De aller fleste virksomheter i Norge har en eller flere forsikringer. Tjenestepensjon og yrkesskadeforsikring er obligatorisk for de fleste. Mange forsikringer er relativt standardiserte og de fleste kjenner til forsikringsordninger som innbo-, bolig-, og reiseforsikring – for å nevne noen. Mange av forsikringsproduktene, enten for oss som privatpersoner eller som virksomhetsledere, oppfattes som relativt standardiserte.
Risikovurderingen som ligger bak beslutningen om å kjøpe mange av disse forsikringsproduktene er ganske enkel. For de fleste er det selvsagt at boligen eller næringseiendommen skal være forsikret mot brann, og du sørger for å ha minimum en kaskoforsikring når du kjøper ny bil.
De aller fleste som har startet sommerferien ønsker også å vite at reiseforsikringen er tilstrekkelig før den forestående ferien.
Veldig mange virksomheter står overfor et ganske komplekst risikobilde. De virksomhetene som gjennomfører gode risikovurderinger og etablerer gode risikoreduserende tiltak (inkludert bygger en god kultur) som en del av virksomhetsstyringen, vil normalt være godt rustet for å møte en stor del av denne risikoen.
Tradisjonell internkontroll, enten det være seg på økonomiområdet, på IT-området eller HMS-området, vil normalt bidra til å redusere sannsynligheten for at en uønsket hendelse inntreffer.
Dualkontroll ved godkjenning av inngående fakturaer og utbetalinger, to-faktor autentisering på alle viktige IT-løsninger og «sikker jobb analyse» før igangsettelse av arbeid i høyden, er konkrete eksempler på tiltak som vil redusere risiko for henholdsvis økonomisk kriminalitet, datainnbrudd og fallulykker på arbeidsplassen.
Ofte kan det være vanskelig å innføre tiltak som reduserer konsekvensene dersom en slik uønsket hendelse likevel inntreffer. Et viktig tiltak – og som kan være svært effektivt – er etablering av gode beredskapsplaner med tiltakskort som i mer detalj beskriver viktige elementer å huske på dersom en slik hendelse oppstår. Gjennom god håndtering av en uønsket hendelse vil ofte de totale konsekvensene reduseres betraktelig.
Mange virksomheter vil riktignok – og trolig med rette – være av den oppfatningen at den eksponeringen som en eller flere risikoer gir, ikke vil bli redusert til et akseptabelt nivå gjennom kulturbygging og tiltak som reduserer sannsynligheten for at risikoen inntreffer, eller konsekvensene som kan oppstå.
Heldigvis finnes det en lang rekke forsikringsordninger som kan benyttes for å «overføre» den ganske ubehagelige risikoen og redusere den total eksponeringen for virksomheten – og for daglig ledelse og styret. Dette er riktignok forsikringsordninger som ikke oppleves like standardiserte som boligforsikringen din, og på samme måte som risikobildet stadig endrer seg, endrer også forsikringsproduktene seg.
Hos større virksomheter erfarer vi ofte at det er lite samhandling mellom de i virksomheten som arbeider med risikostyring fra et risiko- og internkontrollperspektiv og de i virksomheten som ivaretar virksomhetens forsikringsdekninger.
I mindre virksomheter er det gjerne samme person – og ofte CFO – som sitter med dette ansvaret. Vår erfaring er ofte at heller ikke der, er forsikringsdekningen basert på en velfundert risikoanalyse (om en skriftlig risikoanalyse i det hele tatt foreligger).
God helhetlig risikostyring vil for de aller fleste virksomheter innebære at også forsikringsdekning inngår i den helhetlige tilnærmingen for å håndtere risikobildet. Og på samme måte som for internkontrollen – må man også vite at den faktisk fungerer. Det hjelper fint lite med en forsikringsdekning på cyber-området om den i realiteten ikke dekker de økonomiske konsekvensene dersom IT-systemet ditt blir lammet i flere uker.
Dersom du allerede har startet ferien og kun har kontroll på egen reiseforsikring kan det kanskje være en idé å sette temaet på agendaen ved å stille spørsmål om virksomhetens forsikringsdekning inngår i den helhetlige risikostyringen – og om sammenhengen er tydelig i risikostyringsarbeidet?
Denne kronikken ble først publisert i Økonomi24.
Om forfatteren:
Kristian er grunnlegger av selskapet Agenda Risk AS. Kristian er rådgiver for flere store virksomheter og bistår dem blant annet med å forstå og håndtere deres helhetlige risikobilde, både fra et strategisk og fra et operasjonelt perspektiv.
I dette inngår solid forståelse for geopolitisk risiko, sikkerhetsrisiko, ESG-risiko og hvordan det helhetlige risikobildet vil kunne påvirke virksomheter, herunder ledende ansatte, nøkkelpersoner og aksjonærer.