Enterprise Risk Management (ERM)

Hvad er Enterprise Risk Management (ERM)?

Enterprise risk management (ERM) er en metode, der ser på risikostyring strategisk fra hele virksomhedens eller organisationens perspektiv. Det er en top-down strategi, der har til formål at identificere, vurdere og forberede sig på potentielle tab, farer, farer og andre skadepotentialer, der kan forstyrre en organisations drift og mål og/eller føre til tab.

ERM har en holistisk tilgang og kræver beslutningstagning på ledelsesniveau, som ikke nødvendigvis giver mening for en individuel forretningsenhed eller segment. I stedet for, at hver forretningsenhed er ansvarlig for sin egen risikostyring, får virksomhedsomspændende overvågning således forrang. For eksempel, hvis en risikomanager i en investeringsbank bemærker, at to handelsborde placeret i forskellige områder af virksomheden har lignende eksponeringer for den samme risiko, kan de tvinge den mindst vigtige af de to til at eliminere den samme position. Denne beslutning er truffet med hele virksomheden i tankerne (ikke med det specifikke handelsbord).

Forståelse af Enterprise Risk Management (ERM)

ERM opfordrer ikke kun virksomheder til at identificere alle de risici, de står over for og beslutte, hvilke risici der skal styres aktivt (som andre former for risikostyring kan), men det giver topledere mulighed for at træffe ledelsesbeslutninger vedrørende risikostyring, som måske eller ikke er i den særlige interesse for et bestemt segment - men som optimerer for virksomheden som helhed. Dette skyldes, at risici kan tilsidesættes i individuelle forretningsenheder, der ikke kan eller kan se det større risikobillede.

Det involverer også ofte at gøre risikohandlingsplanen tilgængelig for alle interessenter som en del af en årsrapport. Så forskellige industrier som luftfart, byggeri, folkesundhed, international udvikling, energi, finans og forsikring er alle gået over til at bruge ERM.

Virksomheder har håndteret risiko i årevis. Traditionel risikostyring har været afhængig af, at hver forretningsenhed vurderer og håndterer deres egen risiko og derefter rapporterer tilbage til den administrerende direktør på et senere tidspunkt. På det seneste er virksomheder begyndt at erkende behovet for en mere holistisk tilgang.

En chief risk officer (CRO), for eksempel, er en virksomhedslederstilling, der er påkrævet fra et ERM-synspunkt. CRO'en er ansvarlig for at identificere, analysere og afbøde interne og eksterne risici, der påvirker hele virksomheden. CRO arbejder også for at sikre, at virksomheden overholder regeringsbestemmelser, såsom Sarbanes-Oxley (SOX), og gennemgår faktorer, der kan skade investeringer eller en virksomheds forretningsenheder. CRO's mandat vil blive specificeret i samarbejde med den øvrige topledelse sammen med bestyrelsen og andre interessenter.

Mens bedste praksis og standarder for ERM stadig er under udvikling, er de blevet formaliseret gennem COSO, en industrigruppe, der vedligeholder og opdaterer sådanne retningslinjer for virksomheder og ERM-professionelle.

ERM-venlige virksomheder kan være attraktive for investorer, fordi de signalerer mere stabile investeringer.

En holistisk tilgang til risikostyring

Moderne virksomheder står over for en række forskellige risici og potentielle farer. Tidligere håndterede virksomheder traditionelt deres risikoeksponeringer via hver division, der styrede sin egen forretning.

Faktisk håndterede mange store virksomheder vækst ved at tildele mere og mere ansvar til lederne af individuelle forretningsenheder, hvor den administrerende direktør og andre topledere ikke var involveret i den daglige drift.

Men efterhånden som virksomheder vokser og overtager flere divisioner eller forretningssegmenter, kan denne tilgang føre til ineffektivitet og forstærkning eller fejlerkendelse af risiko. I dette tilfælde bliver hver afdeling af et firma sin egen "silo".

De er ikke i stand til at se andre divisioners risikoeksponeringer, hvordan deres risikoeksponeringer interagerer med andre enheder, og hvordan forskellige eksponeringer på tværs af enheder interagerer som helhed. Så selvom en divisionsleder kan genkende potentiel risiko, indser de måske ikke (heller ikke engang være i stand til at indse) betydningen af denne risiko for andre aspekter af virksomheden.

En god indikation af, at en virksomhed arbejder på effektiv ERM, er tilstedeværelsen af en Chief Risk Officer (CRO) eller en dedikatorleder, der koordinerer ERM-indsatsen.

ERM ser på hver forretningsenhed som en "portefølje" i virksomheden og forsøger at forstå, hvordan risici for individuelle forretningsenheder interagerer og overlapper hinanden. Den er også i stand til at identificere potentielle risikofaktorer, som ikke kan ses af enhver individuel enhed.

ERM kan derfor arbejde for at minimere virksomhedens risiko samt identificere unikke virksomhedsomspændende muligheder. Kommunikation og koordinering mellem forskellige forretningsenheder er nøglen til, at ERM kan lykkes, da den risikobeslutning, der kommer fra topledelsen, kan virke i modstrid med lokale vurderinger på stedet. Virksomheder, der bruger ERM, vil typisk have et dedikeret virksomhedsrisikostyringsteam, der fører tilsyn med virksomhedens arbejde.

Højdepunkter

• Traditionel risikostyring, som overlader beslutningstagningen i hænderne på divisionscheferne, kan føre til forstædte evalueringer, der ikke tager højde for andre divisioner.

• ERM-teknikker har udviklet sig væsentligt i løbet af de sidste årtier.

• ERM giver ledere mulighed for at forme virksomhedens overordnede risikoposition ved at give bestemte forretningssegmenter mandat til at engagere sig i eller frakoble bestemte aktiviteter.

• Enterprise risk management (ERM) er en strategi for hele virksomheden til at identificere og forberede sig på farer med en virksomheds økonomi, drift og mål.