Bestyrelsens arbejde med risikostyring - JP Pro - Jyllands-Posten
Bestyrelsens arbejde med risikostyring - JP Pro - Jyllands-Posten
Bestyrelsens arbejde med risikostyring - JP Pro - Jyllands-Posten
You also want an ePaper? Increase the reach of your titles
YUMPU automatically turns print PDFs into web optimized ePapers that Google loves.
Nyhedsbrev for Bestyrelser<br />
Normen for effektiv <strong>risikostyring</strong><br />
Partner i PricewaterhouseCoopers, Henrik Axel-sen,<br />
skriver om bestyrelsens opgaver i relation til <strong>risikostyring</strong>.<br />
Indlægget bør læses i forlængelse af sidste<br />
uges kommentar omkring Kommissionens forslag<br />
på området.<br />
Bestyrelsen er ansvarlig for den overordnede ledelse<br />
af selskabet og træffer i henhold til forretningsordenen<br />
bestemmelse om udførelsen af sit hverv. Ifølge<br />
direktivforslaget er <strong>risikostyring</strong> bestyrelsens hverv,<br />
og forretningsordenen er derfor et passende sted<br />
at indpasse emnet. Det er næppe tilstrækkeligt blot<br />
at anføre i bestyrelsesreferatet, at virksomheden<br />
skal have en <strong>risikostyring</strong>spolitik. Bestyrelsen må<br />
forventes at foretage en reel behandling af emnet,<br />
for at man kan opfylde normen for god virksomhedsledelse.<br />
En god politik for <strong>risikostyring</strong><br />
For virksomheder, som ikke er undergivet særlige<br />
krav om anvendelse af specifikke standarder for<br />
<strong>risikostyring</strong>, anbefaler vi COSO-standarden som<br />
skabelon for udformning af en <strong>risikostyring</strong>spolitik.<br />
Politikken bør herefter behandle følgende emner:<br />
Formål: Hvad er formålet <strong>med</strong> <strong>risikostyring</strong> i virksomheden,<br />
og hvordan skal <strong>risikostyring</strong> organiseres,<br />
herunder hvilken ledelseskompetence, der er tillagt<br />
<strong>risikostyring</strong>sledelsen;<br />
Internt miljø: Hvordan skal virksomhedens <strong>risikostyring</strong><br />
forankres i organisationen, og hvilken kultur,<br />
værdier og etik skal den bygges på.<br />
Målsætninger: Hvordan sikres det, at <strong>risikostyring</strong>en<br />
tager udgangspunkt i forretningsstrategien<br />
og integreres i alle væsentlige forretningsprocesser,<br />
så der skabes en rimelig grad af sikkerhed for<br />
opnåelse af virksomhedens målsætninger. Hvordan<br />
skabes sammenhængen mellem kapital- og ressourceallokering<br />
og risikoappetitten i forhold til de enkelte<br />
forretningsområder og på tværs af organisationen.<br />
Hvad er virksomhedens tolerance for afvigelser;<br />
Hændelsesregistrering: Hvilke krav er der til virksomhedens<br />
processer for systematisk identifikation<br />
af hændelser, som kan påvirke evnen til at nå mål,<br />
og hvordan sondrer denne proces klart og fremadrettet<br />
imellem risiko og muligheder således, at mulighederne<br />
udnyttes optimalt, og risici kan håndteres<br />
struktureret og effektivt;<br />
Risikovurdering: Hvordan vurderes identificerede<br />
risici, og hvordan skabes ensartede metoder for<br />
Bestyrelses<strong>arbejde</strong> i praksis<br />
Side 48<br />
vurdering af om en given risiko er kritisk før og efter<br />
håndtering. Ser virksomheden risikobegrebet ud<br />
fra en overordnet porteføljebetragtning på tværs af<br />
virksomheden, som sikrer konsistens i vurderingen<br />
og tager højde for korrelationer og sammenhænge<br />
imellem forskellige risici.<br />
Risikohåndtering: Hvilke principper for risikohåndtering<br />
skal etableres, herunder hvilke krav <strong>med</strong><br />
hensyn til cost-benefit vurdering i beslutningen om<br />
håndtering af en given risiko;<br />
Kontrolaktivitet: Hvilket niveau af kontrolmiljø ønskes<br />
etableret, så det sikres, at de valgte strategier<br />
til at håndtere risiko opfyldes; Hvordan skal det sikres,<br />
at kontrolmiljøet opfylder krav til fuldstændighed<br />
og troværdighed i rapporteringen samt overholdelse<br />
af lovgivning m.v.. Hvordan skal vægtningen mellem<br />
forebyggende, opklarende og afværgende foranstaltninger<br />
være. Hvilke krav stilles der til løbende tilpasning<br />
af risikovurdering og – håndtering;<br />
Information og kommunikation: Hvilke processer<br />
skal etableres for at sikre relevant, rettidig og præcis<br />
risikorelateret information på tværs af organisationen<br />
og til alle interessenter, herunder bestyrelsen,<br />
og <strong>med</strong> hvilken frekvens, skal der kommunikeres til<br />
hvem. Hvilke metoder for kommunikation omkring<br />
risikobegrebet skal ledelsen anvende for at sikre, at<br />
alle <strong>med</strong><strong>arbejde</strong>re er klar over, hvad der er acceptabel<br />
og uacceptabel adfærd;<br />
Overvågning: Hvilke processer skal etableres for<br />
at overvåge effektiviteten af Risk Management systemet,<br />
herunder rapportering af afvigelser, fejl og<br />
mangler samt ændringer i risikobilledet;<br />
Revision: Definér krav til ajourføring af politikken,<br />
når strategien ændres, eller andre væsentlige<br />
forhold ændres og som minimum én gang årligt, så<br />
den er tidssvarende.<br />
Hvordan bør bestyrelsen forholde sig konkret<br />
Det tager tid at implementere <strong>risikostyring</strong> effektivt,<br />
og uanset om bestyrelsen ønsker at høste gevinsterne<br />
ved <strong>risikostyring</strong> eller blot ønsker at forholde<br />
sig til rapporteringskravene, fordi man skal, så anbefaler<br />
vi, at bestyrelsen går i gang <strong>med</strong> at forberede<br />
sig på de nye krav allerede nu.<br />
Bestyrelsen bør starte <strong>med</strong> en redegørelse fra<br />
direktionen om, hvordan politikken for <strong>risikostyring</strong><br />
i dag er indrettet i forhold til ovenstående og <strong>med</strong><br />
afsæt heri aftale <strong>med</strong> direktionen hvilke ændringer,<br />
der skal foretages.