Riskhanteringens strukturer och ansvar
Hur ska du tänka gällande riskhantering och riskstyrning i praktiken? Vem tar ansvar för vad? Du bör ha en plan som täcker in att du informeras om risker i era processer och i det operativa arbetet, en gedigen analys av organisationens riskexponering och en plan för hur ni reducerar och hanterar risker. Detta ska mätas med rätt nyckeltal kontinuerligt. Hur ska du lyckas med detta?
Olika typer av risker
I verksamheten bör finnas en struktur för att kunna hantera organisationsövergripande risker och för själva riskarbetet. Ramverket bör innehålla processer för riskrapportering och riskanalys, och kategoriseras ofta i:
1. Finansiella risker (exempelvis likviditets-, marknads- och kreditrisker).
2. Icke-finansiella (processkontroll).
3. Strategiska (exempelvis cyberattacker och resursbrister).
I analysen av olika risker finns metoder och verktyg att ta till hjälp. Till exempel kan de finansiella riskerna ofta förstås bäst genom finansiell scenarioplanering, tillsammans med ett strukturerat budget och prognosarbete .
På samma sätt kan en omvärlds- och trendanalys göra det enklare att se och förhålla sig till strategiska risker. Bland modellerna behövs också ett organisationsövergripande ramverk som handlar om kontroll och översyn. Detta är oftast något som styrelsen och ledningen berörs av.
”Förmågorna att visualisera risker och analysera dem med finansiella verktyg kan göra stor skillnad i vilket genomslag riskstyrningen får – här släpar många företag efter”, säger Håkan Jankensgård, docent på Ekonomihögskolan vid Lunds universitet.
Det bör också finnas en struktur för operativa risker som brutits ner från de övergripande riskerna. Operativa risker definieras som potentiella förluster till följd av icke ändamålsenliga eller misslyckade interna processer, mänskliga misstag, felaktiga system och externa händelser. Den digitala utvecklingen har därtill förändrat och fortsätter förändra antalet och omfattningen av ’operativa risker’.
Riskstyrning och ansvar
”En viktig aspekt är att ändra förväntningarna på alla bolagets anställda avseende hur de förhåller sig till risker och agerar på dem. Denna nya förväntningsbild inkluderar även styrelsen, som måste ta tag i frågan och våga utmana företagsledningen i viktiga riskfrågor”, säger Håkan Jankensgård.
VD bör utse ansvariga för verksamhetens riskhantering. Dessa har till uppgift att ge en allsidig och saklig bild av företagets risker och föreslå ändringar i styrdokument och processer som baseras på observationer, analyser och data. De ansvariga äger sina utpekade risker men ska också ha möjlighet att delegera regelefterlevnaden och helst tränas och utbildas i riskhantering.
För att kunna riskstyra effektivt är kommunikation viktig. Både till medarbetarna, med exempelvis riskmatriser, som visualiserar riskanalysen och riskhanteringen. Medarbetarna ska också kunna kommunicera med den som är riskansvarig. Här är det lätt att fastna i ett “Excel-filsdisko”, där filer fastnar i mejlsnurror. Undvik att bjuda upp till en sån dans genom att ha en systemlösning på plats med stöd för riskhantering och samarbete.
Du bör kunna se riskerna utifrån affärsområden och eventuellt även geografi. Det gäller såväl affärsrisker som legala risker och finansiella risker. Ansvaret för risker, kontroller, utvärdering och åtgärder ska vara satta och kommunicerade. På detta ramverk byggs en effektivare riskrapportering.
I stora verksamheter bör det övergripande riskarbetet skötas av en grupp som enbart har detta ansvar. För att det ska fungera krävs omfattande verksamhetsförståelse i gruppen och mandat för insyn i verksamheten.
Det är värt att understryka att olika branscher är olika ”riskmedvetna”. Hos banker jobbar sju procent med risk och på icke-finansiella företag är den siffran en halv procent. Det innebär att ett icke-finansiellt företag med 1000 medarbetare statistiskt sett har ett riskteam på fem personer.
Krisberedskap och ansvar
Se till att styrelsen och ledningen står bakom riskhanteringen. De ska definiera de övergripande riskerna, värsta tänkbara scenarios, åtgärder och kommunikation kopplat till dem.
När krisen kommer har de med utpekat ansvar en plan för respektive ansvarsområde som sätts i verket. Det ska finnas planer för varje hot som hittats i riskanalysen. Vissa operativa risker kanske kan tyckas väldigt små. Det är förstås bra, för då blir den delen av planen enkel att följa.
VD utser även ansvariga för regelefterlevnad, som har till uppgift att följa upp att verksamheten drivs enligt interna och externa regelverk. Ett tips är att VD:n ser till att verksamheten lär sig av kriser den gått igenom och anpassar både riskahanteringsplanen, ansvaret och eventuellt även regelefterlevnaden.
Efter krisen kan dessa frågor vägleda dig till bättre riskhantering:
- Vilka motåtgärder fungerade bäst?
- Kommunicerade vi rätt?
- Fanns brister i riskanalysen eller riskhanteringen?
- Var bör vi sätta in resurser?
- Var bör vi stresstesta?
- Vad bör vi träna på? Vem bör vi träna?
Ledningsgruppens ansvar vid risk- och krishantering
VD har det övergripande och dagliga ansvaret för krishantering och riskhantering, men vid en kris i en verksamhet utan riskhanteringsgrupp utses ofta en krisgrupp där och då. Ibland består den av ledningsgruppen samtidigt som det kan finnas värden i att hålla så få i ledningsgruppen som möjligt involverade i den dagliga krishanteringen. Detta för att säkerställa att verksamheten fortsätter att fungera trots pågående kris.
Ett alternativ är att en eller flera i ledningsgruppen får ett utpekat ansvar för krishanteringen och involverar och informerar ledningsgruppen löpande. Delar av ledningsgruppen kan komma att agera talespersoner när en kommunikationsstrategi relaterad till krisen finns på plats och kommer också behöva adressera orsaken till krisen och vilka åtgärder som vidtas.
Vill du veta mer om Hypergene?
Hypergenes kunder kan effektivisera sina finansiella planeringsprocesser, följa upp verksamheten genom avancerade analys- och rapporteringsmöjligheter och arbeta med målstyrning på ett sätt som bryter ner övergripande planer till mål, nyckeltal och aktiviteter i hela organisationen.
Vill du veta mer? Läs mer om vår lösning här eller titta på en 7 minuters videodemo av vår lösning: