Den risikointelligente virksomheten:
Utvikler helhetlige visjoner og bygger bruer mellom siloer. Organisasjonen har et felles språk og kultiverer risikobevissthet. Virksomheten vurderer konsekvenser og fokuserer på de største risikoene, uten å overse ekstreme utfall fordi sannsynligheten er lav. Det tas hensyn til samvariasjon mellom ulike risikoer.
Og det aller viktigste: Virksomheten tar belønnet risiko, for den vet at uten det vil den ikke skape verdi.
Deloitte bruker begrepet The Risk Intelligent Enterprise om virksomheter som har en effektiv og samtidig verdiskapende risikostyring. Hva gjør disse virksomhetene? Hvorfor er dette viktig?
De organisasjonene som er mest effektive til å styre risiko både i eksisterende virksomhet og knyttet til fremtidig vekst vil, i det lange løp, utkonkurrere de som er effektive i mindre grad. ((Organizations that are most effective and efficient in managing risks to both existing assets and to future growth will, in the long run, outperform those that are less so.))
Selv om virksomheter har ulike utfordringer og det dermed nødvendigvis ikke er slik at det samme er rett for alle virksomheter, er det noen felles kjennetegn ved de virksomhetene som driver risikostyring på en god mate. Noen av disse er
- Risikostyringen omfatter hele virksomheten og det bygges bro mellom siloer som gjør at beslutninger ikke nødvendigvis fattes slik det er best for helheten
- Strategien for risikostyring omfatter all risiko, inklusive markedsrisiko, strategi, compliance, miljø og så videre
- Virksomheten har prosesser som sikrer estimater ikke bare på sannsynlighet og konsekvens av hendelser, men også viser hvor virksomheten er mest sårbar
- Risikomodelleringen ser ikke bare på enkelthendelser, men tar høyde for ulike scenarioer og samspillet mellom flere risikoer
- Virksomheten har en praksis som gjør risikostyring til en integrert del av dens kultur, slik at risikobetraktninger er naturlig inkludert i strategisk og operasjonell styring
- En risikotenkning som gjør at risikostyring ikke bare handler om å unngå risiko, men også om å ta risiko for å skape verdi
For å oppnå dette, er det første og viktigste punktet å sørge for at virksomheten har en felles forståelse for hva risiko er. Risiko er et begrep som er negativt ladet, og ofte er risikostyring fokusert på å unngå risiko. Men en virksomhet som ikke tar noe risiko, vil heller ikke skape verdi.
Definisjonen av risiko i en norsk ordbok er: «risiko -en, -er 1 mulighet (for skade, tap); vågespill» og det er slik begrepet risiko brukes i dagligtale. Men risiko er også mulighet for gevinst. Dermed trengs det en ny definisjon av risiko:
Risiko:
Det potensielle tap eller skade ELLER den reduserte muligheten for gevinst som kan påvirke muligheten for å nå virksomhetens mål negativt
Virksomheten må ta risiko for å skape verdi. Men den må ta risiko som betaler seg. Det optimale risikonivået er der virksomheten tar strategisk risiko som skaper verdi, og begrenser risiko det ikke er noe å tjene på å ta.
Belønnet og ikke belønnet risiko
Noe av det viktigste innen risikostyring er å forstå at noe risiko er belønnet og noe risiko gir overhode ikke gevinst. Belønnet risiko gir gevinst og er relatert til virksomhetens strategi. Ikke belønnet risiko er risiko der det er lite eller ingenting å tjene på å ta risikoen (her vil lovbrudd være helt til høyre i figuren over).
Virksomheten må forstå forskjellen og agere der etter. Det vil for eksempel som regel være galt å avdekke risiko knyttet til selskapets strategi. Er den risikoen for stor, er det strategien som er feil fordi virksomheten ikke risikobærende evne til å gjennomføre strategien.
Fem steg mot målet
Noen steg er spesielt viktige for å bli en risikointelligent virksomhet. De er ikke nødvendigvis enkle og vil kreve metodisk arbeide med risikostyring i hele virksomheten og over lang tid.
Etabler et overordnet rammeverk, retningslinjer og prosesser for å vurdere og styre risiko
Uten et felles rammeverk, klare retningslinjer og etablerte prosesser vil virksomheten ikke kunne styre sin risiko på en helhetlig, presis og effektiv måte. Uten en felles forståelse av hva risiko er og hvilke risikoer virksomheten skal ta er det ikke mulig å styre risiko på en god måte.
Identifiser de viktigste risikoene og hvor virksomheten er mest sårbar, og utarbeid planer for å adressere dem
Analyser hva som kan gå galt. Hva er mest kristisk? Ikke overse risikoer med lav sannsynlighet, dersom konsekvensen er stor. Hvilke tidlige varslingssignaler skal du fokusere på. En suksessfaktor er å evne å fokusere på det relevante og se bort fra det irrelevante.
Fastsett din risikoappetitt
Hvor mye risiko kan og vil virksomhetent ta? Og ikke minst hvor skal virksomheten ta risiko? Å bare fokusere på å unngå tap uten å samtidig ta belønnet risiko leder til tapte muligheter, dårligere konkurranseevne og til slutt en virksomhet som forvitrer.
Bestem hvem som har ansvar og myndighet til å ta risiko
Overraskende nok er det mange virksomheter som ikke har avklart dette på en god måte. Uten det vil det være umulig å styre risiko på en god måte. Og det er viktig at det ikke bare er ansvar som fordeles – med ansvar må det følge myndighet til å agere. I risikostyring er ofte tid en svært viktig variabel – muligheten til å agere kan bortfalle dersom det må gås mangerunder før tiltak settes inn.
Fastslå i hvilken grad du er i stand til å styre risiko på en integrert og verdiskapende måte
Å innføre en intelligent modell for risikostyring er ikke gjort over natten. Det er nødvendig med et langsiktig og nitid arbeide for å realisere det. Risikostyring skal være en del av selskapets kultur og dermed en naturlig del av enhver strategisk og operasjonell beslutningsprosess.
I den fullt utviklede RisikoIntelligente virksomheten er ikke risikostyring sett som et prosjekt, men som en del av kulturen og måten virksomheten styres ((In the fully developed Risk Intelligent Enterprise, risk management is viewed not as a project but part of the culture, the way of doing business.)).
Konkurransemessige fortrinn for den risikointelligente
Helhetlig og integrert risikostyring kan gi konkurransemessige fortrinn og bidra til verdiskapning. Hvordan?
- Det gir bedre evne til hindre, oppdage, korrigere og eskalere viktige risikoforhold
- Det legger en mindre byrde på forretningsenheter ved å standardisere språk og prinsipper for risikostyring
- Det gir reduserte kostnader til risikostyring ved bedre deling av informasjon og større integrasjon
- Det er et middel til å forbedre strategisk fleksibilitet og for både positive og negative scenarioer
- Det gir ledelsen en troverdig evne til å tilby et ”komfortnivå” til Styret og andre interessenter om at risiko er forstått og styrt
- Det gir virksomheten mulighet til å agere tidlig, fordi risiko er kartlagt og forstått, med fokus på det viktige og ikke det irrelevante