Blog6

Frygten for virksomhedskriminalitet fjerner fokus i risikostyringen

 

De store revisionsselskaber har gennem længere tid ført en grundig markedsføringskampagne for, at danske virksomheder skal fokusere deres risikostyring på virksomhedskriminalitet. Specielt bliver bedrageri, cyber-kriminalitet og korruption talt op som de væsentligste trusler for danske virksomheder.

 

Motivet til markedsføringen er klart. Revisionsselskaberne har store afdelinger med stærke kompetencer inden for disse områder og ønsker at sælge deres rådgivning til kunderne.

 

Uafhængig rådgivning?

Men er det også i kundernes interesse, at risikostyringen koncentrerer sig om virksomhedskriminalitet? Lad os prøve at kigge lidt på de tørre tal.

 

Et input får vi fra den årlige undersøgelse af Globale Risici som World Economic Forum udgiver i forbindelse med mødet i Davos. På top 10 listen over de risici man bekymrer sig mest om, finder man hverken cyber-risici, korruption eller bedrageri. Det er derimod risici knyttet til makroøkonomien, klimaforandringer og politisk eller social uro.

 

I en dansk undersøgelse fra 2013 foretaget af Foreningen af Danske Revisorer i samarbejde med YouGov kommer teknologiske risici (cyber-risici) og CSR-risici (korruption) ind i bunden af prioritetslisten. Kun Handelsbarrierer prioriteres lavere.

Tal på risikoen

Revisionsbranchen har også lavet undersøgelser, der giver mulighed for at sætte konkrete tal på værdien af kriminalitetsrisici. Den netop offentliggjorte ’2014 Global Economic Crime Survey’ fra PwC skaber store overskrifter. Men graver man sig ned i tallene, ser man, at der kun er 6% årlig sandsynlighed for tab pga. virksomheds-kriminalitet i danske virksomheder. Globalt set er niveauet ca. 20%, men dette er faktisk lavere end det gennemsnitlige niveau siden 2001.

 

Cyber-risici er det emne, som revisionsbranchen taler mest om for tiden. Men rapporten viser, at der kun er 4% årlig sandsynlighed for, at en virksomhed udsættes for cyber-kriminalitet. Tallet er endnu lavere for ikke-finansielle virksomheder og for danske virksomheder.

 

Størrelsen af tabene fra Cyber-risici vises ikke præcist i PwC-rapporten. Men det kan opgøres, at 90% af hændelserne koster under 5mkr (ca. 0,25 mkr. i gennemsnit). Det er peanuts for virksomheder af den størrelse, der deltager i undersøgelsen. Hvis risikoen for et worst case scenarie skulle plottes ind i en virksomheds risikoregister, vil den oftest ryge helt ned i det grønne felt: Lav sandsynlighed for et tab af moderat størrelse.

 

Sammenholder vi resultaterne med PwC-rapportens oplysning om, at kun godt halvdelen af virksomhedskriminalitet opdages gennem virksomhedernes egne interne kontroller, er det samlede rationelle, økonomiske perspektiv for at bruge mange ressourcer på virksomhedskriminalitet og interne kontroller begrænset.

 

Der er dog selvfølgelig også argumenter om, at det ikke bare er økonomien, der påvirkes, når man udsættes for virksomhedskriminalitet. Virksomhedens omdømme og interne arbejdsklima rammes også. Modsat skal man dog huske, at revisionsbranchens medicin mod virksomhedskriminalitet også har bivirkninger. Indførsel af stramme kontroller kan skabe bureaukrati og en kultur domineret af mistillid.

 

Kan man bruge pengene bedre andre steder?

Men det er nu ikke min pointe, at man kan ignorere virksomhedskriminalitet og interne kontroller. Med sund fornuft kommer man langt. Pointen er, at der væsentligt mere betydningsfulde opgaver for risikostyringen i de fleste virksomheder.

 

Tag fx nogle af de risici, som er markeret med rødt i virksomheder, som jeg kender til: Tab af en stor kunde. Leverandørforsinkelser. Ændringer i brancheregulering. Udsving i råvarepriser. Det er strategiske, finansielle og operationelle risici, som man skal være forberedt på, og som man skal tænke ind i den måde man driver forretningen på. I strategiske planer, investeringer, kapacitetsplaner, budgetter mm. Det er nemlig denne form for uafhængig strategisk risikostyring, der for alvor kan sikre at ens risikostyring skaber værdi.