Artiklen ”Den moderne risikostyrings drivkræfter og motiver – et teoretisk perspektiv” teoretisk perspektiv”

Artiklerne, der følger i kapitel 4 og 5, udgør et sammenhængende bidrag, selv om de også kan læses hver for sig. Artiklerne er publiceret i Ø&I, 2009/10, nr. 6 henholdsvis 2010/11, nr. 1. Artiklen i nærværende kapitel søger at identificere og kortlægge teoretiske motivationer, der fungerer som drivkræfter for lederes beslutninger om at engagere organisationen i at arbejde med risiko på basis af helhedsorienterede koncepter. Artiklen i kapitel 5 anvender de teoretiske resultater på 7 virksomheds-cases.

De 7 virksomheder, der bidrager til empirien i arbejdets anden del (kapitel 5), var alle deltagere i det vidennetværk, der var etableret om projektet i perioden 2007 - 2009. Jeg var allerede i arbejdet med rammeværkerne blevet opmærksom på, at nok var den moderne risikostyrings officielle formål værdiskabelsen, men alligevel sås der tegn på, at vinklingen snarere, i bedste fald, var værdibevarelse.

Det begyndte at undre mig, sikkert fordi jeg med min rationelle baggrund havde svært ved at forestille mig, at værdiskabelsen ikke var det afgørende. Da jeg så undervejs læste Michael Powers stærke kritik i essayet ”The Risk Managent of Everything” (Power, 2004), og lidt senere den udbyggede kritik i

”Organized Uncertainty” (Power, 2007), blev der sat ord på min undren og samtidig blev min rationelle forestillingsverden udfordret. Under diskussionerne i vidennetværket blev jeg også opmærksom på, at deltagerne ikke nødvendigvis så værdiskabelsen som det afgørende. Tværtimod tegnede der sig et væld af andre motiver, både hos deltagerne selv (der primært var risikostyringsansvarlige i deres respektive virksomheder), men også i den overordnede ledelsesmæssige motivation.

På den baggrund blev rationalet bag de to sammenhængende artikler således, at en udforskning og kontrastering mellem officielle og bagvedliggende motiv-dagsordener understøttet af de cases, jeg havde lige ved hånden, kunne bidrage til indblik i tvetydige resultater såvel som praksisser. For mig har artiklerne bidraget til at udfordre mine rationelt baserede grundantagelser, hvilket har været yderst nyttigt i forhold til udarbejdelsen af afhandlingens sidste artikel (kapitel 7), hvor jeg antager et langt mere proces-orienteret udgangspunkt.

84

Økonomistyring & Informatik – 25. årgang 2009/2010 nr. 6

477

Den moderne risikostyrings drivkræfter og motiver

Et teoretisk perspektiv

Af Per Henriksen og Rune Yndestad Møller

^*

Flere og flere virksomheder bruger ressourcer på risikostyring i dens moderne hel-hedsorienterede form, ERM. Men hvad er det, der tilskynder virksomhederne til disse aktiviteter? Det officielle salgsargument er klart: Risikostyring er god forret-ning. Men hænger det sådan sammen i praksis? Artiklen undersøger argumentet om værdiskabelse ud fra Max Webers idé om målrationalitet, og påpeger at en så-dan teoretisk sammenhæng i bedste fald er indirekte. Artiklen identificerer også andre mere defensivt orienterede drivkræfter med udgangspunkt i Ulrich Becks tese om risikosamfundet. Disse ideer komplementeres og udbygges med inspiration fra Niclas Luhmann, Anthony Giddens og Michael Power. I artiklen identificeres 3 de-fensive drivkræfter: 1) Modernitetens øgede risikoproduktion, der leder til en ople-velse af øget usikkerhed og uforudsigelighed, 2)Risikostyring som responsmeka-nisme til øget usikkerhed, og 3) Risikostyring som mekaresponsmeka-nisme til ansvarsfordeling og legitimitet. Artiklens teoretiske perspektiver vil i næste nummer af Ø&I blive fulgt op af en empirisk analyse af observationer fra en række danske virksomheder.

A. Introduktion

1. Baggrund

Moderne organisatorisk risikostyring

¹

antager mange former og navne. Risikostyring, Risk Management (RM), Enterprise Risk Ma-nagement (ERM), Strategic Risk MaMa-nagement (SRM), Organisatio-nal Risk Management (ORM), blot for at fremhæve nogle af de mest fremherskende. Det er også en relativt ung ledelsesteknologi, der specielt siden 1950'erne er gået fra at være en teknisk-øko-nomisk fagdisciplin med applikationer i forsikringsverdenen,

fi-* Per Henriksen er Cand. Lact., MBA og erhvervsforsker ved Center for Virk-somheds-udvikling og Ledelse på Copenhagen Business School. Han har man-ge års man-generel ledelseserfaring fra erhvervslivet. Rune Yndestad Møller er stud.

merc. på CBS, og tilknyttet forskningsprojektet om strategisk risikoledelse.

»Invester trygt her!«

86

Økonomistyring & Informatik – 25. årgang 2009/2010 nr. 6

478

nanssektoren og i ingeniørverdenen, til indenfor de seneste 10-15 år at blive nærmest et mantra, der gennemsyrer dels den regulatoriske som den ledelsesmæssige orientering i virksomheder og offentlige institutioners dagligdag. I kontrast til billedet for 10 år siden inde-holder de fleste offentliggjorte årsregnskaber i dag et afsnit, der skal fortælle omverdenen om virksomhedens risikoprofil. Underforstået:

»I kan trygt investere her«. Denne tendens følger linjen i de preskriptioner og retningslinjer for god selskabsledelse, der er ud-stukket i f.eks. Turnbull-rapporten, The Combined Code og i deres danske versioner i Nørbyudvalgets anbefalinger om god selskabsle-delse. Virksomhederne anvender større og flere ressourcer på at etablere og operere interne risikostyringsaktiviteter og -organisa-tion. Anerkendte internationale kreditvurderingsinstitutioner som Standard & Poors har senest inddraget virksomhedens risikosty-ringsstandard som centralt element i kreditvurderingen.

Men hvorfor er udviklingen gået fra risiko som fagorienteret analy-sedisciplin til en altomfattende styringsdiskurs, der så at sige gen-nemsyrer alle organisationens handlinger – internt som eksternt?

Det officielle rationale er nemt at få øje på. God risikostyring i dens helhedsorienterede og systematiske form – altså Enterprise Risk Management eller ERM – er god forretning. At ERM skaber værdi er mantraet i den overbevisende diskurs, der føres af de mange kon-sulentvirksomheder og organisationer, der har interesse i feltets ud-vikling (se f.eks. hjemmesiderne for PWC, Willis, Aon, Ferma og COSO). De akademiske anprisninger er der heller ikke mangel på, se f.eks. (Lam, 2003) (DeLoach, 2000)og (Young & Tippins, 2001).

I dette udgangspunkt er formlen for risikostyringens berettigelse alt-så klar: god risikostyring leder til forbedret værdiskabelse.

Men praksis indeholder flere paradokser i forhold til denne rationa-litetsforklaring. For det første, det helt enkle synspunkt, at sammen-holder man den dominerende rationalitetsdiskurs’ løfter med det faktiske udkomme af de såvel intensive som ekstensive risikosty-ringsaktiviteter, der finder sted i virksomhederne, så burde virk-somhederne vel ikke være havnet i en så omfattende krise, som mange pt. befinder sig i. Det løfte, som risikostyringens preskriptio-ner giver, som f.eks. udtrykt i internationale rammeværker som (COSO, 2004), (AS/NZS 4360, 2004) og (FERMA, 2003), er jo netop, at adoptionen og implementeringen af ERM-metoder, sætter virksomheden i stand til at forstå, håndtere og imødegå fremtidens

Det officielle

rationale:

god forretning

4 paradokser

Økonomistyring & Informatik – 25. årgang 2009/2010 nr. 6

479

usikkerheder for at sikre organisationens værdiskabelse. Men de se-neste års udvikling indikerer i hvert fald, at sammenhængen ikke er helt så enkel.

²

For det andet bygger opfattelsen af kausalitet mellem ERM og vær-di ikke på empirisk evidens. Ingen forskere har reelt sandsynliggjort en sammenhæng mellem god ERM og værdiskabelse. Et af de få arbejder er udført af Torben Jul Andersen (Jul Andersen, 2006), der udførte en statistisk analyse på 1450 virksomheders regnskaber over en 5-årig periode. Men Jul Andersens analyse siger i bedste fald no-get om det (indlysende) forhold, at virksomheder, der er gode til at styre deres risici, alt andet lige producerer bedre resultater. Men analysen siger intet om effekten af anvendelsen af en formaliseret og struktureret tilgang, som f.eks. ERM efter COSO’s recept.

For det tredje er tendensen i såvel rammeværkernes orientering (se f.eks. (Henriksen & Uhlenfeldt, 2006)) som den praksis i virksom-hederne, der afdækkes i vores forskning, at den overvejende tilgang til risikostyring er defensiv snarere end offensiv. Den defensive til-gang er kendetegnet ved at have tabsundgåelsen som omdrejnings-punkt, og står derfor i kontrast til værdiskabelsesperspektivet, der i sagens natur burde være offensiv – altså mulighedsafsøgende.

For det fjerde – og måske mest tankevækkende – står fremvæksten af de mange regulatoriske krav og forventninger i skærende kontrast til værdiskabelsesargumentet. Som Michael Power udtrykker det, er ERM blevet omdannet til en regulatorisk proces i sig selv (Power, 2007:87). Rammerne for god selskabsledelse, som f.eks. udtrykt gennem Turnbull (se f.eks. www.frc.org.uk) og Anbefalingerne for god Selskabsledelse (se www.corporategovernance.dk), udtrykker eksplicitte krav og forventninger til virksomhedernes risikostyrings-apparat. I de seneste revisioner af de to nævnte »codes« fremtræder reelt en skærpelse af kravene til virksomhedernes risikostyring. Så de regulatoriske rammer er under konstant skærpelse. Risikostyring er således blevet den dominerende diskurs, når det drejer sig om in-tern kontrol. Men vi vil hævde, at denne udvikling står i skærende kontrast til værdiskabelsesargumentet af følgende årsag:

³

Hvis ar-gumentet om kausalitet mellem risikostyring og værdiskabelse hol-der, vil behovet for regulatoriske krav om konkrete aktiviteter være unødvendige. I så fald vil det jo være aktiviteter, som virksomhe-derne påtog sig frivilligt ud fra en rationel nytteværdibetragtning.

Risikostyring ville derfor være et af virksomhedens strategiske

dif-Hvorfor regelsætte god forretning?

87

Økonomistyring & Informatik – 25. årgang 2009/2010 nr. 6

478

nanssektoren og i ingeniørverdenen, til indenfor de seneste 10-15 år at blive nærmest et mantra, der gennemsyrer dels den regulatoriske som den ledelsesmæssige orientering i virksomheder og offentlige institutioners dagligdag. I kontrast til billedet for 10 år siden inde-holder de fleste offentliggjorte årsregnskaber i dag et afsnit, der skal fortælle omverdenen om virksomhedens risikoprofil. Underforstået:

»I kan trygt investere her«. Denne tendens følger linjen i de preskriptioner og retningslinjer for god selskabsledelse, der er ud-stukket i f.eks. Turnbull-rapporten, The Combined Code og i deres danske versioner i Nørbyudvalgets anbefalinger om god selskabsle-delse. Virksomhederne anvender større og flere ressourcer på at etablere og operere interne risikostyringsaktiviteter og -organisa-tion. Anerkendte internationale kreditvurderingsinstitutioner som Standard & Poors har senest inddraget virksomhedens risikosty-ringsstandard som centralt element i kreditvurderingen.

Men hvorfor er udviklingen gået fra risiko som fagorienteret analy-sedisciplin til en altomfattende styringsdiskurs, der så at sige gen-nemsyrer alle organisationens handlinger – internt som eksternt?

Det officielle rationale er nemt at få øje på. God risikostyring i dens helhedsorienterede og systematiske form – altså Enterprise Risk Management eller ERM – er god forretning. At ERM skaber værdi er mantraet i den overbevisende diskurs, der føres af de mange kon-sulentvirksomheder og organisationer, der har interesse i feltets ud-vikling (se f.eks. hjemmesiderne for PWC, Willis, Aon, Ferma og COSO). De akademiske anprisninger er der heller ikke mangel på, se f.eks. (Lam, 2003) (DeLoach, 2000)og (Young & Tippins, 2001).

I dette udgangspunkt er formlen for risikostyringens berettigelse alt-så klar: god risikostyring leder til forbedret værdiskabelse.

Men praksis indeholder flere paradokser i forhold til denne rationa-litetsforklaring. For det første, det helt enkle synspunkt, at sammen-holder man den dominerende rationalitetsdiskurs’ løfter med det faktiske udkomme af de såvel intensive som ekstensive risikosty-ringsaktiviteter, der finder sted i virksomhederne, så burde virk-somhederne vel ikke være havnet i en så omfattende krise, som mange pt. befinder sig i. Det løfte, som risikostyringens preskriptio-ner giver, som f.eks. udtrykt i internationale rammeværker som (COSO, 2004), (AS/NZS 4360, 2004) og (FERMA, 2003), er jo netop, at adoptionen og implementeringen af ERM-metoder, sætter virksomheden i stand til at forstå, håndtere og imødegå fremtidens

Det officielle

rationale:

god forretning

4 paradokser

Økonomistyring & Informatik – 25. årgang 2009/2010 nr. 6

479

usikkerheder for at sikre organisationens værdiskabelse. Men de se-neste års udvikling indikerer i hvert fald, at sammenhængen ikke er helt så enkel.

²

For det andet bygger opfattelsen af kausalitet mellem ERM og vær-di ikke på empirisk evidens. Ingen forskere har reelt sandsynliggjort en sammenhæng mellem god ERM og værdiskabelse. Et af de få arbejder er udført af Torben Jul Andersen (Jul Andersen, 2006), der udførte en statistisk analyse på 1450 virksomheders regnskaber over en 5-årig periode. Men Jul Andersens analyse siger i bedste fald no-get om det (indlysende) forhold, at virksomheder, der er gode til at styre deres risici, alt andet lige producerer bedre resultater. Men analysen siger intet om effekten af anvendelsen af en formaliseret og struktureret tilgang, som f.eks. ERM efter COSO’s recept.

For det tredje er tendensen i såvel rammeværkernes orientering (se f.eks. (Henriksen & Uhlenfeldt, 2006)) som den praksis i virksom-hederne, der afdækkes i vores forskning, at den overvejende tilgang til risikostyring er defensiv snarere end offensiv. Den defensive til-gang er kendetegnet ved at have tabsundgåelsen som omdrejnings-punkt, og står derfor i kontrast til værdiskabelsesperspektivet, der i sagens natur burde være offensiv – altså mulighedsafsøgende.

For det fjerde – og måske mest tankevækkende – står fremvæksten af de mange regulatoriske krav og forventninger i skærende kontrast til værdiskabelsesargumentet. Som Michael Power udtrykker det, er ERM blevet omdannet til en regulatorisk proces i sig selv (Power, 2007:87). Rammerne for god selskabsledelse, som f.eks. udtrykt gennem Turnbull (se f.eks. www.frc.org.uk) og Anbefalingerne for god Selskabsledelse (se www.corporategovernance.dk), udtrykker eksplicitte krav og forventninger til virksomhedernes risikostyrings-apparat. I de seneste revisioner af de to nævnte »codes« fremtræder reelt en skærpelse af kravene til virksomhedernes risikostyring. Så de regulatoriske rammer er under konstant skærpelse. Risikostyring er således blevet den dominerende diskurs, når det drejer sig om in-tern kontrol. Men vi vil hævde, at denne udvikling står i skærende kontrast til værdiskabelsesargumentet af følgende årsag:

³

Hvis ar-gumentet om kausalitet mellem risikostyring og værdiskabelse hol-der, vil behovet for regulatoriske krav om konkrete aktiviteter være unødvendige. I så fald vil det jo være aktiviteter, som virksomhe-derne påtog sig frivilligt ud fra en rationel nytteværdibetragtning.

Risikostyring ville derfor være et af virksomhedens strategiske

dif-Hvorfor regelsætte god forretning?

88

Økonomistyring & Informatik – 25. årgang 2009/2010 nr. 6

480

ferentieringsvalg i forhold til markedet. Men sådan forholder det sig

ikke, og derfor må risikostyringen bygge på andre motiver.

In document Enterprise Risk Management Rationaler og paradokser i en moderne ledelsesteknologi (Sider 87-90)