8. Bestyrelsens arbejde med risikostyring

Nyhedsbrev for Bestyrelser
AktieUgebrevet
Bestyrelsens arbejde med risikostyring
INDHOLDSFORTEGNELSE
Bestyrelsens arbejde med risikostyring.............................................................................................................1
Guide: Bestyrelsers kontrol med dattervirksomheder......................................................................................4
Compliancepåbud giver genlyd i banksektoren ...............................................................................................5
Skattepolitik på bestyrelsens CSR-agenda........................................................................................................7
Risikostyring - hvor er vi på vej hen?..................................................................................................................9
Nye oplysningskrav om børsselskabers risikostyring.....................................................................................11
Bestyrelsens arbejde med risikostyring...........................................................................................................12
Kontrolsvigt a la Nordisk Fjer............................................................................................................................13
Krisetider er ansvarstider for bestyrelsen........................................................................................................14
FSR: Revisorer strammer grebet om selskaberne............................................................................................15
Kunøe: ”I øjeblikket spiller vi krigsspil”...........................................................................................................16
Guide for bestyrelsen i en recessionstid...........................................................................................................17
Bestyrelser overser ansvar for kontrolstrategi................................................................................................18
Fravalg af revisionsudvalg kan blive ansvarsfælde ........................................................................................19
Forbered arbejdet i revisionskomiteen ...........................................................................................................20
Danmark hårdt ramt af interessekonflikter ....................................................................................................21
Danske selskaber har efterslæb på risikostyring............................................................................................22
Risikostyring handler om at finde balancen....................................................................................................23
DONG har risikostyring på plads før notering.................................................................................................24
Praktisk anvendelse af scenarioanalyser.........................................................................................................25
Bestyrelsens rolle i M&A-transaktioner............................................................................................................27
Selskabsledelse ind i bankers kreditvurdering...............................................................................................28
Større markedsrisici øger fokus på governance..............................................................................................29
Behov for åben kvalitetsvurdering af revisorer...............................................................................................31
Nyhedsbrev for Bestyrelser
Side 2
Guide: Forsikring ved virksomhedskøb............................................................................................................32
Bestyrelsen misforstår krav til intern revision.................................................................................................33
Selskabsledelse som kommunikationsværktøj...............................................................................................34
Bestyrelsen bør etablere risikoovervågning 1/...............................................................................................35
Bestyrelsen bør etablere risikoovervågning 2/...............................................................................................36
“Sladrehanke” på vej ind i virksomhedskultur................................................................................................37
Guide: Vil den næste fejl blive fatal?.................................................................................................................38
Sådan sætter bestyrelsen fokus på risici 1/......................................................................................................39
Sådan sætter bestyrelsen fokus på risici 2/......................................................................................................40
Bedrageri - kan det ske hos os?.........................................................................................................................41
Sådan forebygger bestyrelsen kriser 1/...........................................................................................................42
Sådan forebygger bestyrelsen kriser 2/...........................................................................................................43
Sådan forebygger bestyrelsen kriser 3/...........................................................................................................44
Sådan forebygger bestyrelsen kriser 4/...........................................................................................................45
Behov for nyt syn på risikostyring....................................................................................................................46
Er bestyrelsens information god nok?..............................................................................................................47
Sådan opsætter bestyrelsen korruptionsværn................................................................................................48
Krav bestyrelsen bør stille til risikostyring......................................................................................................49
Normen for effektiv risikostyring.....................................................................................................................50
Nye EU-krav om intern kontrol og risikostyring..............................................................................................51
Behov for mere ikke-finansiel information......................................................................................................52
Risikostyring øverst på bestyrelsens dagsorden.............................................................................................53
Regnskabet skal beskrive marked og konkurrence........................................................................................54
”Hvis ikke du har en bestyrelse, så få en!”........................................................................................................55
Nyhedsbrev for Bestyrelser
Side 3
FORORD
Efter finanskrisen i 2008 og 2009 blev der sat fokus på interne kontroller og rapporteringssystemer med stramning
af EU-direktiver og amerikanske Sarbanes-Oxley. Den overraskende nedtur flyttede overvågning og styring af risici
op i toppen af bestyrelsernes dagsorden. Og sådan har det været lige siden. Eller i hvert fald - sådan burde det
være. Fordi den globale økonomi bevæger sig fortsat i en meget vanskelig balance, hvor der er langt større risiko
for en ny økonomisk opbremsning, end tilbagevenden til de ”gode gamle dage”. Stimulanspakker i USA, Kina og
Vesteuropa har løftet den økonomisk vækst kunstigt. Men hvad ligger forude? Det er meget usikkert.
Enorme udsving i energi- og råvarepriser, valutakurser, renter, kreditvilkår, kunderisici og kunde efterspørgsel
betyder, at forståelse af virksomhedens forretningsmæssige og finansielle risici og overvågning heraf er blevet
en helt central del af bestyrelsens evne til at forstå og forholde sig til virksomhedens udvikling. Gennemført
risikoledelse kan blive afgørende for selskabets overlevelse under urolige og stærkt foranderlige markedsvilkår.
Under finanskrisen har blandt andet AIG, Bear Stearns, Lehman Brothers og mange andre virksomheder erfaret, at
de slet ikke havde godt nok styr på deres risici. Læren herfra har gjort indtryk på bestyrelser overalt i erhvervslivet, og
mange steder er fokus på fremadrettede risici rykket højere op på dagsordenen end den almindelige rapportering
om den forretningsmæssige status. I sidste ende handler det om, at bestyrelsen skal sikre, at virksomheden og
ledelsen har de nødvendige processer til at identificere og styre risici.
Bestyrelserne erkender således i stigende omfang, at det ikke er tilstrækkeligt, at den daglige ledelse forsikrer,
at virksomheden har de fornødne processer på plads. Bestyrelsen bør selv involvere sig i dette arbejde, og sikre
at processerne faktisk er indrettet optimalt og egnet til at opfange de risici, som ikke er helt forudsigelige.
Den reelle udfordring i risikostyring er derfor i videst muligt omfang at tage højde for de risici, som ikke er helt
oplagte. Men hvordan skal man kende til ukendte? Der er en naturlig tendens til, at risici defineres som de forhold,
der tidligere har ramt selskabet overraskende negativt. Men når problemerne opstår for et selskab, er det sjældent
de samme faktorer, som tidligere.
Derfor skal bestyrelserne forsøge hele tiden at tilpasse risikomodeller og forsøge at tage højde for andre
scenarier end det forventede. Bestyrelserne er i sidste ende ansvarlige for, at ledelsen har taget de fornødne skridt
omkring risikostyringen. Derfor er det også nødvendigt, at bestyrelsen føler sig komfortabel med den måde, den
daglige ledelse håndterer tingene på. Derfor er det også afgørende, at bestyrelsen har dyb indsigt og forståelse
af virksomhedens risikoforhold. Dette kompendium vil klæde bestyrelsen på til at få overblik over, hvordan
risikoledelsen kan etableres i samarbejde med den daglige ledelse, samt hvad der kan forventes af bestyrelsens
arbejde med risikoovervågning
og risikostyring.
Juni 2011
Morten W. Langer, Chefredaktør
Nyhedsbrev for Bestyrelser
NB: Det skal bemærkes, at dette kompendie er en samling af artikler fra nyhedsbrevets start til nu omkring
risikostyring. Nogle af artiklerne refererer således til tidligere forhold, men pointerne og principperne er gyldige
både før og efter finanskrisen.
Nyhedsbrev for Bestyrelser
Side 4
Guide: Bestyrelsers kontrol med dattervirksomheder
”Solen skinner, og der er langt til kejseren” siger et kinesisk
ordsprog. Og det er den stemning, som ofte breder sig i
dattervirksomheder – i særlig grad udenlandske dattervirksomheder, hvor den lokale ledelse sidder langt fra den
internationale topledelse, skriver bestyrelseseksperten
Teddy Wivel i denne miniguide for datterselskabsbestyrelser.
Aktuelt er problemerne i DSB’s kommercielle datterselskab DSB First meget sigende for, hvordan der
formelt kan ske en afkobling mellem koncernens
rapportering og udviklingen i et datterselskab. Som
bekendt har revisor tidligere taget forbehold i regnskabet for DSB First. Det kan derfor undre, at bestyrelsesformanden i DSB Mogens Granborg ikke tidligere har
reageret på forholdene i DSB First. Han udtaler bl.a.,
at han var bekendt med, at der var nogle forhold, som
burde undersøges nærmere. Men det var først, da bestyrelsen blev præsenteret for et revisionsforbehold i
selve DSB’s regnskab, at han reagerede.
”Vi ser jo ikke bestyrelsesprotokollerne for datterselskaberne,” har han udtalt. Væsentlig information i
dattervirksomhedernes bestyrelses- og revisionsprotokollater skal naturligvis tilgå bestyrelsen i modervirksomheden. Og det vil den kompetente bestyrelse
også altid sikre sig.
Al erfaring viser, at uregelmæssigheder sker oftere i udenlandske dattervirksomheder end i danske.
Mens hovedvirksomheden bogstavelig talt ligger i
synsfeltet, oplever man ofte, at dattervirksomheder
opfattes som en del af direktionens ledelsesområde,
som bestyrelsen ikke blander sig i. Derfor er det også
ofte således, at bestyrelserne i dattervirksomhederne
bemandes med direktionsmedlemmer og med reference til direktionen i moderselskabet.
Men at en aktivitet placeres i en dattervirksomhed – i Danmark eller i udlandet – ændrer ikke på
bestyrelsens overordnede forpligtigelse til at sørge
for en forsvarlig organisering af virksomheden og en
effektiv intern kontrol. På den måde er aktiviteter i
dattervirksomheder og kontrollen hermed en vigtig
del af bestyrelsens arbejde. Ikke mindst på grund af
den øgede risiko for fejl.
Arbejder virksomheden med en risikostyring ud
fra principperne i COSO, vil det da også fremgå klart,
at virksomhedens kontrolaktiviteter strækker sig ikke
alene til dattervirksomheder, men ligeledes til forretningsenheder, divisioner og til den enkelte afdeling.
Ifølge COSO er bestyrelsens rolle i risikostyringen:
• Fastlæggelse af risikoappetit
• Viden om direktionens risk management
• Sammenholde risici med risikoappetit
• Viden om de væsentligste risici
Netop i relation til dattervirksomhederne kræver det,
at bestyrelsen tager aktiv stilling til styring af og kontrol
med disse, herunder hvorledes rapporteringsflowet
fra dattervirksomhederne indgår i rapporteringen til
bestyrelsen. Det er en god idé, at bestyrelsen i den
årlige vurdering af risikoen får en oversigt over datterselskaber med angivelse af:
• Størrelse og organisation
• Beslutningsstruktur og beføjelser
• Risici
• Kontrol og revision
• Rapportering
Og for datterselskaberne som helhed hvorledes
væsentlige elementer indgår i koncernens rapportering til bestyrelsen.
Især intern kontrol er væsentlig
For de udenlandske dattervirksomheder er det især intern kontrol af aktiviteter, rapportering og compliance,
der er væsentlige. De typiske fejl er fejlrapportering af
de økonomiske resultater, som opdages for sent – og
ofte med negative afvigelser.
Endvidere har virksomheder oplevet betydelige
problemer med mindre dattervirksomheder, ofte
salgskontorer, med et begrænset personale. De manglende administrative ressourcer har betydet dels den
nævnte usikre økonomisk styring, men ikke sjældent
også betydelige problemer med at opfylde lokale
myndighedskrav. Det kan betyde, at man pålægges
bøder og afgifter, som langt overstiger, hvad det ville
have kostet at have en mere sikker organisering. Dette
for at understrege, at ikke mindst compliancerisikoen
er betydelig, når vi taler om de udenlandske dattervirksomheder. Der er således ikke nødvendigvis en direkte
sammenhæng mellem størrelsen af dattervirksomheden og risikoen. Måske tværtimod.
Der er altså al god grund til, at bestyrelserne ser på
dattervirksomhederne – før de bliver til et revisions
forbehold på moderselskabets regnskab.
Nyhedsbrev for Bestyrelser
Side 5
Compliancepåbud giver genlyd i banksektoren
Finanstilsynets tilsyn med den finansielle sektor går
nu tættere på compliance end tidligere, d.v.s. arbejdet med at sikre overholdelse af myndighedskrav til
interne processer og forretningsgange (se også tekstboks). Senest har Nykredit fået påbud af Finanstilsynet
om at stramme op på koncernens Compliance-funktion. ”Finanstilsynet fandt det ikke tilstrækkeligt dokumenteret, at compliancefunktionen, der er en fælles
funktion, der varetager compliance i hele koncernen,
er tilstrækkeligt bemandet. Derudover fandt tilsynet, at
der er risiko for, at den valgte organisering på området
i nogle tilfælde kan føre til, at medarbejdere direkte eller indirekte deltager i compliancerelaterede opgaver,
der vedrører opgaver eller tjenesteydelser, de selv har
deltaget i leveringen af,” hedder det i redegørelsen.
Påbuddet, som er den første af sin art – men nok
ikke det sidste, har da også udløst spørgsmål fra kolleger til Nykredit fra hele branchen, oplyser Nykredits
complianceansvarlige, Annelise Warrer. Finanstilsynets
påbud er ikke konkret, men snarere en bekymring
for, at Nykredits organisering kan resultere i problemer. Nykredit har udpeget en række folk i forretningen,
der udover deres almindelige arbejde fungerer som
compliancefunktionens lokale kontaktpersoner og
ambassadører. Finanstilsynet var nervøs for, om dette
forhold indebar en risiko for, at disse personer direkte
eller indirekte kunne kontrollere deres eget område.
Klart signal til branchen
”Den slags giver et klart signal til resten af branchen
om, hvordan Finanstilsynet gerne ser praksis. Jeg har
fået mails fra resten af branchen om forløbet. Alle
vil gerne være på forkant. Og på den måde spreder
sådan et slags påbud sig,” forklarer Annelise Warrer,
afdelingsdirektør for Compliance i Nykredit.
I dag skal alle finansielle virksomheder have indsat strukturer for compliance i deres virksomheder.
I praksis er det et løbende tilpasningsarbejde, hvor
landets finansielle virksomheder kæmper med at
holde sig opdateret i forhold til regelsæt, der konstant
er i forandring. Derfor får de påbud, som Nykredit fik i
januar, stor betydning for alle landets andre finansielle
organisationer, lyder vurderingen.
Det giver samtidig et vigtigt fingerpeg om, hvad
tilsynet lægger vægt på, og hvordan de gerne ser virk-
somhederne struktureret. “På den positive side betyder
det, at man undgår diskussioner internt i virksomheder,
og det gør det meget rart at få en klar udmelding fra
Finanstilsynet. Men det betyder også, at sektoren
bliver konform. Minusset er så, at hvis man har nogle
unikke forhold i virksomheden, som egentlig tilsiger
en anden fremgangsmåde, så kan det have indflydelse
på arbejdsprocessen,” vurderer Annelise Warrer.
Finanstilsynet begynder et tilsyn med at udsende
statusskemaer, som er spørgeskemaer, hvor virksomheden skal udfylde alt fra bestyrelsens arbejde til
rapportering. Dernæst følger flere dages interview på
virksomheden. Og selv om sådan en proces kan lyde
meget skematisk, så er der reelt megen fortolkning
involveret i processen.
I Nykredits tilfælde anvender man det såkaldte
Three Lines of Defense Controlframework, hvor
først de almindelige medarbejdere har ansvar for
kvalitetskontrol. Enkelte medarbejdere er udnævnt
til complianceambassadører, der rapporterer til
compliancefunktionen, der er del af den anden forsvarskæde. Compliancefunktionen har et ansvar for at
overvåge om procedurer og politikker efterleves, og
om de interne kontroller udført af første forsvarskæde
fungerer tilfredsstillende. Sidste led er den interne
revision, der reviderer, om man har efterlevet reglerne
i tilstrækkeligt omfang. Sidste led er den interne revision.
“Vi har flere tusinde medarbejdere, og selv om
loven kræver uafhængige Compliance Officers, så ser
vi det som formålstjenstligt, at vi også arbejder på at
styrke compliancekulturen i første forsvarskæde, hvor
alle skal tage ansvar for egne procedurer, rutiner og
intern kontrol,” siger Annelise Warrer, der dog måtte
konstatere, at det krævede en del forklaring til Finanstilsynet, hvor selvtilsyn får de røde advarselslamper
til at blinke.
“Jeg har det indtryk, at Finanstilsynet bliver mere og
mere fast i deres overbevisning om, hvordan de gerne
ser praksis inden for eksempelvis compliance. Men det
er jo en balance om, hvordan det bedst udmøntes i
forhold til virksomhedens særegenhed,” lyder det fra
Nykredit.
”I toppen af nogle finansielle virksomheder har der
ikke været tilstrækkelig fokus på risikostyring.
...fortsættes næste side