Affärsinsikt: Riskhantering – Hur sexigt är det egentligen?

Odd Glodeck Insikter

”Riskhantering – Hur sexigt är det egentligen?”
…sa en kund till mig en gång när vi satt och planerade implementeringsfasen av ett ledningssystem för risk. ”Vad menar du? Sjukt sexigt!” tänkte jag och undrade faktiskt vad han menade. Sen mindes jag alla gånger jag varit på fest och blivit presenterad för någon bekantas bekant och fått den vanliga frågan ”Vad jobbar du med då?”. ”Riskhantering” säger jag, varpå personen i fråga ser sig om i rummet, snabbt dricker ur vad hen har i glaset, mumlar något och liksom moonwalkar iväg. Alternativt skiner vederbörande upp och utropar ”Jaha, finansiell risk!”. ”Nej, mest operationell och strategisk risk”. ”Jaha”…
Varför är det så? Varför får riskhantering sitta vid eget bord i matsalen och blir sällan eller aldrig bjuden på balen?
Här är några av mina tankar kring varför – baserat på egenupplevda situationer och händelser men absolut inte statistiskt säkerställt:
Diffust och luddigt.
Riskhantering upplevs som ett diffust och luddigt eftersom begreppet ”risk” för de flesta är diffust och luddigt i sig. Det är så till och med för de som gått kursen och fått lära sig den officiella definitionen av risk (trumvirvel): Osäkerhetens effekt på mål. Eh, say what? Och eftersom det är diffust och luddigt är det ytterst oklart vilket värde det eventuellt kan skapa. Däremot kan det förmodligen generera hur mycket jobb som helst.
En hinderbana, eller kanske en glidtackling.
Riskhantering upplevs som ett ankare, en avstickare – med en mur av armerad betong skild från affären – något som SKA GÖRAS för det står i det och det regelverket och den och den föreskriften/policyn. Istället för att bidra till affären och resan framåt stjäl det resurser och skickar organisationen på en senväg. Och förresten, what´s in it for me?
Onödigt komplicerat.
Företaget har anammat modellen ”extra allt” eftersom det kanske inte upplevs som tillräckligt avancerat annars och vem vågar då lita på resultatet? Eller för att man äntligen fick loss en utvecklingsbudget. Att på decimalen beräkna värdet på risker som är svåra att bedöma i tiotal blir bara exakt fel. Och jobbigt blir det också.
Dålig eller obefintlig återkoppling.
Linjen gör jobbet, tröskar sig igenom modellen, rapporterar till högre skikt och sen… ingenting! Poof, försvann det ut i tomma intet. Och vad betyder det? Att det var bra, att ingen sett det, skulle jag inte gjort det? Jag tänker då inte göra det igen.
Brist på praktiskt stöd.
Det finns rutiner, riktlinjer, policys, e-learning och mallar men den där sista… kuggen på hjulet, kulan i kullagret, smörjoljan?… som behövs för att få maskineriet självgående, det som gör att var och en fattar vad som faktiskt ska göras och hur det ska göras, saknas. Frågor i stort och smått har ingen mottagare, går således obesvarade och då finns det minsann annat att fylla sin tid med.

Så hur gör man då?
Konkretisera.
Konkretisera vad risk och riskhantering betyder i just din organisation. Tydliggör varför, vad, av vem och hur riskhantering ska bedrivas. Säkerställ effektivitet genom att börja med att sätta scopet. Mot vilka mål och inom vad ska riskhanteringsprocessen bedrivas? Det här hoppar många över för, ska vi vara ärliga, det är ganska tråkigt att sätta scopet och man tror gärna att det redan är gjort, att det redan sitter i ryggmärgen. Det är roligare att kasta sig rakt in på att identifiera och analysera risker. Problemet är att om inte scopet är detsamma och tydligt för alla som deltar kommer för mycket tid att ägnas åt att diskutera sådant som egentligen är irrelevant i sammanhanget.
Identifiera och kommunicera värdet.
Olika organisationer har olika mål med riskhantering. För vissa är compliance styrande, för andra är det bättre beslutsunderlag. För vissa handlar det om att färre ska dö på jobbet. Oavsett vad målet är ska det kunna paketeras och kommuniceras så att det för varje mottagare går att begripa och relatera till det egna arbetet och ansvarsområdet. ISO 31000 må vara mumma för oss redan frälsta men är för de allra flesta inte ett självändamål. Anpassa budskapet till aktuell målgrupp och fundera över om du själv skulle köpa det. Om inte, tänk igen, ta mottagarens perspektiv och var kritisk.
Förenkla, förenkla, förenkla…
Ett vanligt misstag många gör är att utveckla modeller som är onödigt komplexa och teoretiskt invecklade i jämförelse med vad företaget behöver och vad organisationen mäktar med. Låt good enough utgöra en ledstjärna, ha ett pragmatiskt förhållningssätt och kom ihåg att den absolut största delen av värdet skapas i och med att riskhantering bedrivs, alls. I utvecklingsskedet, ifrågasätt ledningens tilltro till sin förmåga att ta tillvara på de detaljerade beslutsunderlag som de kan vara frestade att låta modellen generera.
Tydliggör förväntningar och krav på återkoppling.
Av någon anledning är ofta mellanskikten i större företag de sista att komma med på implementeringståget vilket innebär att de initialt är illa förberedda på att ta emot och svara på rapportering och frågor från linjen. Undvik det genom att – innan implementeringen påbörjas – tydliggöra vilken kommunikation som ska ske i gränssnittet mellan olika nivåer i organisationen och hur den ska ske. Ägna särskild tid åt ansvarsfrågan. Vad betyder det att ha kommunicerat risker ”uppåt”? Innebär det en överföring av ansvaret och ägarskapet för riskerna eller är information bara information? Om högre ort begär åtgärd, varifrån tas budgeten för åtgärden? Alla gränssnittsfrågor kan inte ha förberedda svar men genom att fundera igenom top 15 kommer man ganska långt.
Säkerställ tillgång till stöd.
Det räcker inte att ha alla verktyg på plats. Smarta människor är lata brukar det heta och lata människor tar genvägar. Smarta människor ifrågasätter också, är nyfikna och inte minst kritiska. Det är bra. Det skapar förutsättningar för ständiga förbättringar. Men det förutsätter att det finns någon att föra dialogen med. Säkerställ att organisationen vet var de hittar bollplanket, kompisen, supporten, människan som gör den stora skillnaden. Säkerställ dock först att människan är förberedd och trygg i sin roll. Är rekryteringar aktuella bör charm och people skills gå före certifieringar.
Slutkläm;
Så, det var en sammanfattning av några av mina tankar kring varför riskhantering ibland hamnar ute i kylan och vad som kan göras för att det inte ska bli så. Riskhantering bedrivet på rätt sätt frigör tid, skapar tydlighet och leder till bättre beslut. Hur sexigt som helst.

Om författaren: Maria Adolfsson, maria.adolfsson@centigo.se, är affärskonsult på Centigo och tillhör enheten Bank, Finans och Försäkring, men jobbar med kunder inom flera av våra affärsområden. Maria har lång erfarenhet som konsult och har genom åren hjälpt både privata och offentliga aktörer att driva förändrings- och utvecklingsprojekt främst inom områdena Risk Management och Business Continuity Management.