PwC har utarbetat en modell för riskanalys, vilken kan användas som ett inledande moment i en värdeskapande riskhanteringsprocess samtidigt som de formella kraven uppfylls. Modellen integrerar analys av risker med organisationens övergripande mål och strategier. Den kan därför bidra till ett strukturerat och överskådligt underlag för att fånga affärsmöjligheter samt att nå en ökad effektivitet och trygghet i verksamhet och beslutsfattande.
Riskanalysen innebär att identifiera de risker bolaget är exponerat för och sätta dessa i relation till verksamhetens mål, på ett strukturerat sätt. Detta kan göras i form av en workshop alternativt genom intervjuer med deltagande från relevanta organisatoriska funktioner.
Analysen inleds med en inventering av företagets risker på kort och lång sikt. Riskinventeringen utgår från företagets affärsplan och verksamhetsmål med syfte att identifiera de väsentligaste riskerna som kan påverka dessa mål.
Inventeringen följs av en analys av hur stor sannolikheten är för respektive risk och hur stor påverkan de skulle ha på verksamhetens mål. En diskussion förs också kring vilka risker bolaget kan och vill acceptera. Därefter görs en bedömning av vilka kontrollåtgärder, exempelvis policies, övervakande analyser, detaljerade kontrollaktiviteter, som redan finns på plats för att hantera riskerna.
Analysen görs med hjälp av en färgskala enligt "trafikljusmodellen" och resultatet blir en lättöverskådlig riskkarta som visar aktuell riskexponering. Beroende på företagets risktolerans kan riskkartan därefter vara vägledande för inom vilka områden åtgärder bör vidtas respektive hur övervakning och uppföljning skall ske.
Baserat på riskanalysen görs ett register över vilka risker som är prioriterade för åtgärd, vilka som ska bevakas och vilka som inte bedöms som väsentliga. Registret är ett viktigt verktyg för bolagets framtida riskhantering och underlättar konkretisering, mätning och uppföljning av mål, risker och åtgärdsplaner. Riskregistret är också ett utmärkt underlag för strukturerad rapportering till ledning och/eller styrelse.
Särskilda krav finns på styrelsens övervakning av risker och intern kontroll i samband med den finansiella rapporteringen. Vår erfarenhet visar att den företagsövergripande riskanalysen inte alltid klarar av att fånga alla relevanta risker som specifikt rör finansiell rapportering. Ofta behövs en mer detaljerad analys med ett utökat deltagande från personal inom ekonomi- och redovisningsfunktioner.
En sådan riskanalys kan exempelvis utföras utifrån årsredovisningens rader med hjälp av modellen nedan, där respektive post i balans-, resultaträkning samt noter analyseras utifrån ett antal riskfaktorer, exempelvis materialitet, grad av subjektivitet samt komplexitet i underliggande transaktioner. Även denna analys utförs med fördel i form av en workshop och bör kopplas till den övergripande riskanalysen för prioritering och eventuell åtgärd.