Risikomodenhet en enkel modell Ayse Nordal & Ole Martin Kjørstad K&R DAGENE 2019 07.06.2019
Fokus på målsetninger og attributter fremfor lineær utvikling
Agenda 1. Hva er risikomodenhet, og hvorfor er risikomodenhet interessant? 2. Eksisterende tilnærminger 3. Fellestrekk 4. Hvilke svakheter har dagens løsninger? 5. En enkel alternativ modell Nordal & Kjørstad
Hva er risikomodenhet? Hvorfor er risikomodenhet interessant? «Risikomodenhet» er en målestokk, et redskap som viser i hvilken grad en virksomhet har implementert helhetlig risikostyring i samsvar med gjeldende beste praksis. Den gir virksomheten muligheter til å benchmarke sine prestasjoner med andre virksomheter. Kvalitative fordeler Den gir virksomheten muligheter til å identifisere forbedringsområder som vil bringe virksomheten til en høyere modenhetsnivå. Den gir virksomheten muligheter til å planlegge og initiere tiltak.
Hvorfor er risikomodenhet interessant? 3 eksempler på kilder som dokumenterer kvantitative fordeler: 1. Forskningsresultater fra Mark Farrell fra Queen s University Management School og Ronan Gallagher fra University of Edinburgh Business School, 2014 viser en klar og signifikant korrelasjon mellom graden av risikomodenhet og selskapets verdi. Virksomheter som har en høy grad av risikomodenhet oppnår en verdsettelsespremie på 25%. 2. En EY studie fra 2013, som bestod av 576 intervjuer og 2 750 selskaps analyser og rapporter, viser at bedrifter som er plassert i topp 20 % av modenhets -skalaen genererer 3 ganger mer EBITDA enn bedrifter som er i laveste 20 % av den samme skalaen. 3. I sin bok, Risk Maturity Models, fra 2016 mener Domenic Antonucci at økt modenhet betyr bedring av 10 økonomiske indikatorer.
Hvorfor er risikomodenhet interessant? Disse er: 1. 3 ganger bedre EBITDA 2. Høyere inntektsvekst 3. 25 % høyere selskaps verdi 4. Bedre aksjepriser 5. 34 % nedgang på volatilitet aksjepriser 6. Økt EK-avkastning 7. Økt avkastning på aktiva 8. 23 % nedgang i prosjektkostnader 9. Bedret kreditt-ratinger 10. 28 % økning i driftsmarginen
Eksisterende tilnærminger til risikomodenhet De fleste modenhetsmodellene som er i bruk i dag bygger på grunnprinsippene av Capability Maturity Model som ble utviklet av Software Engineering Institute (SEI) i Carnegie Mellon Universitetet i 1993. 2 mest brukte modeller: En av de tidligste eksemplene på bruk av modenhetsbegrepet i risikostyringssammenheng finner vi i de velkjente arbeidene av David A. Hillson fra 1997. Modenhet/egenskap Kultur Prosess Erfaring Bruk Naiv Nybegynner Normalisert Naturlig
Eksisterende tilnærminger til risikomodenhet RIMS (The Risk Management Society) sin online modell for modenhetsvurdering, av Steven Minsky 2006 Kilde: https://www.riskmaturitymodel.org/rims-risk-maturity-model-rmm-for-erm/
Fellestrekk Med få unntak forutsetter eksisterende modenhetsmodeller stadig progresjon til høyere modenhetsnivåer. Ad-hoc Innledende/første Repeterbar Styrt Ledende Modenhet utvikles som trappetrinn der det forutsettes at man har oppfylt ett nivå, før man kan nå det neste. Modellene ser bort fra at modenhetsnivået kan være svært forskjellig innenfor virksomhetens ulike områder
Fellestrekk Mangel av en enhetlig, felles og anerkjent metode for å måle modenhetsnivåer reduserer virksomhetenes motivasjon til å vurdere sine utviklingsnivåer. I fleste virksomheter er ambisjonene knyttet til risikomodenhet ikke en del av den strategiske diskusjonen på styre/ledelsesnivå. Eksisterende modeller tar ikke hensyn til at kravene til risikostyring kan betone seg svært annerledes i ulike virksomheter. For eksempel vil behovet for robuste ITsystemer være større i en desentral virksomhet med høy transaksjonshyppighet, enn i en lokal virksomhet med få transaksjoner. Videre blir kulturdimensjonen ofte glemt
Hvilke svakheter har dagens løsninger? Risikostyringsarbeidet kan: - Starte og stoppe - Starte og stagnere - Starte og halte videre - Starte og utvikle seg videre
Hvorfor lage en ny modell?
Strategi og mål - Visjon og verdigrunnlag - Strategi og målsetninger - Organisasjonsstruktur - Policyer og styringsprinsipper Kommunikasjon og kultur ERM - Det en virksomhet gjennom strategi, organisering, drift og forvaltning gjør for å definere og realisere målsetninger, i tråd med sin risikoappetitt og toleranse sett i sammenheng med det til enhver tid gjeldende risikobildet Forretningsprosesser og kontrollaktiviteter - Operasjonelle forretningsprosesser - Overvåkende aktiviteter - Kontroll- og tilsynsaktiviteter - Rapporteringsaktiviteter
Styret Risikoappetitt Kommunikasjon: - Regelmessig - Proaktiv - Allokering av eierskap 2. linje Ledelsen Arbeidsform må sikre tett samarbeid med strategi- og linjefunksjoner Risiko-identifikasjon og måling Operativ organisasjon Alle risikoklasser
Fokus på målsetninger fremfor nivåer Modenhetsnivåer Modenhetsmål 16
Fokus på målsetninger fremfor nivåer Dimensjoner Risikostyring, strategi og beslutningsprosesser Modenhetsmålsetninger Alle beslutninger (strategiske, taktiske og operasjonelle) bygger på en dokumentert vurdering av risiko og muligheter Kommunikasjon, informasjon og rapportering Organisering, myndighet og relasjoner IT-verktøy og analyse Rammeverk og prosesser Virksomheten sørger for løpende kommunikasjon og rapportering av relevant informasjon med hensiktsmessig frekvens Virksomheten har en hensiktsmessig organisering og ressursallokering til risikostyringsarbeidet Risikostyringen bygger på beste tilgjengelige informasjon og er tilpasset virksomhetens behov Risikostyringen bygger på beste tilgjengelige informasjon og er tilpasset virksomhetens behov Virksomheten har implementert et effektivt og egnet rammeverk for risikostyring 17
Fokus på målsetninger fremfor nivåer Risikostyring, strategi og beslutningsprosesser Alle beslutninger (strategiske, taktiske og operasjonelle) bygger på en dokumentert vurdering av risiko og muligheter 18
Fokus på målsetninger fremfor nivåer Kommunikasjon, informasjon og rapportering Virksomheten sørger for løpende kommunikasjon og rapportering av relevant informasjon med hensiktsmessig frekvens 19
Fokus på målsetninger fremfor nivåer Organisering, myndighet og relasjoner Virksomheten har en hensiktsmessig organisering og ressursallokering til risikostyringsarbeidet 20
Fokus på målsetninger fremfor nivåer IT-verktøy og analyse Risikostyringen bygger på beste tilgjengelige informasjon og er tilpasset virksomhetens behov Risikostyringen bygger på beste tilgjengelige informasjon og er tilpasset virksomhetens behov 21
Fokus på målsetninger fremfor nivåer Rammeverk og prosesser Virksomheten har implementert et effektivt og egnet rammeverk for risikostyring 22
Fokus på målsetninger fremfor nivåer Dimensjoner Risikostyring, strategi og beslutningsprosesser Modenhetsmålsetninger Alle beslutninger (strategiske, taktiske og operasjonelle) bygger på en dokumentert vurdering av risiko og muligheter Kommunikasjon, informasjon og rapportering Organisering, myndighet og relasjoner IT-verktøy og analyse Rammeverk og prosesser Virksomheten sørger for løpende kommunikasjon og rapportering av relevant informasjon med hensiktsmessig frekvens Virksomheten har en hensiktsmessig organisering og ressursallokering til risikostyringsarbeidet Risikostyringen bygger på beste tilgjengelige informasjon og er tilpasset virksomhetens behov Risikostyringen bygger på beste tilgjengelige informasjon og er tilpasset virksomhetens behov Virksomheten har implementert et effektivt og egnet rammeverk for risikostyring 23
Fokus på målsetninger fremfor nivåer Modenhetsnivå Kriterier 5 Virksomheten oppfyller alle 10 kriterier 4 Virksomheten oppfyller 8 eller fler kriterier 3 Virksomheten oppfyller 6 eller fler kriterier 2 Virksomheten oppfyller 4 eller fler kriterier 1 Virksomheten oppfyller 2 eller fler kriterier 24
Fokus på målsetninger fremfor nivåer Dimensjoner Modenhetsmålsetninger Risikostyring, strategi og beslutningsprosesser Alle beslutninger (strategiske, taktiske og operasjonelle) bygger på en dokumentert vurdering av risiko og muligheter Kommunikasjon, informasjon og rapportering Virksomheten sørger for løpende kommunikasjon og rapportering av relevant informasjon med hensiktsmessig frekvens Organisering, myndighet og relasjoner IT-verktøy og analyse Rammeverk og prosesser Virksomheten har en hensiktsmessig organisering og ressursallokering til risikostyringsarbeidet Risikostyringen bygger på beste tilgjengelige informasjon og er tilpasset virksomhetens behov Risikostyringen bygger på beste tilgjengelige informasjon og er tilpasset virksomhetens behov Virksomheten har implementert et effektivt og egnet rammeverk for risikostyring 25
Identifiser ambisjonsnivå og forbedringsområder 26
10 vurderingskriterier i hver dimensjon 27
Excelbasert modell 28
Oppsummering Risikomodenhet kan bidra til økt verdiskapning i virksomheten Mange eksisterende modeller legger til grunn linær utvikling i modenhet En enkel modell: Verktøy for å identifisere potensial og ambisjonsnivå for videreutvikling 29