Det har skett stora framsteg i svenska företagssektorn vad gäller riskstyrning, men mycket är fortfarande mycket beroende av enskilda eldsjälar, säger Håkan Jankensgård, Associate Professor i Corporate Finance vid Lunds Universitet, 

– Större företag är i allmänhet medvetna och har formella processer för det. I små och medelstora företag kan riskmedvetenheten fortfarande vara låg. I takt med att företag mognar blir det en fråga som får större uppmärksamhet. Kraven från externa aktörer på god riskstyrning ökar också i takt med att företaget växer, och listar man sig på börsen ökar förväntningarna markant, säger han.

Men det går fortfarande bra att ”fejka” riskstyrning och mer eller mindre låtsas om ingenting, enligt Håkan Jankensgård.

– Det är när man skapar roller för riskstyrning, skriver in det i organisationskartor, och gör ytliga försök att identifiera risker. Men samtidigt fortsätter allt som vanligt. Det är mer window-dressing som syftar till att checka av risk management på listan.

ESG innebär även ytterligare risker som företag måste styra. 

– Den starka trenden mot ESG har gett upphov till en helt ny kategori av risker som måste styras. Avviker du från förväntningar och normer inom ESG kan bestraffningen från konsumenter och politiker vara kännbar. Även här är frestelsen att få det att se bra ut och checka av med minimal påverkan, medan andra genuint vill göra ändringar på djupet, säger han.

Det är enligt Håkan Jankensgård svårt att kvantifiera hur många bolag som verkligen arbetar på djupet med riskstyrning. Misslyckanden på grund av bristande eller obefintlig riskstyrning är dessutom synligare än de risker som företagen avstyrt på grund av fungerande riskstyrning. 

– […] Det är svårt att sätta siffror på det, det är många gråzoner. Företagen skulle aldrig erkänna att de bara sysslar med window-dressing. Det är mer baserat på erfarenhet, att det går att observera två typer av företag: de som vill något med sin riskstyrning och ändrar saker i substans, och de som bara gör det pliktskyldigt och vill ha så liten påverkan som möjligt.

Finns det exempel på företag som dragit stor nytta av bra riskstyrning och som ”failat” på grund av dålig eller obefintlig riskstyrning?
– Fails finns det ett obegränsat antal exempel på. Credit Suisse förlorade nyligen ett mångmiljardbelopp på grund av otillbörlig exponering mot en enda hedgefond utan att kartlägga riskerna. Framgångsstories är färre just för att de når inte rubrikerna, det är ju saker som inte hände. Men man kan se hur företag som säkrat sina flöden drar nytta av det i kriser och kan upprätthålla sina investeringar, och även undvika att skära ned för hårt i verksamheten, säger Håkan Jankensgård.

I den nyutgivna boken ”Empowered Enterprise Risk Management” går Håkan Jankensgård på djupet om riskstyrning, det vill säga hur man identifierar och utvärderar de risker som kan hota ett företags värdeskapande och måluppfyllelse, men även vilka åtgärder dessa vidtar för att minska denna påverkan.

Trots att fördelarna med bra riskstyrning är många vad gäller bland annat att undvika stora vädersvängningar väljer fortfarande en del företag, i synnerhet mindre företag, bort att delvis eller helt prioritera detta arbete.

– Riskstyrning leder till färre överraskningar – man arbetar mer professionellt helt enkelt. Risk kostar pengar och när den inte utvärderas korrekt tar man dåliga affärsmässiga beslut. Över tid bör avkastning på investerat kapital både gå upp och vara utsatt för mindre svängningar när man jobbar professionellt med riskstyrning. Nackdelar är att riskstyrning som allt annat kostar resurser. Oftast vill ledare fokusera på växt och expansion och upplever att riskfunktionen ‘kommer i vägen’.

Bäst på riskstyrning är stora företag, som  är mer intresserade av frågan och skjuter till mer resurser. Men hur risktyrningen lyckas, är fortfarande mycket personberoende, säger Håkan Jankensgård. Förankringen i ledningsgrupppen är även den en viktig framgångsfaktor.

– […] De företag som får in en ‘visionär’ som driver på utvecklingen lyckas bäst. Det är en delvis slumpmässig komponent.

Varför är inte riskstyrningsfunktionen en helt etablerad funktion inom stora och små bolag idag? Saknas det utbildning?
– Det är fortfarande en ung profession och det är inte alltid uppenbart vad en risk manager bör göra. Det är en roll som läggs ovanpå allt annat och måste ”passas in”. Så i många fall kan en risk manager forma sin egen roll, och en visionär, driven, och kompetent person kan få stor påverkan, men ger du rollen till en controller som varit i företaget 10-15 år kommer inget signifikant att hända.

Vad är det som krävs av en organisation för att ha bra riskstyrning?
– Den absolut viktigaste faktorn är att ledningsgruppen ställer sig bakom det. Ett intresse och pådrivande från styrelsen är också viktigt. Sedan måste det också finnas en ‘champion’ internt i bolaget som kan rita upp en attraktiv vision av riskstyrning som får folk engagerade och får dem att se fördelarna. Man måste också inse att riskstyrning till viss del är ett ‘kulturprojekt’ som ökar på riskmedvetenhet, men samtidigt utmanar invanda sätt att tänka och göra saker på. 

Vilka visualiseringar av riskstyrning lämpar sig bäst? Hur utbrett används dessa?
– Riskkartor är mest utbredda. De visar sannolikhet och påverkan på två axlar, och man kan på det sättet visualisera vilka risker som betyder mest. Simuleringar är ett mer avancerat verktyg som öppnar upp många möjligheter till visualisering, men de flesta ledningsgrupper har en stark preferens att hålla det enkelt.