Corporate governance: 7 risici for ledelsen

Skrevet af Peter Hejler

Corporate governance er ikke længere et emne, der kun hører hjemme i årsrapporten. For ledelsen er det blevet en praktisk disciplin for risikostyring, rapportering, beslutningskraft og troværdighed over for ejere, långivere og myndigheder.

Det afgørende spørgsmål er ikke, om der findes en politik, men om ledelsen kan dokumentere, hvem der ejer de væsentlige risici, hvornår bestyrelsen bliver involveret, og hvordan væsentlige hændelser bliver rapporteret. Netop den dokumentation er tæt knyttet til lavere mismanagement-risiko og bedre adgang til kapital ifølge både IFC og World Bank.

Hvorfor er corporate governance blevet et kerneansvar for ledelsen?

Corporate governance er et direkte ledelsesansvar, og OECD samt World Bank kobler det til risikostyring, transparens og kapitaladgang. Hvis direktionen ikke kan vise styring i praksis, bliver bestyrelsens tilsyn svagt og virksomhedens troværdighed dyrere.

Det skyldes, at moderne governance ikke kun handler om selskabsretlige formaliteter. Den handler om, hvordan strategi, risk appetite, kontrolmiljø og rapportering hænger sammen i daglig drift. Når investorer, banker eller større kunder vurderer en virksomhed, ser de sjældent kun på tallene. De ser også på, om ledelsen kan forklare, hvordan væsentlige risici opdages, vurderes og håndteres.

En almindelig misforståelse er, at corporate governance primært angår børsnoterede selskaber. Det er for snævert. Også private virksomheder møder krav fra långivere, samarbejdspartnere, databeskyttelsesregler, whistleblower-ordninger, ESG-forventninger og kontraktlige covenants. Hvis styringen er uklar, bliver selv en ellers stærk forretning sårbar.

Hvem har ansvaret for risikostyring, rapportering og board oversight?

Bestyrelsen har det endelige tilsynsansvar, og OECD er tydelig om det punkt. Direktionen og ledelsen ejer den operative styring, men de kan ikke flytte bestyrelsens ansvar for overvågning af risikostyring og rapporteringsintegritet.

I praksis bør ansvaret deles i tre lag. Bestyrelsen fastlægger rammerne, herunder risk appetite, tilsynsmodel og eskalationskrav. Direktionen omsætter dem til processer, kontroller og rapportering. Forretningsenhederne identificerer hændelser, følger kontrollerne og rapporterer afvigelser. Hvis et af de tre lag er uklart, opstår governance-huller hurtigt.

Et godt kontrolspørgsmål er enkelt: Hvis en væsentlig risiko materialiserer sig i morgen, ved alle så, hvem der beslutter, hvem der rapporterer, og hvem der godkender næste skridt? Hvis svaret er nej, er governance ikke moden nok, uanset hvor mange policies der ligger i et datarum

"Peter Hejler Consulting ApS leverer hands-on, kommercielt fokuseret juridisk rådgivning tæt på ledelse og forretning, når governance skal omsættes til drift."

Praktisk råd: Et udvalg eller en komité fritager ikke den samlede bestyrelse for ansvar. Komitéer kan forberede, udfordre og specialisere arbejdet, men ikke erstatte dokumenteret board oversight.

Hvad er de 7 største corporate governance-risici for ledelsen?

De syv største governance-risici er velkendte, og OECD, FRC samt SEC peger på dem i forskellige former. Fællesnævneren er, at ledelsen både skal styre dem og kunne dokumentere, hvordan styringen virker.

Når governance fejler, sker det sjældent på grund af én enkelt regel. Det sker oftere, fordi flere små svagheder kobler sig sammen: uklar rollefordeling, manglende risikobillede, for sen eskalation og dårlig dokumentation. Her er de syv risici, der oftest rammer ledelsen direkte.

  1. Uklare beslutningsmandater: Ingen ved præcist, hvad bestyrelsen, direktionen og forretningen hver især må beslutte, godkende eller eskalere.

  2. Svag kortlægning af principal risks: Risikoregisteret findes, men virksomheden har ikke defineret, hvilke risici der reelt er væsentlige for strategi, drift og kapitalgrundlag.

  3. Mangelfuld cyber governance: IT håndterer teknik, men ledelsen har ikke fastlagt materialitetskriterier, rapporteringslinjer eller bestyrelsesovervågning af cyberrisiko.

  4. Related party transactions og interessekonflikter: Aftaler med ejere, nærtstående eller ledelsespersoner bliver ikke vurderet og godkendt med tilstrækkelig armslængde.

  5. Svage rapporterings- og kontrolsystemer: Tallene kan måske leveres, men integriteten i de underliggende processer og kontroller er ikke testet eller dokumenteret.

  6. Skæve incitamenter og aflønning: Bonusmål eller KPI’er presser adfærd i retning af kortsigtede resultater frem for bæredygtig risikostyring.

  7. Manglende opfølgning på covenants og andre disclosure-krav: Ledelsen overser forpligtelser i gældsdokumenter, kontrakter eller rapportering om digitale, compliance- eller bæredygtighedsrelaterede risici.

Det vigtige er ikke kun at kende listen, men at forbinde hver risiko med en ejer, et rapporteringsformat og et tydeligt triggerpunkt for eskalation.

Hvordan kortlægger ledelsen principal risks trin for trin?

Principal risks skal defineres med FRC’s logik: de er de væsentlige risici, virksomheden er villig til at bære inden for sin risk appetite. Et langt risikoregister er ikke nok, hvis ingen kan udpege de få risici, der virkelig kan ændre virksomhedens kurs.

Trin 1 er at fastsætte risk appetite på ledelsesniveau. Det betyder ikke bare at sige, at virksomheden er "risikobevidst". Det betyder at tage stilling til, hvor meget eksponering virksomheden accepterer inden for likviditet, cybersikkerhed, regulatoriske forhold, leverandørafhængighed, kundekoncentration og kontraktlige forpligtelser.

Trin 2 er at skære risikobilledet til. Hvis alt er vigtigt, er intet vigtigt. Ledelsen bør derfor sortere mellem operationelle irritationsmomenter og egentlige principal risks. En god tommelfingerregel er at spørge: Kan denne risiko påvirke strategi, solvens, væsentlig compliance, adgang til kapital eller omdømme i et omfang, der kræver bestyrelsesopmærksomhed?

Trin 3 er at knytte hver principal risk til ejer, indikator, kontrol og eskalationsvej. En almindelig fejl er at registrere risikoen uden at beskrive, hvad der får den til at skifte farve, og hvornår bestyrelsen skal orienteres.

Hvad er forskellen på corporate governance og compliance?

Corporate governance sætter retning og ansvar, mens Compliance sikrer efterlevelse af konkrete krav. OECD og mange governance-koder behandler de to som forbundne, men ikke identiske discipliner.

Compliance spørger typisk: Overholder vi loven, kontrakten eller den interne politik? Corporate governance spørger bredere: Har vi de rette beslutningsstrukturer, incitamenter, kontroller og rapporteringslinjer til at opdage problemer i tide? En virksomhed kan godt være rimeligt compliant på enkelte områder og stadig have svag governance, hvis ledelsen ikke kan vise effektiv board oversight.

Det omvendte er også muligt. En virksomhed kan have en moden bestyrelsesstruktur, men være sårbar, hvis sanktioner, databeskyttelse, konkurrenceret eller finansielle covenants ikke følges tæt. Hvis governance er rammen, er compliance indholdet i mange af kontrollerne. De bør derfor behandles samlet, men ikke blandes sammen.

Et nyttigt begreb her er "comply or explain". Det betyder ikke frit valg. Det betyder, at afvigelser fra en governance-kode kræver en troværdig forklaring, som markedet og andre interessenter kan vurdere.

Hvordan bør ledelsen håndtere material cybersecurity incidents?

Cyber governance kræver ledelsesstyring, og SEC’s 2023-regler viser, hvor konkret området er blevet. Et cyberangreb er ikke kun et IT-problem, hvis hændelsen kan være væsentlig for drift, økonomi, kunder eller rapporteringspligt.

Trin 1 er at definere materialitet på forhånd. Det bør ske med juridiske, finansielle og driftsmæssige kriterier samlet. Hvis virksomheden først diskuterer materialitet, når angrebet er i gang, går der ofte for lang tid, og ledelsen mister tempo i både intern styring og ekstern kommunikation.

Trin 2 er at fastlægge rollerne. SEC kræver for amerikanske registranter beskrivelser af board oversight og ledelsens rolle og ekspertise under Regulation S-K Item 106. Selvom danske virksomheder ikke nødvendigvis er omfattet, er standarden nyttig som benchmark: Hvem vurderer hændelsen, hvem rådgiver bestyrelsen, og hvem godkender disclosure.

Trin 3 er at træne et incident playbook. SEC’s Form 8-K Item 1.05 opererer som udgangspunkt med rapportering inden for fire arbejdsdage efter, at en hændelse er vurderet væsentlig. Det er en stærk påmindelse om, hvor kort tidsvinduet kan være. Praktisk råd: Start ikke med pressemeddelelsen. Start med beslutningskæden, bevissporet og logningen af vurderinger.

"Peter Hejler Consulting ApS kan fungere som Interim General Counsel, når compliance, kontraktforhandling og regulatorisk sparring skal koordineres hurtigt ved en kritisk hændelse."

Den hyppigste fejl er at behandle cyber som et rent teknisk kontrolspørgsmål. Governance-delen handler om eskalation, rapporteringspligt, kontraktuelle konsekvenser, ansvarskæder og dokumentation for ledelsens vurderinger.

Hvordan adskiller principal risks sig fra emerging risks?

FRC skelner klart mellem principal risks og emerging risks. Principal risks er aktuelle og væsentlige nu, mens emerging risks er under udvikling og endnu ikke fuldt materialiserede.

Forskellen er vigtig, fordi de to kategorier kræver forskellig styring. Principal risks skal typisk indgå i fast rapportering til ledelse og bestyrelse med indikatorer, kontroller og handlingsplaner. Emerging risks kræver mere scanning, scenarier og ledelsesmæssig dømmekraft. Hvis en emerging risk bliver konkret nok, skal den flyttes over i principal risks, før den overrasker organisationen.

Et typisk eksempel er AI-governance eller afhængighed af enkelte cloud-leverandører. Tidligt kan det være en emerging risk. Hvis virksomheden bliver så afhængig, at drift, datasikkerhed eller kontraktposition kan påvirkes væsentligt, er det ikke længere et horisontproblem. Så er det et principal risk.

Hvordan dokumenterer bestyrelse og direktion governance uden at drukne i rapportering?

God governance kan dokumenteres enkelt, og OECD fokuserer på integriteten i rapporteringssystemerne frem for papir for papirets skyld. Målet er et bevisspor, der er kort, konsistent og anvendeligt i ledelsesrummet.

Trin 1 er at bygge en fast governance-kadence. Bestyrelseskalender, risikogennemgang, godkendelsesmatricer og årlig kontrolreview skal være planlagte, ikke improviserede. Trin 2 er at samle rapporteringen omkring de få vigtigste risici og beslutninger. Trin 3 er at sikre, at beslutninger, afvigelser og eskalationer faktisk bliver logget.

Et enkelt minimumssæt af styringsdokumenter er ofte nok:

  • Beslutningsmatrix: Hvem godkender hvad, ved hvilke beløbsgrænser og under hvilke triggerpunkter.

  • Risikodashboard: Ejer, indikator, status, ændring siden sidst og næste handling for hver principal risk.

  • Årlig kontrolreview: Ledelsens og bestyrelsens vurdering af, om risk management and internal control framework virker efter hensigten.

En almindelig misforståelse er, at mere dokumentation automatisk giver bedre governance. Det gør den ikke. Hvis materialet er for bredt eller for uklart, bliver signalet svagere, og bestyrelsen mister overblik.

Hvorfor er related party transactions et særligt governance-problem?

Related party transactions er en klassisk governance-risiko, og OECD knytter området direkte til loyalitetspligten. Problemet opstår, når beslutninger, der burde være armslængdebaserede, påvirkes af personlige, ejerrelaterede eller ledelsesmæssige interesser.

Risikoen er høj, fordi transaktionerne ofte ligner almindelige kommercielle aftaler på overfladen. Det særlige ligger i beslutningsprocessen. Hvis den rette person ikke træder ud af behandlingen, hvis markedsvilkår ikke dokumenteres, eller hvis godkendelsesniveauet er for lavt, kan virksomheden ende med både økonomisk skade og tillidsbrud.

"Peter Hejler Consulting ApS arbejder pragmatisk med komplekse forhandlinger, risikostyring og dokumentation, når interessekonflikter og kontraktspor skal håndteres tæt på forretningen."

Her er det nyttigt at tænke i hvis-så-logik. Hvis modparten har en relation til ejerkreds, bestyrelse eller ledelse, så skal transaktionen screenes som potentiel related party transaction. Hvis vilkårene ikke kan underbygges som markedsmæssige, så skal sagen løftes, udfordres eller stoppes.

Dette er ikke kun et børsretligt spørgsmål. Også ejerledede og vækstorienterede selskaber bør have en enkel SOP for identifikation, recusal, godkendelse og dokumentation.

Hvornår giver interim juridisk kapacitet mening i corporate governance?

Interim General Counsel er relevant, når governance-kravene er forretningskritiske, og ledelsen mangler senior kapacitet til at eksekvere hurtigt. Peter Hejler Consulting ApS er et neutralt eksempel på den type hands-on juridisk støtte, der bruges tæt på ledelsen.

Behovet opstår ofte i spring. Det kan være ved finansiering, M&A, kontraktforhandlinger, regulatoriske spørgsmål, cyberhændelser, ledelsesskifte eller forberedelse til en mere krævende bestyrelsesrapportering. I de situationer er udfordringen sjældent at få endnu et memo. Udfordringen er at omsætte krav til beslutninger, dokumentation og drift på tværs af forretningen.

Trade-off'et er ret klart. Et advokatfirma kan være stærkt til specialiserede vurderinger og proces. Et internt juridisk team giver kontinuitet. Interim juridisk kapacitet er stærkest, når virksomheden har brug for hurtig onboarding af senior juridisk ekspertise, operationel gennemførelse og tæt koordinering med ledelse, salg, indkøb, compliance og bestyrelse.

Hvis governance-opgaven både er kommerciel, regulatorisk og tidskritisk, er den model ofte mere praktisk end at fordele ansvaret i for mange hænder.

Peter Hejler
Forrige

Peter Hejler Consulting: Regulatorisk rådgivning
Næste

10 typiske fejl i leverandørkontrakter