Upload
others
View
6
Download
0
Embed Size (px)
Citation preview
Riskhantering – Hur svenska företag hanterar risker
Författare: Samuel Ignell
Harald Justegård
Jens Lindeblad
Handledare: Thomas Karlsson
Termin: VT14
Ämne: Företagsekonomi
Nivå: Kandidatuppsats, 15 hp
Kurskod: 2FE71E
i
Förord
Vi vill börja med att tacka alla som har bidragit till denna uppsats, då den inte kunnat
genomföras på samma sätt utan er hjälp.
Vi vill även rikta ett stort tack till intervjupersonerna;
Per Örtenholm,
Axfood AB
Håkan Molin,
EY
Johan Ahlbäck,
Holmen AB
Respondent,
Swedish Match AB
Lars Stenholm,
Trelleborg AB
Samt de två intervjuade företag som valt att förbli anonyma.
Ett stort tack riktas även till vår handledare, Thomas Karlsson, för konstruktiva syn-
punkter.
ii
Sammanfattning
Titel: Riskhantering – Hur svenska företag arbetar med risker
Författare: Samuel Ignell, Harald Justegård & Jens Lindeblad
Program: Ekonomprogrammet
Handledare: Thomas Karlsson
Institution: Ekonomihögskolan vid Linnéuniversitetet i Kalmar
Bakgrund: Under det senaste decenniet har frågan om riskhantering fått ökat ge-
nomslag och det har växt fram ett behov att identifiera, värdera och hantera risker.
En stark drivkraft till detta har varit de företagsskandaler som har präglat 2000-talet.
Det finns en ständig utveckling inom ämnet och den ligger främst i vad som företa-
gen väljer att ta upp som risker och hur arbetsprocessen utformas.
Syfte: Syftet med uppsatsen är att undersöka hur svenska börsnoterade företag går
tillväga för att hantera och redovisa sina risker.
Metod: Vi har använt oss av en abduktiv ansats för att uppfylla syftet med uppsat-
sen. För att samla in empiri gjordes sju kvalitativa intervjuer som hade en låg grad av
standardisering.
Slutsats: Vi har kommit fram till att företagen som medverkade utgår från standar-
der, men har utvecklat det till ett eget system. Det finns inget klart förhållningssätt
för hur företagens riskredovisning ska se ut, vilket gör att det skiljer sig mellan före-
tagen.
Nyckelord: Riskhantering, Riskredovisning, ERM
iii
Innehåll
1 Inledning ___________________________________________________________ 5
1.1 Bakgrund _____________________________________________________ 5
1.2 Definitioner ___________________________________________________ 7
1.3 Problemdiskussion ______________________________________________ 7
1.4 Frågeställningar ________________________________________________ 8
1.5 Syfte _________________________________________________________ 8
1.6 Målgrupp _____________________________________________________ 8
1.7 Avgränsningar _________________________________________________ 9
2 Metod _____________________________________________________________ 10
2.1 Förförståelse __________________________________________________ 10
2.2 Forskningsstrategi _____________________________________________ 10
2.3 Forskningsansats ______________________________________________ 11
2.4 Datainsamling ________________________________________________ 11
2.4.1 Primärdata _______________________________________________ 11
2.4.2 Sekundärdata _____________________________________________ 12
2.5 Urval av företag _______________________________________________ 12
2.6 Forskningsetik ________________________________________________ 13
2.7 Källkritik ____________________________________________________ 13
3 Referensram _______________________________________________________ 15
3.1 Motivering till val av referensram _________________________________ 15
3.2 FERMA _____________________________________________________ 15
3.3 Svensk kod för bolagsstyrning ____________________________________ 17
3.4 ISO 31000:2009 _______________________________________________ 18
3.5 COSO ERM __________________________________________________ 19
iv
4 Empiri ____________________________________________________________ 21
4.1 Håkan Molin _________________________________________________ 21
4.2 Anonymt företag A ____________________________________________ 22
4.2.1 Årsredovisning ____________________________________________ 23
4.3 Anonymt företag B ____________________________________________ 23
4.3.1 Årsredovisning ____________________________________________ 24
4.4 Axfood AB ___________________________________________________ 24
4.4.1 Årsredovisning ____________________________________________ 25
4.5 Holmen AB __________________________________________________ 25
4.5.1 Årsredovisning ____________________________________________ 27
4.6 Swedish Match AB ____________________________________________ 27
4.6.1 Årsredovisning ____________________________________________ 28
4.7 Trelleborg AB ________________________________________________ 28
4.7.1 Årsredovisning ____________________________________________ 29
5 Analys _____________________________________________________________ 30
5.1 Värdering av referensram _______________________________________ 30
5.2 Hur hanterar företag risker _______________________________________ 31
5.3 Redovisning av risker __________________________________________ 33
5.4 Lagar och regler _______________________________________________ 34
6 Resultat ___________________________________________________________ 36
6.1 Slutsatser ____________________________________________________ 36
6.2 Egna reflektioner ______________________________________________ 37
6.3 Förslag till framtida forskning ____________________________________ 38
Referenser ___________________________________________________________ 39
Bilagor _______________________________________________________________ I
Bilaga 1 - Informationsbrev ___________________________________________ I
Bilaga 2 – Intervjumall ____________________________________________ III
5
1 Inledning
Inledningsvis ska vi ge läsaren en uppfattning om vilken tänkt kunskap som undersök-
ningen ska frambringa. Med hjälp av en bakgrundsinformation har problem identifie-
rats vilket leder fram till undersökningens syfte.
1.1 Bakgrund
Under det senaste decenniet har frågan om riskhantering fått ökat genomslag och det har
växt fram ett behov av ett ramverk för att identifiera, värdera och hantera risker. En
stark drivkraft till detta har varit de företagsskandaler som har präglat 2000-talet och
medfört enorma förluster för både aktieägare, anställda och andra intressenter (Wikland,
2007). En uppmärksammad tidpunkt var år 2001 när ett stort amerikanskt företag, En-
ron, försattes i konkurs och ett förnyat intresse för företags styrelsesätt blev aktuellt.
Den amerikanska federala regeringen upprättade efter företagets kollaps regelverk för
att återupprätta allmänhetens förtroende för styrningen i företagsvärlden (Moeller,
2011). Det var även efter finanskrisen år 2008 som kravbilden angående riskhantering
fick en allt mer central roll i företagens agenda. Orsaken blev starkt kopplad till företa-
gens riskhantering och nya regler började utformas (McShane et al, 2011).
Riskhanteringen i företagen har under senaste 20-30 åren utvecklats. Den största ut-
vecklingen ligger i vad som anses vara en risk. Till en början var det säkerhetsrisker och
brandrisker som prioriterades men på senare tid har det utvecklats (Molin, 2014). Idag
tar företag även hänsyn till andra risker vilket kategoriseras olika beroende på företagets
omfattning. Enligt Wendestam (2008) förekommer bland annat operativa-, strategiska-
och affärsrisker. Exempel på operativa risker är risker relaterade till anläggningen och
olycksfall som kan uppstå i produktionsprocessen. Vidare exempel på strategiska risker
är politiska beslut och marknadsrisker. Affärsrisker innebär vanligtvis valuta- och kredi-
trisker (Wendestam, 2008). Utvecklingen pågår fortfarande och då främst i vilka risker
företagen väljer att ta upp och hur själva arbetsprocessen utformas (Molin, 2014).
Det finns olika initiativ för att få en bättre kontrollerad överblick angående riskhantering
ur ett verksamhetsperspektiv. Ett av de mer omtalade initiativ som växt fram på senare
tid är ERM1, vilket handlar om att ha ett holistiskt synsätt angående riskhantering i
1 Enterprise Risk Management
6
verksamheten. Vad som menas är att företagen försöker kontrollera samtliga risker sam-
lade istället för varje risk för sig, vilket tidigare var fallet med TRM2. Fördelen med att
hantera riskerna med ett helhetstänk är att organisationen får en mer övergripande för-
ståelse över riskerna samt möjlighet att upptäcka eventuella effekter mellan riskerna
(McShane et al, 2011).
En undersökning gjord år 2010 visade att det mest använda initiativet för europeiska bo-
lag är ramverket COSO ERM utformat av COSO3. Ramverket utvärderar intern kon-
troll över företagets finansiella rapportering och visar hur utformning av riskhantering
ska ske och fungera (Toscha, 2012).
Utveckling av COSO skedde på 1990-talet, men det var i samband med införandet av
den amerikanska lagstiftningen SOX4 som COSO verkligen växte fram. SOX blev aktu-
ellt på grund av redovisningsskandaler som präglade amerikansk ekonomi under tidigt
2000-tal. Bland annat var då företag som Enron och Worldcom på agendan. SOX inne-
bar nya standarder för ledning och synen på ansvarsroller i företag. Svensk kod för bo-
lagsstyrning är Sveriges motsvarighet på SOX, men används mer som riktlinjer än
tvingande regler. Koden syftar främst till att bidra med en positiv utveckling av bolags-
styrningen i företag och på så sätt stärka förtroendet för svenska bolag. Koden gällde
först bara större företag på börsen men blev år 2008 även tillämplig på mindre företag.
Som en följd har de formella kraven på hur företagen styrs ökat. Det har skapat fokus på
begreppet bolagsstyrning i styrelser och bland aktieägare, med krav på företagsledning-
en att visa upp en effektiv riskhantering som en naturlig följd (Svernlöv, 2011).
I Sverige har det, jämfört med andra länder, länge varit ett svagt intresse att lagstifta och
sätta krav på ledning och styrelse inom området. Det yttersta ansvaret för riskhantering
har styrelsen och under senaste åren har ansvaret preciserats och fått en mer klar inne-
börd (Toscha, 2012).
Revisionsbyrån PwC har gjort globala undersökningar under senaste åren som tyder på
att styrelse och ledningsgrupper lägger mer och större vikt vid att utveckla sin riskhante-
2 Traditional Risk Management 3 Committee of Sponsoring Organizations of the Treadway Commission 4 The Sarbanes Oxley Act
7
ring, detta eftersom affärsmiljön blir allt mer komplex och volatil5. Efter finanskrisen
klarade sig vissa företag bättre än andra vilket har inneburit att företag som hade det
svårare nu vill komma ikapp sina konkurrenter med hjälp av en förbättrad riskhantering.
En viktig aspekt är hur pass bra riskhanteringen skall skötas för att anses vara tillräcklig.
Balansen mellan nytta och kostnad blir avgörande när ledning avgör om arbetet bör för-
bättrats jämfört med dagens hantering och hur det ska kunna mätas. Att öka förståelsen
om företagets osäkerhet kan innebära en rad konkurrensfördelar (Toscha, 2012).
1.2 Definitioner
Här kommer vi att definiera två viktiga begrepp i uppsatsen, riskhantering och riskre-
dovisning, efter hur de kommer att användas i undersökningen.
“Risk management means taking deliberate action to shift the odds in your favor - in-
creasing the odds of good outcomes and reducing the odds of bad outcomes”
(Borge, 2001, the book of risk, s. 4). Att medvetet skifta oddsen till sin egen fördel ser
vi som en mer allmän definition om riskhantering. Håkan Molin, riskrådgivare på EY6,
berättade för oss under en telefonintervju att det är viktigt att skilja på riskhantering och
riskredovisning (Molin, 2014). Riskhantering enligt vår mening är hur företagen arbetar
med att identifiera och hantera sina risker och med risker menar vi alla sorters risker,
allt från finansiella till operationella risker. Vidare är riskredovisning vanligt förekom-
mande i undersökningen, skillnaden är att vi då menar hur företagen redovisar sina ris-
ker.
1.3 Problemdiskussion
Det har under senare år blivit en bättre riskhantering från svenska börsnoterade bolag
med bättre information och en högre kvalitet gällande risker (Molin, 2014). Det finns
även lagkrav i årsredovisningslagen, 6kap 1§ tredje punkten där det står att upplysning-
ar ska lämnas om: “företagets förväntade framtida utveckling inklusive en beskrivning
av väsentliga risker och osäkerhetsfaktorer som företaget står inför”. Molin (2014) på-
talar att ur en investerares perspektiv är det väldigt viktigt att på ett tydligt sätt få så
mycket information som möjligt om de risker som företag står inför. Det kan vara en
avgörande faktor som leder till att en investerare är beredd att betala ett högre aktiepris.
5 Prisrörlighet på bland annat aktier 6 Tidigare Ernst & Young
8
Trots detta bortser många företag från att ha med ett avsnitt i årsredovisningen som tar
upp information om risker som berör verksamheten (Molin, 2014).
Istället för att se möjligheterna med riskhantering, är det många företag som har en ne-
gativ inställning till att nämna ordet risk i sin redovisning. Företag som är medvetna om
sina risker kan på ett bättre sätt hantera dem. Möjligheter som företaget kan se är af-
färsmöjligheter samt påverkan på budget, finansiella mål och strategiska beslut. Företag
kan bättre bemöta intressenter och enklare leva upp till de krav som intressenter har att
ständigt få information kopplade till framtiden . Ser företag möjligheter med riskhante-
ring kan det bli ett hjälpmedel för att uppnå målsättningar och nyttja resurser rätt i en
organisation. Verktyg för att hantera risker i verksamheten skiljer sig åt mellan olika
branscher. De standarder som finns beskriver på ett övergripande sätt syfte, struktur,
mål och processer för riskhantering (Toscha, 2012).
1.4 Frågeställningar
Hur arbetar företagen med riskhantering, följer de någon särskild standard eller har de
utvecklat ett eget system?
Redovisar företagen sina risker och i så fall i vilken utsträckning?
1.5 Syfte
Syftet med uppsatsen är att undersöka hur svenska börsnoterade företag går tillväga för
att hantera och redovisa sina risker.
1.6 Målgrupp
De primära målgrupperna för uppsatsen är främst ekonomistudenter och företagsled-
ningar. Vi anser att uppsatsen kan bidra med kunskap för studenter som i framtiden
kommer i kontakt med redovisning i det dagliga arbetet, men även för företagsledningar
som vill ha mer insikt i ämnet. Vi hoppas även att gemene man ska se uppsatsen som
intressant och lärorik, vilket bidrar med ökad förståelse kring svenska börsbolags risk-
hantering.
9
1.7 Avgränsningar
Vi valde att avgränsa undersökningen till Nasdaq OMX Nordic Stockholm, även kallad
Stockholmsbörsen, och på företag som handlas på mid-7 och large cap8. Stockholmsbör-
sen valdes då vi ville begränsa undersökningen till Sverige för att skapa en större rele-
vans och lättare kunna få kontakt med företag. Att undersöka företag med en omfattande
verksamhet ansåg vi hade ett större mervärde än att undersöka mindre, icke-noterade
svenska företag på grund av olika faktorer. Den främsta orsaken till avgränsningen var
att börsnoterade företag har ett större antal intressenter i form av bland annat aktieägare,
kunder, leverantörer och fordringsägare som har en hårdare kravbild gällande informat-
ionsutbyte från företaget (COSO, 2004).
7 Mid cap, företag med börsvärde mellan 150 miljoner och 1 miljard euro 8 Large cap, företag med börsvärde över 1 miljard euro
10
2 Metod
I kapitlet om metod ska vägval kartläggas och hur resultat i studien växt fram. Veten-
skapliga aspekter såsom insamling av empirsikt material, urvalsstrategier och analys-
metod kommer presenteras. Tillsammans med att beakta forskningsetiska överväganden
kommer läsaren skapa sig en uppfattning kring viktiga beslut om tillvägagångssätt samt
upplägg för studien.
2.1 Förförståelse
Vi som har författat uppsatsen går det tredje och sista året på ekonomprogrammet med
inriktning mot ekonomistyrning och redovisning. Det valda ämnet i uppsatsen växte
fram när vi fick uppfattningen om att riskredovisning i framtiden kan komma att bli ett
arbetsområde för oss. I och med vår utbildning har vi en bra grund och kunskap om re-
dovisning, men kunskapen inom det valda ämnet riskhantering är inte lika bra. Att
komma in med liten vetskap om ett ämne ger både för och nackdelar, ur en positiv syn-
vinkel kunde vi på ett mer öppet sätt ta till oss av vad vi fick fram då inga förutfattade
tankar fanns. Samtidigt kan den teoretiska referensramen påverka och försumma det kri-
tiska tänkandet och göra att brister inte upptäcks.
2.2 Forskningsstrategi
När strategi för undersökningen valdes stod det mellan kvalitativ och kvantitativ (Patel
& Davidsson, 2011). Valet blev att använda en kvalitativ strategi och tyngdpunkten är
att samla in empiri från ett fåtal intervjuer.
Med en kvalitativ undersökning ges ett mer djup i ämnet eftersom intervjufrågorna och
svaren kan bli mer precisa och följdfrågor kan ställas på svaren (Patel & Davidsson,
2011). Kvalitativ forskning handlar oftast om att se på ett stort antal variabler och ett li-
tet antal individer och information ska som sagt analyseras på djupet hänfört till ett spe-
cifikt fenomen (Olsson & Sörensson 2011). Frågeställningar som “hur och varför” läm-
par sig mer till kvalitativa studier och forskaren strävar efter att försöka förstå ett feno-
men i den sociala världen (Bryman & Bell, 2013). Vi vill med denna undersökning för-
söka förstå och förklara hur företag arbetar med sin riskhantering. Därför anser vi att en
kvalitativ undersökning är bäst lämpad, då vi kan använda oss av intervjuer som kan ge
oss mer utvecklade svar.
11
2.3 Forskningsansats
Det centrala problemet är hur teori och empiri ska kopplas. Här har forskaren tre olika
vägar att gå för att se förhållandet mellan teori och empiri, deduktivt, induktivt eller ab-
duktivt arbetssätt. Deduktivt arbetssätt innebär att forskaren utgår ifrån befintliga teo-
rier och principer och utifrån dessa drar slutsatser. Med andra ord finns det en teori som
visar relationer mellan olika förhållanden i verkligheten (Patel & Davidson, 2011). Det
andra förhållandet, induktion, handlar om att forskaren utgår från upptäckter i verklig-
heten. Själva upptäckterna bearbetas sedan och kopplas samman för att bilda en teori.
Abduktion är ett förhållningssätt där forskaren växlar mellan deduktion och induktion,
med hjälp av induktion ger forskaren information om området som berörs av forskning-
en. Genom deduktion ökas sedan kunskapen vilket sker på grund av att studera tidigare
teoretiska grunder. Abduktion har alltså en koppling mellan det teoretiska perspektivet
och tolkning som forskare gör av verkligheten (Olsson & Sörensen, 2011). I forsknings-
arbete används ofta abduktion och en fördel är att med hjälp av tidigare teorier få en mer
trovärdig tolkning av verkligheten. I och med att insamling av sekundärdata inom om-
rådet samt att teoretisk anknytning har hämtas, för att sedan stämma av verkligt utfall
inom området har ett abduktivt förhållningssätt valts.
2.4 Datainsamling
2.4.1 Primärdata
Informationsinsamling har en central roll vid tillämpning av kvalitativ forskningsmetod.
Syftet är att karaktärisera något och detta sker genom att söka beskrivningar och mo-
deller som bäst beskriver området. Primärdata är insamlat till ett specifikt ändamål med
ett specifikt syfte. Olika typer av insamling är intervju, fokusgrupp, observation, fallstu-
dier och skrivna dokument/texter. Gemensamt för all insamling av primärdata vid kvali-
tativ forskning är tidsåtgång (Olsson & Sörensen, 2011).
Primärdata samlades in med hjälp av intervjuer hos svenska börsnoterade företag. En
fysisk intervju ökar trovärdigheten i inkomna svar eftersom forskare kan föra observat-
ioner under intervjuerna. Tyvärr hade vi inte möjlighet att genomföra bokade intervjuer
fysiskt utan det skedde över telefoni på grund av ekonomiska begränsningar. De flesta
intervjupersoner fanns på plats i Stockholm och Malmö vilket skulle innebära kost-
samma resor. På så sätt hade vi inte möjlighet att genomföra observationer när primär-
data samlades in.
12
De intervjuer som genomfördes var uppbyggda med låg standardisering och struktur
vilket passar när syftet är att göra en kvalitativ analys av det insamlade resultatet (Patel
& Davidson, 2011). Låg standardisering innebär i detta fall att frågorna gav intervjuper-
sonen utrymme för att svara fritt med egna ord. Intervjufrågorna var formulerade i för-
väg och ställdes i den ordning som föll sig bäst in i de enskilda fallen, med andra ord en
låg grad av strukturering. Enligt Olsson och Sörensen (2011) bör intervjuns syfte och
problemformulering vara väldefinierat för att lyckas uppnå ett bra resultat. Förberedel-
ser skedde genom att upprätta en intervjuguide. På så vis försäkrade vi oss om att inte i
alltför stor utsträckning hamna utanför ramarna utan fick ett hjälpmedel och kunde
medvetet kontrollera att intervjun ändå berörde de områden som var tänkta att diskutera.
Under telefonintervjuerna var alla tre medverkande varav en ställde frågor och de två
övriga antecknade.
2.4.2 Sekundärdata
Primärdata som samlades in under intervjutillfällen ses inte som tillräckligt för att ge-
nomföra studien. Information som hämtas från andrahandskälla kallas sekundärdata.
Datamängden är insamlad vid ett tidigare tillfälle och i ett annat syfte än i vilket den an-
vändes för. Vi hämtade information från medverkande företags årsredovisningar, detta
för att enklare analysera kvalité och trovärdighet från de svar som kom i intervjuer. Vi-
dare har litteratur, forskningsartiklar och internet varit ett bidrag för insamling av se-
kundärdata. Nackdelar med den här typen av datainsamling är att det kan vara proble-
matiskt att stämma av ursprungliga källor då andra författare redan gjort en tolkning uti-
från sitt eget perspektiv. Sekundärdata är även svårtillgänglig och otillräcklig i många
undersökningar vilket ses som nackdelar (Olsson & Sörensson, 2011). Fördelar som vi
haft med att nyttja sekundärdata är både tids- och resursbesparing. Det skapar även en
bra bild kring bakgrundsinformation och bidrar med variation då andras tankar ingår.
2.5 Urval av företag
Genom mail kontaktades sammanlagt ett trettiotal företag på Stockholmsbörsen med en
förfrågan om de var intresserade av att delta i undersökningen. Anledning till ett mass-
utskick var problematiken med att få företag att ställa upp och hinna med att genomföra
intervjuer inom den tidsram som fanns. Exempelvis inkom svar från företag att de en-
bart kunde tänka sig att deltaga om uppsatsen var helt inriktat på deras organisation.
13
Vi valde att bortse från ett par branscher på grund av att de genom hårdare lagstiftning
är mer styrda. Det är främst bank- och försäkringssektorn som har kommit längst med
lagstiftningen genom baselfördragen och solvens II. Detta är regelverk som berör hante-
ring av kreditrisker, marknadsrisker och operationella risker samt hantering av försäk-
ringsrisk och likviditetsrisk (Wendestam, 2008). Vi anser att ett större intresse finns att
hämta hos företag som inte har en sådan typ av reglering utan har en större valmöjlighet
gällande riskhantering. Detta mynnade ut i att sex företag valdes, Axfood AB, Holmen
AB, Swedish Match AB, Trelleborg AB samt två företag som ville vara anonyma i
undersökningen.
2.6 Forskningsetik
Viktigt vid en undersökning är att på rätt sätt förhålla sig till forskningsetiska krav som
råder. Vi har tagit del av Patel och Davidsons (2011) syn på vilka kraven är och på så
sätt fått en klar bild över området. Till en början är det viktigt att tänka på integritetsfrå-
gor, att alla uppgifter som inhämtats har behandlats konfidentiellt om så önskats (Patel
& Davidson, 2011). Vi var noggranna att upplysa personerna kring detta, både i den
allmänna information som skickats i samband med bokning av intervjuer, men även un-
der själva intervjuprocessen. Vi har tagit upp frågan om rätt till anonymitet med våra re-
spondenter, om vi får lov att använda oss av namn på företag och intervjuperson. Slutli-
gen informeras det att intervjupersonens svar är frivilligt och vi anser att det är viktigt
att upplysa respondenterna om de forskningsetiska principerna för att motivera till med-
verkan i vår undersökning.
2.7 Källkritik
Att kritiskt granska alla källor är viktigt för att skapa en trovärdig uppsats. Det var extra
viktigt när vi granskade företagens årsredovisningar att vi var kritiska. Då det är de
själva som har skrivit och kan ha vinklat det för att se så bra ut som möjligt, vilket kan
ge en felaktig bild. Att vara kritisk till annan sekundärdata var också viktigt då författa-
ren kunde ha lagt in egna åsikter och tankar som kunde ha påverkat. Däremot när vi an-
vände oss av vetenskapliga artiklar kunde vi vara mindre kritiska då dessa är granskade
på ett helt annat sätt. När vi samlade in primärdata i form av intervjuer var det viktigt att
vara kritisk till det också eftersom intervjupersonen kunde undanhålla information som
kunde påverka vårt utfall.
14
Gällande förberedelser inför intervjuerna var frågan om utskick av frågor i förväg skulle
göras eller inte. Att skicka frågorna innan intervjun gör att den intervjuade kan förbe-
reda sig och därmed komma med mer genomtänkta svar. Personen kan också ha inhäm-
tat information som denne inte hade från början vilket kan vara både en för- och nack-
del. Risken är dock att få standardiserade svar och mindre spontanitet vilket innebär att
intervjun inte blir lika djupgående och personlig. Kritik kan även riktas mot antalet in-
tervjuade företag. Då tidsramen för undersökningen gjorde att ett så stort urval inte
kunde intervjuas, vilket minskar trovärdigheten och en felaktig generalisering kan lätt
uppstå. Kritik kan riktas mot valet av referensram eftersom vi besitter en liten förförstå-
else och på så sätt inte kunnat vara kritiska till informationen.
15
3 Referensram
I detta avsnitt presenteras teorier som används i studien. Det teoretiska ramverket har
funnits som underlag när vi analyserat och kommit fram till slutsatser kring insamlad
empiri.
3.1 Motivering till val av referensram
Kontroll, styrning och redovisning med hänsyn till riskhantering har kommit att bli ett
lagkrav för att bedriva näringsverksamhet i vissa länder. Vi har här valt att presentera de
tre standarder och ett regelverk som tagits fram för svenskt näringsliv. De tre ramverk
som valts är FERMA, ISO 31000 och COSO ERM. En undersökning gjord av FERMA
gav resultatet att dessa tre var de mest använda ramverk på europeisk marknad (Ferma,
2010). Vidare valdes Svensk kod för bolagsstyrning som i uppsatsen ibland kommer
benämnas som “koden” eller “bolagskoden” gäller för alla börsnoterade bolag i Sverige.
Koden tillämpas efter “följ-eller-förklara-principen”, vilket innebär att bolagen som inte
följer koden måste motivera varför de inte gör det. Eftersom koden innehåller rutiner
som ska säkerställa att principer för finansiell rapportering och internkontroll följs så
anser vi att det är ett viktigt regelverk kopplat till riskhantering. Dessa tre standarder
och svensk kod för bolagsstyrning kommer användas för att ge en bättre förståelse över
vad riskhantering innebär och hur företag ska gå till väga för att få ut så mycket som
möjligt av sin riskhantering.
3.2 FERMA
Medlemsorganisationen FERMA9 är ledande i Europa för risk management och har till-
sammans med ett antal intresseorganisationer skapat en standard. I Sverige har FERMA
en svensk organisation, SWERMA10, som arbetar med att utveckla och driva riskhante-
ring framåt. Frågan om styrelsens ansvar för att risker hanteras på ett tillräckligt kon-
trollerat sätt är viktig och standardens innehåll ger en struktur för hur arbetet med risk i
en organisation borde fungera och hur en riskhanteringsprocess ser ut (Wendestam,
2008; Ferma, 2003).
9 Federation of European Risk Management Associations 10 Swedish Risk Management Association
16
Sammanlagt innehåller processen sju områden och målet ska vara att uppnå nytta för
både varje enskild aktivitet och för helheten på kort och lång sikt. Riskvärdering inne-
fattar alla påverkande faktorer i samband med riskhantering vilka är flertalet och ofta
betyder osäkerheter. Riskanalys tar upp identifiering och tydliggörande kring alla risker
som företaget är utsatt för. Tyngdpunkten ligger i att kategorisera risker efter osäkerhet
och vilka konsekvenserna blir om riskerna inträffar (Ferma, 2003).
Ferma (2003) belyser att risker kan kategoriseras på ett antal sätt, vilket är enligt föl-
jande; strategiska, taktiska, operativa, ekonomiska, kunskap och information, efterlev-
nad, projektrelaterade, processrelaterade. Strategiska risker kännetecknas av sådana
risker som kopplas till långsiktiga målsättningar och påverkas av exempelvis politiska
beslut, ändring av lag och regelverk, omvärlden och tillgång av kapital. När det rör sig
om taktiska risker handlar det om hur organisationen gått tillväga för att uppnå strate-
giska mål. Operativa risker är sådana inom det dagliga arbetet, exempelvis förlust av
nyckelpersoner eller kvalitetsbrister. Vidare finns ekonomiska risker vilka är relaterade
till ekonomistyrningen och påverkan från yttre faktorer, exempelvis valutarisker, till-
gång av krediter och förändring i räntor. Kunskaps- och informationsrisker är som det
låter risker som kan uppstå vid kunskapsresurser, kommunikation och informationshan-
tering. Risker som hänför sig till olika regelverk som exempelvis hälsa och säkerhet,
miljö, konsumentskydd och författningar är kategoriserade som efterlevnadsrisker
(ibid.).
Slutligen finns två kategorier till gällande risker vilka är projektrelaterade och process-
relaterade. I förstnämnda, projektrelaterade, tillhör risker som uppstår vid alla aktiviteter
som drivs i projektfrom. Processrelaterade är risker som hänför sig till processer som
organisationen arbetar efter. Alla de risker som kategoriseras bör beskrivas på ett struk-
turerat sätt. Detta kan ske med hjälp av tabeller men även genom kvantitativa metoder
där kalkylering blir en viktig faktor. Vid bedömning av risker sker en jämförelse med
organisationens acceptabla nivå. Detta kan vara utformat på olika vis såsom lagkrav,
nyttokostnad, betydelse för intressenter men även miljömässiga faktorer. Med hjälp av
bedömningen kan organisationen sortera och skapa en uppfattning om hur pass allvar-
liga risker är för organisationen och besluta om åtgärder bör vidtas. Slutligen är rappor-
17
tering och kommunikation ett måste i organisationen. Styrelse och ledning måste få in-
formation om särskilda ändamål för att kunna styra organisationen gynnsamt gällande
riskhantering. Även personalen måste ha viss information för att hantera risker i deras
arbetsuppgifter. Informationsflödet är alltså viktigt internt men det är än så viktigt att
föra en extern dialog och informera intressenter angående risker och hur väl organisat-
ionen uppfyller de målsättningar som finns gällande riskhantering (ibid.).
3.3 Svensk kod för bolagsstyrning
Svensk kod för bolagsstyrning kom till för att öka förtroendet för bolagen hos allmän-
heten och på så vis stärka den svenska kapitalmarknaden, vilket i sin tur stärker den in-
ternationella kapitalmarknaden. God bolagsstyrning innebär att ledstjärnan i bolagen är
ägarnas intresse. Bolagskoden är en regelsamling för bolagsstyrning och infördes på
Stockholmsbörsen den 1 juli 2005. Koden var då tillämplig på alla företagen som var
listade på A- listan och de större företagen på O-listan. Dessa listor grundade sig på hur
omsatta företagen var på börsen, där de på A- listan var mest omsatta. Listorna är nu er-
satta av large-, mid- och small cap. Den 1 juli 2008 kom förslaget att koden skulle gälla
för alla företagen på Stockholmsbörsen oavsett storlek. Anledningen till ändringen var
främst att det ansågs lika viktigt för de mindre bolagen att ha en bra bolagsstyrning. En
ändring gjorde även så att Sverige var på samma linje som övriga medlemsländer i EU,
där de flesta börsbolag följer en nationell bolagsstyrningskod (bolagsstyrning.se).
Syftet med bolagskoden är att den ska fungera som ett komplement till gällande lag-
stiftning och ange en norm för vad som är god bolagsstyrning. Företagen är dock inte
tvingade att följa denna norm utan kan frångå den på vissa punkter. Däremot måste de
kunna motivera varför de inte följt normen och tydligt visa hur de frångått från den. I
koden tas regler upp avseende information om bland annat bolagsstyrning, bolags-
stämma samt styrelsens uppgifter, storlek och sammansättning (Bolagsstyrningskolle-
giet, 2010). Det står bland annat “Styrelsen ska årligen i en bolagsstyrningsrapport och
på sin webbplats informera aktieägare och kapitalmarknad om hur bolagsstyrningen i
bolaget fungerar och hur bolaget tillämpar Svensk kod för bolagsstyrning” (Bolags-
styrningskollegiet, 2010, s. 23).
18
När koden togs fram angavs vissa principer som ska vägleda hur koden ska verka. Ko-
den ska:
● Skapa förutsättningar för utövandet av en aktiv och ansvarstagande ägarroll
● Skapa en tydlig och väl avvägd roll- och ansvarsfördelning mellan ägare, sty-
relse och ledning
● Värna om att aktiebolagslagens likabehandlingsprincip tillämpas i praktiskt
handling och skapa största möjliga öppenhet gentemot ägare, kapitalmarknad
och samhället i övrigt (Svernlöv, 2011).
3.4 ISO 31000:2009
Är en internationell standard som innehåller principer och generella riktlinjer för risk-
hantering. Standarden kan användas av offentliga, privata eller kommunala verksamhet-
er, organisationer, grupper eller individer när de arbetar med riskhantering (SIS.se).
Organisationer ställs inför externa och interna influenser som skapar osäkerhet gällande
deras målsättning. Den effekt som osäkerheten har på en organisations mål kallas för
risk. Alla organisationer hantera risker i någon form av utsträckning, detta kan ske på
hela organisationen eller på vissa nivåer, områden eller bara på enskilda projekt (SIS,
2009).
För att riskhanteringen ska bli mer effektiv ger standarden ISO 31000 ett antal principer
och riktlinjer som företagen kan följa. Standarden ger rekommendationer om att organi-
sationer ska utforma ett ramverk för sin riskhantering och sedan ständigt försöka för-
bättra det. Ramverket för organisationens riskhantering ska implementeras och vara in-
tegrerat med företagets strategi, styrning, ledning och kultur (ibid.).
Syftet när ISO 31000 togs fram var således inte att skapa en riskhanterings modell som
skulle se ut på samma sätt i alla organisationer. Hur varje enskild organisation ska ut-
forma sin riskhantering beror på deras struktur, mål, kontext, process, tjänster, tillgångar
och kultur. Standarden fungera inte som en certifiering utan ger riktlinjer och harmoni-
serar med redan befintliga och kommande standarder genom att tillhandahålla ett ge-
19
mensamt tillvägagångssätt som stöd till dessa. Standarden är anpassad för att flera olika
intressenter ska kunna använda den, både de som ska utveckla en riskhanteringspolicy,
de ansvariga för att risker hanteras, de som utvärdera ett företags riskhantering och för
de som utvecklar nya standarder (SIS, 2009).
Standarden ger organisationer elva principer som de borde följa på alla nivåer inom fö-
retaget för att få en lyckad och effektiv riskhantering. Dessa principer är en av tre punk-
ter som standarden trycker på, de andra två är ramverk och processer. Principerna är
grunden för att ta fram en riskhanteringspolicy som ska genomsyra hela organisationens
arbete med riskhanteringen. Ramverket i sin tur förklarar hur en framtagen riskhante-
ringspolicy ska implementeras i organisationen och sedan kontinuerligt granskas för att
kunna förbättras. Processen förklarar hur organisationer kan gå till väga från att risken
identifieras till att den behandlas. En viktig del i processen är att organisationen bör föra
en dialog med både interna och externa intressenter om hur riskhanteringen ska gå till.
Mål för vad som eftersträvas både internt och externt ska också tas upp under processen
och bejakas (ibid.).
3.5 COSO ERM
COSO har tagit fram ett ramverk för att underlätta och låta alla typer av företag förstå
och bättre hantera sina riskmiljöer. Det hela tog sin början år 2001 när COSO slöt kon-
trakt med revisionsbyrån PWC för att utveckla en gemensam enhetlig definition för
riskhantering. Resultatet blev COSO ERM ramverk och själva definitionen var följande;
“Enterprise risk management, ERM, är en process som påverkas av ett företags sty-
relse, ledning och annan personal. ERM tillämpas i en strategisk miljö och i hela före-
taget samt är utformad för att identifiera potentiella händelser som kan påverka företa-
get. För att ge rimlig säkerhet avseende hur väl organisationens mål uppnås hanterar
ERM risker för att vara i sin riskaptit.” (Översatt från Moeller, 2011, s. 53).
Risk enligt COSO betyder en möjlig händelse i framtiden som negativt kan påverka fö-
retagets strävan att nå målsättningar. Ramverket är anpassat för att kunna nå organisat-
ionens målsättningar vilket delas in i fyra kategorier; strategiska mål, operativa mål,
20
rapporteringsrelaterade mål samt efterlevnadsrelaterade mål. Med hjälp av en övergri-
pande riskhantering kan organisationen försäkra sig om till en rimlig nivå att målsätt-
ningen kommer kunna uppnås inom de olika kategorierna. Riskhanteringen består av
åtta komponenter som behövs för att uppnå målsättningen och utgår från hur ledningen
driver företaget. Komponenterna handlar om den interna miljön, hur arbetsklimatet är
utformat och hur medarbetare förhåller sig till ledningens riskhanteringsfilosofi som ge-
nomsyrar verksamheten. Vidare ska riskhantering säkerställa att ledningen formulerat
målsättningen inom ramen för den riskaptit som finns i verksamheten. Externa och in-
terna händelser som sedan påverkar målsättningen måste preciseras som risker och möj-
ligheter (Wikland, 2007).
Risker ska analyseras med utgångspunkt för sannolikhet för att de inträffar och ledning-
en ska utforma vilka åtgärder som ska vidtas för att reducera riskerna så mycket som
möjligt. Slutligen är det viktigt att kontrollera och föra riktlinjer över att riskåtgärder
genomförs och övervaka genom uppföljning och ledningsaktiviteter. Information och
kommunikation ska även regelbundet ske inom organisationen. Komponenterna är ett
kriterium för en effektiv riskhantering och alla anställda har något form av ansvar. På så
sätt handlar riskhantering om att ha ett helhetstänkande inom organisationen. Riskhante-
ringsprocessen ska vara flexibel och kunna anpassas till förändringar som är av yttre
och inre miljö, på så sätt kan företag möta framtida hot på ett bra sätt (ibid.).
21
4 Empiri
I följande kapitel, empiri, är insamlat material från intervjuerna samlade. Val av upp-
lägg blev att presentera företag var för sig istället för att utgå från frågorna och fram-
föra ett samlat svar från företagen. Vi anser att det blir enklare för läsaren att förstå fö-
retagens förhållningssätt genom detta upplägg då det ger ett helhetsperspektiv om före-
taget. Till en början ges en företagspresentation, för de företag som inte är anonyma.
Därefter presenteras intervjuerna för att avslutas med data från årsredovisningar.
4.1 Håkan Molin
För att få en ökad förståelse och en syn på riskhantering från ett annat perspektiv valde
vi att ha en intervju med Håkan Molin, EY, som är med och delar ut pris till det företag
som bäst redovisar sina risker. Därför anser vi att han kan ge oss en bra bild om ämnet
och vad en god riskhantering handlar om.
Angående priset som EY årligen delar ut till det företag som bäst redovisar sina risker i
årsredovisningen, berättar Molin att de utgår från en modell med fyra kriterier. Dessa är
tillgänglighet, arbetssätt, riskhantering i strategin och riskbeskrivning. Men priset behö-
ver inte alltid gå till det företag som är bäst på alla punkter utan tanken med priset är att
lyfta fram bra exempel på hur en riskredovisning kan se ut. Det är därför som det alltid
är nya vinnare varje år, då olika företag och branscher har olika bra saker att lyfta fram.
När de granskar företag är det inget krav att de ska ha utgått från någon standard även
om det inger en viss grad av trovärdighet. Molin menar på att det syns om ett företag
har en bra grund för sin redovisning eller om det är någon på marknadsavdelningen som
har satt i ihop något. Dock är det viktigt att ta upp att företagen bara ska använda stan-
darderna som riktlinjer och inspiration eftersom de standarder som finns bara är en mall
över en verklighet som inte riktigt finns.
Molin påtalade svårigheten med att mäta effekten av företagens riskhantering och mel-
lan år 2012-2013 gjorde Molin och EY en studie på detta. En extern firma som arbetar
med analys fick då i uppdrag att jämföra mognaden av ett företags riskhantering med
utvecklingen av deras historiska avkastning. Där framkom det att företag som hade
bättre riskhantering även hade bättre avkastning, dock ska det påpekas att det är oklart
22
om sambandet ligger i företagens riskhantering eller om det bara är bra företag. Men
studien påvisar också att bolag med dålig riskhantering även hade haft sämre utveckling
på sin avkastning.
På frågan om varför det är så många företag som fortfarande inte redovisar sina risker
berättade Molin att de flesta företag har med det som upplysningar i noter. Men EY ser
inte det som tillräckligt även om det räcker enligt årsredovisningslagen. Han tror att
många företags problem med riskredovisningen är avvägningen på hur transparenta de
ska vara. Detta eftersom det är en balans mellan hur mycket framtidsinformation de vill
ge sina intressenter, då riskredovisningen som ges i princip är den ända information som
ges om framtiden, och hur mycket information om sina risker som de vill ge sina kon-
kurrenter. Det skiljer också mellan olika branscher där till exempel finanssektorn ligger
långt fram medan till exempel mediesektorn inte är på samma nivå.
I framtiden är Molin säker på att det kommer bli ett striktare regelverk men han skulle
istället vilja se en form av god praxis. Då allmänheten ska investerar med sina sparade
pengar i olika bolag bör alla bolag har någon form av miniminivå av standard. Det ska
dock inte vara en mängd detaljerade regler utan istället mer principstyrt.
4.2 Anonymt företag A
Ett företag inom tillverkningsbranschen som är noterat på NASDAQ OMX Stockholm,
Large cap. Företaget har valt att förbli anonymt i undersökningen och vi genomförde en
intervju med en anställd som hade god inblick i verksamhetens riskhantering.
Företaget har under en längre tid arbetat med riskhantering men det var vid år 2009 som
de började arbeta efter Business Continuity Management, som är ett Corporate Go-
venance Policy dokument. Där har alla företagen i koncernen skrivit på att de ska följa
och arbeta efter policyn som innehåller riktlinjer för hur de ska hantera risker inom alla
möjliga områden, allt från kontraktshantering till de finansiella aspekterna. Modellen för
deras riskhantering är egenutvecklad med grundläggande parametrar från de standarder
som finns. De utgår även från svensk kod för bolagsstyrning.
När de ska identifiera risker finns inget fokus på de mindre utan undersökning sker end-
ast på större risker som kan ställa till problem för företaget. Fokus ligger på de risker
23
som kan orsaka avbrott i tillverkningsprocesserna. När riskerna identifierats görs en bu-
siness impact analys där riskerna analysera och delas upp i långa och korta avbrott där
de långa avbrotten prioriteras. Därefter görs en lost provention vilket innebär att räkna
ut vad det skulle kosta om en risk inträffade, till exempel en brand. Varje bolag i kon-
cernen har sin egen riskidentifiering som de sen gör sin business impact analys och lost
prevention på.
4.2.1 Årsredovisning
Företaget har använt sig av riskredovisning så långt som vi kan komma i deras årsredo-
visning (2002) och det benämns “Finansiell riskhantering” samt “Operationell riskredo-
visning”. Dessa två kapitel har sedan många underrubriker så som till exempel “valuta-
risker” och “risk för kundförluster”. Vidare finns flertal stycken där risker benämns och
hur de ska undvikas, exempelvis inom hälsa och säkerhet. Rutiner finns som syftar till
att identifiera och utvärdera de risker som kan påverka den interna kontrollen. Dessa ru-
tiner omfattar bland annat riskbedömning i samband med strategisk planering, progno-
ser och förändring i redovisningsregler för att säkerställa att de följs korrekt (Anonymt
företag A, 2013).
4.3 Anonymt företag B
Ett börsnoterat företag på Stockholmsbörsen, Mid cap. Verksamhet bedrivs inom bran-
schindex dagligvaror och företaget kommer på grund av önskemål förbli anonymt i
undersökningen. Efter kontakt med företaget om vår undersöknings innehåll fick vi
kontaktuppgifterna till vår intervjuperson som jobbade på företagets ekonomiavdelning
och som ansågs ha god kunskap inom ämnet.
Till en början förklarade intervjupersonen att företaget under längre tid hanterat risker.
Efter börsnotering uppkom särskilda krav, bland annat inom finansiella risker och hur
de skulle hanteras. På frågan om verksamheten utformat sin riskhantering efter en stan-
dardmodell svarar intervjupersonen att det finns utarbetade system som skiljer sig över
affärsområden. Företaget följer med andra ord ingen standard utan har utformat sitt eget
förhållningssätt. Däremot följer företaget svensk kod för bolagsstyrning.
Vidare berättade intervjupersonen att det inte finns någon speciell avdelning som har ett
riskansvar utan ansvar finns på chefsnivå, exempelvis har ekonomichefen ansvar för de
24
finansiella riskerna i företaget. På frågan om alla anställda har en bra bild över vilka ris-
ker som finns svarade intervjupersonen att de ska läsa verksamhetsrapporter som inne-
håller ett riskområde. De centrala risker som företaget hanterar framgår på företagets
hemsida och är framförallt säsongs- och väderleksberoende. Ett projekt pågår i dagslä-
get för att säkra upp klimatrisker. Vi avslutade intervjun med att diskutera synen på
framtida aspekter gällande riskhanteringen. Intervjupersonen gav svaret att verksamhet-
en har en egen jurist som ständigt ser till att ny reglering följs.
4.3.1 Årsredovisning
Företaget har redovisat sina risker sedan år 2000 och kapitlet benämns som “Möjlighet-
er och risker” i förvaltningsberättelsen. Företaget har en bra och tydlig struktur på ka-
pitlet med underrubriker och kapitlet avslutas med en känslighetsanalys på hur resultatet
skulle påverkas om en parameter ökades eller minskades med en procentenhet (Ano-
nymt företag B, 2013).
4.4 Axfood AB
Axfood bildades år 2000 genom sammanslagning av Hemköp, D&D Dagligvaror, Spar
Inn Snabbgross, Spar Sverige och Spar Finland. Idag bedrivs handel med dagligvaror
inom detalj- och partihandeln i Sverige. Av dagligvaruhandeln i Sverige har Axfood
omkring 20 procent av marknadsandelarna. Axfood är noterat på Nasdaq OMX Stock-
holm AB, Large cap. En av koncernens mest igenkända verksamheter är Willys som
idag bedrivs som en matvarubutik och har som konkurrensstrategi att erbjuda kunder
den billigaste matkassen. Intervju hölls med Per Örtenholm, head of security, som var
den på företaget med störst insikt i företagets riskhantering.
Örtenholm berättade inledningsvis att företaget hanterat risker sen starten år 2000 men
att det på allvar tog fart runt åren 2005-2006. Det finns inte någon uttalad riskhanterings
funktion i företaget i dagsläget men det är något som finns i tankarna för framtiden. Vi-
dare beskrev Örtenholm att riskhantering sker på olika platser i koncernen, dels i bu-
tiksvärlden men även i lagerdelen. Ett stort fokus är på områden som brandrisk, IT och
leverans av hållbar mat. En stor brand i företagets lagerlokaler skulle innebära otroligt
stora konsekvenser då företaget behöver leverera till dagligvarubutikerna konstant. Fö-
retaget har utvecklat ett eget riskhanteringssystem men jobbar internt utifrån COSO
ERM, de förhåller sig även till svensk kod för bolagsstyrning.
25
4.4.1 Årsredovisning
Företaget har sedan år 2009 ett eget avsnitt för sina risker och sin riskhantering i årsre-
dovisningen. På fyra sidor tar de på ett bra sätt upp sina risker, från operativa och strate-
giska till de finansiella. Där de under operativa och strategiska risker tar upp åtta olika
risker, från brandrisk till risk för arbetsmarknadskonflikt. Under det finansiella tar de
upp fem olika risker, till exempel valutarisk och ränterisk. Till varje risk beskrivs hur de
arbetar med just den risken. Efter det bedöms varje risk efter sannolikheten att den in-
träffar, på en skala mellan grön, gul och röd. På samma sätt bedöms konsekvensen om
risken skulle uppstå, här visar de också om de är försäkrade mot risken (Axfood, 2013).
4.5 Holmen AB
Holmen är en skogsindustrikoncern noterat på Nasdaq OMX Stockholm, Large Cap.
Koncernen består av tre produktionsorienterade och två råvaruorienterade affärsområ-
den. Tillverkningen är uppdelad i tryckpapper, kartong och trävaror. Affärsområden ut-
görs av tre produktinriktade vilka är Holmen Paper, Iggesund Paperboard och Holmen
Timber. Verksamheten har även två råvaruinriktade affärsområden vilka är Holmen
Skog och Holmen Energi. Holmen Skog är en av de största skogsägarna i Sverige och
förser verksamhetens produktområden med material. Det andra råvaruinriktade affärs-
området, Holmen Energi, hanterar egen- och delägd vind- och vattenkraftproduktion.
Företaget verkar på en global marknad och har produktion i länder som Spanien och
Storbritannien. Omkring 90 procent av försäljningen sker i Europa. Johan Ahlbäck,
front office manager, var den som intervju hölls med och kunskapen inom ämnet gällde
framförallt de finansiella riskerna. Intervjun hölls med Ahlbäck då han ansågs vara den
mest kunnige inom företaget.
Ahlbäck gav inledningsvis en bakgrund om företaget och förklarade sedan att företaget
hanterat risker långt tillbaka i tiden. Det har inte varit någon direkt tidpunkt som fått
riskhanteringen att bli en viktig del i företaget utan det har varit ett ständigt berört om-
råde. Koncernstab Ekonomi och Finans hanterar finansiering och finansiella risker uti-
från en av styrelsen fastställd finanspolicy som präglas av låg risknivå. De fem olika af-
färsområdena ansvarar för affärsverksamheten och hanterar affärsmässiga risker som
exempelvis kreditrisker gentemot företagets kunder.
26
Ahlbäck berättade att det finns personal på företag som på heltid arbetar med att hantera
och kontrollera riskhantering och överlag vet personal var man vänder sig vid eventuella
frågeställningar. Ett exempel på hur företag går tillväga med riskhantering är kopplat till
energifrågor. Ett energiråd med personal på ledningsnivå samlas och går igenom even-
tuella riskhanteringsåtgärder. På så sätt jobbar företaget med att beslut tas från led-
ningsgrupper som är insatta. Varje chef i ledningsgruppen är ansvarig för att se till att
arbetet fungerar i riktlinjer med beslut som fattas. Ett annat forum för riskhantering är
de månadsvisa mötena som hålls för att gå igenom finansiella risker. Mötena hålls för
att hålla fokus på de framtida risker som finns, till exempel om ny finansiering ska tas
upp eller om räntan ska låsas.
Företaget har utvecklat ett eget förhållningssätt gällande riskhantering som är i likhet
med standarder som finns. När det gäller regler och struktur för att styra och leda före-
taget tillämpar Holmen svensk kod för bolagsstyrning. Vidare förklarade Ahlbäck att
Holmen jobbar mot ratingbolaget Standard & Poors standard gällande finansiering, som
har bestämmelser kring hur finansieringen ska se ut idag och i framtiden, givet den ra-
ting som Holmen har.
Företaget har en god överblick på riskhantering och har genom åren på egen hand, samt
med influenser från andra, arbetat fram ett sätt för att hantera de risker som finns. Före-
taget har som tidigare nämnts anställda som regelbundet arbetar inom området. De
främsta riskerna inom organisationen är marknad, valuta, ränta, finansiering, krediter,
anläggning och miljö. Riskhantering har länge varit en del av företaget och märkbara
effekter kring hanteringen märks av genom olika mätningar. Det finns dock risker som
exempelvis anläggningsrisker och miljörisker som är än svårare att mäta, men även här
har företaget personal som arbetar kring området.
Avslutningsvis svarade Ahlbäck att inom framtida arbete gällande riskhantering har
Holmen inga större förändringar i sikte utan arbetar regelbundet med att förbättra risk-
hanteringen. Genom kontakt med bankverksamhet och andra finansavdelningar håller
sig företaget uppdaterad kring nya regelverk som växer fram inom riskhantering.
27
4.5.1 Årsredovisning
Holmen redovisar i sin årsredovisning för 2013 sina risker på fyra sidor under ett kapitel
som de benämner “Riskhantering”. Företaget har redovisat sina risker under hela 2000-
talet, men utseendet har förändrats och har fått en större del av årsredovisningen efter
hand. Dessa risker har delats upp i sju grupper som är följande: Pris & Marknad, Valuta,
Ränta, Finansiering, Krediter, Anläggningar samt Miljö (Holmen, 2013).
4.6 Swedish Match AB
Swedish Match är en industrikoncern, noterat på NASDAQ OMX Stockholm, Large
cap. Koncernen Swedish Match grundades 1994, men de två företag som slogs samman
har sin grund på 1910-talet. Företaget utvecklar, tillverkar, marknadsför och säljer kvali-
tetsprodukter inom snus, andra tobaksprodukter (cigarrer och tuggtobak) samt tändpro-
dukter (tändstickor och tändare). Produkterna säljs över hela världen och tillverkningen
sker i sex länder. Koncernens största marknader är Skandinavien och USA (swedish-
match.com). Efter kontakt med företaget skickades vi till vår intervjuperson som hade
en god inblick i företagets riskhantering. Intervjupersonen valde att förbli anonym.
Företaget har arbetat med ERM i omkring 10 år och startade med detta i samband med
börsnotering på amerikanska börsen. När de noterades på amerikanska börsen så blev de
ålagda att följa SOX och de har sin grund från detta. När företaget utvecklar sitt system
för riskhantering utgår de från COSO ERM, men det är utvecklat efter den egna organi-
sationen och de följer även svensk kod för bolagsstyrning. Företaget jobbar ständigt
med att utveckla sitt system och systemet ser aldrig likadant ut år från år. Förändringar-
na är aldrig radikala utan det är små förändringar som gör systemet lite bättre för varje
år. Anledningen till att göra små förändringar är att det ska kännas som en naturlig pro-
cess.
Företaget har ingen direkt utsatt budget för sin riskhantering och riskhanteringen kostar
inte mer än de timmar som företaget lägger ner på det. Risker som företaget har kan
vara allt från personal och legala aspekter till ökad konkurrens. Företaget har en process
där varje division identifierar alla risker för just deras division. Divisionen tar sedan upp
de tio största riskerna och dessa tio riskerna är något som de tar upp i en workshop.
Varje division rapporterar sedan till den ansvarige för riskhanteringen i gruppen. Den
28
ansvarige sammanställer sedan hela koncernens risker och skickar detta till styrelsen en
gång om året.
Företaget arbetar efter något som kallas Long Range Planing och ERM processen ska
identifiera riskerna som finns för att inte uppnå målen. Målsättningen med riskhante-
ringen är att identifiera och kvantifiera riskerna, inte att fullständigt neutralisera riskerna
utan risker blir det ingen lönsam vinst. Med detta menas att det blir för dyrt att inte ta
några risker, utan det gäller att kalkylera och hålla en balans.
4.6.1 Årsredovisning
Företaget har sedan en lång tid tillbaka redovisat sina risker i årsredovisningen, redan
1996 tog de upp möjliga finansiella risker till exempel kreditrisker och valutarisker.
Dock har de inget utsatt stycke benämnt riskhantering De finansiella riskerna ligger un-
der noter i samband med den finansiella rapporteringen. Övriga risker utöver de finansi-
ella är dock svårare att läsa sig till, under olika avsnitt som till exempel hållbarhet, tar
de upp risker inom socialt ansvar. Där berättar företaget om risken för barnarbete hos
olika leverantörer och hur de ska undvika det (Swedish Match, 2013).
4.7 Trelleborg AB
Trelleborg är en världsledande koncern inom specialtillverkade polymerlösningar. Lös-
ningar som tätar, dämpar och skydda kritiska applikationer i krävande miljöer. Företaget
är noterat på large cap, NASDAQ OMX Stockholm. Sedan företaget grundades 1905
har de växt till en global koncern som finns i över 40 länder. Huvudkontoret ligger fort-
farande kvar i Trelleborg. Intervjun hölls med Lars Stenblom, Vice President of Risk &
Environment. Vilket innebär att han är en av de ansvariga för företagets riskhantering.
Stenblom berättade att Trelleborg har arbetat med riskhantering redan innan 2000-talet
men då gällde det bara finansiella risker och inte i lika stor utsträckning. Det var i sam-
band med två incidenter år 1999 och år 2000 som gjorde att de började arbeta med det i
en större kontext. Sedan år 2008 har koncernen arbetat mer strukturerat utifrån COSO
ERM och de följer även de riktlinjer som svensk kod för bolagsstyrning tar upp. Trelle-
borg har anpassat standarden till sin organisation och jobbar kontinuerligt med att ut-
veckla sin riskhantering. Varje affärsområde har sin egen riskhantering då de är mest
lämpliga att identifiera och hantera risker som baseras på deras verksamhet.
29
Trelleborg har ingen direkt utsatt budget för sin riskhantering utan det ligger på varje
affärsområde att avsätta pengar till sin riskhantering. Det förekommer ingen direkt mät-
ning av effekten men olika indikationer på att det fungera kan ses på till exempel för-
säkringspremien. På lång tid är det omöjligt att göra någon bedömning men på längre
sikt kan koncernen se att kostnader för olika sorters risker uteblir.
4.7.1 Årsredovisning
Risker har ständigt redovisats under 2000-talet och har hela tiden fått ökat inslag. Trel-
leborg redovisar omfattande sina risker i ett eget kapitel i den senaste årsredovisningen
år 2013. Det framgår att företaget använder sig av ERM COSO och en tydlig beskriv-
ning av följande områden finns; strategiska-, operativa- inklusive finansiella-, efterlev-
nads- och rapporteringsrisker. Riskidentifiering, risknivå, åtgärder och skadepåverkan
beskrivs i tabeller. De följer även svensk kod för bolagsstyrning vilket framgår i årsre-
dovisningen (Trelleborg, 2013).
30
5 Analys
Vi har i detta kapitel, analys, vävt samman den framtagna referensramen med vår empi-
riska insamling. För att få en flytande läsning har vi delat upp kapitlet i följande styck-
en; värdering av referensram, hur hanterar företag risker, redovisning av risker samt
lagar och regler.
5.1 Värdering av referensram
Det har som tidigare nämnts blivit en alltmer självklarhet att företag sysselsätter sig med
riskhantering. Det har främst varit företagsskandaler som gjort att riskhantering fått en
central arbetsroll inom ett företag (Wikland, 2007). Av den insamlade sekundärdata som
gjordes fick vi fram att olika standarder växt fram för att finnas som hjälpmedel. Enligt
FERMAS studie (2010) var de valda standarderna i referensramen de mest använda i
Europa bland företag. Därav valde vi att utgå från de samt från svensk kod för bolags-
styrning som berör börsnoterade svenska företag vilket vi avgränsade oss till att under-
söka. COSO ERM visade sig vara den mest använda, hälften av de medverkande företa-
gen, Swedish Match, Axfood och Trelleborg, hänvisade under intervjuerna till den stan-
darden. De tre företagen påpekade att de hade utformat ett eget system utifrån COSO
ERM såväl externt som internt. När det sedan gällde den externa redovisningen, fram-
förallt i årsredovisningen, var det framförallt i Axfood och Trelleborgs redovisningar
som vi kunde dra paralleller med standarden. Trelleborg började i och med två inciden-
ter på tidigt 2000-tal att arbeta med riskhantering i större utsträckning. Även Axfood
som under denna tidsperiod blev en nybildad koncern började utforma sin riskhantering.
Detta var samtidigt som COSO ERM utvecklades och det ser vi som en möjlig anled-
ning till att företagen utgår från just denna standard.
Angående ISO 31 000 var det en standard som majoriteten av företagen hade kännedom
om men det var inget av företagen som öppet sade att de utformat riskhanteringen utef-
ter standarden. Vi anser dock att det finns likheter med ISO 31 000 och företagens sätt
att arbeta med riskhantering. Standarden tar upp att det är viktigt att ständigt förbättra
verksamhetens ramverk (SIS, 2009). Exempelvis svarade Swedish Match och Trelle-
borg att företaget regelbundet arbetade med små förändringar som ska öka effekten av
deras riskhantering. Holmen svarade att personal på heltid fanns tillgängligt för att upp-
datera verksamheten på nya lagar och regler inom företaget och på så sätt ha ett flexibelt
31
riskhanteringssystem. Den tredje standarden i referensramen, FERMA, var heller ingen
standard som medverkande företag hade som huvudsaklig modell i utformning av risk-
hantering. Vi anser även här att likheter förekommer mellan standarden och de medver-
kande företagen. Standarden tar upp att det är viktigt att kategorisera och identifiera ris-
ker kopplade till verksamheten efter den mån de kan inträffa och hur stor konsekvensen
då blir (Ferma, 2003). Som vi tidigare skrev var företagen Trelleborg och Axfood bra på
detta i sin riskredovisning, där de på ett tydligt sätt visar vilka risker de har och vad ef-
fekten skulle bli om de skulle inträffa.
Svensk kod för bolagsstyrning som har kommit fram för att få börsnoterade företag att
bli bättre på att styra bolaget i enlighet med ägarnas intresse användes av alla de inter-
vjuade företagen. Precis som koden påpekar att det tydligt ska framgå att företagen föl-
jer den eller förklaras varför de inte gör det (Bolagsstyrningskollegiet, 2010). Det går att
läsa sig till på företagens hemsidor att de följer koden och att de har en bolagsstyrnings-
rapport där det går att läsa om styrningen i företaget. Axfood som frångår koden på en
punkt beskriver också i bolagsstyrningsrapporten varför de har gjort det. Att alla de
medverkande företagen öppet redovisar sina risker är ett bevis på att de följer principen
som koden ger om öppenhet gentemot sina ägare, kapitalmarknad och samhället i öv-
rigt.
Vi fick en bild av att företagen till stor del använder sig av standarderna för att plocka ut
vissa delar som appliceras i riskhanteringen. Precis som Molin (2014) berättade i inter-
vjun stämde det att modeller och standarder finns för att användas som riktlinjer och in-
spiration gällande riskhantering.
5.2 Hur hanterar företag risker
Ett av syftena med undersökningen är att skapa en uppfattning om hur börsnoterade fö-
retag hanterar risker kopplade till verksamheten. Vid intervjutillfällena hade vi med ett
tema om arbetsförhållandet för att ställa frågor om hur struktur och arbetsfördelning såg
ut angående riskhantering. För att ta fram vilka risker som företaget har och komma
fram till en plan för att motverka dem, gick företagen tillväga på olika sätt. Företaget
Holmen identifierar och hanterar risker kopplade till affärsområde, finans och ekonomi
hanterar exempelvis finansieringsrisker. Det hålls sedan möten på avdelningar för att
kontrollera och sammanställa en överblick kring avdelningens risker. Sedan skickas en
32
rapport med åtgärder och information till ledningsnivå som fattar de avgörande beslu-
ten. Ett nästintill likadant förhållningssätt hade Swedish Match som för varje division
identifierade de tio största riskerna och arbetade med riskerna i workshops. Sedan fanns
en ansvarig som informerade till ledningen. Likaså Anonymt företag A och Trelleborg
förhöll sig till detta arbetssätt. Anonymt företag B samt Axfood skiljde sig från mäng-
den då de arbetade utifrån ett mer centrerat arbetssätt jämfört med övriga företag. Identi-
fiering av risker utgick från ledningsnivån där en eller flera ansvariga arbetade. Den
operativa nivån hade en mindre delaktighet och fick information om riskhanteringen
från högre nivå. Det yttersta ansvaret var på chefsnivå och ledningen krävde att an-
ställda läste på verksamhetsrapporter med information om riskhanteringen. Detta kan
enligt oss kopplas till ISO 31000 som anser att riskredovisning ska vara väl inarbetat i
företagskulturen (SIS, 2009). Även FERMA och ERM COSO har tyngdpunkt på att in-
formationsflödet internt är en viktig faktor för att uppnå positiva effekter med riskhante-
ringen (Ferma 2003; COSO, 2004).
Anledningar till att riskhanteringen skiljer sig anser vi skulle kunna beror på bransch
samt hur länge företagen har varit verksamma. Här kan vi jämföra företag som är rela-
tivt nystartade så som Axfood med företag med betydligt längre historia så som Swe-
dish Match. Axfood låg på en betydligt lägre nivå med en framtidssyn att utvecklas, att
jämföra med Swedish Match som känner att deras system ligger i framkant. Skillnader
mellan branscher kan vi se då de fyra företagen med ett liknande förhållningssätt ver-
kade inom tillverkningsbranschen. De arbetade i större utsträckning med att hämta in-
formation från den operativa nivån, på grund av att de ständigt arbetar med produktion-
en och upplever vilka risker som möjligtvis kan uppdagas.
Anonymt företag B berättade under telefonintervjun att verksamheten i nuläget driver
ett projekt kopplat till en av deras större risker för att reducera den, så att sannolikheten
för att risken i framtiden ska inträffa minskas. Aktiviteter som bedrivs i projektform kan
ge upphov till så kallade projektrelaterade risker, med andra ord måste företaget vara
medvetet om att reducera en typ av risk på ett visst förhållningssätt kan ge upphov till
nya risker (Ferma, 2003). Standarderna påvisar att det är viktigt med en helhetsbild för
att bland annat kunna identifiera andra risker som kan bli verklighet om de prioriterade
riskerna inträffar.
33
Vilka risker som företagen väljer att fokusera på och hur riskerna hanteras är något som
utvecklas hela tiden (Molin, 2014). I årsredovisningen ges en bra bild över vilka risker
som är av störst betydelse för företaget och hur de arbetar med dem. Hur de medver-
kande företagen valt att prioritera sina risker har ändrats över åren och det är olika mel-
lan företagen. Det gemensamma för alla företagen var fokuset på finansiella risker, som
är risker företagen har prioriterat längst tid. Att det skiljde på vilka risker som priorite-
rades kan kopplas till att det var företag i olika branscher och att olika företag även i
samma bransch väljer att se olika på vad som är viktigast just för dem. Prioritet läggs på
risker som kan innebära mest skada för företaget.
Att mäta resultatet av sin riskhantering var inget som de medverkande företagen ägnade
några större resurser på. Men vissa företag menade på att resultatet kom i form av spa-
rade pengar. Eftersom kostnader uppstår om en risk skulle inträffa och med sin riskhan-
tering kan företaget då identifiera och motverka risken innan. På så sätt kan de motverka
kostnader och spara pengar. Kostnader kopplat till riskhantering är dock inget som bud-
geteras, kostnaderna som uppkommer är arbetstimmarna som går åt för företaget. Det
kan tolkas som att det inte är en kostnadsfråga utan det handlar om vilken tid och kom-
petens företagen har för att implementera en riskhanteringsmodell. Molin berättade att
EY hade gjort en studie för att undersöka om det fanns ett bra sätt att mäta om riskhan-
teringen fungerar. Slutsatsen blev att företagen som inte använde sig av riskhantering
eller gjorde det på ett sämre sätt hade en sämre utveckling på sin avkastning än företag
som hade en bra riskhantering (Molin, 2014). Om det kopplas till denna undersökning
är det företag med bra avkastning som undersökts vilket kan tyda på att deras riskhante-
ring fungera bra. Men precis som Molin (2014) sa om deras undersökning är det svårt
att säga om företagen är lönsamma för att deras riskhantering är bra eller om det beror
på andra parametrar.
5.3 Redovisning av risker
Under intervjuer blev vi hänvisade till årsredovisning för att få ännu mer information
om företagets mest prioriterade risker. Efter att vi studerat företagens årsredovisningar
ett par år tillbaka kunde vi konstatera att samtliga företag redovisar risker. Skillnader
som förekommer enligt oss är tydlighet att utläsa informationen samt omfattningen. Fö-
retag som styckat upp riskredovisningen i ett eget kapitel ökar tillgängligheten och
skapar ett mer övergripande synsätt för intressenten. Molin (2014) sa att företag ofta
34
lämnar upplysningar om risker i noter. Det är fallet till stor del med ett av de medver-
kande företagen, Swedish Match. Detta är tillåtet enligt årsredovisningslagen men skap-
ar svårigheter att identifiera informationen. Ahlbäck på Holmen (2014) berättade att fö-
retag jämför sig med konkurrenter och vi anser att detta kan komma att leda till att vi i
framtiden kommer få uppleva en mer likartad riskredovisning. I Axfood och Trelleborgs
årsredovisningar kunde vi se tydliga paralleller med innehållet i COSO ERM. Båda fö-
retagen redovisade i ett eget kapitel sin riskhantering och det framkom information om
riskhantering i detaljerade tabeller. Innehållsmässigt stämde upplysningarna väl överens
med COSO ERM åtta komponenter som är ett kriterium för en effektiv riskhantering
(Wikland, 2007). Tabellerna innehöll riskidentifiering, policy för åtgärder samt riskni-
våer. Alltså till vilken sannolikhet varje risk eventuellt skulle komma att inträffa i fram-
tiden och till vilken skadegrad. Här kommer ett ur vår synsätt gott exempel på riskredo-
visning, exemplet kommer från Trelleborgs årsredovisning. Vi anser att den är bra på
grund av sin tydliga och lättlästa utseende.
(Trelleborg AB:s årsredovisning 2013 s. 47)
5.4 Lagar och regler
Att hålla sig uppdaterade om nya lagar och regler är en självklarhet för företagen då det
kan komma att påverka dem. Gällande den nya lagstiftningen som är på väg med mer
strikta regler gick företagens åsikter isär. Vissa tycker det är bra för att ägarna ska få en
bättre uppfattning och enklare kunna jämföra företag. Medan andra tycker att det inte
finns något behov för nya lagar och regler. Detta tror vi har att göra med hur omfattande
företagens riskhantering och riskredovisning är idag. För de som redan har en bra och
omfattande hantering och redovisning av sina risker kommer lagarna inte påverka i
samma utsträckning. Däremot kommer företag som fortfarande är i ett tidigt stadium att
behöva lägga ner mer tid och pengar för att implementera en bättre hantering och redo-
visning som ska leva upp till de nya kraven. En kommentar vi fick under en intervju
med ett anonymt företag var att “regler är bra så länge de gör någon form av nytta”, vil-
35
ket vi håller med om. Det gäller att utforma den nya lagstiftningen så att företagen blir
tvingade att redovisa sina risker på ett liknande sätt. Detta för att öka jämförbarheten
samt trovärdigheten för intressenter. En bra lagstiftning som ökar redovisningskravet
kan leda till att investerare är beredda att betala ett högre aktiepris som vi anser i sin tur
kan främja det svenska näringslivet.
36
6 Resultat
I följande kapitel kommer uppsatsens resultat att presenteras. Vi börjar med att binda
ihop allt i en slutsats som besvarar frågeställningarna. Efter det ger vi egna reflektioner
på ämnet för att avslutningsvis ge förslag till eventuell framtida forskning.
6.1 Slutsatser
Syftet med uppsatsen är att undersöka hur svenska börsnoterade företag går tillväga för
att hantera och redovisa sina risker. För att lyckas ge svar på frågorna valde vi att inter-
vjua sammanlagt sex företag samt en riskrådgivare. Alla intervjuade företagen svarade
att de hanterar och redovisar risker, vilket skett under olika lång tid tillbaka. Företagen
hade till stor del utformat sin riskhantering utifrån standarder som finns, men påpekade
att de var anpassade för att passa deras verksamhet. Vid insamling av sekundärdata fick
vi till en början uppfattningen att många företag skulle förhållit sig mer till standarder.
Men som Molin påpekade ska standarder mer ses som inspirationskälla och riktlinjer till
företagen. Vi anser även att en möjlig orsak till att företag inte väljer att helt och hållet
förhålla sig till en standard är osäkerhet att det i framtiden växer fram ett tvingande re-
gelverk. Att då ha anpassat sig helt efter en standard som blir irrelevant skulle kunna
komma att bli en kostsam förändringsprocess.
Efter att ha studerat företagens årsredovisningar kan vi konstatera att det borde finnas
ett utformat förhållningssätt för hur företag ska redovisa sina risker. I dagsläget skiljer
sig riskredovisningen en aning mellan företagen eftersom olika risker tas upp på olika
ställen och förklaras på olika sätt. Detta gör det svårt för användaren att själv jämföra
om företagen upplyser om samma typer av risker. Finansiella risker finns dock alltid
med och kändes allmänt som en riskkategori som företagen verkligen prioriterade. En
väl utformad och framtagen standard hade underlättat jämförelsen mellan företagen och
hade bidragit till en ökad förståelse. Som det är i nuläget kan det vara svårt att guida sig
till företagens riskredovisning och framförallt kan det vara svårt att utläsa hur allvarlig
risken är. Av företagen vi undersökte var det två företag, Axfood och Trelleborg som vi
tyckte utmärkte sig med en bra beskrivning av både risk, tänkbar grad av skada om den
inträffar och sannolikheten för att den gör det. En standard som förespråkar en liknande
uppbyggnad av företags riskredovisning anser vi skulle uppskattas av intressenter som
tar del av årsredovisningen. Förslagsvis kan redovisningen av risker bli ännu bättre om
37
en standard blir verkande under samma princip som svensk kod för bolagsstyrning,
“följ-eller-förklara-principen”. Jämfört med en tvingade lag blir fördelen att företagen
får en valmöjlighet med principen och intressenter får vid en utebliven redovisning en
tydlig förklaring till orsaken.
Det yttersta ansvaret för riskhantering har styrelsen och det märktes väl av i alla med-
verkande företag. På framförallt två olika sätt skapade sig ledningsnivån underlag för att
kunna fatta viktiga beslut om riskhanteringen. Antingen var risker kopplade till affärs-
områden och genom möten skickades rapporter till ledningsnivåer. Det andra sättet var
mer centralt, en eller flera var ansvariga och kontrollerade riskhanteringen och informe-
rade övrig personal kontinuerligt. COSO ERM tog upp att företag bör ha ett helhetsper-
spektiv kopplat till riskhanteringen över hela verksamheten. Ett problem som vi upplev-
de motverkar detta är att företag har tendens att hantera risker enbart kopplade till af-
färsområden, vilket kan leda till att personal mest är uppmärksammade på just dessa
risker. Vi anser att likt anonymt företag B bör all personal ha som krav att kontinuerligt
ta del av verksamhetsrapporter som innehåller en övergripande bild om företagets risk-
hantering.
6.2 Egna reflektioner
Vi har efter undersökningen insett att riskhantering under 2000-talet kommit att bli en
viktig och prioriterad funktion i börsnoterade företag. Företagen som medverkade är re-
gelbundet uppdaterade på marknaden och är måna om att följa nya direktiv som fram-
kommer. Två företag valde att förbli anonyma och vi har fått uppfattningen att företag
inte vill ge en allt för detaljerad bild kring sin riskhantering. Eftersom mycket arbete
sker mot prognoser, händelser som kan komma att inträffa i framtiden, kan riskhante-
ring ses som en konkurrensfördel om företag har en god kontroll och kan minimera att
problematik inträffar. En betydelsefull orsak som utvecklat synsättet på riskhantering är
företagsskandaler. Händelser som skakat om ekonomin och varit upphov till flertal ne-
gativa effekter där ett stort antal individer påverkats. Vi anser att om företag hade ett
mer öppet synsätt gällande riskhantering skulle risken för nya företagsskandaler minska
markant. En åtgärd skulle enligt oss kunna vara att införa ett samarbete företag emellan
där de tillsammans kan upptäcka för- och nackdelar. Riskhantering anser vi då skulle
38
kunna utvecklas betydligt fortare och frambringa ett effektivt regelverk att förhålla sig
till.
Vad som är en svårighet för företag att upptäcka är vilka effekter som uppstår om en
risk inträffar. COSO ERM påvisar att ett helhetsperspektiv skapar förutsättningar för att
upptäcka dessa effekter vilket i sig kan vara en ny risk. Att anställda är uppdaterade
kring företagets risker är en faktor för att ha ett helhetsperspektiv och kunna identifiera
risker i hela organisationen. Vi anser att det är något som företag måste ägna ännu mer
uppmärksamhet åt för att förbättra. Med den teknik som företag idag har som tillgång
anser vi att möjligheten finns att skapa ett informationsflöde i verksamheten gällande
riskhanteringen. Detta informationsflöde anser vi kan ske genom till exempel ett forum.
6.3 Förslag till framtida forskning
Under veckorna som vi arbetat med undersökningen har det emellanåt framkommit
andra intressanta infallsvinklar kopplat till ämnet. Det som vi främst har funderat över
är att jämföra företag i olika branscher. Undersökningen skulle då kunna leda till slut-
satser kring vilka skillnader som finns och om det finns fördelar för ett företag att in-
hämta från andra branscher. Vid insamling av sekundärdata framkom att aktieägare kan
tänkas betala ett högre aktiepris om företaget redovisade sina risker. Ytterligare en frå-
geställning blev då aktuell, nämligen att utgå från intressenters perspektiv och få reda på
vilken information som anses vara viktig att få fram ur ett företags riskredovisning. Vi
valde att intervjua sammanlagt sex företag för att skapa en övergripande uppfattning
kring deras riskhantering. Ett förslag till framtida forskning är därför att istället inrikta
sig på ett företag och göra en mer djupgående undersökning. Vi anser att det skulle
kunna skapa en mer detaljerad uppfattning över företagets övergripande riskhantering-
en. Möjligen skulle det kunna leda till ytterligare information kring arbetsprocessen och
huruvida det finns en helhetsbild eller inte.
39
Referenser
Bolagsstyrningskollegiet (2010) Svensk kod för bolagsstyrning.
Bolagsstyrningskollegiet Svensk kod för bolagsstyrning
http://www.bolagsstyrning.se/koden (20140519).
Borge, D. (2001) The book of risk. New Jersey: John Wiley & Sons.
Bryman, A. & Bell, E. (2013) Företagsekonomiska forskningsmetoder. Malmö: Liber.
COSO (2004) Enterprise Risk Management - Integrated Framework.
Ferma (2003) Standard för Risk Management.
Ferma (2010) European Risk Management Benchmarking Survey 2010, s. 12
Gates, S. Nicolas, J-L. Walker P L. (2012) Enterprise risk management: a process for
enhanced management and improved performance. Management Accounting Quarterly.
Spring 2012, Vol. 13 Issue 3, p28-38. 11p.
McShane, M., Nair, A. & Rustambekov, E. (2011) Does Enterprise risk management
increase firm value? Journal of Accounting, Auditing & Finance, vol. 26, no. 4, s. 641-
658
Moeller, R. (2011) COSO Enterprise Risk Management. New Jersey: John Wiley &
Sons.
Olsson, H. & Sörensen, S. (2011). Forskningsprocessen: kvalitativa och kvantitativa
perspektiv. Stockholm: Liber.
Patel, R. & Davidson, B. (2011) Forskningsmetodikens grunder: att planera, genomföra
och rapportera en undersökning. Lund: Studentlitteratur.
Svernlöv, C (2011) Svensk kod för bolagsstyrning. Stockholm: Norstedts Juridik AB.
40
Swedish Standards Institute (SIS) (2009) Svensk Standard SS - ISO 31000:2009.
Swedish Standards Institute - ISO 31000
http://www.sis.se/ledningssystem/ledningssystem-för-informationssäkerhet/ss-iso-
3100020091 (20140519).
Toscha, A. (2012) En introduktion till organisationsövergripande riskhantering. Lund:
Studentlitteratur.
Wendestam, L. (2008) Ta kontroll över riskprojekten! Stockholm: Ekerlid.
Wikland, T. (2007) Enterprise Risk Management - Integrated Framework.
http://www.coso.org/documents/COSO_ERM_ExecutiveSummary_Swedish.pdf
(20140519).
Årsredovisningar
Anonymt företag A (2002-2013) Årsredovisningar
Anonymt företag B (2000-2013) Årsredovisningar
Axfood AB (2009-2013) Årsredovisningar
Holmen AB (2000-2013) Årsredovisningar
Swedish Match AB (1996-2013) Årsredovisningar
Trelleborg AB (2000-2013) Årsredovisningar
Intervjuer
Ahlbäck, Johan; front office manager på Holmen AB. 2014. Intervju 28 april.
Intervjuperson på Anonymt företag A. 2014. Intervju 7 maj.
41
Intervjuperson på Anonymt företag B. 2014. Intervju 29 april.
Intervjuperson på Swedish Match AB. 2014. Intervju 28 april.
Molin, Håkan; Riskrådgivare på EY. 2014. Intervju 30 april.
Stenblom, Lars; Vice President of Risk & Environment på Trelleborg AB. 2014. In-
tervju 6 maj.
Örtenholm, Per; Head of security på Axfood AB. 2014. Intervju 29 april.
I
Bilagor
Bilaga 1 - Informationsbrev
Hej!
Vi är tre studenter som studerar till redovisningsekonomer på Linnéuniversitetet i Kal-
mar. Vi skriver just nu vår examensuppsats om riskhantering hos svenska börsnoterade
företag.
Syftet med uppsatsen är att få en uppfattning om hur risker hanteras och redovisas. I och
med ett växande intresse kring området i Sverige är det ett aktuellt ämne att analysera.
Förhoppningsvis kommer studien ge ökad kunskap kring hur riskhantering ser ut samt
vilken betydelse det har. Vi skulle uppskatta att få tala med just Er och få er organisat-
ions perspektiv gällande denna aspekt.
Vår tanke är att intervjua Er om följande frågeområden;
Bakgrundsfakta
- Företagets historiska synsätt gällande riskhantering
Struktur
– Arbetsfördelning inom riskhantering
Riskmodell
- Företagets tillvägagångssätt för riskhantering
Riskidentifiering
- Olika typer av risker inom organisationen
Resultat
– Märkbara effekter
Framtid
– Reflektioner om framtida riskhantering
Samtalet beräknas ta maximalt en timme och vi skulle uppskatta om vi fick möjlighet
att spela in intervjun för att uppsatsen sedan ska vara så tillförlitlig som möjligt.
II
Uppsatsen kräver att vi följer ett antal forskningsetiska principer:
- Ni har rätt att vara anonym och intervjun är frivillig. Alla frågor behöver alltså inte be-
svaras och Ni har rätt att avbryta intervjun när Ni vill.
– När uppsatsen är färdigställd kommer inspelningen att förstöras.
– Materialet kommer enbart att användas i samband med skrivandet av uppsatsen.
– Om det önskas har Ni som intervjuperson har möjlighet att ta del av resultatet när det
är färdigställt.
Om Ni har några frågor kan ni kontakta oss:
Jens Lindeblad: telefon 072-2499090, mail: [email protected]
Harald Justegård: telefon 072-2057001, mail: [email protected]
Samuel Ignell: telefon 073-0576096, mail: [email protected]
Tack på förhand!
Med vänliga hälsningar,
Samuel Ignell, Harald Justegård och Jens Lindeblad
III
Bilaga 2 – Intervjumall
Inledning
Syftet med uppsatsen är att få en uppfattning om hur risker hanteras och redovisas. I
och med ett växande intresse kring området i Sverige är det ett aktuellt ämne att analy-
sera. Förhoppningsvis kommer studien ge ökad kunskap kring hur riskhantering ser ut
samt vilken betydelse det har.
Forskningsetiska principer
Får vi lov att spela in intervjun.
Anonymitet – Får vi lov att använda namn på företag och intervjuperson.
Frivilligt att svara på frågeställningar.
Bakgrundsfakta - Företagets historiska synsätt gällande riskhantering
Är riskhantering något som ni arbetat länge med eller är det ett relativt nytt om-
råde i organisationen?
Är det någon särskild tidpunkt som du vill lyfta fram som viktig?
Struktur - Arbetsfördelning inom riskhantering
Hur arbetar företaget med riskhantering? Är det uppdelat i avdelningar eller ge-
nomsyrar det hela företaget?
Är det särskild personal som arbetar med det?
Har alla anställda en god bild kring företagets riskhantering?
Riskmodell - Företagets tillvägagångssätt för riskhantering
Hur förhåller ni er gällande riskhantering, följer ni någon standard eller något
särskilt ramverk?
Har ni själva utvecklat och tagit fram ert förhållningssätt till riskhantering?
IV
Riskidentifiering - Olika typer av risker inom organisationen
Prioriterar ni särskilt några risker inom organisationen?
I så fall vilka?
Resultat - Märkbara effekter
En kritik mot riskhantering som vi läst oss till är att det är svårt att mäta det re-
sultat man kan utvinna när man arbetar med riskhantering. Har ni någon märkbar
effekt som ni känner har växt fram eller hur ser ni på detta?
Framtid - Reflektioner om framtida riskhantering
Hur ser ni på framtiden, håller ni just nu på att implementera nya åtgärder gäl-
lande riskhantering?
Det diskuteras om att nya regler och lagar kommer dyka upp inom riskhantering.
Är detta något ni håller er ständigt uppdaterade kring?
Behövs det ett mer utvecklat regelverk eller tycker ni det fungerar bra i nuläget?