Hvad skal en risikorapport til bestyrelsen indeholde?

En god risikorapport til bestyrelsen indeholder top 5 risici — hver med fem elementer: beskrivelse, konsekvens, sandsynlighed, ejer og plan. Plus to ekstra: hvordan billedet har ændret sig siden sidste møde, og hvilke tidlige advarselssignaler I følger. Mindre end det er ikke en risikorapport — det er en afkrydsningsliste.

De fem elementer per risiko

Skabelon — én linje pr. risiko:

1. Beskrivelse — én konkret sætning. Ikke "regulatoriske risici" men "risiko for tab af tilladelse i Tyskland senest Q3 hvis ny ESG-rapportering ikke er på plads".
2. Konsekvens — helst i kroner eller % af omsætning. "Betydelig" er ikke en konsekvens.
3. Sandsynlighed — lav/middel/høj eller %.
4. Ejer — én person ved navn. Ikke "ledelsen".
5. Plan — hvad gøres, hvornår testes det, og hvornår løftes det til bestyrelsen?

Top 5 — ikke top 20

En risikorapport med 17 risici fortæller bestyrelsen, at CEO'en ikke har prioriteret. Top 5 tvinger ledelsen til at prioritere: hvad er reelt det vigtigste? Hvis risiko nummer 6 alligevel viser sig at være vigtigere, er det fordi prioriteringen var forkert — og det er bedre at finde ud af i risikogennemgangen end på næste bestyrelsesmøde.

Ændring siden sidst

Det vigtigste enkelte punkt i risikorapporten er ofte: hvad har ændret sig siden sidste møde? Bestyrelsen kan ikke huske 20 risici over fire kvartaler. Men den kan huske, om noget har bevæget sig den rigtige eller forkerte vej. Brug pile (↑↓→) eller farver til at vise bevægelsen.

Tidlige advarselssignaler

For hver væsentlig risiko skal der være ét eller flere tidlige advarselssignaler — det, der viser, at risikoen er ved at udvikle sig. Eksempler:

• Likviditetsrisiko — kassedage falder under 45 dage.
• Kunderisiko — top 3 kunders andel af omsætningen overstiger 60%.
• Personalerisiko — frivillig fratrædelse over 12% blandt nøglemedarbejdere.
• Covenant-risiko — mindre end 0,5x buffer til brud på lånebetingelser.

Tidlige advarselssignaler gør risiko til løbende opfølgning — i stedet for kvartalsmæssige statusmøder.

Den kvartalsvise opdateringscyklus

Risikorapporten bruges ikke kun på selve bestyrelsesmødet. Den vedligeholdes mellem møderne. En enkel cyklus virker for de fleste SMV'er:

• Uge 1 efter mødet: Opdater rapporten med beslutninger taget af bestyrelsen. Send referat-uddrag relateret til risici til hver risiko-ejer.
• Uge 4 (midt i kvartalet): Risiko-ejere giver status til CFO eller stabschef. Eskaleringspunkter tjekkes.
• Uge 8 (slutningen af kvartalet): Komplet gennemgang. Nye risici overvejes for tilføjelse. Eksisterende risici vurderes for ændring.
• Uge 11 (før mødet): Færdig opdateret risikorapport sendes til formanden 7 dage før mødet.

Cyklussen tager samlet 6–8 timer per kvartal — fordelt på 4–5 mennesker. Det er en lille investering for et beslutningsgrundlag, der kan undgå en stor fejl.

Hvorfor punktet ofte fejler

Mange CEO'er behandler risikopunktet som noget, der bare skal overstås. Det er præcis det indtryk, bestyrelsen ikke skal have. Det er ofte her, bestyrelsesmedlemmerne danner sig deres reelle indtryk af, om CEO'en har styr på virksomheden — eller bare er god til at præsentere de positive sider.

Skabelon: risikorapport-tabel for et SMV-bestyrelsesmøde

Den enkleste form for risikorapport er en tabel med én række per risiko. Den fylder typisk én side og kan opdateres på 30 minutter før hvert møde:

Risikorapport — Q2 2026 (eksempel):

1. R1 — Kundekoncentration. Top 1 = 28% (over den accepterede grænse på 25%). Konsekvens: 7,2 mio. kr. i EBITDA-påvirkning. Sandsynlighed: middel. Ejer: Lars Nielsen. Plan: alternativt udkast Q3. Eskalering til bestyrelsen: ikke-bekræftet forhandling 1. juli. Bevægelse: ↑ siden Q1.
2. R2 — Likviditet. 67 dage i kassen (over varslingsniveau på 90, under den accepterede grænse på 60). Konsekvens: tab af handlefrihed. Sandsynlighed: lav. Ejer: CFO. Plan: forhandling med banken om udvidet trækningsret. Eskalering til bestyrelsen: under 60 dage. Bevægelse: → uændret.
3. R3 — Nøglepersonale. Tab af COO ville koste leverance på 3,5 mio. kr. omsætning over 6 mdr. Sandsynlighed: lav. Ejer: HR + CEO. Plan: successionsplan dokumenteret Q2. Eskalering til bestyrelsen: opsigelse modtaget. Bevægelse: ↓ (successionsplan på plads).
4. R4 — IT-sikkerhed. Tre forsøg på phishing i kvartalet. Konsekvens af et vellykket angreb: 1–4 mio. kr. + omdømme. Sandsynlighed: middel. Ejer: IT-chef. Plan: MFA på alle systemer Q2, sikkerhedskursus Q3. Eskalering til bestyrelsen: vellykket angreb. Bevægelse: ↑ (flere angrebsforsøg).
5. R5 — Regulatorisk (CSRD). Manglende rapportering kan udløse bøde + tab af kundekontrakter. Sandsynlighed: høj. Ejer: CFO. Plan: konsulent engageret, deadline Q4. Eskalering til bestyrelsen: forsinkelse over 30 dage. Bevægelse: ↑ siden sidst.

Det centrale i tabellen er udviklingen siden sidst — pile (↑↓→) eller farver. Bestyrelsen kan ikke huske 20 risici over fire kvartaler. Men den kan huske, om noget bevæger sig den rigtige eller forkerte vej.

Tilbagevendende vs. nye risici

Risici falder i tre kategorier — og hver kategori behandles forskelligt:

• Faste risici (likviditet, kundekoncentration, nøglepersonale): står på hver risikorapport. Vises altid med udviklingen siden sidst.
• Cykliske risici (sæson, valutaeksponering, råvarepriser): står på rapporten i de kvartaler, hvor de er aktuelle. Skifter ud over året.
• Nye risici (regulering, teknologiskift, geopolitisk hændelse): introduceres med fuld kontekst, så bestyrelsen forstår, hvorfor de pludselig er på listen.

Når en ny risiko kommer på, skal CEO'en eksplicit forklare hvorfor — ellers ser det ud, som om risikobilledet hopper rundt uden styring.

Den ærlige test

Hvis du fjerner alt fra rapporten undtagen risikoafsnittet og giver det til en person udefra, der kender din branche — kan vedkommende så fortælle dig, hvor virksomheden står om 12 måneder? Hvis ja, er rapporten god. Hvis nej, mangler den enten konkrete tal, ærlig sandsynlighedsvurdering eller tydelige planer.