Nya informationsteknologier och komplexa affärsmodeller har gjort riskhantering nödvändig, skriver Olof Arwinge och Nils-Göran Olve. Men hur bör styrelsen arbeta med riskaptit och hur ska denna kommuniceras till företaget?

COSO – Committee of Sponsoring Organizations of the Treadway Commission

BP har enligt USA:s regering gjort sig skyldigt till en rad felsteg och medvetet tagit onödigt stora risker” (SvD 27 februari 2012). När vi skriver detta tycks en förlikning vara på gång men BPs kostnader för provborrningarna i Mexikanska golfen blir ändå enorma. Hundratals miljarder kronor talas det om.

Även i mer vardagliga sammanhang är lagom risktagande en viktig fråga. Hur hungrig på affärer får en säljare vara om han anar att kunden börjar få betalningssvårigheter, eller kanske inte ens har behov av en viss produkt eller tjänst? Signalerar hans belöningssystem rätt avvägning mellan värdet av affären och förlusthot eller dåligt renommé? Eller tänk på andra risker – vi hörde om en säljare av personbilar som blev hjälte i sitt dotterbolag för att ha sålt 100 bilar till ett leasingföretag på ett bräde. Tills det visade sig att han hade utlovat modifieringar av modellen som vållade enorma extrakostnader.

Rittenberg, Larry & Frank Martens (2012) Enterprise Risk Management – Understanding and Communicating Risk Appetite. COSO (Committee of Sponsoring Organizations of the Treadway Commission).

En just utkommen rapport av organisationen Committee of Sponsoring Organizations of the Treadway Commission (COSO) diskuterar företags och organisationers riskaptit1. Den syftar till att öka förståelsen kring hur företag kan fastställa och kommunicera gränser för risktagande – aktuella och viktiga områden som tål att reflekteras kring. Vanligtvis skiljer man på riskaptit och risktolerans, där det förstnämnda beror på preferenser och det senare avser organisationens risktålighet. Riskexponering är notoriskt svårt att beskriva. Drabbas vår säljare av kundförluster trots positiva kreditupplysningar så är det svårt att veta om han borde ha förutsett förlusterna. Kanske fanns tecken som han kunde ha lagt märke till vid sina besök hos kunden? Hur förmedlade företaget vilka risker som var acceptabla? Det finns ju också en risk att en säljare blir alltför försiktig – som andel i affären slår en förlust mycket värre mot det lokala resultatet än mot koncernens. BP anklagas för att ”medvetet” ha tagit onödiga risker – men händelsekedjan från läckage till skador och solkat förtroende beror på många faktorer. COSO-rapporten talar om en portfölj av risker, och det är lätt att associera till de resonemang kring företagets olika resurser eller kapital som bland annat förekommer i hållbarhetsredovisning. De flesta är mer vana att diskutera kreditrisk eller marknadsrisk än de operativa risker som följer av bristfällig regelefterlevnad, dåliga informationssystem eller kompetensbrist. Mjuka risker som är ack så välbekanta men allt viktigare att adressera.

Risktagande utan vare sig gränser eller uppföljning går snabbt överstyr och resultaten har ibland varit ödesdigra. Ökad medieuppmärksamhet har bidragit till att kunder, investerare, tillsynsmyndigheter och lagstiftare nu väntar sig att företag formulerar och implementerar adekvata kontroller för att skydda och utveckla värden. Baserat på historiska data och prognoser gör även kreditvärderingsinstitut i allt större utsträckning bedömningar av företags förmåga att sätta gränser för risktagande. Externa krav har gjort riskhantering nödvändig. Hjälper det? Eller blir vi alltför försiktiga?

Riskaptit i strategiarbetet

Företagande är risktagande. Riskaptit är en del av hur ett företag profilerar sig strategiskt. Ett finansiellt starkt företag kan till exempel utnyttja sin styrka som en konkurrensfördel genom att ta risker, men helst under kontrollerade former. I strategiarbete ingår att bedöma företagets förmåga samt vilka möjligheter och risker som verksamheten står inför. Tidigare fick risker sannolikt för lite uppmärksamhet i strategiarbetet jämfört med förmåga och möjligheter. Nya informationsteknologier, komplexa affärsmodeller och ökad hastighet gör att många styrelser måste närma sig risktagande på ett nytt sätt. En överlägsen strategi räcker inte utan måste kombineras med tydliga preferenser och toleransnivåer för risktagande. Men ofta fattas riskfyllda beslut av andra än styrelsen – tänk på Barings bank som gick under på grund av en enda mäklare. Det räcker inte att fastställa riskaptiten klokt. Risktagandet måste styras för olika delar av organisationen och olika aktörer. Vi behöver ange riskmål och följa upp dem. Gamla tiders riskfyllda centrala beslut om stora satsningar syntes i balansräkningen och blev ärenden i styrelsen. I dag påverkar många i organisationen genom sitt agerande strategiska möjligheter och risker. Ofta handlar det om organisationens anseende men ibland även om direkta kostnader vållade av medarbetare med varierande mandat. Aktuella fall finns i de flesta branscher, från kryssningsrederier till äldreomsorg. Hur inser en styrelse att dessa risker finns, och fastställer och kommunicerar lämplig riskaptit? Till en början handlar det om fullständighet och träffsäkerhet i riskanalysen, men det finns även andra utmaningar.

En välformulerad riskaptit har en genomgripande inverkan på beslut om risktagande. För det första bidrar den till att skapa gränser för risktagande, mer eller mindre konkreta och mätbara. Tydliga gränser är väsentligt då företags och individers riskaptit, till skillnad från deras riskkapacitet, annars kan verka obegränsad. Chefer och medarbetare kan göra vilda chansningar om de sällan riskerar att få stå för följderna men däremot blir belönade om det går bra. Eller också inser de helt enkelt inte riskerna. Genom tydliga preferenser och gränser för risktagande skapas en samstämmighet mellan företagets intentioner och företagets faktiska förmåga. Denna samstämmighet är en förutsättning för ett effektivt och ändamålsenligt risktagande.

För det andra påverkar riskaptiten bolagets strategiska och operativa resursallokering – nya satsningar och investeringar samt hur löpande aktiviteter och utgifter kontrolleras. Kopplingen mellan riskaptit, resursallokering och kapitalbehov är tydlig inom finansiell sektor men lika relevant i andra branscher. Riskaptit ska ge vägledning vid värdering av alternativa strategier och hur resurser och kapital används. På operativ nivå påverkas resursallokeringen bland annat genom kopplingen (eller avsaknad av koppling) mellan dagliga affärsbeslut och företagets riskaptit. En stark koppling bidrar till effektiviteten i företagets risktagande.

Riskaptit kan därför ses som ett filter som appliceras på både strategisk och operativ nivå. Både hierarkiskt och horisontellt, och kopplat till specifika risker. Hierarkiskt används riskaptit för att bestämma organisatoriska mandat och befogenheter, samt för utvärdering av mål och handlingsalternativ. Horisontellt appliceras riskaptit exempelvis via policyer som rör operativa processer inom försäljning, inköp, it eller HR eller kopplat till specifika riskkategorier. På strategisk nivå handlar risk om möjligheter och hot, och vikten av att fatta rätt strategiska affärsbeslut. På denna nivå blir det tydligt att risk i allra högsta grad även innefattar de positiva utfallen av variationer. Särskilt tydligt blir det om vi inkluderar risker som först indirekt handlar om pengar, i synnerhet om vi även räknar in missade möjligheter som en strategisk risk. I strategiarbetet formuleras riskaptit som länken mellan styrelsens bedömningar om hot och möjlighet å ena sidan, och företagets risktålighet å andra sidan.

Formulering och tillämpning

Utmaningarna rörande företagens riskaptit rör två frågeställningar: hur formuleras riskaptit, och på vilket sätt bör den tillämpas? Detta går att koppla till vårt resonemang ovan om gränser respektive resursallokering. Gränserna och formulerandet av riskaptit handlar om att analysera förmåga (rörande olika resurser och olika slag av risk) och riskvilja, vilket ytterst är en fråga för ägare och andra intressenter. Huruvida styrelsen bör godkänna och ta ansvar för bolagets uttalade riskaptit ingick i det frågebatteri vars resultat EU-kommissionen sammanställde mot slutet av 20112.

Ägare och styrelser förvaltar verksamheten och bör därför besluta om vilket risktagande som är acceptabelt. Men även andra intressenter har legitima åsikter om vad företaget borde ägna sig åt för risktagande. Samhället, börsen och branschorganisationer har bestämmelser som begränsar risktagande, och leverantörer och kunder ställer krav eftersom misslyckanden kan återverka på dem.

Riskaptit handlar om att uttrycka preferenser rörande synen på risktagande, hur mycket risk som maximalt kan tolereras samt vad den önskade risknivån är. Vi människor har svårt att uttrycka våra individuella preferenser på grund av kognitiva begränsningar och informationsmässiga tillkortakommanden. Styrelseledamöter har olika preferenser och här är det dessutom företagets och inte deras personliga risktagande det gäller. Preferenser bör variera över tid med ändrade betingelser och riskkapacitet. Ingen riskaptit varar därför för evigt. Precis som COSO-rapporten indikerar ställer detta krav på en dynamisk process, där styrelse och ledning löpande omvärderar och prövar fastställda ramar för risktagande.

Vår andra frågeställning rör tillämpning av riskaptit. Givet att moderbolagets styrelse lyckas formulera en riskaptit för koncernen, hur förmedlas den? Preferenser, toleransnivåer och målvärden behöver differentieras för olika delar av organisationen och olika slags risker. Företagsövergripande budskap bör vara tillräckligt konkreta samtidigt som de ger frihetsutrymme, medan operativa toleransnivåer och målvärden naturligt nog är mer konkreta och precisa. Företagets preferenser för risktagande bör ses som ett system för riskaptit där både delar och helhet ges uppmärksamhet. Att formulera och förmedla preferenser för organisationens risktagande kräver en genomtänkt hållning och helhetsgrepp. Detta är inget nytt och mycket av tankarna bakom företagsövergripande riskhantering och Solvens 2-regelverket inom försäkring utgår från en sådan helhetssyn, där hela balansräkningen men även relationer mellan specifika risker beaktas för att förstå den totala fallissemangsrisken. Sammantaget syftar företagets system för riskaptit till att skapa medvetenhet och transparens beträffande risktagande, men inte på bekostnad av kreativitet och initiativ – källan till företagens konkurrensfördelar.

Feedback Statement, Summary of responses to the Commission Greenpaper on The EU Corporate Governance framework (COM (2011) 164), 15 November 2011.

Tidsaspekt

Ska vi förstå och påverka agerandet hos chefer och medarbetare, och påverka det i enlighet med avsedd riskaptit, är det utformningen av hela styrningen vi talar om. I modern ekonomistyrning betonas samsyn kring den strategiska logik som man vill skapa. Risker och riskaptit bör knytas till denna. Det vanliga är att risker avser vissa affärer och vissa händelser, snarare än fördelar sig jämnt över verksamheten. Till exempel nämner COSO-rapporten ett gruvföretag som valde att skydda sig mot flera slags risker, men själv ”tog ombord” risken för hur priserna skulle utvecklas för de mineraler som utgjorde företagets produkt. De som köpte aktier i bolaget gjorde det delvis som en spekulation i goda världsmarknadspriser, och därför borde inte just den risken försäkras bort. Givetvis sker en sådan satsning utifrån ”evidens”, till exempel tidigare mönster för hur priser brukar utvecklas. Risktagandet är medvetet och väl underbyggt. Gruvföretaget kommunicerade det även till sina ägare.

Exemplet illustrerar en faktor som nog borde uppmärksammats mer även i COSO-rapporten: tid. Liksom mål kan vara mer eller mindre långsiktiga, kan hoten mot dem slå ojämnt, och följder av strategiska felgrepp visar sig långt ifrån alltid genast. Gruvbolaget vill förstås optimera sitt långsiktiga värde, och för att hänga med i en väntad prisuppgång accepterar man att det kanske går sämre en tid. Hur bör bilförsäljaren i vårt inledande exempel avväga kvartalsvinst mot långsiktig odling av kundbasen? Riskaptiten har en tidsdimension som behöver kommuniceras ut. Det får konsekvenser för utvärdering och belöningar.

Skapa en sund riskkultur

Högkvalitativa riskaptiter räcker inte långt om efterlevnad saknas. Kvalitet i implementering av riskaptit är av stor betydelse. Här handlar det om att skapa en sund riskkultur i företaget – ett viktigt område som är något styvmoderligt behandlat i COSOs vägledning. Ett ytterligare område som COSO behandlar knapphändigt är de stödjande system som antingen kan hjälpa eller stjälpa en riskaptit. Här utgör företagets belöningssystem en betydande komponent vilket gör att en analys av riskaptit även måste omfatta de stödjande systemens drivkrafter. Belönas risktagande skapas risktagande.

En väl integrerad riskaptit kan likställas med fullgoda vägskyltar när anställda står inför handlingsalternativ. Saknas de reduceras organisatoriskt risktagande till individuella bedömningar. Företagets riskaptit ska levandegöras i organisationen, så att medarbetare tillgodogör sig information och låter den influera sina val. Alla har egna preferenser men är riskaptit väl integrerad får ägares och företagets preferenser tolkningsföreträde. I modern ekonomistyrning ses styrning som en bro mellan strategin och beteenden. Kommunikation bör ske i båda riktningar: ledningens avsikter förmedlas till medarbetarna, men de bör också förmedla sina idéer och upptäckter. Tillämpat på riskaptit innebär det att medarbetare inte bara bör efterleva satta riskgränser, utan även aktivt informera sina chefer när de ser affärschanser som kan motivera att riskgränser omprövas. Detta är enligt vår mening kärnan i en sund riskkultur.

Kvalitet i implementering av riskaptit innefattar inte enbart riskkultur utan även företagets uppföljningssystem. Att följa upp exponering i relation till riskaptit förutsätter kännedom om vilka risker företaget är utsatt för, samt hur väsentliga dessa är. Det försvåras av att affärsmodeller blir allt mer komplexa och hjulen tycks snurra allt snabbare. Information är en färskvara som snabbt blir inkurant, vilket motiverar allt mer informationsleveranser utförda av såväl ledning som fristående assurance providers. Styrelser behöver dynamisk och snabb återrapportering om historiska händelser men kanske än viktigare är bedömningar om framtiden. När turbulens är något konstant är god kännedom om bolagets risktålighet och riskaptit nödvändiga förutsättningar för god styrning, men än viktigare blir kunskapen om hur riskindikatorer och riskprofil utvecklas. Då undviks strategiska risker samtidigt som riskaptit och risktolerans ständigt kan anpassas.

Det finns ingen perfekt riskaptit och inte heller någon perfekt efterlevnad. Snarare bör man sträva mot en tillfredställande nivå där systemet för riskaptit, likt det interna kontrollsystemet, med rimlig säkerhet bidrar till att risktagande är medvetet, överlagt och inom ramen för toleransnivåer. Det förutsätter att såväl styrelse som verkställande ledning ägnar tid åt att formulera och implementera riskaptit. Även om det sannolikt föreligger förbättringspotential inom båda dessa delar tror vi att företagen har mest att vinna på att höja implementeringsförmågan. Efterlevda gränser för risktagande förutsätter en sund riskkultur, vilken inte huvudsakligen möjliggörs av formella policyer, instruktioner och mandat utan av ett gott ledarskap och transparent styrning.

Styrelsen har ansvaret

Ytterst är det förstås styrelsen som har ansvaret för att detta fungerar – inte bara det formella ansvaret, utan ägarnas uppdrag att praktiskt bevaka deras intressen. För framgångsrika företag antyder börskursen i regel att ägare inte nöjer sig med att bevara det egna kapitalet och få marknadsmässig förräntning av det. De väntar sig mer än så. För sin riskanalys och riskstyrning behöver styrelsen utveckla en faktabaserad förståelse för hur företaget avser leva upp till de förväntningarna, och hur det ska hantera de hot som finns mot att lyckas.

Olof Arwinge är ekonomie licentiat, industridoktorand vid Uppsala universitet och rådgivare på Grant Thornton.

Nils-Göran Olve är gästprofessor vid Uppsala universitet, adjungerad professor vid Linköpings universitet, författare och konsult.