig effektivt, med mål om å sikre oppside og redusere nedside. Det nivået av usikkerhet vi er villige til å leve med, kaller vi gjerne risikoappetitt.

Denne artikkelen er en forkortet utgave av en artikkel forfattet av Ole Martin Kjørstad, som arbeider i Norges Bank som spesialrådgiver i Internrevisjonen, og som er medlem av styret i Nettverk Risikostyring i IIA Norge og var del av arbeidsgruppen som på vegne av IIA Norge utarbeidet en veileder for risikostyringsfunksjonen.

Risikoappetitt og strategi

Sånn sett kan man si at en god strategi for en virksomhet begynner med et tydelig mål og en klart definert risikoappetitt. Med dette som utgangspunkt, har man en klar oppfatning av hva man ønsker å oppnå og hvor mye usikkerhet man er villig til å akseptere for å nå nettopp dette målet. En tydelig definert risikoappetitt kan derfor være et svært godt utgangspunkt for føringer og retningslinjer fra styret og toppledelsen til de som har det operative ansvaret i organisasjonen. Videre må ledelsen bygge en organisasjon, i form av mennesker, rutiner, systemer og verktøy som er egnet til å realisere målene, og dermed også styrets og ledelsens strategi.

Risikoappetitten kan fortone seg ulikt i ulike deler av organisasjonen. Det kan for eksempel være mindre vilje til å ta risiko som medfører fare for liv og helse, enn for ren finansiell risiko. For å ivareta risikoappetitten, kan det være behov for å bruke mer ressurser på å redusere risiko i noen deler av virksomheten, enn i andre. I begge tilfeller må ressursene som benyttes for å håndtere usikkerheten balanseres – ressursbruken må vurderes opp mot forventet måloppnåelse. Dersom en nødvendig reduksjon i risiko er så dyrt eller krevende at det ikke rettferdiggjør den forventede måloppnåelsen, bør man kutte ut prosessene som medfører usikkerheten. Altså å unngå risikoen, og samtidig den tilhørende forventede gevinsten. Alternativt må risikoen aksepteres.  Ansvaret for at summen av usikkerhet harmonerer med virksomhetens samlede risikoappetitt, uavhengig av risikoens opphav, ligger hos toppledelsen og i siste instans styret.

Karakteristisk for risiko er at den ikke bare er ukjent, – den kan endre seg, og den kan komme fra et utall ulike kilder – interne som eksterne. Usikkerhet kan oppstå som følge av nye eller endrede arbeidsprosesser (operasjonell risiko), endringer i markedet (markedsrisiko), endringer i politiske rammebetingelser (politisk risiko), eller til og med bevisste hendelser forårsaket av eksterne aktører som ønsker å skade virksomheten.

Kontinuerlig og systematisk arbeid

For å realisere virksomhetens strategi og samtidig ivareta akseptabelt nivå av usikkerhet, er det nødvendig å jobbe med risikostyring kontinuerlig. Tilstrekkelig informasjon om hvilken usikkerhet og hvordan denne påvirker målene, er nødvendig å kjenne til. Vi må forstå hvor kritisk usikkerheten er og hvordan best håndtere usikkerheten for at målene nås. Samtidig skal vi sørge for at organisasjonen er i stand til å operasjonalisere og ivareta de arbeidsprosessene som er besluttet. Systematikken i dette arbeidet, er kjernen av ansvaret til risikostyringsfunksjonen.

Veileder for risikostyringsfunksjonen

Som et utgangspunkt for de som skal etablere en risikostyringsfunksjon, eller evaluere egen virksomhets arbeid med risikostyring, har Nettverk risikostyring i IIA Norge laget en kortfattet og enkel veileder. Veilederen fokuserer på overordnet – eller helhetlig – risikostyring, gjerne kalt ERM (Enterprise Risk Management). Tanken er at den skal være egnet for styremedlemmer og ledere, like mye som for risikostyringsansvarlige.

Veilederen er delt inn i fire hoveddeler. Innledningen definerer kort hva som menes med helhetlig risikostyring. Det gis også beskrivelse av forholdet mellom risikostyring, internkontroll og virksomhetsstyring. Del to tar for seg prinsipper som er viktige å huske i arbeidet med risikostyring. Hovedfokuset er lagt på ansvar, oppgaver og kommunikasjon. Deretter følger del 3, som omhandler organisering av risikostyringsarbeidet, med fokus på grensesnittet mot styret, ledelsen og øvrige funksjoner. I den fjerde og avsluttende delen, er det henvist til relevante rammeverk og standarder for risikostyring som er relevant for oppbygning av risikostyringsarbeidet.

Styrets ansvar for rapportering om risikostyring

I tillegg til det ansvaret som påligger styret når det gjelder risikostyring som beskrevet ovenfor, har styret i hht. NUES (Norsk Utvalg for Eierstyring og Selskapsledelse) også ansvar for å «gi en beskrivelse av hovedelementene i systemene for internkontroll og risikostyring knyttet til prosessen ved regnskapsrapportering.»

Se også lenke til Spørsmål et styre bør stille for å forstå hvordan en virksomhet styrer sine risikoer

For mer informasjon kontakt: risikostyring@iia.no.