Författare: Niklas Bååth och Ludwig Janssen Ämne: Kandidatuppsats företagsekonomi 15 hp Program: Kandidatprogram i företagsekonomi Företagsekonomiska institutionen Uppsala universitet, Campus Gotland Vårterminen 2020 Handledare: Mathias Cöster
Riskhantering och dess påverkan på
verksamhetsstyrning -
En fallstudie på ett försäkringsbolag
The impact of Risk Management on Management Control -
A case study at an insurance company
Sammanfattning
Under många år har företag och individer kunnat överföra vissa typer av risker till
försäkringsbolag. Försäkringsbolag accepterar sina kunders oönskade risker men om de inte har effektiva system för att hantera dessa risker är de osannolikt att de förblir lönsamma.
Många av försäkringsbolagen på marknaden har varit aktiva under lång tid vilket antyder att de bör ha etablerade system för att hantera alla typer av risker.
Riskhantering i en verksamhet handlar om att förstå och hantera de sammanvägda riskerna som verksamheten är utsatt för och de risker som kan uppstå i framtiden. Riskhantering är även en faktor som påverkar styrningen av en verksamhet. För att styra en verksamhet tar chefer och ledningsgrupper hjälp av olika styrsystem. Styrsystemen bidrar med information som ger beslutsfattande stöd och möjligheten att utvärdera hela verksamheten samt uppnå goda resultat. Detta antyder att det krävs en samverkan mellan riskhantering och
verksamhetsstyrning för att uppnå uppsatta mål. De flesta risker i ett försäkringsbolag
tenderar att hanteras från ett finansiellt perspektiv. Vid hantering och analys av risker beaktar emellertid inte alltid den finansiella riskhanteringsstrategin samtliga delar av
verksamhetsstyrningen utan utelämnar medarbetares synsätt och beteendemässiga reaktioner på risk. Detta gör det är svårt att bedöma hur och på vilket sätt ett enskilt försäkringsbolags styrning påverkas av riskhantering.
Syftet med studien är att undersöka hur riskhantering påverkar verksamhetsstyrningen i ett försäkringsbolag. Genom att studera detta ville vi få nyanserad bild över och djupare
förståelse om hur verksamhetsstyrningens olika delar påverkas av riskhantering, både var för sig och tillsammans. Studien utfördes med en kvalitativ metod och datainsamling med semi- strukturerade intervjuer. I studien deltog sex respondenter som alla har direkt eller indirekt påverkan på bolagets styrning. Vid analys av data gjordes en riktad innehållsanalys med förutbestämda kategorier som hämtats från teorier om riskhantering och verksamhetsstyrning.
Genom insamlade data kunde vi få en förståelse hur försäkringsbolagets verksamhetsstyrning påverkas av riskhantering.
Med utgångspunkt i verksamhetsstyrningspaketet och teorier om riskhantering kunde vi finna fler överensstämmelser än avvikelser mellan teorier och situationen i det undersökta
försäkringsbolaget. Anledningen till detta är bland annat att riskhanteringen har vuxit de senaste fem åren då myndigheterna skärpt regelverken gällande hur risk ska hanteras.
Riskhanteringen har störst påverkan på den administrativa styrningen då bolagets riktlinjer, policyer och tillvägagångssätt för riskhantering hamnar under denna del. Resultatet visade även att bolagets finansiella och icke-finansiella styrning samt planering är nästintill helt reglerad av myndigheter när det kommer till riskhantering. Bolaget måste följa
myndigheternas regelverk gällande riskhantering och det påverkar hela verksamheten och styrningen av den.
Nyckelord: Ekonomistyrning, Försäkringsbolag, Riskhantering, Verksamhetsstyrningssystem
Abstract
A great majority of risks in an insurance company tend to be managed from a financial
perspective. When managing and analyzing risks, the financial risk management strategy does not always take into account all aspects of management control. Employees' views and
behavioral responses to risk are often neglected. This makes it difficult to assess how and in what way risk management affects all parts of management control in a single insurance company.
The purpose of the study was to investigate how risk management affects management control in an insurance company. We wanted to get a deeper understanding of how different aspects of management control are affected by risk management. The study was conducted using a qualitative method and data was collected from semi-structured interviews. When analyzing the data, a targeted content analysis was conducted with predetermined categories collected from theories of risk management and management control.
Risk management has the most impact on administrative control as the company's guidelines, policies and approach to risk management falls under this category. The result shows that the company's financial and non-financial management and planning are almost completely regulated by authorities when it comes to risk management. The company must obey regulations regarding risk management set by authorities and these regulations affect the entire organization and the management thereof.
Keywords: Management Control, Insurance Company, Risk Management, Management Control Systems
Innehållsförteckning
1 Inledning ... 1
1.1 Bakgrund ... 1
1.2 Problematisering ... 2
1.3 Problemformulering ... 2
1.4 Syfte ... 3
2 Teoretisk referensram ... 4
2.1 Riskhantering ... 4
2.2 Verksamhetsstyrningssystem ... 4
2.2.1 Verksamhetstyrningspaketet ... 4
2.3 Kulturstyrning och riskhantering ... 5
2.4 Administrativ styrning och riskhantering ... 6
2.5 Planering och riskhantering ... 7
2.6 Cybernetisk styrning och riskhantering ... 8
2.7 Belöningar och bonusar och riskhantering ... 10
2.8 Sammanfattning riskhantering och verksamhetsstyrning ... 10
3 Tillvägagångssätt ... 12
3.1 Forskningsdesign ... 12
3.2 Urvalsstrategi ... 12
3.2.1 Bolagsbeskrivning ... 12
3.2.2 Respondenter ... 13
3.3 Datainsamling ... 14
3.4 Dataanalys ... 15
3.5 Metodreflektion ... 16
4 Resultat ... 17
4.1 Riskhanteringens påverkan på kulturstyrningen ... 17
4.1.1 Försäkringsbolagets kultur ... 17
4.1.2 Risk-kultur ... 17
4.1.3 Interna värderingar och normer ... 18
4.2 Riskhanteringens påverkan på administrativ styrning ... 18
4.2.1 Försäkringsbolagets administration ... 18
4.2.2 Riskhanteringsansvar ... 19
4.2.3 Tillsynsroller och tillsynsorgan ... 19
4.2.4 Riktlinjer, policyer och tillvägagångsätt för riskhantering ... 19
4.2.5 Riskhanteringsprocessen ... 20
4.3 Riskhantering och planering ... 20
4.3.1 Försäkringsbolagets planering ... 20
4.3.2 Riskmedvetenhet ... 21
4.3.3 Risk i långsiktig och kortsiktig planering ... 21
4.3.4 Omvärldsbevakning ... 22
4.4 Riskhantering och cybernetisk styrning ... 22
4.4.1 Finansiella och icke-finansiella riskmodeller ... 22
4.4.2 Finansiella och icke-finansiella risker ... 23
4.5 Riskhantering och belöningar/bonusar ... 24
4.5.1 Belöning och bonusstrategi ... 24
4.5.2 Risker i strategin ... 24
4.6 Sammanfattning av resultat ... 24
5 Analys ... 26
5.1 Kulturstyrning ... 26
5.2 Administrativ styrning ... 27
5.3 Planering ... 28
5.4 Cybernetisk styrning ... 29
5.5 Belöning och bonusar ... 30
6 Slutsats ... 32
6.1 Slutsats och diskussion ... 32
6.2 Kritisk reflektion ... 33
6.3 Framtida forskning ... 33
Källförteckning ... 34
Bilaga 1: Intervjuguide VD, Risk Manager och Försäkringschef. ... 37
Bilaga 2: Intervjuguide Ekonomichef och Compliance ... 38
Bilaga 3: Intervjuguide HR-chef ... 39
Bilaga 4: Intervjuinformation ... 40
Figurförteckning Figur 1. Verksamhetsstyrningspaketet. ... 5
Tabellförteckning Tabell 1. Riskhanteringens påverkan på styrsystemen ... 11
Tabell 2. Allmän information om respondenterna. ... 14
Tabell 3. Riskhanteringens påverkan på styrsystemen i försäkringsbolaget ... 25
1 Inledning
1.1 Bakgrund
Något som är av intresse för en ledningsgrupp och chefer är hur de ska kontrollera och styra verksamheten för att nå goda resultat och uppsatta mål. Otley (1999) menar att styrningen av ett företag som helhet måste utvärderas inte bara ur ett finansiellt perspektiv, utan även ur ett socialt, beteendemässigt och ledarskapsperspektiv i ett övergripande organisatoriskt
sammanhang. Management Control System (MCS), som hädanefter kommer benämnas verksamhetsstyrningssystem, ska enligt Malmi och Brown (2008) vara ett stöd för chefer och ledningsgrupper för att säkerställa att de anställdas beteenden och beslut överensstämmer med organisationens mål och strategier. Malmi och Brown (2008) har utvecklat konceptet
verksamhetstyrningspaketet som innehåller flera olika kontroll- och styrsystem som
tillsammans ska stödja organisatoriska mål, aktiviteter och beslut. Styrsystemen bidrar med information som ger beslutsfattande stöd vilket gör det möjligt för chefer att kunna utvärdera organisationen som helhet och nå goda resultat (Lueg & Knapik 2016).
Dickinson (2001) beskriver att det emellertid finns externa faktorer som kan orsaka att ett företags resultat avviker från det som angetts i företagets mål. Vissa av de externa faktorerna är kopplade till den marknad företaget konkurrerar i medans andra externa faktorer härrör från ett bredare sammanhang, till exempel förändringar i ekonomin och finansmarknaden samt förändringar i de politiska och juridiska miljöerna. De flesta av de sistnämnda faktorerna är utanför ledningens kontroll och företaget måste med riskhantering se till att det finns system som gör verksamheten mer anpassningsbar till stora förändringar som kan skapa risk för företaget. Verksamhetsstyrningens omfattning har breddats för att innefatta de risker som ett företag har. Företag är numera skyldiga att rapportera om sina riskhanteringssystem, antingen frivilligt eller genom lagstiftning från myndigheterna (Dickinson 2001).
Riskhantering är enligt Alhawari et al. (2012) en viktig faktor som påverkar ett företags styrning. Definitioner av risk varierar men beskrivs generellt som olika kvantifierbara resultat baserat på sannolikhetsbedömningar (Lueg & Knapik 2016). Riskhantering som funktion handlar bland annat om att förstå de sammanvägda riskerna som företaget är utsatt för och de risker som kan uppstå i framtiden. Chefer måste bestämma huruvida riskerna som företaget ställs inför är acceptabla eller inte och vilka åtgärder som ska vidtas. Hagigi och Sivakumar (2009) menar att risk är en integrerad del i alla företag och att hantering av den är en viktig funktion i verksamhetens dagliga arbete. Hagigi och Sivakumar (2009) poängterar att risk är företagsspecifik och för att lyckas hantera risk måste den först definieras och förstås av företaget och dess ledning.
Under många år har företag och individer kunnat överföra vissa typer av risker till försäkringsbolag. Försäkringsbranschen är byggd på risk och är en viktig del av
samhällsekonomin. Genom försäkringar kan företag och individer få ett ekonomiskt skydd (Svensk Försäkring 2019). Försäkringsbolag accepterar i princip klienters oönskade risker men om de inte har effektiva system för att hantera dessa risker är det osannolikt att de förblir
lönsamma och kvar i branschen. Många av försäkringsbolagen på marknaden har varit aktiva under lång tid. Detta antyder att de har etablerade och testade system för att hantera risker de står inför och kan generera lönsamhet samt uppfylla förväntningarna från intressenter
(Acharyya & Johnson 2006). Finans- och försäkringsbolag har enligt Acharyya och Johnson (2006) företagsmål som är relaterade till lönsamhet, socialt ansvar, tillväxt och solvens. Ur ett riskhanteringsperspektiv är emellertid ett av de viktigaste målen upprätthållande av solvens, vilket innebär företagens förmåga att upprätthålla existens även i händelse av överraskningar som kan påverka verksamheten negativt.
1.2 Problematisering
De flesta studier om riskhantering har fokuserat på att mäta effektivitet avseende olika typer av riskhanteringsstrategier genom att undersöka hur effektiv vald strategi är för att minska negativa resultat. Detta kan leda till att riskhantering ses som ett mål i sig istället för en process som kan nyttjas för att förbättra företagets resultat (Mohammeda & Knapkova 2016).
Enligt Hagigi och Sivakumar (2009) tenderar även studier om riskhantering att fokusera på enskilda risker. Chefer på olika nivåer utformar riskhanteringsstrategier för att eliminera eller minska effekten av dessa enskilda risker. Hagigi och Sivakumar (2009) menar att chefer måste se på risker från ett helhetsperspektiv. De måste väga samman alla risker som påverkar verksamheten för att utforma en effektiv riskhanteringsstrategi. För att kunna integrera riskhantering i en organisation måste det finnas ramar att förhålla sig till. Både chefer och medarbetare bör ha god vetskap om vilka verktyg som finns tillgängliga för att hantera risker (Arwinge, Olve & Magnusson 2017)
Acharyya och Johnson (2006) konstaterar att myndigheternas juridiska krav för solvens och bolagsstyrning är drivande krafter för implementering av riskhantering i
försäkringsbranschen. Det har även ställts högre krav på företagsledningar hur risk ska
hanteras vilket ökat takten på att införa och utforma riskhanteringsstrategier. Det ovanstående antyder att det krävs en samverkan mellan riskhantering och verksamhetsstyrning för att uppnå uppsatta mål. Verksamhetsstyrningssystem ska ge stöd till ledningsgrupper och chefer för att uppnå goda resultat och säkerställa att de anställdas beteende och beslut
överensstämmer med verksamhetens mål och strategier. Dock menar Acharyya och Johnson (2006) att de flesta risker i ett försäkringsbolag hanteras från ett finansiellt perspektiv. Vid hantering och analys av risker beaktar inte alltid den finansiella riskhanteringsstrategin samtliga delar ur verksamhetsstyrningen utan utelämnar medarbetares synsätt och beteendemässiga reaktioner på risk.
1.3 Problemformulering
Riskhantering är en faktor som påverkar styrningen av en verksamhet, det är dock svårt att bedöma hur och på vilket sätt de olika styrsystemen och styrningen som helhet påverkas av riskhantering i ett enskilt försäkringsbolag. Studien avser att undersöka detta med
forskningsfrågan:
• Hur påverkas verksamhetsstyrningen i ett försäkringsbolag av deras riskhantering?
1.4 Syfte
Syftet är att undersöka vilken påverkan riskhantering har på verksamhetsstyrningen i ett försäkringsbolag. Genom att studera detta vill vi få en nyanserad bild över och djupare förståelse om hur verksamhetsstyrningens olika delar påverkas av riskhantering, både var för sig och tillsammans. Vi vill även klargöra vilka positiva och negativa effekter riskhanteringen har på verksamheten.
2 Teoretisk referensram
I detta avsnitt kommer vi att inledningsvis presentera en kort bakgrund om riskhantering och verksamhetsstyrning. Vi presenterar därefter riskhanteringens påverkan på de individuella styrsystem som finns med i verksamhetsstyrningspaketet. Vilket sammanställs i tabell 1 i slutet av kapitlet.
2.1 Riskhantering
Riskhantering är enligt Mohammed och Knapkova (2016) en process där företag identifierar, mäter, prioriterar och ser över hur företaget kan minska osäkerheter. Riskhantering ses som ett systematiskt tillvägagångssätt för att minska negativa konsekvenser oavsett vilken typ av händelse som kan uppstå. Riskhantering utifrån ett företagsperspektiv ses som företagets förmåga att hantera, identifiera och minimera risker. Mohammed och Knapkova (2016) nämner att riskhantering är en effektiv metod som tillämpas för att lindra oönskade effekter och för att få optimala resultat i riskfyllda situationer. Effektiv riskhantering bidrar med en säkerhet som hjälper företaget att uppnå finansiella och icke-finansiella mål.
Riskhanteringsaktiviteter handlar enligt Pezier (2002) om att ge chefer och personal på olika nivåer inom företaget kontinuerlig, relevant och tillförlitlig information samt att utforma praktiska ramar och system för att kunna ta beslut om risk.
2.2 Verksamhetsstyrningssystem
Malmi och Brown (2008) beskriver att vissa redovisningssystem är skapade för att bidra med information som kan hjälpa till beslutsprocesser. Chefer kan till exempel nyttja sådana system för att styrka sina beslut kring resursutnyttjande. Verksamhetsstyrningssystem är enligt Malmi och Brown (2008) olika system som är utformade för att stödja beslutsfattande på alla nivåer inom organisationen. Verksamhetsstyrning grundas i system, regler, praxis, värderingar och annan styrning som implementeras för att chefer ska kunna leda de anställda. Malmi och Brown (2008) förtydligar att om det är kompletta system bör det kallas för
verksamhetsstyrningssystem till skillnad från enkla regler. Systemen nyttjas för att säkerställa att de anställda på olika nivåer i organisationen arbetar i linje med företagets mål och
strategier.
2.2.1 Verksamhetstyrningspaketet
De viktigaste beståndsdelarna i verksamhetsstyrningspaketet är följande system;
kulturstyrning, administrativ styrning, planering, cybernetisk styrning, belöning och bonusar (Hanzlick & Brühl 2013; Malmi & Brown 2008).
Genom att få en förståelse om verksamhetsstyrningspaketet kan företag utforma en rad kontroller och styrmedel för att stödja organisationen och dess kontrollaktiviteter samt driva organisationen till goda resultat (Malmi & Brown 2008). Termen "paket" används när organisationer arbetar med flera styrsystem och ifall dessa är avsedda att samverka avsiktligt kan detta kallas ett verksamhetsstyrningspaket. Emellertid pekar begreppet ”paket” på det faktum att olika system ofta introduceras och används av olika enheter i företag. Detta gör att
kontrollerna i sin helhet inte bör definieras som ett enda system, utan istället som ett paket med system och ska ses som en samling av kontroller och styrsystem (Malmi & Brown 2008).
Malmi och Brown (2008) beskriver att deras modell utgår från tanken att kontroll och styrning handlar om chefer som säkerställer att de anställdas beteende överensstämmer med organisationens mål och strategi. Enligt Malmi och Brown (2008) är paketet strukturerat utifrån hur kontroll- och styrning utövas i verktyg, system och praxis som chefer har tillgängliga för att formellt och informellt leda anställdas beteende.
Figur 1. Illustrerar verksamhetsstyrningspaketet som i följande avsnitt diskuteras.
(Källa: Malmi & Brown 2008) Egen översättning.
2.3 Kulturstyrning och riskhantering
Organisationskultur definieras av Malmi och Brown (2008) som en delad uppsättning av värderingar och sociala normer som har en direkt påverkan på de anställdas beteenden.
Organisationskultur blir ett kontroll- och styrsystem när det används för att reglera beteenden hos de anställda.
Arwinge, Olve och Magnusson (2017) menar att det är organisationens ledning som möjliggör en medveten risk-kultur. Risk-kulturen bottnar i de val som chefer och medarbetare gör vid beslutfattande samt de normer och värderingar som styr hur en medarbetare ser på och agerar i förhållande till risk. Det är styrelsens och ledningsgruppen uppgift att se till att en sund risk- kultur skapas, upprätthålls och speglar det som bör prägla verksamheten (Arwinge, Olve &
Magnusson 2017). Ledningen måste i tal och handling visa hur organisationen ska se på risktagande, detta är en bidragande faktor till en sund risk-kultur som vidare ökar
effektiviteten i organisationens riskhantering. Arwinge, Olve och Magnusson (2017) belyser att risk-kulturen har en nära koppling till ledningens integritet och etiska värderingar. Om ledningen visar att riskpolicyer har en stor betydelse i det vardagliga arbetet bidrar detta till en sund risk-kultur där ord och handling har en innebörd för ledare och medarbetare. Arwinge, Olve och Magnusson (2017) sammanfattar kännetecken som präglar en sund risk-kultur, det kan till exempel vara att regelefterlevnad är en självklarhet, att företaget inte räds dåliga nyheter, risker identifieras löpande och systematiska kontroller utförs som en del av det dagliga arbetet.
Arwinge (2014) anser att organisationen ska uppmuntra chefer och medarbetare till att integrera riskhanteringsåtgärder i det ständigt pågående förbättringsarbetet. Ledningen ska tydliggöra vikten av att respektera risker genom att agera efter de uppsatta regler och förhållningssätt som organisationen har. Organisationens värderingar utgör en betydande komponent i organisationens styrning; värderingar handlar om attityder till regelverk, risktagande och etiska förhållningssätt som ska beaktas av medarbetare (Arwinge 2014).
2.4 Administrativ styrning och riskhantering
Den administrativa styrningen handlar enligt Malmi och Brown (2008) om hur organisationen ska styra medarbetarnas beteende och förhållningssätt till arbetsuppgifterna. Detta styrsystem består av tre delar; organisationsstruktur, ledningsstruktur samt policyer och tillvägagångssätt.
Flamholtz (1983) förklarar att organisationsstruktur är en form av styrning som fungerar genom funktionell specialisering som bidrar till minskad variation i beteende hos medarbetare och ökar förutsägbarheten i organisationen. Malmi och Brown (2008) menar att
organisationsstruktur är något som chefer kan påverka och ändra, till exempel arbetsuppgifter och fördelning av ansvar. Ledningsstruktur avser organisationens sammansättning av styrelse- och ledningsstruktur samt projektgrupper. Malmi och Brown (2008) påpekar att denna typ av styrning även inkluderar ansvarsskyldighet och de formella riktlinjer som myndigheter ställt upp. Ledningsstruktur inkluderar även de system som är tillgängliga för att säkerställa att ansvariga för organisationens olika funktioner och enheter kan mötas och samordna
verksamheten på både horisontell och vertikal nivå. Policyer och tillvägagångssätt används för att specificera processer och beteenden i organisationen (Malmi & Brown 2008).
Hantering av risk är enligt International Organization for Standardization (ISO 2018) en upprepande process som hjälper organisationer att fastställa strategier, fatta välgrundade beslut och uppsatta mål. Hantering av risk är en del av organisationens styrning och ledarskap. Det bidrar till förbättrade ledningssystem vilket är grundläggande för hur
organisationen hanterar risk på alla nivåer. ISO (2018) påpekar att riskhantering ska integreras i organisationens aktiviteter och funktioner. Riskhanteringens effektivitet kommer att bero på hur väl den är integrerad i organisationens beslutfattande och styrning. Yatim (2010) belyser att det är styrelsen och den verkställande direktören (VD) som har ansvaret att fastställa företagets strategiska riktning med tillhörande mål och skapa en miljö för ett effektivt riskhanteringssystem. Riskhanteringsansvar och tillsynsroller ska vara integrerade delar i en organisations styrning och bör också vara en del av verksamhetens syfte, ledarskap, strategi, mål och handlingsplaner. En styrelse som inrättar ett heltäckande riskhanteringssystem ökar riskmedvetenhet i företaget, både hos chefer och övriga anställda (Yatim 2010). En ökad medvetenhet och kunskap om risker gör det möjligt för styrelsen att göra ett sundare beslutsfattande som skapar en positiv inverkan på styrelsestrukturerna och företagets kontrollmiljö.
Ledningsgruppen bör se till att riskhanteringen integreras i hela verksamheten och ska enligt ISO (2018) förmedlas genom till exempel; uttalande eller policyer som fastställer en strategi och plan för riskhantering, säkerställa att resurser finns att tillgå vid hantering av risk och
tilldela ansvar gällande risk till lämpliga enheter eller funktioner inom verksamheten. ISO (2018) betonar att ledningsgruppen ansvarar för hantering av risk medan ett tillsynsorgan ansvarar för tillsynen av riskhanteringen. Ett tillsynsorgan som tillsammans med
ledningsgruppen ansvarar över riskhanteringsprocessen kan enligt Arwinge, Olve och
Magnusson (2017) bestå av Chief Risk Officer (CRO), Risk Managers, Risk Control Officers samt övriga medarbetare med ansvar, till exempel mellanchefer och enhets- och
funktionsansvariga i företaget.
Hermanson (2003) samt Selim och McNamee (1999) hävdar att företag som inrättar en riskhanteringskommitté eller ett tillsynsorgan i överensstämmelse med en riskbaserad strategi ökar medvetenheten om vikten av riskhantering och kontroll. Yatim (2010) påpekar att inrättande av en riskhanteringskommitté visar engagemang för, och medvetenhet om,
förbättrad intern kontroll- och riskmiljö som därmed bör minimera de strategiska, taktiska och operativa riskerna. Tillsynsorganet ska enligt ISO (2018) se till att risker beaktas när
verksamhetsmålen fastställs, förstå riskerna som verksamheten står inför, se till att systemen för riskhantering implementeras och fungerar effektiv, att riskerna och dess hantering kommuniceras till ledningsgruppen. ISO (2018) anser att ledningsgruppen ska se till att lämpliga resurser bestående av människor med färdigheter, erfarenhet och kompetens tillsammans med verktyg och system ska finnas tillgängliga för att identifiera, hantera och utvärdera risker.
Risk och hanteringen av den ska ske i alla delar av organisationen och alla medarbetare bär ansvaret att minimera risker. Verksamhetsstyrning leder organisationen och påverkar dess externa och interna relationer, processer och metoder för att uppnå organisationens syfte (ISO 2018). Kallamu (2015) menar att riktlinjer, policyer och tillvägagångssätt för riskhantering bör innefatta roller och ansvar som inkluderar övervakning av riskstrategier, nivå för risktolerans samt granskning av riskhanterings policyer och ramverk. En kontinuerlig granskning är viktigt för att identifiera, mäta, övervaka och kontrollera risker och
effektiviteten i befintliga policyer och ramverk (Kallamu 2015). Processen för riskhantering ska enligt ISO (2018) innehålla en systematisk tillämpning av policyer, rutiner och
tillvägagångssätt för att kunna kommunicera, konsultera, utvärdera, behandla, övervaka, granska, registrera och rapportera risker. Denna process bör vara en integrerad del i ledningsstruktur, organisationsstruktur, policyer/tillvägagångssätt och vara applicerad i organisationens strategiska, taktiska och operativa nivåer (Yatim 2010).
2.5 Planering och riskhantering
Malmi och Brown (2008) beskriver planering som en avsiktlig form av styrning. Planering anger målen för organisationens funktionella områden och kan styra ansträngning och
beteende. En god utformning av planer ger standarder som ska uppnås i förhållande till målen och klargör nivån på ansträngning och beteende som förväntas av organisationens anställda.
Det finns enligt Malmi och Brown (2008) två breda strategier när det kommer till planering.
Handlingsplanering som omfattar närmaste tiden, vanligtvis en tolvmånadersperiod, och som innebär ett taktiskt fokus. Den andra strategin är långsiktig planering där mål och åtgärder för medellång och lång sikt fastställs, detta kallas strategisk planering.
Sax och Andersen (2019) beskriver strategisk planering som en stegvis process för att
specificera långsiktiga mål, analysera omvärlden, generera och utvärdera strategiska alternativ samtidigt som företagets resultat övervakas för att anpassa kortsiktiga handlingsplaner.
Företag kan genom strategisk planering systematiskt hantera en osäker omvärld som en analytisk strategi för att bedöma företagets framtida inriktning. Sax och Andersen (2019) hävdar att implementering av riskhantering hjälper organisationer att uppnå strategiska mål och att det är av stor vikt att integrera riskhantering i den strategiska planeringsprocessen.
Dickinson (2001) hävdar att riskhantering representerar en integrerad strategi där alla risker slås ihop och analyseras över hela organisationen. Riskhantering och dess metoder underlättar identifiering och analys av företagsspecifika risker samt framställandet av proaktiva
åtgärdsstrategier (Liebenberg & Hoyt 2003). Riskhantering har även en betydande potential i skapandet av konkurrensfördelar genom att identifiera och hantera risker som kan påverka företagets värde. Genom ökad riskmedvetenhet gör företagets ledning bättre taktiska och strategiska beslut för att undvika riskexponering (Sax & Andersen 2019).
Sax och Andersen (2019) lyfter fram att riskhantering skapar riskmedvetenhet mellan
affärsenheter och framkallar ett riskbeteende hos medarbetare genom att dagligen identifiera, analysera och svara på risker. Olson och Wu (2008) påpekar att företag bör försöka identifiera och utvärdera alla större risker, utforma mildrande åtgärdsstrategier, övervaka processen och göra justeringar vid behov samtidigt som medarbetarna rapporterar riskexponeringar till ledningsgruppen och styrelsen.
För att verksamheter ska nå sina långsiktiga strategiska mål är strategisk planering ett sätt att säkerställa att åtgärdsstrategier mot risker genomförs på ett samordnat sätt över
verksamhetens olika affärsenheter (Sax & Andersen 2019). Detta för att få kontroll över komplexa risksituationer som är spridda över alla affärsenheter som vidare ger ett
helhetsperspektiv över företagets alla risker. Falshaw, Glaister och Tatoglu (2006) påpekar att den strategiska planeringsprocessen kan hjälpa företagens ledning att förbättra kontrollen över samordning, övervakning och effekterna på olika affärsenheter och deras sätt att hantera risker. Företaget kan genom kontinuerlig omvärldsbevakning få viktiga signaler om behovet av strategisk förändring. Riskanalyser och relaterade begränsningar hos affärsenheter kan integreras i den strategiska planeringsprocessen och hjälpa till att bestämma hur företaget som helhet ska svara på framväxande risker. Riskhantering fungerar enligt Sax och Anderson (2019) som en viktig föregångare till strategisk planering genom att kontinuerligt utvärdera risker och möjligheter som kan ha strategiska konsekvenser i en föränderlig och osäker miljö.
2.6 Cybernetisk styrning och riskhantering
Enligt Malmi och Brown (2008) finns det fyra grundläggande cybernetiska system som används i verksamhetsstyrningspaketet; budgetar, finansiella mätsystem, icke-finansiella mätsystem och hybrider som innehåller både finansiella och icke-finansiella mätsystem. Ett cybernetiskt system är ett informations- och beslutssupportsystem där chefer får hjälp med att upptäcka oönskade avvikelser.
Enligt Alviniussen och Jankensgård (2015) är traditionell budgetering relaterad till estimering av framtida prognoser baserade på enstaka resultatindikationer som är grundade i EBITA- prognoser (earnings before interest, taxes and amortization) givna från de olika
affärsenheterna. Riskbudgetering är enligt Alviniussen och Jankensgård (2015) ett synsätt som involverar ett analytiskt tillvägagångssätt av företagsspecifika risker utifrån budgetering.
För att implementera riskbudgetering krävs det finansiell planering. En riskmodell innehåller en grundlig och detaljerad beskrivning av företagets kassaflöden och finansiella rapporter.
Genom ett stort antal simuleringar ska företaget kunna erhålla information om sannolikhetsfördelningarna som lägger grunden till riskkalkyler.
Enligt Hull (2015) är riskhanteringens huvudansvar att förstå den portfölj av finansiella risker som företaget för närvarande har och de risker som planeras komma i framtiden. Ansvarig för hur finansiella risker ska bemötas är bland annat CRO som ständigt ska utvärdera hur nya satsningar kommer påverkar företaget. Christoffersen (2012) påpekar att studier har visat att aktieportföljer som inkluderar företag som uttalat att de aktivt använder riskhantering i längden kommer generera en högre avkastning än en portfölj som inte inkluderar dessa typer av företag, vilket enligt Christoffersson (2012) tyder på att riskhantering har en betydande koppling till företagets finansiella resultat. Ett regelverk som har stor betydelse inom
försäkringsbranschen och måste följas är Solvens II som enligt Svensk försäkring (2016) är ett regelverk som bygger på en helhetssyn avseende alla risker som försäkringsbolaget är utsatta för. Dessa risker är bland annat försäkringsrisker, marknadsrisker, motpartsrisker, och
operativa risker. Solvens II bygger exempelvis på krav på företagsstyrning, riskhantering och intern kontroll samt krav på information och rapportering till tillsynsmyndigheterna och marknaden (Svensk försäkring 2016). Christoffersen (2012) belyser att uppsatta chefer som behandlar finansiella risker inom företag generellt, till exempel CRO, måste beakta samtliga finansiella risker nedan för att bedriva en effektiv riskhantering.
Marknadsrisk – Definieras som risken för en aktieportfölj baserat på svängningar av
marknadspriser som priset på tillgångar, växelkurser, räntor och prisförändringar på råvaror.
Likviditetsrisk – Definieras som risken för att ett företag inte ska kunna genomföra en
betalning i tid.
Kreditrisk – Risken att motparten blir mindre benägen att uppfylla de krav som förhandlats om vid den givna tidpunkten.
Företagsrisk – De risker som är integrerade i företagets kärnverksamhet och därför måste beaktas.
Icke-finansiella risker är enligt Deloitte (2018) inte direkt associerade med
inkomstgenererande aktiviteter som visas i balansräkningen och andra finansiella rapporter.
Ett exempel på en icke-finansiell risk är modellrisk som kan uppstå vid inkorrekt
datainhämtning, inkorrekta antaganden och felaktigheter i processen vid implementering av ny affärsmodell. Dessa risker kan ha en negativ inverkan på företagets strategiska,
affärsmässiga och ekonomiska enheter.
Kaiser (2016) beskriver att icke-finansiell risk nästan alltid är sammankopplad till avsiktliga eller icke avsiktliga misstag av de anställda på företaget. Det kan vara misstag som begås av chefer men även av anställda på operativ nivå. Kaiser (2016) påpekar att chefer ofta inte får rapporter konsekvent gällande de icke-finansiella riskerna vilket mestadels beror på att företag i allmänhet inte har implementerat en strategi som beaktar vikten av dessa risker. För att bedriva en effektiv riskhantering avseende icke-finansiella risker måste finnas ett samarbete mellan ledningsgruppen och medarbetarna. Från ledningsgruppens perspektiv måste seniora chefer ha full förståelse för vilka icke-finansiella risker som existerar men framförallt etablera en riskstrategi (Kaiser 2016).
2.7 Belöningar och bonusar och riskhantering
Belöning och bonusar fokuserar enligt Malmi och Brown (2008) på att motivera individer och grupper att förbättra sina resultat. Argumenten för denna typ av styrning är att belöning ökar arbetsprestationen och motivationen hos medarbetarna. Kompensation är en viktig faktor enligt Beber et al. (2012) då kompensation är en motivationsfaktor för de anställda. Målet med ett belöningssystem är att uppnå en process som är effektiv och tillfredsställer de
anställdas krav. En potentiell strategi för att uppnå en effektiv kompensationsprocess i termer av riskhantering är den interna styrningen (Beber et al. 2012). Arwinge (2014) benämner intern styrning som en process utformad för företagets ledning, styrelse och personal som antyder att företaget rör sig mot uppsatta mål med hjälp av rapportering och följsamhet gentemot lagar och regler.
Beber et al. (2012) poängterar att om intern styrning används som strategi för belöning gör det företaget sårbart för risker. Exempelvis bör varje kompensationspaket vara konkurrenskraftig på arbetsmarknaden. Moral och etiska frågor avseende hanteringen av diverse förmåner kan enligt Beber et al. (2012) ses som en risk för företagets rykte. Felaktigt utformade
kompensationspaket kan leda till operativa risker som dåligt utformade styrningsprocesser samt misslyckande med optimering av kostnader. För att ett kompensationspaket ska fungera är det viktigt att medarbetarna är helt införstådda med vilka mål som ska uppfyllas.
2.8 Sammanfattning riskhantering och verksamhetsstyrning
Tabell 1. Presenterar teorier och forskning om hur risk och riskhantering påverkar delarna i verksamhetsstyrningspaketet. Vi har kategoriserat styrsystemen utifrån figur 1. Varje enskilt styrsystem har underliggande nyckelfaktorer kopplat till riskhantering som har identifierats i teorierna. I tabellen redovisas hur nyckelfaktorerna tillsammans med riskhantering påverkar de enskilda styrsystemen. Nyckelfaktorerna är det mest framstående i de valda teorierna om riskhantering och verksamhetsstyrning.
Tabell 1. Riskhanteringens påverkan på styrsystemen
StyrsystemNyckelfaktorer Påverkan på styrsystem
Kulturstyrning
Arwinge, Olve & Magnusson (2017)
Arwinge (2014) Risk-kultur
Värderingar & Normer Ledningen måste i tal och handling visa hur organisationen ska se på risktagande, detta är en bidragande faktor till en sund risk-kultur som vidare ökar effektiviteorganisationens riskhantering. Riskpolicyer har en stor betydelse i det vardagliga arbetet och bidrar till en sund risk-kultur där ord och handling har en innebördledare och medarbetare.
Ledningen ska tydliggöra vikten av att respektera risker genom att agera efter de uppsatta regler och förhållningssätt som organisationen har. Organisationens värderingar utgör en betydande komponent i organisationens styrning, värderingar handlar om attityder till regelverk och risktagande.
Administrativ styrning
Yatim (2010)
Arwinge, Olve & Magnusson (2017)
Kallamu (2015)
ISO (2018), Yatim (2015) Riskhanteringsansvar
Tillsynsorgan
Riktlinjer och Policyer
Riskhanteringsprocess Riskhanteringsansvar och tillsynsroller ska vara integrerade delar i en organisations styrning och bör också vara en del av verksamhetens syfte, ledarskap, strategoch handlingsplaner.
Tillsynsorganen ska se till att; risker beaktas när verksamhetsmålen fastställs, förstå riskerna som verksamheten står inför, se till att system för riskhantering implementeras och fungerar effektiv, att riskerna och deras hantering kommuniceras till ledningsgruppen.
Riktlinjer, policyer och tillvägagångssätt för riskhantering bör innefatta roller och ansvar som inkluderar övervakning av risk strategier, risktoleransnivå samt granskning av riskhanterings policyer och ramverk. En kontinuerlig granskning är viktigt för att identifiera, mäta, övervaka och kontrollera risker och effektivitetebefintliga policys och ramverk.
Processen för riskhantering ska innehålla en systematisk tillämpning av policyer, rutiner och tillvägagångssätt för att kunna kommunicera, konsultera, utvärderabehandla, övervaka, granska, registrera och rapportera risker. Denna process bör vara en integrerad del i ledningsstruktur, organisationsstruktur, policyer/tillvägagångssätt och vara applicerad i organisationens strategiska, taktiska och operativa nivåer.
Planering
Sax & Andersen (2019), Olson & Wu (2008), Liebenberg & Hoyt (2003)
Falshaw, Glaister & Tatoglu (2006) Riskmedvetenhet
Omvärldsbevakning Genom ökad riskmedvetenhet gör företagets ledning bättre taktiska och strategiska beslut för att undvika riskexponering. Företag bör försöka identifiera och utväalla större risker, utforma åtgärdsstrategier, övervaka processen och göra justeringar vid behov samtidigt som medarbetarna rapporterar riskexponeringar till ledningsgruppen och styrelsen. Riskhantering bidrar även med att underlätta identifiering av företagsspecifika risker samt framställandet av proaktiva åtgärdsstra
Företaget kan genom kontinuerlig omvärldsbevakning få viktiga signaler om behovet av strategisk förändring. Riskanalyser och relaterade svårighetsbegränsninhos affärsenheterna kan integreras i den strategiska planeringsprocessen och hjälpa till att bestämma hur företaget som helhet ska svara på framväxande risker.
Cybernetisk styrning
Alviniussen & Jankensgård (2015)
Hull (2015)
Kaiser (2016) Riskmodell
Finansiell riskhantering
Icke-finansiell riskhantering Riskbudgetering är ett exempel på en riskmodell som kräver finansiell planering. En riskmodell innehåller en grundlig och detaljerad beskrivning av företagets finansiella rapporter. I en riskmodell kan ett företag göra ett stort antal simuleringar för att erhålla information som lägger grunden till riskkalkyler.
Finansiell riskhantering innebär att förstå den portfölj av finansiella risker som företaget för närvarande har och de risker de planerar att ta i framtiden. Chefer sbehandlar finansiella risker måste beakta kredit, marknad, likviditet och företagsrisk för att företaget ska kunna uppnå sina finansiella mål. I försäkringsbranschedet ett krav från myndigheter att följa rådande lagstiftning gällande Solvens II. Chefer måste ha full förståelse över vilka icke-finansiella risker som existerar men framförallt etablera en riskstrategi för dessa.
Belöning & Bonus
Beber et al (2012) Belöningsstrategi Målet med ett belöningssystem är att uppnå en process som är effektiv och tillfredsställer de anställdas krav. Felaktigt utformade kompensationspaket kan leda toperativa risker som dåligt utformade styrningsprocesser, otillräcklig övervakning samt misslyckandet med optimering av kostnader.
