Hvad er bestyrelsens ansvar for risikostyring i en SMV?

Bestyrelsen har det overordnede ansvar for, at virksomheden har et risikostyringssystem — men ikke for selv at drive det. Det er en vigtig skelnen. Bestyrelsen skal fastlægge rammerne, sikre at rapporteringen kommer rettidigt og dækkende, og reagere, hvis systemet svigter. Selve den løbende risikostyring er direktionens opgave.

De tre dele af bestyrelsens ansvar

Bestyrelsens risikoansvar består af tre ting:

1. Rammer — fastlæg risikoappetit, godkend risikopolitik, definer hvilke risici der overvåges.
2. Opfølgning — sørg for, at risikorapportering kommer rettidigt og er ærlig.
3. Reaktion — handl, hvis systemet svigter, eller hvis væsentlige risici ikke håndteres.

Rammer — risikoappetit som dokument

Det første ansvar er at definere, hvor meget risiko virksomheden er villig til at tage. Det skal stå skrevet — ikke bare være en mavefornemmelse. En SMV-risikoappetit kan fx være: "Vi accepterer en gearing op til 3,0x EBITDA. Vi accepterer ikke kundekoncentration over 25% på enkeltkunder. Vi accepterer ikke valutaeksponering uden afdækning over 1 mio. kr."

Opfølgning — det er her, det oftest fejler

Bestyrelsen skal sikre, at risikorapporteringen er rettidig og ærlig. Begge kræver aktivt arbejde. Rettidighed sikres gennem fast rytme — risiko som fast dagsordenpunkt, kvartalsvise gennemgange, aftalte tærskler. Ærlighed sikres gennem at acceptere dårlige nyheder uden at straffe budbringeren — og gennem ekstern kalibrering, fx via revisor eller ekstern rådgiver.

Reaktion — passivitet som ansvarsgrund

Hvis bestyrelsen modtager information om en væsentlig risiko og ikke reagerer, kan det udgøre ansvarspådragende passivitet. Det er ikke nok at have hørt om problemet — bestyrelsen skal kunne dokumentere, hvad den gjorde ved det. Klassiske advarselssignaler, hvor bestyrelsen skal eskalere:

• Likviditetsforringelse over flere kvartaler.
• Covenants under markant pres.
• Tab af nøglemedarbejdere.
• Juridiske krav, der kan true going concern.
• Manglende eller forsinket regnskabsmæssig rapportering.

Årshjul som praktisk værktøj

Den enkleste måde at sikre, at risiko får systematisk behandling, er gennem et årshjul. Bestyrelser med fast årshjul behandler risiko meget oftere på dagsordenen end dem uden — ifølge Plandisc er forskellen omkring 83% mod 56%. Årshjulet sikrer, at risiko ikke bliver det punkt, der altid skubbes til næste møde.

Bestyrelsens grænse mod direktionen

Den hyppigste fejl er, at bestyrelsen begynder at drive risikostyringen — dvs. selv tage konkrete operative beslutninger. Det er overskridelse af rollen. Bestyrelsens opgave er at sikre, at direktionen har et fungerende system. Hvis direktionen ikke har det, skal bestyrelsen kræve det implementeret — ikke selv overtage det.

Kilder

• Plandisc: Board Circular Planner — datagrundlag for forskellen i risikobehandling mellem bestyrelser med og uden årshjul.
• BoardPartner: "Bestyrelsens risikoagenda" — gennemgang af bestyrelsens rolle ift. risikostyring i danske SMV'er.