För att få svar på hur publika företag på den svenska börsmarknaden egentligen hanterar frågor gällande säkerhet och kontinuitetsplaner har jag gått igenom ett stort antal årsredovisningar.

Jag har sökt efter information huruvida företagen har någon form av kontinuitetsplan i händelse av katastrofer eller andra större incidenter. Samt om de på något sätt presenterar sitt arbete vad gäller risker, som på ett eller annat sätt kan påverka verksamheten i ett större perspektiv.

Nedslående resultat
Resultatet är nedslående – endast ett fåtal företag presenterar i dag någon form av en strategiskt genomtänkt kontinuitetsplan, och att de systematiskt arbetar med Risk Management (RM) på alla plan.

De redovisar hur de arbetar med sådant som finansiella risker, strategiska risker, operativa risker, samt risker för juridiska påföljder om lagar och regelverk inte efterföljs. Några företag har även fått med säkerhetsrisker i form av brand, inbrott och dataskydd i så väl de strategiska riskerna som de operativa riskerna och hanterar detta löpande. Men, långt ifrån alla stora bolag har med detta i sina årsredovisningar. Vad gäller medelstora och mindre bolag noterade på Stockholmsbörsen har jag inte hittat ett enda företag som redovisar någon form av risk management utanför de finansiella riskerna. Detta efter att ha läst minst 20 slumpmässigt utvalda årsredovisningar.

Många företag beskriver någon form av RM men tar här enbart hänsyn till finansiella risker, eller risker kopplade till den marknad där verksamheten bedrivs.

Inga krav ställs
Jag finner det som mycket märkligt att vi ställer krav på så mycket när det gäller redovisning av våra företags verksamheter - men inga krav när det gäller företagets överlevnad om katastrofen är framme. Det borde ligga i allas intresse att företagen kan hantera katastrofer eller andra incidenter av allvarlig karaktär.

Vissa bolag kanske lever i tron att katastrofer eller annat som kan orsaka stor skada för verksamheten "inte händer oss". Som aktie- och fondägare hoppas jag, att tanken på att saker faktiskt kan inträffa ska ingå i det som kallas god förvaltning av företagets verksamhet. Min tro och förhoppning är också att de flesta företag i dag arbetar med någon form av kontinuitetsplanering, men avstår från att redovisa detta.

För det vore tragiskt om vi i framtiden får se börsnoterade bolag försvinna på grund av en händelse som brand, inbrott eller ett dataintrång, som resulterar i att de inte kan fortsätta bedriva sin verksamhet. Det skulle i detta sammanhang vara intressant att se en rapport över konsekvenserna för samtliga företag som blev drabbade av 9/11.

Försäkringen inte viktigast
Säkert vill många lägga över ansvaret på försäkringsbolagen. Jag tror också att de flesta börsnoterade bolagen har försäkringar som täcker det mesta. Dock kan ju en mängd (oönskade) händelser inträffa som skadar verksamheten: den kan brinna ner, dataintrång kan ske samt stöld av datorer, hot kan komma från terrorister – och delar av eller rent av hela ledningsgruppen kan försvinna i en olycka.

Då är kanske inte försäkringen det viktigaste för företagets överlevnad. Vid vissa av dessa händelser gäller kanske inte försäkringen, på grund av sådant som att relevant data backup saknas, eller att brandlarmet inte har servats. Måhända saknas det klara rutiner för att hantera sådana händelser och då har inte kraven följts som det aktuella försäkringsbolaget har ställt.

Visa i årsredovisningen!
Publika företag bör givetvis på något sätt redogöra för att de har en kontinuitetsplan eller hur de hanterar sin RM! Självklart kan det ligga i publika företag att på eget initiativ redovisa detta, men de kanske gör detta
utan att vi kan hitta det i årsredovisningen.

Sedan bör det i samband med den årliga revisionen, kommenteras att företaget har en kontinuitetsplan som är granskad och godkänd. Vad gäller RM och kontinuitetsplanering finns det i dag som sagt inga krav från några håll, varken i aktiebolagslagen, från bolagsverket eller någon annan andra myndighet.

(Det finns verksamheter som måste ha katastrofplaner, kontinuitetsplaner och annat för att få certifikat eller godkännande att bedriva sina verksamheter. I detta resonemang har dessa inte studerats eller tagits någon hänsyn till.)

Goda exempel
Nu ska det framhållas att det finns bolag som är duktiga på att arbeta med och informera om risker som är förknippade med olyckor och katastrofer. Trelleborg AB framstår som ett synnerligen gott exempel. I deras årsredovisning av år 2008, finns Beredskap och Krisplaner med under rubriken Riskhantering och kontrollstrategier.

Sju riskområden bestämdes att vara prioriterade under år 2009. Ett av dessa var "Anläggningar som är exponerade för naturkatastrofrisker". Där står följande:
"Tillsammans med försäkringsgivarna för egendom och produktionsbortfall, FM Global, genomförs en grundlig analys av naturkatastrofriskerna för alla verksamheter. Arbetet har resulterat i olika åtgärdsprogram som syftar till att minska riskerna, bland annat öka anläggningsskyddet, höja medvetandet om riskerna hos den lokala ledningen och skapa rutiner för att vara väl förberedd om en naturkatastrof skulle inträffa."

Vi får hoppas att fler bolag följer Trelleborg AB exemplet både för aktieägarnas och kundernas skull.