Forfatter: Kristian Hviding Kvam
En god selskapsstrategi inneholder vanligvis et avsnitt om risikostyring. Min erfaring er at risikostyring er en undervurdert og underprioritert aktivitet i små og mellomstore bedrifter (SMB) på grunn av begrensede ressurser.
SMB er generelt sårbare på grunn av mindre robuste operasjoner og høyere avhengighet av få kunder og gode leverandører. I styrer hvor jeg kommer inn som konsulent er det derfor overraskende å se at det blir forbundet med å ha «et negativt fokus» når styremedlemmer løfter risikoelementer opp for styret eller daglig leder.
Det er Styreforeningens klare oppfatning at styret spiller en nøkkelrolle i å identifisere, vurdere og håndtere både interne og eksterne risikoer, samt å integrere risikostyring i bedriftens langsiktige planlegging.
Her skal jeg gi praktiske anbefalinger for hvordan styret i SMB kan bidra til å styrke beredskapen og motstandskraften.
Risikostyring
Enkelt oppsummert så handler risikostyring om å identifisere, vurdere og håndtere usikkerhet som har potensiale til å påvirke bedriftens mål.
For SMB er dette spesielt utfordrende på grunn av begrensede ressurser, manglende ekspertise og ofte en mer reaktiv enn proaktiv tilnærming til risiko. Styret er derfor i en unik posisjon der de har mulighet til å bidra med et overordnet perspektiv og sikre at risikostyring blir en integrert del av bedriftens strategi og beslutningsprosess.
Styrets rolle i risikostyring blir derfor å skape oversikt over potensielle trusler og muligheter (identifisere), å bidra til å utforme tiltak for å redusere, overføre eller akseptere risikoer (håndtere), å sikre at risikostyringen er en kontinuerlig prosess og at tiltakene er effektive (overvåke).
Identifisering av risiko
Den første fasen i risikostyring er å identifisere potensielle risikoer. For SMB bør dette inkludere:
Markedsrisiko: Endringer i etterspørsel, konkurransedyktighet eller priser.
Operasjonell risiko: Svakheter i interne prosesser, systemer eller ansatte.
Finansiell risiko: Manglende likviditet, kredittrisiko eller valutasvingninger.
Regulatorisk risiko: Endringer i lover eller forskrifter som påvirker virksomheten.
Teknologisk risiko: Cyberangrep, teknologisk forringelse eller avhengighet av utdatert teknologi.
Styret kan bidra til denne prosessen ved å sette opp risikovurderingsworkshops, benytte gjennomarbeidede SWOT-analyse (styrker, svakheter, muligheter og trusler) eller engasjere eksterne eksperter for å identifisere risikoer som kanskje ikke er åpenbare for ledelsen i selskapet.
Risikovurdering
Etter at risikoene er identifisert, er neste trinn å vurdere sannsynlighet og potensielle konsekvenser. Dette kan gjøres gjennom en risikomatrise, hvor risikoer plottes basert på deres alvorlighetsgrad og sannsynlighet. Styret bør sikre at risikoer prioriteres riktig, slik at de mest kritiske risikoene får mest oppmerksomhet.
En risikomatrise er et enkelt verktøy for å systematisere arbeidet med å vurdere risiko. Styreforeningen har en gratis Excel-mal tilgjengelig på medlemssidene.
Risikohåndtering
Når risikoene er identifisert og vurdert, er det på tide å utvikle strategier for å håndtere dem. Det er helt vanlig å tenke håndtering i tre ulike scenario. Reduksjon, overføring eller aksept.
Reduksjon: Iverksette tiltak for å redusere sannsynlighet eller konsekvens av en risiko. For eksempel, diversifisering av leverandører.
Overføring: Overføre risikoen til en tredjepart. For eksempel gjennom forsikring.
Aksept: Et selskap kan alltid velge å akseptere en risiko. Dette er en god strategi dersom kostnadene ved å håndtere risikoen overstiger potensielle tap. Eller man kan velge å akseptere at det er en risiko på bakgrunn av en god beredskapsplan for å løse problemet raskt og smertefritt dersom det oppstår.
Styret bør derfor sikre at identifikasjonsarbeidet er så gjennomført at håndteringsstrategiene blir realistiske, og tilpasset bedriftens ressurser og kapasitet.
En god beredskapsplan er viktig for å klare å håndtere uforutsette hendelser. Styret bør sikre at det finnes planer for krisesituasjoner, som cyberangrep, naturkatastrofer eller plutselige endringer i markedet. Dette inkluderer også å identifisere nøkkelpersonell og deres roller under en krise.
Det å lage en slik beredskapsplan er en øvelse i seg selv, og krever et helhetlig praktisk, systematisk og operasjonelt syn på egen økonomi, drift og organisasjon.
Overvåking og oppfølging
Risikostyring er ikke en engangsoppgave, men en kontinuerlig prosess. Etablering av rutiner for regelmessig oppfølging av risikoer og risikohåndteringsstrategier er styrets ansvar. Kvartalsvis risikorapportering, revisjoner av beredskapsplaner og oppdatering av risikomatrisen er nødvendige skritt i overvåkingsarbeidet.
For styrer i SMB er det nødvendig å integrere risikostyring i den langsiktige strategien. Ressurser er kanskje begrenset og marginene små, men en proaktiv tilnærming til risiko kan være forskjellen mellom suksess og fiasko. Det er kun ved å vurdere risikoer i forbindelse med strategiske beslutninger at styret kan sikre at det finnes en balanse mellom vekstambisjoner og risikoeksponering. Målet må være mer finansiell og organisatorisk robusthet og fremtidsrettet drift.
Det er ikke «negativt fokus» å snakke åpent i styrerommet om de utfordringer og potensielle farer som lurer i landskapet. Tvert imot er det den beste forsikring mot uforutsette hendelser – og det er en forutsetning for bærekraftig vekst og overlevelse.
