Är vi tillräckligt mogna inom bolagsstyrning, riskhantering och efterlevnad?

Kraven på befattningshavare och ledningsgrupper längre ner i bolag och organisationers verksamheter ökar med flertalet interna och externa krav. Dessa krav är mer komplexa än tidigare. Samtidigt tenderar organisationer att vara smalare idag. Kan det vara en risk att svaret på efterlevnadsfrågan slentrianmässigt är: Ja, vi uppfyller efterlevnadskraven?

Att uppfylla efterlevnadkrav i praktiken handlar det inte bara om att kommunicera nya krav. Det handlar också om att prioritera, att vara fokuserad när dessa inkorporeras i den dagliga verksamheten samt att förankra dem i företagskultur och företagsstruktur. Det slutar dock inte där, utan man måste även ha bevis för efterlevnad. Vad finns det då för mekanismer bakom företag och organisationers kapacitet att förstå vad dessa krav betyder i praktiker? Vilka risker och konsekvenser finns där och ska man anta nya eller ändrade krav samt hur kan man garantera efterlevnaden?

Svaret är att det finns olika dimensioner. För det första; vilka processer och verktyg har vi implementerat för en lyckat ökad mognadsgrad inom GRC och hur mäter vi våra prestationer? För det andra; hur hittar vi rätt grad och balans i företag och organisationers kultur och struktur? Det är ledningens ansvarsområde att ge vägledning och praktiskt rådde hur man uppfyller efterlevnadskrav. Utöver dessa erfors tillräckliga resurser och verktyg inom implementationer av en balanserad riskbaserad kontrollmiljö, baserat på preventiva och detekterbara kontroller. Det måste implementeras i riskhanteringsprocessen. Det finns dock fallgropar vi måste se upp för.

We are idag mer exponerade än tidigare och i en mer komplex affärsmiljö måste riskkartan hela tiden ritas om. Vissa riskområden har uppstått på såväl globala som lokala bolags agendor med en ökad hastighet av risk för bedrägeri, korruption och överträdelser av företags sociala ansvar.

Med olika konsekvenser såsom risk för direkta kostnader, indirekta kostnader och skador på varumärket ska riskerna varken underskattas eller försummas. Fokuset måste höjas, från enskild ärendeplan till ett holistiskt plan, genom att övervaka sammanslagna risker för att kunna identifiera eventuella mönster och sedan vidta ytterligare åtgärder.

Trianguleringen av kombinerade risker inom bedrägeri, korruption och CSR-överträdelser måste vara integrerad i kontrollmiljön med skräddarsydda kontroller i olika dimensioner. Till exempel måste de vara integrerade i olika verksamheter och regioner med ett pragmatiskt mindset samtidigt som de är en del av riskhanteringsprocessen.

Henrik Frössling
RiskMaturity