RISK, STRATEGI OCH STYRNING OLOF ARWINGE NILS-GÖRAN OLVE ÅKE MAGNUSSON
Kopieringsförbud Detta verk är skyddat av upphovsrättslagen. Kopiering, utöver lärares och studenters begränsade rätt att kopiera för undervisningsändamål enligt Bonus Copyright Access kopieringsavtal, är förbjuden. För information om avtalet hänvisas till utbildningsanordnarens huvudman eller Bonus Copyright Access. Vid utgivning av detta verk som e-bok, är e-boken kopieringsskyddad. Den som bryter mot lagen om upphovsrätt kan åtalas av allmän åklagare och dömas till böter eller fängelse i upp till två år samt bli skyldig att erlägga ersättning till upphovsman eller rättsinnehavare. Studentlitteratur har både digital och traditionell bokutgivning. Studentlitteraturs trycksaker är miljöanpassade, både när det gäller papper och tryckprocess.
Art.nr 39713 ISBN 978-91-44-12135-2 Upplaga 1:1 © Författarna och Studentlitteratur 2017 studentlitteratur.se Studentlitteratur AB, Lund Omslagslayout: Jens Martin/Signalera Omslagsbild samt s. 7, 67 och 147: Leremy/shutterstock.com Printed by Interak, Poland 2017
INNEHÅLL
Del I Utmaningen
1 Inledning och utgångspunkter 9 Företagande är risktagande 9 Risk kan vara bra eller dåligt – eller både och 11 Företagande och risker förändras 12 Riskhanteringssamhället – på gott och ont 14 Risktagande börjar med strategin 17 Riskhantering följer med strategiskt genomförande 19 Risktagande måste styras 20 Bokens innehåll och vad du kan lära dig 21 2 Framtiden är osäker – som tur är 27 Osäkerhet och risk 27 Händelser, förlopp och följder 29 Att bedöma osäkerheter 31 Företagande som risktagande 33 Vems risk? Intressenter, individer och institutioner 36 Slutsatser 40 3 Krav och förväntningar på moderna organisationer 43 Riskhanteringens drivkrafter 43 Marknader, regler och institutioner 44 Marknader som drivkraft för riskhantering 46 Regler som drivkraft för riskhantering 51 Institutioner som drivkraft för riskhantering 55 Nya roller och ansvar för risk 62 Slutsatser 65 © F ö rfat tarna och S t ud e n t li t t e rat ur
3
Innehåll
Del II Rön, metoder och läror
4 Risk och beteenden 69 Individen och risker: perception och attityd 69 Risker och psykologisk forskning 71 Individer, grupper och risktagande 73 Fällor och felslut 76 Hur roller påverkar bedömningen – ett exempel på framing? 79 Slutsatser 81 5 Ramverk, principer och processer 83 Normgivande ramverk och standarder 83 Etablera referensram 88 Bedöma risker 91 Behandla risker 100 Kommunicera och rådge om risk 102 Följa upp och granska riskhanteringssystemet 104 Slutsatser 106 6 Strategi och riskurvalet 109 Strategiläror och risktagandet 109 Strategival och risknivå 115 Analys och känsla 118 Olika typer av risker 121 Risker och affärsmodeller 125 Riskkapacitet, riskaptit och komparativa fördelar 129 Scenarier och riskers följder för strategin 132 Riskbehandling som samtidigt beaktar upp- och nersida 137 Governance, ekonomistyrning och tillräcklig ”assurance” 142 Slutsatser 144
4
© F ö rfat tarna och S t ud e n t li t t e rat ur
Innehåll
Del III Vad kan göras? Reflektioner och lärdomar
7 En integrerad och dynamisk riskhantering 149 Problemet: en frikopplad riskhantering 149 Regler är bra – men inte svaret 151 Vad innebär integrerad riskhantering? 153 En dynamisk riskhantering behövs 176 Ständig vaksamhet och anpassning 183 Slutsatser 194 8 Decentralt risktagande 197 Centralt och decentralt riskansvar 197 Risker och organisationens delar 200 Risk, styrpaket och styrmix 210 Informations- och kommunikationssystem 217 Riskexperternas roller 220 Slutsatser 223 9 Sammanfattande reflektioner 227 Några av bokens bärande idéer 227 Mot en integrerad och dynamisk riskhantering 230 Tanken på förvaltarskap 232 Hållbarhet 234 Att varudeklarera riskberedskap 236 Framtiden och forskningen 238 Slutord 239 Referenser 241 Författarpresentationer 249 Person- och sakregister 251
© F ö rfat tarna och S t ud e n t li t t e rat ur
5
KAPITEL 1
Inledning och utgångspunkter
Alla organisationer behöver en medveten hantering av risker. Risk är en aspekt på strategier men också något som påverkas av var och en i ett företag genom deras handlingar. Därför krävs inte bara kloka övergripande tankar om riskhantering, utan de behöver förmedlas till alla i organisationen genom styrningen. I den här boken ska vi dels redovisa tankar från risk management, strategi och styrning som vi tror att varje organisation bör utnyttja, dels ge idéer om hur de kan byggas samman till en riskhantering lämpad för organisationens situation.
Företagande är risktagande Företagande är risktagande. I varje företag finns inbyggd osäkerhet som man bara till viss del kan påverka.1 Framtiden är tack och lov relativt oviss. Företagande förhåller sig till denna osäkerhet på olika sätt. Vi måste agera pro aktivt genom att förebygga och förekomma, men vi måste även kunna reagera snabbt och parera för lurande faror och hot – och ta vara på chanser som dyker upp. Handlingsberedskap inför osäkerhet är riskhanteringens kärna. Olika former av företagande, vare sig det handlar om individuella initia tiv eller större kollektiva ansträngningar, är alltså förenade med risk. Risk att saker och ting inte går som vi skulle önska, eller att det går långt bättre än vi någonsin hade kunnat tro. För att ta oss från plats A till plats B krävs en tydlig koppling mellan mål och medel som innefattar genomtänkta strategier och uppföljning av utfall. Men det krävs även beredskap att ändra planer för att snabbt kunna ställa om organisation och processer. 1 Vi använder ”osäkerhet” som ett bredare begrepp än ”risk”. Frank Knight (1885–1972) brukar anses vara den första som gjorde denna åtskillnad i sin inflytelserika bok Risk, uncertainty, and profit (1921). Vid risk kan vi ange sannolikheter för olika utfall, vid (övrig) osäkerhet kan vad som helst hända. Mer om detta i kapitel 2.
© F ö rfat tarna och S t ud e n t li t t e rat ur
9
Del I Utmaningen
Mängder av händelser kan påverka våra strategier, aktiviteter och initiativ på både negativa och positiva sätt. Företagande och därmed risktagande handlar om att förhålla sig till detta genom förberedelser och skyddsåtgärder som låter oss bevara värden, men också genom att exploatera styrkor och komparativa fördelar i syfte att skapa nya värden. Vad som krävs är en medvetenhet kring risker och risktagande. Aningslöst risktagande liknar förr eller senare spelande, som sällan slutar lyckligt för den som spelar. Alternativt kan vi förlita oss på hoppet eller turen, vilket då eliminerar behovet av riskhanteringsåtgärder. Ingen av dessa positioner är särskilt bekväm att inta. Motsatt kan risktagandet bli på tok för konservativt. Stegen blir trevande, med det främsta målet att inte snava. Att inte göra fel eller misslyckas, och få kritik för det, blir viktigast. Det påverkar initiativförmåga och innovation negativt, och över tid leder det till stagnation innan det organisatoriska systemet helt avstannar. För lite risktagande är lika farligt som för mycket risktagande. Det är här styrningen kommer in, och den kommer vi att tala mycket om i denna bok. Hur får man chefer och medarbetare att ta lagom och rätt risker? Agerar de främst för att undvika fel eller för att ha ryggen fri om något går snett? Och hur vet ledningen att risker tas på rätt vis? Svenska företag och andra organisationer behöver bra risktagande och därmed även effektiv riskhantering. När globalisering, sammanflätade marknader, nya teknologier och ökad konkurrens gör sig alltmer gällande krävs nytänkande, nyskapande och goda förutsättningar för företagande. Traditionellt har Sverige varit framgångsrikt på risktagande, men ändå står vi inför utmaningar. Både vad gäller att skapa gynnsamma förutsättningar för risktagande och när det kommer till att styra och kontrollera risktagandet på ett effektivt sätt. Företag och förvaltningar kan sällan ses som kortsiktiga projekt – både ägare och samhälle begär att tillgångar och förmågor lever vidare, utnyttjas och utvecklas. Ett hållbart risktagande gynnar ägare men även andra intressenter, och till syvende och sist också samhället i stort (Borglund m.fl. 2012). I detta första kapitel introducerar vi bokens bärande tankar. Vi för ett resonemang i flera steg som mynnar ut i figur 1.1 och en kort presentation av bokens tre delar, var och en bestående av tre kapitel. Avsnittsrubrikerna i kapitlet antyder våra tankar: 10
© F ö rfat tarna och S t ud e n t li t t e rat ur
1 Inledning och utgångspunkter
• att risk är en aspekt på strategier som organisationer bör välja
medvetet • att samhällsutvecklingen gör detta allt viktigare • att det som i sista hand avgör om en organisation lyckas med sin riskhantering är hur denna genom styrningen förmedlas till var och en ute i organisationen. I slutet av boken kommer vi att plädera för en dynamisk och integrerad riskhantering, nära knuten till strategin och förmedlad genom styrningen, inte minst ekonomistyrningen. Låt oss nu börja i våra föreställningar om risk.
Risk kan vara bra eller dåligt – eller både och Vad som är bra för någon kan vara dåligt för en annan. Vi har alla egna föreställningar baserat på de perspektiv vi anlägger om sakers tillstånd. I detta ligger att vi värderar saker och ting olika, något som så klart är positivt. Vad som uppfattas som ett hot av någon kan lika gärna vara en möjlighet för en annan. Entreprenören ser risken som en möjlighet att skapa fördelar och utnyttja uppfattade potentialer, medan byråkraten väljer att sätta upp regler att följa i syfte att hantera obekväm osäkerhet. Allt beror på hur vi värderar olika förhållanden, våra egna inställningar och preferenser, vilka bedömningar vi gör och vad vi prioriterar. Detta är giltigt både för individen och för kollektivet. Från litteraturen vet vi att man bör göra skillnad på osäkerhet och risk. Osäkerheten är ogripbar, medan risk kan mätas i termer av sannolikheter. Risk handlar om riskkällor, händelser och variation i utfall. Utfallen kan vara bra eller dåliga, men samma utfall värderas också olika beroende på vem bedömaren är. I tider efter kriser eller skandaler uppfattas risk oftast som något dåligt som bör reduceras eller till och med undvikas. Resultatet blir ofta mer reglering i syfte att läka det som uppfattas som trasigt. Men risk är i sig något positivt, något som kan bidra till ansamling av förmögenheter och värdeutveckling som kommer flera till godo. Risk blir dåligt först när den ger oönskade effekter, såsom misslyckanden och förluster. Den psykologiskt orienterade forskningen har visat att uppfattningen om risk kan vara dysfunktionell och pervertera beslutsprocesser. I extrema fall © F ö rfat tarna och S t ud e n t li t t e rat ur
11
Del I Utmaningen
kan det handla om en fullständig obenägenhet (aversion) att ta risker, med missade möjligheter som resultat. Uppfattningen om risker, och därmed hur vi bedömer risker, varierar betydligt mellan kulturella och sociala grupperingar och länkas ofta till våra förhoppningar, förväntningar, rädslor och känslor. Hur tänkbara utfall beskrivs har också stor betydelse. Risk är inget nytt, inte heller inom forskningen. Risk studeras inte bara inom psykologin utan i flera andra akademiska fält där begreppet ofta är relativt centralt. I ekonomisk teori används risk för att förklara och beräkna upplevd nytta, och inom försäkringsmatematik handlar risk om att genom statistiska metoder extrapolera baserat på historiska data. Inom organisationsteori, där beslutsprocesser kännetecknar organisationer, avhandlas risk i termer av riskbenägenhet och individuella och kollektiva bedömningar om olika alternativa handlingsutfall (Renn 2008). Konventionell riskhantering kritiseras ofta för att främst handla om nersidan av risk, något vi redan har varit inne på. Riskhantering syftar då till att förhindra det dåliga från att hända: avbrott i verksamheten eller oegentligheter. Självklart är det extremt viktigt för vissa typer av organisationer, som kärnkraftverk och flygbolag, att ha robusta system och processer som aldrig fallerar (Funston & Wagner 2010), men all riktig riskhantering måste nödvändigtvis även handla om det positiva med risktagande – exploatering av risker som skapar nya produkter samt nya sätt att producera och distribuera, som i sin tur leder till hållbar och fortsatt värdeutveckling. En riskhanteringsprocess som bara fokuserar negativa risker är alltså ofullständig. Den skyddar och bevarar men bidrar inte till att ledningen kan skapa nya värden. Ägare till företag är självklart intresserade av båda. Och inte minst andra intressenter, även om de kan prioritera olika eftersom positiva och negativa följder drabbar olika. Att väga samman intressena till en gemensam riskbedömning är i sig en utmaning. Att sedan översätta den i handling är minst lika svårt.
Företagande och risker förändras Varför då en bok om riskhantering i företag och andra organisationer just nu? En anledning är att företagandet har förändrats under de senaste femton åren, och faktiskt på ett dramatiskt sätt. Nya informations- och kommunika tionsteknologier har ritat om kartan för hur organisationer producerar, 12
© F ö rfat tarna och S t ud e n t li t t e rat ur
1 Inledning och utgångspunkter
distribuerar och marknadsför (Porter & Heppelmann 2014). Vi ser det redan i nästan alla branscher, och de som fortfarande är relativt intakta lär framgent revolutioneras. Affärsmodellerna görs om i grunden. Detta handlar inte bara om den egna organisationen. Samverkan med partners och kunder har fördjupats på ett sätt som skapar ny sårbarhet – och nya möjligheter. När affärsmodeller förändras speglas detta i system, processer och organisationslösningar – interna såväl som externa. De nya teknologierna har möjliggjort fantastiska processer men är inte sällan svårgripbara och därför utmanande att styra. Operativa risker till följd av felfungerande system och processer får ökad betydelse som en följd av denna utveckling. Även strategiska risker kopplade till dåligt strategiskt genom förande och för långsam anpassning blir alltmer väsentliga. Har styrningen över risker hängt med? Att företag sammanflätas inom och mellan länder och branscher gör att deras riskprofil förändrats inte bara på mikronivå, det vill säga för de enskilda företagen. En motsvarande förändring sker även på makronivå, där ett lands eller en regions samhälle och näringsliv blir alltmer riskabelt beroende av sammanflätade aktörer och händelser. Vi talar om en systembetingad risk. Ett exempel är kredit- och likviditetskrisen under 2007–2009. Förloppet blev nästan explosionsartat, och det finansiella systemet var nära att göra fullständigt halt på grund av avsaknad av förtroende och brist på likviditet. Denna kris som primärt gällde finansiella företag visade vilken betydelse dessa har för alla andra branscher. Ett viktigt resultat av ett alltmer sammanflätat och komplext samhälle och näringsliv är att proaktiv ledning och styrning av företag och andra organisationer blir mer krävande. Händelser får följder som sprider sig blixtsnabbt, affärsprocesser är utsatta för allt hårdare tryck och mängden händelser att beakta gör att många uppfattar det som att de befinner sig i konstant turbulens. Värdet av en dynamisk, snabb och effektiv riskstyrning och riskhantering ökar som en följd av detta (Smith & Fischbacher 2009). Få förstår systemsambanden, och ännu färre har beredskap att agera när något oväntat händer. Men det finns andra samhällsmässiga förhållanden som kan motivera en bok om riskhantering i organisationer just nu. Vi nämnde andra intressenter än ägare. Att beakta dem är nödvändigt, antingen man anser att företag och myndigheter enbart ska måna om sina ägare (för offentlig verksamhet ytterst © F ö rfat tarna och S t ud e n t li t t e rat ur
13
Del I Utmaningen
väljarna) eller om man anser att de har ett bredare ansvar inför anställda, kunder och affärspartners. Även den mest ägarstyrda organisation måste beakta dessa. Kunder är mer informerade, främst tack vare ökad transparens och tillgång till information som i sin tur möjliggjorts av nya informations teknologier. Kunderna kräver mer, och så gör även andra intressenter. Medborgare och skattebetalare ser på företag och andra organisationer som sociala aktörer och väntar sig att dessa inte enbart ser till att maximera vinster för aktieägarna. Corporate social responsibility (CSR) är paraplybegreppet där miljöhänsyn, sociala hänsyn och andra delar ingår. Vad som visserligen är lagligt är inte alltid lämpligt – som kunder är vi ofta snabba med att byta leverantör om vi upplever att vi, eller andra, behandlas orättvist, och som väljare kan vi byta ut riksdagsledamöter eller andra valda ombud.
Riskhanteringssamhället – på gott och ont Låt oss kort reflektera kring hur vårt samhälle utvecklats. För tjugofem år sedan skrev Ulrich Beck (1992) en ofta citerad bok om risksamhället. Han menade att risk var en fundamental del av det moderna samhället men att det även fanns problematiska aspekter av denna utveckling. Några år senare började vi tala om ett revisions- eller granskningssamhälle (Power 1997) där alla i ansvarig ställning ständigt måste vara beredda att rättfärdiga sina gärningar. Ibland tycks det viktigare för vd:ar och politiker att ha visat sin medvetenhet om risker genom att införa ändrade regler eller nya befattningar än om dessa verkligen påverkar framtiden. Särskilt gäller detta bank och försäkring, där företag under 2000-talet mött alltmer reglering från både EU och de länder där de verkar. I dag skriver vi 2017, och inspekterbar riskhantering tycks ha blivit alltmer nödvändigt för att en verksamhet ska ses som legitim, ibland alldeles oavsett om mål nås eller inte. Paradoxalt nog tycks nämligen riskhanteringen öka som ett resultat av dess misslyckande, menar riskforskaren Anette Mikes (2011) vid universitetet i Lausanne. I flera senare skrifter har Michael Power, inflytelserik brittisk forskare vid London School of Economics, utvecklat de tankar om revisionssamhället, the audit society, som vi nyss nämnde. Ledares behov av att ”ha ryggen fri” ger upphov till nya affärsmöjligheter för dem som kan ”sälja trygghet”: olika varianter av riskhanteringsåtgärder och intyganden. Anlitar man dem kan 14
© F ö rfat tarna och S t ud e n t li t t e rat ur
1 Inledning och utgångspunkter
man få både bättre nattsömn – ibland används ordet comfort – och argument inför en ifrågasättande omvärld ifall något skulle gå snett. ”Vi hade infört de rutiner som experterna förespråkar.” En ökad uppfattad osäkerhet kräver mekanismer som legitimerar och verifierar orsaker, tillvägagångssätt och resultat. Explosionen av revisionsorienterad aktivitet i form av inspektion, granskning och självutvärderingar har under 1990- och 2000-talen varit märkbar. Riskhanteringssamhället har både positiva och negativa förtecken. På många sätt är dess framväxt naturlig och en direkt följd av den ökande komplexitet som individer, organisationer och samhällen i dag möter. Den måste mötas genom olika former av riskhanteringsåtgärder. Samtidigt kan dessa åtgärder i många fall försvåra och fördunkla samt, som vi redan sagt, bidra till statiska processer som på ett dysfunktionellt sätt tynger ner både individer, organisationer och hela samhällen. En del i detta riskhanteringssamhälle handlar om att utkräva ansvar. Begreppet ansvar, på engelska accountability, har fått en utökad betydelse. Det handlar om vem som i slutändan ska hållas ansvarig för aktiviteter, samt eventuella brister som kan uppstå i dessa. I synnerhet handlar det om att kunna påvisa legitima skäl för vidtagna åtgärder och utförda handlingar. Alla tycks i förlängningen av detta ständigt behöva vara ”audit ready”. Historiskt sett har många styrelser och ledningar varit dåliga på att följa upp effektiviteten i organisatorisk riskhantering. Inte heller har man angett tillräckliga ramar för risktagandet, med tillhörande mandat och toleransnivåer. Detta har förändrats som ett resultat av skandaler och genom att införa eller förtydliga regelverk. Även de svenska reglerna har förtydligats beträffande ansvar och arbetsfördelning i bolagsledning. Denna utveckling är på många sätt positiv, då det bidrar till tydlighet och ökad transparens i aktiviteter och bedömningar. Samtidigt är det viktigt att ledningar och organisationer inte paralyseras av försiktighet och rädsla för felsteg, där allt handlar om att skydda eller bevara. Populariserandet av riskhantering i organisationer framstår ibland som märkligt för företags strategiexperter. Risktagande är ju inbyggt i strategiprocesser där analys av risker och möjligheter ofta sker hand i hand med scenarioanalyser och utarbetandet av nya strategiska planer. Även många ledare uttrycker ibland sin förvåning över utvecklingen. Risk har ju alltid funnits med på agendan, om än ganska implicit. © F ö rfat tarna och S t ud e n t li t t e rat ur
15
Del I Utmaningen
Problemet ligger nog i just det sista ordet: ofta är risk något underförstått, som personer i ett företags högre ledning med stor erfarenhet känner igen och i bästa fall kan vara överens om. Nu växer insikten om att fler kan behöva vara med och diskutera risker och bland annat förstå vilket mandat de själva har att ta risker inom sin del av verksamheten. Och det växer fram krav på att hur detta görs – hur företag styr sin strategiska riskhantering – ska kunna beskrivas och ”varudeklareras” inför omvärlden. Då duger det inte med implicita ställningstaganden och intuitiv känsla för vad som är lämpligt och under kontroll. När man letar efter hur detta ska kunna ske ger litteraturen bara begränsad ledning. Risk som begrepp är förvånande frånvarande i företagsekonomiska läroböcker inom såväl strategi som ekonomistyrning, för att inte tala om litteraturen om extern redovisning. Risk är alltså ett ganska osynligt fenomen i ekonomistyrningen, och när den på senare år börjat diskuteras är det ofta som en särfråga för särskilda kompetenser och befattningar. Banker och försäkringsbolag, som efter finanskriserna tvingats bli ledande i att utveckla riskhantering och så kallad intern kontroll och att följa nya regelverk, bygger upp nya funktioner och skaffar nya datasystem. Som Power förutsåg ser höga chefer ofta nya expertfunktioner som lösningen för skärpt riskhantering, antingen det gäller finanskriser som i banker eller medarbetares misstag eller bluffande leverantörer som i alla slags organisationer. Alltför ofta sker vad forskare inom så kallad institutionell teori kallar frikoppling – att riskhantering blir en värld för sig, utan tillräckligt samband med hur verksamheten styrs. Ändå vet vi att kalkyler, budgetar och prognoser är osäkra. Risk handlar inte bara om att avvärja negativa händelser utan är en aspekt på allt man gör, till exempel om en affärsenhet når sina vinstmål eller om en ny produkt blir klar att lansera i tid. Controllern räknar på alternativ och vd försöker fördela skulden – eller förtjänsten när det gått bättre än väntat. Sannolikhetskalkyler, scenarioanalyser och juridiska diskussioner har alla sin roll. Vi läser i tidningarna om IT-projekt som aldrig blir klara, bluffar kring utsläppsnivåer, dataintrång och mutskandaler. Är de nya riskhanteringsfunktionerna och -processerna utformade och bemannade för att hjälpa mot sådant? I kommande tre avsnitt resonerar vi kort kring hur riskhanteringen kommer in i strategiarbetet och det strategiska genomförandet. Vi disku16
© F ö rfat tarna och S t ud e n t li t t e rat ur
1 Inledning och utgångspunkter
terar även den ökande betydelsen av att styrelser och ledningar styr och kontrollerar risktagandet i företag och andra organisationer. Låt oss börja med risk och val av strategi.
Risktagande börjar med strategin Den formella riskhantering som vuxit fram i organisationer några år in på 2000-talet är något helt annat än den riskhantering som pågått inom avdelningar för finansfunktioner, säkerhetsfunktioner, aktuarieavdelningar och juristfunktioner. Det är en företagsövergripande riskhantering av formell karaktär, som syftar till att hantera olika risker från toppen och neråt på ett samlat sätt. Nya ramverk och standarder från organisationerna Committee of Sponsoring Organizations of the Treadway Commission (COSO) och International Organization of Standardization (ISO) har drivit på denna utveckling. Den yttersta symbolen för denna utveckling i organisationer är till komsten av befattningen chief risk officer (CRO), en roll som handlar om att leda och styra riskhanteringsarbetet i organisationer. Riskhanteringen har explicitgjorts. I många företag och förvaltningar har det skett en imponerande utveckling, samtidigt som ledningar, styrelser och andra grunnar på vad de bör göra. Inte minst kostnaderna avskräcker. Många frågar också, som vi gjorde ovan, om uppmärksamheten verkligen ägnats ”rätt” risker. Och om det är ”rätt” att se riskhantering som särskilda, verifierbara processer – även om det kan ge trygghet att kunna visa på allt man har gjort i riskhanteringens namn. Enligt den formella bolagsstyrning som följer av aktiebolagslagen och Svensk kod för bolagsstyrning (se kapitel 3) har styrelsen det yttersta ansvaret för att leda ett företag. Tillsammans med vd:n leder styrelsen bolaget och ansvarar för en betryggande förvaltning av bolagets tillgångar. Styrelsen kan i bred mening anses ha två huvuduppgifter: den utvecklande och den kontrollerande. Den förra är den huvudsakliga affärsmässiga uppgift som åligger styrelsen – att fastställa mål och strategier. Styrelsen bör delta i affärsplanearbetet och besluta om vart bolaget ska och hur man lämpligen tar sig dit. Detta handlar om risktagande. Beroende på val av mål och strategi tar sig bolaget an olika typer och nivåer av risk. Detta rör det numera väl använda begreppet riskaptit. © F ö rfat tarna och S t ud e n t li t t e rat ur
17
Del I Utmaningen
Det är viktigt att redan inledningsvis notera kopplingen mellan strategi och risktagande. Den är nämligen villkorslös, och de två går inte att separera. Vägval och prioriteringar, liksom målsättningar om försäljning, lönsamhet, marknader och kunder, hänger alla ihop med hur mycket och vilken typ av risk man är beredd att acceptera och tolerera. Samtidigt tycks här föreligga en förbättringspotential, och kraven ökar även från samhällets intressenter. Styrelsesysslan har blivit mer krävande, i synnerhet i de större, mer komplexa företagen. Var och en i styrelsen måste ta till sig alltmer information om alltmer komplexa frågeställningar. Ledningsuppgiften i många företag är i dag gigantisk. Något liknande gäller offentliga organisationer, även om där de politiskt fastställda uppdragen i regleringsbrev med mera gör att valen av risknivå är ännu mer komplexa. Prioriteringar i budgetarbetet påverkar ju i praktiken beredskapen att hantera risker inom allt från polisen till äldrevården. Vad gäller bolagets risker och riskexponeringar kräver detta att styrelser sammantaget har en gedigen förståelse för verksamheten, inklusive hur olika alternativa affärsstrategier är förknippade med typ och volym av risk. Affärsplanearbetet måste stresstestas och riskbedömas på ett effektivt sätt, i anslutning till att mål och strategier fastställs. Detta är en uppgift som många nog medger har varit åtminstone till viss del styvmoderligt behandlad, men som framgent i allt större utsträckning behöver prioriteras. För att förstå något krävs information. Här är begränsningen inte bara vad styrelse och ledning hinner läsa, höra och förstå. Hur beskrivs risker, och i vilket skede av processen informeras de ytterst ansvariga? Vi har i förbigående nämnt finanskriser och försenade IT-projekt liksom mer traditionella hot som illojala medarbetare eller bluffande leverantörer. Den stresstestning och riskbedömning som regelverk för finansiella branscher siktar på går bland annat ut på att reservera tillräckliga resurser för att hantera tänkbara negativa utvecklingar. Vi talar om value at risk, värden som står på spel. Hur bör motsvarande resonemang föras i ett styrelserum när man får veta att ett viktigt kundhanteringssystem blir försenat eller att en underleverantör i Ryssland upplever politiska problem? Eller bland politiker och tjänstemän i en kommun när de upphandlar skola och vård? Vilka värden står på spel då?
18
© F ö rfat tarna och S t ud e n t li t t e rat ur
1 Inledning och utgångspunkter
Riskhantering följer med strategiskt genomförande Bolagsledningen måste följa upp det strategiska genomförandet ur ett riskperspektiv. Riskhanteringsåtgärder relaterade till vald strategi behöver verifieras för att ge önskad trygghet. I teorier för företag talar man om detta som principal–agent-problemet: när någon arbetar för en annans räkning behövs det incitament och information som gör det troligt att arbetet inriktas på ett lojalt och förutsebart vis. I företag och förvaltning har det på senare år talats mycket om governance: hur ”regeras” en organisation av styrelsen så att den agerar i enlighet med ägarnas vilja? Begreppet tycks avse den interna styrning som utförs av styrelsen, men i praktiken är språkbruket oklart kring var governance övergår i annan styrning, såsom ekonomistyrning. På svenska talar vi tradi tionellt om bolagsstyrning, eller ägarstyrning, vilket är ett bredare anslag. Till begreppet hör allt som påverkar, till exempel hur styrelse och ledning väljs, vilka belöningar de får och vilken information som är tillgänglig för ägare och omvärld (Sevenius 2010). I verkligheten förekommer inte sällan avvikelser mellan önskad och faktisk prestation, så även vad gäller hur organisationer sköter överenskomna sysslor. Avvikelser kan så klart vara mer eller mindre medvetna, men organisationer bör alltid uppmärksamma och reagera på dem – och lära sig av dem. Principaler delegerar uppgifter och beslutsfattande till en agent, i vårt fall en styrelse som ger uppdraget till en vd. Denna förlitar sig i sin tur på övriga i ledningsgruppen och hela organisationen för genomförandet av strategin. I det ligger förstås också att konkretisera dess innehåll, helst utan att riskerna skiljer sig för mycket från vad styrelsen som högsta ansvariga väntar sig. Av olika anledningar kan det strategiska genomförandet svikta och i värsta fall fallera. Organisationen kanske ”kör på fälgarna” utan att utforma och använda riskhanteringsåtgärder på ett effektivt sätt. Styrelsens uppgift beträffande uppföljning är i detta sammanhang naturligtvis grannlaga men inte desto mindre viktig.
© F ö rfat tarna och S t ud e n t li t t e rat ur
19
Del I Utmaningen
Risktagande måste styras Organisation innebär samverkan mellan människor för något gemensamt syfte. I regel pågår den utan någon bestämd sluttidpunkt, och resurser byggs upp med avsikt att vi gemensamt ska nå resultat nu och i framtiden. Männi skor bidrar med olika kunskap och förmåga, och de gör skilda bedömningar av mål, framtid och framgångsrecept. Det finns en ledning som försöker ge en klok inriktning. För att helheten ska ta vara på allas fulla potential är det viktigt att få del av många bedömningar även av osäkra förhållanden, samtidigt som var och en i sitt vardagliga agerande behöver värdera de risker som påverkas av handlandet. Krav om förbättrad styrning av riskhantering drivs av den ökande komplexiteten, vilken vi omnämnt tidigare, men även av återkommande kriser och skandaler. WorldCom och Enron i början av 2000-talet, följt av våra svenska exempel Skandia, Prosolvia och Systembolaget, resulterade i en företroendekommission, ledd av Erik Åsbrink, och den kod för svensk bolagsstyrning som gavs ut 2004. Lägg därtill kredit- och likviditetskrisen under 2007–2009 och färska exempel på oegentligheter i offentlig och privat verksamhet. Ökad medieuppmärksamhet bidrar också till att följder av händelser har blivit svårare att överblicka. Risk hanteras inte på ett adekvat sätt, menar många. Men vad innebär risk governance – riskstyrning – i praktiken? Det handlar först om att de som har tolkningsföreträde i organisationer sätter ramar för organisationens risktagande. Därefter behövs åtgärder för att ramarna tillämpas och respekteras. För att vara säker på det krävs också system för att beskriva riskexponeringen och dess följder. Någon måste sätta gränser för risktagandet. Men, märk väl, gränser för risktagande bör inte enbart sättas uppåt, det vill säga ett tak för risktagandet, utan även neråt. På vilket sätt detta lämpligen bör ske varierar, och det går att använda både siffor och bokstäver för att kommunicera innebörder. Som vi ska utveckla senare i boken tror vi på mer användning av siffror i många företag än vad som är vanligt i dag. Oavsett hur detta görs bör det ske, för det handlar även om transparens (se nästa sida) – både internt och externt (Renn 2008). Få organisationer finns till bara för dem som själva verkar där, och även om det vore så skulle inte allas intressen sammanfalla. Många inom och 20
© F ö rfat tarna och S t ud e n t li t t e rat ur
1 Inledning och utgångspunkter
utom en organisation kan behöva veta vilka risker den tar. Skälen är många. I första hand för att bedöma om vi som till exempel ägare, medlem, anställd eller leverantör vill ha med organisationen att göra, eller om den är på fel väg och bör påverkas. Men också med tanke på externa effekter som riskfall kan ge, och som skulle få följder för utomstående. Oavsett om vi gillar detta eller inte så har det alltså vuxit fram krav på en mer stabil riskhantering. Lagstiftning och självreglering ser det som rimligt att företag blir mer ”transparenta”: att de ger ifrån sig information och tillämpar processer som ökar möjligheterna för omvärlden att bedöma bland annat deras riskexponering och hur risker hanteras. Reglerna til�lämpas i allmänhet även av offentlig sektor, där dock innebörden av risker kan behöva omprövas. Det står mycket lite om detta i litteraturen om ekonomistyrning, liksom i strategilitteraturen. Risk behandlas många gånger implicit och anses följa av valet av strategi. Tekniskt orienterad litteratur om enterprise risk management (ERM) har dykt upp under senare år, delvis som en följd av nya normgivande ramverk och standarder. Detsamma gäller det närbesläktade området intern kontroll. Tyvärr har den ofta en något snäv prägel: att undvika fel i redovisningen, eller brister i efterlevnad av regler. Även om forskning kopplad till just ERM har ökat våra insikter om fenomenet ger den begränsad vägledning om hur ledare kan sy ihop den företagsövergripande riskhanteringen (jfr Bromiley m.fl. 2015).
Bokens innehåll och vad du kan lära dig Hur borde ekonomistyrningen spegla risk? Vi tror inte att svaret enbart handlar om mer riskmedvetande som del av företagets kultur, eller formella ”försvarslinjer” i form av avbockningsbara processer. Själva har vi inte svaret på frågan. Men vi anser att vi har viktiga pusselbitar, som kommer från skilda håll. Det är dem vi serverar tämligen kortfattat i denna bok. Vi kommer att bygga på den syn på ekonomistyrning som finns i modern – eller ”strategisk” – ekonomistyrning samt senare års utveckling inom intern styrning och kontroll (Arwinge 2013, 2014, 2015, Nilsson m.fl. 2010, 2016). I bokens sista kapitel sammanfattar vi de bärande idéer som vi söker marknadsföra, och vi vill redan i denna avslutande del i kapitel 1 ge en försmak av några av dessa: © F ö rfat tarna och S t ud e n t li t t e rat ur
21
Del I Utmaningen
• Osäkerhet är ofrånkomlig. För att kunna agera omvandlar organisa
tioner den till mer konkreta risker som går att bereda sig på, till exempel undvika eller utnyttja.
• Därför bör risk analyseras och diskuteras tillsammans med strategi.
Många chefer och medarbetare kan bidra, men för att få en samlad inriktning behövs språk och processer för att diskutera och följa upp decentraliserat risktagande. Strategier behöver omsättas i styrning. Att påverka vad var och en gör – handling – kräver att information och incitament når ut till dem alla!
• På senare år har det kommit fram förslag på hur risk kan hanteras
systematiskt och medvetet. Vi upplever att många organisationer ännu inte har lagt sitt eget pussel utifrån dessa. Vi har skrivit boken för att uppmana dem att göra det.
• Riskhantering får inte bli en komplettering i efterhand, ett säkerhets-
bälte man monterar in när fordonet är byggt. Redan när strategi och styrning utformas bör beskrivningar och överväganden kring risk finnas med. Vi återkommer med förslag i del III.
• Risker handlar inte enbart om pengar. Kompetens, anseende och
samarbetspartners medför risker – men även positiva möjligheter! – som behöver analyseras och styras.
• Ytterst är det ägare och styrelse som avväger risker utifrån sin
bedömning av situationen. De behöver då beakta även andra intressenter än ägarna. Det följer redan av hur beroende moderna, ofta tjänsteorienterade organisationer är av människor inom och utom den formella organisationen.
• Interna roller och informationssystem spelar en avgörande roll vid
riskhantering. Även det talar för att riskhantering inte frikopplas utan ses som en dynamisk och integrerad del av ledningsarbetet.
Figur 1.1 utgör vår föreställningsram och är vägledande för bokens resone mang. Nyckelorden är osäkerhet, strategi, styrning och handling. Boken handlar om hur riskhantering byggs in i strategi och styrning, så att 22
© F ö rfat tarna och S t ud e n t li t t e rat ur
1 Inledning och utgångspunkter
Marknader
Regler
Institutioner
Omvärld Osäkerhet Strategi Styrning Mått
Företag Beslut
Ansvar
Information
Figur 1.1 Bokens föreställningsram.
Incitament Handling
dessa blir en brygga mellan organisationens osäkra omvärld och vars och ens handlande. Men för att åstadkomma det duger det inte att enbart börja uppifrån och arbeta sig neråt. Därför följer bokens kapitel inte ordningsföljden i figur 1.1. Den resa vi gör kan beskrivas som i figur 1.2. Boken består av tre delar, vardera med tre kapitel. Del I, som du nu läser, börjar alltså i övre delen av figur 1.1. I nästa kapitel, kapitel 2, förklarar vi
Marknader
Regler
Institutioner
Osäkerhet
Del I Utmaningen
Strategi Styrning Mått Beslut
Ansvar
Information
Del II Rön, metoder och läror
Del III Vad kan göras?
Incitament Handling
Figur 1.2 Bokens struktur i förhållande till dess föreställningsram.
© F ö rfat tarna och S t ud e n t li t t e rat ur
23
Del I Utmaningen
begreppen risk och osäkerhet, som egentligen är en mer korrekt beteckning för vår utgångspunkt än begreppet risk. Företag och andra organisationer formar sin inriktning, som vi här kallar strategi, utifrån en tolkning av omvärlden och den egna förmågan. Uttalat eller ej kommer här osäkerheten att vara en faktor. När de ansvariga väljer strategi väljer de även vilka risker organisationen utsätts för. Med begreppet risk avser vi då något mer avgränsat och påtagligt än osäkerhet. I kapitel 2 för vi en inledande diskussion kring relationen mellan osäkerhet och strategi. I kapitel 3 granskar vi närmare hur den ökande användningen av riskhantering i organisationer kan förklaras. Vårt resonemang utgår från begreppen marknader, regler och institutioner – den övre delen av figur 1.1. Vi har kallat del I Utmaningen – utmaningen att hantera osäkerhet och risk vid ledning och styrning av organisationer. Det är en utmaning som gäller varje organisation, och den har gett upphov till nya krav utifrån, formella regleringar och modeller. Dem beskriver vi i del II som heter Rön, metoder och läror. De handlar om vad som sker internt i organisationer när de omsätter sina strategier i styrning som tjänar att påverka handling via information och incitament för organisationens medlemmar – den nedre delen av figur 1.1. Omvänt gör styrningens processer att medarbetares observationer och kunskaper kan gå uppåt i figuren, så att strategier kan omprövas. Det sker till exempel när en enhet inom en organisation för fram förslag inom ramen för budgetarbetet. Organisationens högsta ledning kanske till och med försöker påverka omvärlden. Att hantera osäkerhet kräver förutseende, förmåga att både undvika och ta vara på nya förutsättningar, och att när det går påverka utvecklingen till sin fördel. Del II handlar om de idéer som på senare år har vuxit fram för detta, utan att vi där ännu går in så mycket på hur vi tycker att de bör sättas samman till en agenda för att hantera den egna organisationens situation. Vi beskriver hur människors handlande kan påverkas och förslagen från senare år på hur det kan ske. Styrningen påverkar handling via information och incitament. Vi ägnar kapitel 4 åt beteendeforskares rön om hur vi människor reagerar på risker: hur vi uppfattar dem och påverkas av dem. I kapitel 5 granskar vi de nya synsätt och verktyg för riskhantering och kontroll som vuxit fram sedan 1990-talet. Särskilt handlar det om skärpt så kallad intern kontroll, som blir ett tillägg till befintlig styrning (mått, beslut och ansvar i figur 1.1). Som vi redan sagt anser vi att detta bör samordnas med varje organisations 24
© F ö rfat tarna och S t ud e n t li t t e rat ur
1 Inledning och utgångspunkter
egna förutsättningar och förhållanden. Därför handlar kapitel 6 om hur risk bör komma in redan i strategiarbetet. Vi ger exempel på hur populära strategiläror kan tolkas i termer av risktagande. I del III, som heter Vad kan göras? Reflektioner och lärdomar, ger vi sedan vår syn på hur varje organisations specifika utmaning bör analyseras, och hur de verktyg som vi har beskrivit i del II bör tas i bruk. Det handlar om att slå en brygga mellan de förutsättningar som omvärlden ger och det egna agerandet. I de tre kapitlen i denna sista del tar vi upp tankar och betonar processer som vi menar är avgörande för att företag och andra organisationer ska uppnå en mer effektiv riskhantering. Särskilt är det tre bärande idéer som vi i denna del argumenterar för: riskhantering bör vara integrerad, dynamisk och handla om såväl positiva som negativa risker. I kapitel 7 är perspektivet organisationen som helhet. Vi försöker montera samman de pusselbitar som vi menar är viktigast för att integrera risk hanteringsprocesser i strategi och styrning och för att uppnå den snabbfotade dynamiska riskhantering som blir allt viktigare för dagens företag. I kapitel 8 går vi sedan in på hur riskhantering för hela organisationen bör översättas till decentraliserad styrning. Hur tydliggöra för var och en vilka risker som är lämpliga i det lokala handlandet? Till sist ägnar vi kapitel 9 åt sammanfattande reflektioner och förslag på framtida forskningsområden. Avslutningsvis något om positioneringen av denna bok. Boken är inte tekniskt orienterad utan en skrift utifrån vår förståelse av litteratur inom flera skilda områden som behöver giftas ihop till en sammanhållen helhet. Vi flätar samman tankar från litteratur inom strategi, risk management, intern kontroll och ekonomistyrning till något som vi saknar i böcker inom dessa områden. Boken passar på akademiska kurser och program inom företagsekonomi som komplement till den traditionella ekonomistyrningslitteraturen. Förhoppningsvis kan även reflekterande praktiker finna värde i denna bok. I slutet av varje kapitel lämnar vi tips på läsning som vi rekommenderar till de läsare som vill fördjupa sina kunskaper. Vi har även lagt till instuderingsfrågor som studenter kan använda i syfte att bättre ta till sig och reflektera kring innehållet i boken.
© F ö rfat tarna och S t ud e n t li t t e rat ur
25
Olof Arwinge är ekonomie doktor från Uppsala universitet, där han disputerade på en avhandling om intern styrning och kontroll. Han är verksam inom finansiell sektor. Nils-Göran Olve har sedan 1970-talet varit verksam vid olika högskolor, senast som gästprofessor vid Uppsala universitet. Hans böcker om styrning har getts ut på ett tiotal språk. Åke Magnusson har arbetat med ekonomistyrning och riskhantering i många svenska och internationella företag. Han är även docent vid Handelshögskolan i Stockholm.
RISK, STRATEGI OCH STYRNING Allt oftare läser vi om hur företag, myndigheter och kommuner har råkat ut för bluffande leverantörer, misslyckade utvecklingsprojekt och informationssäkerhetsmissar. Att ta risker är nödvändigt, men hur vet man som medarbetare eller chef vilka risker som bör tas? För att skapa en hållbar verksamhet behöver osäkerhet hanteras medvetet. Ansvar och incitament ska förmedla strategiska intentioner beträffande risker, och det måste finnas information som ger vägledning vid beslut och handling. Först då kan alla fullgöra sina uppdrag i hela organisationens intresse. En effektiv riskhantering behöver integreras i strategier och affärsmodeller, och styrningen ska säkerställa att den når ut till alla. Boken förenar därför viktiga idéer inom strategi, risk management och ekonomistyrning, från aktuell forskning såväl som praktik. Den är både en sammanfattning av och ett tillägg till litteraturen inom dessa tre områden.
Art.nr 39713
studentlitteratur.se