| dc.description.abstract | Denne oppgaven drøfter faktorer som er avgjørende for å integrere risikostyringen som en del av virksomhetsstyringen. Den finansielle krisen fra 2008 har satt risikostyring på dagsorden. Ikke nok med at risikobildet utvides, men risikoene blir også stadig mer komplekse samtidig som virksomhetene blir mer sårbare. Forskning viser at flere virksomheter har lidt store økonomiske tap som et resultat av at risikostyringen ikke har vært fullt ut forstått, og at den ikke inngår i selskapets styringsstruktur (corporate governance). Dette har ført til en økning i regulatoriske krav, med formål om å bidra til forbedring og utvikling av virksomheters risikostyring. For å lykkes med risikostyringen, bør den være en integrert del av selskapets virksomhetsstyring og ikke i en såkalt «silo-basert» tilnærming hvor risikoene blir behandlet separat og uavhengig av hverandre.
Denne oppgaven er hovedsakelig i to hoveddeler. Den første delen er en presentasjon og gjennomgang av den viktigste teorien om helhetlig risikostyring og virksomhetsstyring, herunder sentrale rammeverk og anbefalinger. Oppgavens andre del er en analysedel som er basert på dybdeintervjuer av fire norske selskaper med stor internasjonal virksomhet, som opererer i ulike bransjer. Vi ønsker å se nærmere på deres rutiner for risikostyring i lys av aktuell teori og forskning. Målet er å finne ut hvordan virksomheter kan tilrettelegge sine rutiner for identifisering og vurdering av risiko, risikohåndtering og kontrollaktiviteter, kommunikasjon og rapportering, samt hvordan ulike roller og ansvar bør fordeles for å lykkes med en helhetlig risikostyring.
Funnene i vår studie tyder på at det er flere faktorer som er avgjørende for å lykkes med integreringen. Blant faktorene er bedriftskulturen og lederens subjektive vurderingsevne svært viktig. I tillegg vil en desentralisering av risikostyringen med myndiggjøring og ansvarliggjøring av alle ansatte bidra til en god helhetlig risikostyring. Risikorutiner bør bygges inn i hver enkelt arbeidsprosess, hvor også retningslinjer må foreligge krystallklare. De ansatte må forstå hvilke risikoer som kan oppstå innenfor sitt ansvarsområde. Videre bør det foreligge en organisasjonsstruktur med hensiktsmessige ansvars- og rollefordelinger, noe som må henge sammen med virksomhetens risikostyring. Vi ser at virksomhetene også bør balansere hvor mye av styringen som skal foregå gjennom mennesker og hvor mye som skal legges i styringssystemene. Rapportering om risikoer bør inngå som del av den vanlige resultatrapporteringen til styret og ledelsen, men bør imidlertid begrenses til kun de viktigste risikoforholdene slik at ledelsen kan konsentrere seg om de viktigste tingene. I tillegg er det viktig at risiko sees på som en mulighet, ikke bare en trussel.
In this thesis we will discuss the factors that are critical for integrating a firm’s risk management as part of its corporate governance. After the financial crisis in 2008, risk management has become more of a focus area. Not only have the types of risks expanded, but the risks are becoming more complex as well as the firms are becoming more vulnerable. Research shows that companies have suffered huge financial losses as a result of not fully understanding how to manage risks, but it also shows that they have not included the risk management in the company's corporate governance. This has led to an increase in regulatory requirements, aiming to contribute to the improvement and development of the company's risk management. For the success of enterprise risk management, risk management should be integrated as part of the corporate governance and not as a separate and independent part.
This thesis is divided into two main parts. The first part is a presentation and discussion of the main theory of enterprise risk management and corporate governance, including central framework and recommendations. The second part includes an analysis which is based on in-depth interviews of four Norwegian companies with large international business operating in various industries. We want to take a look at their risk management procedures in the light of current theory and research. The goal is to find out how businesses can adapt their procedures for identifying and assessing risk, risk responses and control activities, communication and reporting, and how roles and responsibilities should be distributed to achieve the success of enterprise risk management.
The findings of our study suggest that there are several factors that are critical to the success of the integration. Among the factors, the corporate culture and the manager's subjective judgment are very important. In addition, a decentralization of the risk management with empowerment and accountability of all employees contribute to an enterprise risk management. Risk management procedures should be built into every working position in the company, where the guidelines must be completely clear. Employees must understand the risks that may occur within their remit. Furthermore, there should be an organizational structure with appropriate roles and responsibility distributions, which must be related to the enterprise risk management. Companies should also balance the amount of control that will take place through people and how much control to place through the management control systems. Risk reporting should be included as part of the regular performance reporting to the Board and management, but should be limited to only the most important risk factors to help executives concentrating on the most important things. In addition, it is important to look at risks as a possibility, not only a threat. | no_NO |
