Brancheanalyse:

Risikostyring

06 november 2019

Henrik Brünings , Partner, Statsautoriseret Revisor |

Debatten og forståelsen for risiko og forsøg på risikostyring kan spores langt tilbage i historien.

Selve ordet risiko stammer fra det latinske ord ”risco”, som var et begreb blandt sejlere, som sejlede uden kort. Lige frem til renæssancen opfattede man fremtiden som et udslag af held, men i dag er man heldigvis blevet meget klogere.

Risiko defineres normalt som ting eller begivenheder, der kan bevirke, at man ikke når sine mål. Vi lever i en tid, hvor mange boligorganisationer som led i deres egenkontrol har opsat en række mål, ligesom forudsætningerne for at drive en boligorganisation ændrer sig kontinuerligt, og behovet for at styre de risici, der kan påvirke disse mål, øges derved tilsvarende.

Når man ikke sine mål, er det efterfølgende ofte let at identificere de forhold og risici, som ledelsen burde have været opmærksom på, ligesom man bagefter ofte kan se indikatorer på, hvorfor det ikke lykkedes.

I dag bør risikoledelse og dermed risikostyring derfor indgå som et naturligt led i den daglige ledelses løbende samarbejde med organisationsbestyrelsen. Og det kan betragtes som en del af god ledelse i en boligorganisation.
 

Risikoledelsesprocessen 

Risikoledelsesprocessen kan i en boligorganisation med fordel ske med udgangspunkt i følgende faser: Fase 1: Risikoidentifikation
Fase 2: Risikoanalyse
Fase 3: Risikovurdering
Fase 4: Risikostyring
Fase 5: Risikorapportering/Overvågning
 

Fase 1: Risikoidentifikation

Den grundlæggende tankegang i risikoledelse er, at man ikke kan styre en risiko, man ikke kender, og at man ønsker at afdække en risiko så tidligt som muligt.

Ledelsen skal derfor begynde med at få afdækket alle de relevante risici, der findes i boligorganisationen og dens afdelinger, og en stor del af værdien ved risikoledelse skal findes i netop de overvejelser og drøftelser, man har i denne indledende proces, hvor man bliver meget mere fokuseret på, hvilke forhold der kan betyde, at organisationen ikke når sine mål.

Processen kan ofte struktureres med spørgsmålene:

  • Hvor kan vi rammes af risiko?
  • Hvor kommer risikoen fra?
  • Hvilke typer af risici kan vi rammes af?
  • Hvordan kan vi blive tidligere advaret?
  • Hvordan opbygger vi et informationssystem om risici?

Vores erfaring inden for den almene sektor viser, at ledelsen ofte har fokus på risici forbundet med bl.a. følgende områder, dog med nuancer i forhold til, om man er selvadministreret eller eksternt administreret:

  • Tab på fraflyttere
  • Utilstrækkelige henlæggelser
  • Begrænsede frie midler
  • Sociale udfordringer
  • Lejeledighed
  • Fejl i råderetssager
  • Fejl i huslejeregulering
  • Juridiske fejl i ansættelsesforhold
  • Utilfredshed blandt lejere
  • Afhængighed af få nøglemedarbejdere
  • It-nedbrud
  • Hacker-angreb
  • Negativt afkast på kapitalforvaltning
  • Overskridelse og tab på byggesager
  • Manglende byggesagshonorarer.

Ikke alle risici har lige store konsekvenser/relevans, hvis de udløses, og der er derfor et behov for at rette ledelsens fokus mod de væsentligste risikoområder, hvilket sker gennem en risikovurdering.
 

Fase 2: Risikoanalyse og fase 3: Risikovurdering

Risikovurderingen i en boligorganisation sker ofte sammen med risikoanalysen ved at stille følgende spørgsmål:

  • Årsag - Hvilke faktorer er medvirkende til, at risikoen bliver aktuel?
  • Vurdering - Hvis skaden indtræffer, hvad er så skadesomfanget?
  • Sandsynligheden for at skaden indtræffer

Skadesomfanget kan med fordel beskrives, hvor det giver mening med en økonomisk konsekvens, men derudover altid med en vurdering af skadens omfang, der kategoriseres 1-5, alt efter om skaden er eksistenstruende (5) eller ubetydelig (1).

Ledelsen foretager samtidig en vurdering af sandsynligheden for, at skaden opstår med en bedømmelse på en skala fra 1-5, hvor 5 er mest sandsynligt.

Risikobeskrivelse

Risikobeskrivelse

Risikoens størrelse kan således beregnes ved at gange skadesomfang og sandsynlighed, hvorved man får en indikatorfaktor, der udtrykker nødvendigheden af risikostyring på området.

Fase 4: Risikostyring

Når ledelsen nu har identificeret og vurderet de forskellige risici, kan man gå i gang med at tage stilling til, hvordan man vil styre disse i en prioriteret rækkefølge, så man reducerer sandsynligheden for, at en identificeret risiko udløses.

Identificeret risiko styres typisk på fire måder:

  • Undgå/fravælge den
  • Overvælte den
  • Formindske den
  • Acceptere den

Man kan overordnet udtrykke dette ved, at man undgår en risiko hos fx en leverandør ved at skifte ham ud, mens man overvælter risici fx ved at tegne en forsikring. Man formindsker risici ved at arbejde med en styrkelse af interne kontroller og accepterer risici, der er til at leve med mod at overvåge disse.

Det er vigtigt at forholde sig til alle de risici, som ledelsen under processen har afdækket, og herefter sætte fokus på de 5-10 vigtigste, som man vil styre tæt med angivelse af metode, ansvarlige og tidsfrister for tiltag.

Fase 4 - risikostyring
 

Fase 5: Risikorapportering/Overvågning

Når planen for at styre de væsentlige risici er besluttet og kortlagt, bør den daglige ledelse i en struktureret form og med regelmæssige mellemrum på bestyrelsesmøderne rapportere til organisationsbestyrelsen om status på de enkelte områder. Så har man til stadighed et samlet overblik over de væsentligste risici, der eksisterer, og hvordan man forholder sig til dem i overensstemmelse med den valgte risikostyring. Organisationsbestyrelsens opgave vil i den forbindelse være at forholde sig kritisk og spørgende til de forelagte oplysninger.

Risikoledelse og -styring kan måske virke som en lidt omfattende proces, men en af de vigtigste ændringer, man som ledelse i boligorganisationen skal foretage i den forbindelse, er at etablere en kultur, hvor man begynder at tænke i risikobaner, så risikostyring bliver en naturlig del af det løbende ledelses- og bestyrelsesarbejde i fremtiden.