Risikostyring

Risikostyring skaber overblik over de usikkerheder, som enhver institution må kende og styre rundt om for effektivt at kunne levere på sine kerneopgaver.

Hvad bidrager risikostyring med?

Effektiv risikostyring sikrer, at de væsentligste risici kan håndteres i tide og understøtter dermed langsigtet og organisatorisk målopfyldelse. En risiko kan defineres som sandsynligheden for, at en begivenhed vil indtræffe og påvirke organisationens målopfyldelse. Dette kan eksempelvis være risiko for at mål for sagsbehandlingstid ikke kan overholdes, manglende lovhjemmel eller mangelfuld intern finansiel kontrol.

Alle organisationer er omgivet af risici, og i en foranderlig verden er risikobilledet under konstant udvikling. Risikostyring handler derfor ikke om at undgå risici, men at kende til sine risici og proaktivt at styre de ude- og indefra kommende risici, som organisationen står overfor. Når risikostyringen er effektiv, kan den blandt andet danne et bedre grundlag for strategisk prioritering, effektiv udnyttelse af ressourcer og opdagelse af fejl og svig. 

Hvordan kan organisationer arbejde med risikostyring?

Udgangspunktet for at arbejde med effektiv risikostyring er, at organisationen aktivt tager stilling til, hvad der udgør en risiko, og hvordan forskellige risici skal håndteres. Derudover er det væsentligt, at organisationen tager stilling til og beskriver roller og ansvarsfordeling for risikostyringen, så der er klarhed herom på tværs af organisationen. Det er ligeledes vigtigt, at der udvikles risikopolitikker og -værktøjer, som understøtter en effektiv risikostyring. Denne sammenhæng kan beskrives ved nedenstående figur.

Risikostyringsprocessen

Figuren viser, at risikostyring er en kontinuerlig proces, som kan inddeles i fire trin: identifikation af risici, vurdering af risici, håndtering af risici og rapportering af risici. De fire trin er nærmere uddybet under figuren.

Trin 1: Identifikation af risici handler om at afdække, hvilke potentielle risici organisationen er udsat for.

Trin 2: Vurdering af risici handler om at vurdere og prioritere de identificerede risici. Risici vurderes ud fra sandsynligheden for og den forventede konsekvens ved, at de indtræffer. Vurderingen kan eksempelvis baseres på en skala fra 1-5. Ved at indplacere de vurderede risici i en risikomatrice skabes et visuelt risikobillede, som kan danne grundlag for prioritering og håndtering af risici.

Trin 3: Håndering af risici handler om at finde ud af, hvilke strategier der mest effektivt kan håndtere de identificerede risici og dermed reducere risikoen. Der findes forskellige strategier til risikohåndtering og det afhænger af vurderingen af den enkelte risiko, hvilken strategi der er mest effektiv. I nogle tilfælde vil en risiko kunne accepteres, fordi den enten vurderes at være relativt ukritisk eller være relativt ressourcekrævende at håndtere set i forhold til udbyttet.

Trin 4: Rapportering af risici handler om at videreformidle de rette informationer til relevante personer og at rapportere udviklingen i risikobilledet. Rapportering kan ske med en fast kadence eller ad hoc afhængigt af risikobilledet.

At tilrettelægge en passende og effektiv risikostyring i den enkelte organisation kan med fordel ske gennem lærende proces og med udgangspunkt i en fleksibel tilgang, hvor risikostyringen løbende tilpasses og videreudvikles.

Hvordan skabes dialog om organisationens risikostyring?

At foretage en risikovurdering i institutionen, er en god mulighed for at styrke dialogen på tværs af organisationen og gøre den mere risikobevidst. Det kan bidrage til en fælles refleksion over såvel organisationens nuværende praksis som organisationens vision for risikostyring. Det medvirker også til at stille skrapt på organisationens udviklingspunkter og parathed i forhold til at bedrive effektiv risikostyring.

Vurdering af organisationens modenhed kan tage udgangspunkt i følgende parametre:

  • Formelle rammer for risikostyring, som handler om politikker og retningslinjer for arbejdet med risikostyring.
  • Roller og ansvar, som handler om at have en klar rolle- og ansvarsfordeling for arbejdet med risikostyring.
  • Risikokultur, som handler om de holdninger, adfærd og forståelse for risici, der gør sig gældende i organisationen.

Du kan læse mere om, hvordan I starter den gode dialog om risikostyring i vejledning til værktøj til selvvurdering af modenhed på risikostyring.

Du kan læse mere om værktøj til revisionsbemærkninger og risikostyring på følgende underside.