Af Anders Find og Annemarie Vitoft, Black Swan Institute
18/01 – 2016


Risikostyring fokuserer på styring af planer, hvor risikoledelse supplerer ved at identificere potentielle trusler og muligheder, der kan hindre organisationen i at nå målene og skabe ejerskab og lederskab til at forebygge, optimere, udnytte og genoprette risici.

Værdien af risikoledelse
Mange organisationer erkender vigtigheden af risikostyring og etablerer basale processer og funktioner til at arbejde med risiko. Desværre viser vores studier, at risikoarbejdet mange steder endnu ikke har nået en modenhed, hvor udbyttet står mål med indsatsen. Ofte foregår risikoarbejdet som initielle risikoanalyser, compliance til lov og herefter bliver de fleste ressourcer brugt på at udarbejde og opdatere dokumentation, uden at det reelt fører til en proaktiv risikohåndtering og dermed skaber reel værdi for forretningen.

Kun få organisationer formår at hæve sig fra en grundlæggende identificering og vurdering af risici til rent faktisk at kunne praktisere aktiv risikoledelse. Det er ærgerligt, for det betyder, at der investeres relativt mange ressourcer på risikoarbejdet, uden at der opnås den mulige værdi af investeringen.

Gennem vores studier af en række store organisationer de sidste 5 år kan vi konstatere, at der er et uafdækket potentiale for at løfte modenheden og derigennem tilføre mere værdi i organisationernes risikoarbejde. Med en højere modenhed bliver det muligt at praktisere en aktiv risikoledelse, som skaber grundlaget for at løfte sig fra at dokumentere og etablere processer til at opnå en forretningsmæssig værdi af indsatsen.

Definition på risikoledelse
Risikoledelse skal i denne sammenhæng forstås som et supplement til den generelle ledelsesopgave, hvor ledelsen er ansvarlig for at sikre, at organisationen løfter strategi og mål gennem en styring af de planer, som fører frem til målet. I risikoledelse er fokus ikke så meget på styring af planer men på at identificere potentielle trusler og muligheder, der kan hindre organisationen i at nå målene og skabe ejerskab og lederskab til at forebygge, optimere, udnytte og genoprette risici. Risikoledelse bør altså ikke betragtes som et synonym til risikostyring, men som en disciplin i ledelsen af virksomhedens strategi og forretning.

Datagrundlag og tilgang
Vores studier er overvejende baseret på arbejdet med risikostyring af projekter, programmer og porteføljer i store offentlige organisationer. Altså i de situationer, hvor organisationen investerer i videreudvikling og forandring af forretningen i modsætning til business as usual. Det er en midlertidig situation, hvor forretningens etablerede arbejdsprocesser undergår en forandring. Det er en risikabel situation, hvor der er særlig behov for risikoledelse.

Forandringsprojekter tilrettelægges typisk adskilt fra den daglige håndtering af forretningen, hvilket også giver god mening. Det er imidlertid mellem nuværende forretning og de fremtidige forretningsprocesser, at der eksisterer en række store risici, som bør adresseres og håndteres for ikke at koste for stor en del af den værdiskabelsen, som er formålet med at igangsætte et forandringsprojekt. De to enheder er tæt forbundne og skaber både trusler og muligheder for hinanden. Det er i driften af forretningen, at der opstår behov for forandring og defineres forretningsmål for et nyt initiativ. Omvendt afleverer forandringsprojektet en række risici til driften, som på sigt kan udgøre store risici for driften af forretningen. De er begge en del af en cyklus og påvirker organisationens samlede risikopåvirkning.

Formål
Artiklen argumenterer for, at der tabes for meget værdi i de store organisationer, når risikoledelse ikke opnår en tilstrækkelig modenhed til at blive inkorporeret i ledelsen af forretningen og ledelsen af nye initiativer og deres implementering i de eksisterende forretningsprocesser.

Modenhedsmodel
Risikoarbejdet i de fleste danske organisationer kan placeres på trin 1-3 i nedenstående modenhedsmodel.

Modenhedsmodel

Når modenheden i organisationen er på trin 1-3, er det begrænset, hvor effektiv risikoledelse kan praktiseres. Selvom bestyrelsen, direktionen, linjeledelsen eller styregruppen er moden til at tage ejerskab og lederskab til risici, så kan grundlag, beslutning og eksekvering ikke blive understøttet godt nok, hvis risikostyringen ikke sker kontinuerligt, systematisk og efter en fælles metode.

Grundlaget for risikoafdækningen
Meget risikoarbejde begynder med en initiel risikoanalyse. Tidlige risikoafdækninger er værdifulde, da viden er forholdsvis lav og vigtigheden af beslutninger er store.

Risikoafdækning

Men tidlige risikoanalyser bærer ofte præg af at være på et overordnet og generelt niveau. Det kan fungere godt på det tidlige stadie, hvor der endnu ikke er opbygget så stor viden og kompleksiteten endnu er begrænset. For det første bør risici være koblet til strategi og forretningsmål. Det er de ikke i de rammeværker, de fleste metodisk set læner sig op ad. For det andet er det en forkert forudsætning at tage udgangspunkt i, at noget er initielt. Ingen videreudvikling af forretningen starter helt fra bunden. Der vil altså være en række risici inkorporeret i netop den eksisterende forretning og dens kontekst. Disse forudsætninger bør indgå i den ”initielle” risikoafdækning. Det er vores erfaring, at der sjældent sker en opsamling af risici og overlevering fra forretningen til projekter. Den samlede risikoeksponering og dermed risikoprofil er således ikke kendt af ledelsen, når de beslutter at igangsætte videreudvikling af forretningen.

Generelle risici
Udfordringerne fortsætter, hvis risikoanalysen ikke løbende opdateres i takt med, at videnniveauet stiger. Så forbliver risici overordnede og mulighederne for at praktisere risikoledelse mindskes. I mange risikoregistre vil man finde disse generelle og ofte konstante risici, fordi de er svære at mitigere. Når et risikoregister indeholder en risiko for, at forretningsbehov ikke er afdækket tilstrækkeligt, så er det en risiko, der knytter sig særligt til analyse- og anskaffelsesfasen. Sådan en risiko bør kvalificeres yderligere, ellers bliver den bare en plausibel undskyldning for, at et problem senere opstår og medfører et tab. Ledelsen og den risikoansvarlige bør spørge til, hvorfor forretningsbehov ikke skulle være tilstrækkeligt afdækkede. Altså er der nogle forudsætninger til stede, som betyder, at denne risiko er særlig relevant. Hvis der ikke er en klart billede af kunderne og deres behov, trods et forsøg på at afdække deres behov, så bør risikoen have sit fokus her. Måske er 70 procent af de typiske kunders adfærd og behov afdækket, men der mangler måske tilsvarende viden om de atypiske kunder. Så skal risikoen formuleres til at handle om netop de kunder. Altså risici skal nedbrydes, til de opnår en substans, der er forretningsrelevant, potentielt udfordre målene og som derfor kræver ledelsens handlinger og opmærksomhed.

Specifikke risici
De generelle risici er i de flestes risikoarbejde også suppleret af mere specifikke risici. Det er ofte risici koblet til konkrete leverancer. Udfordringen med disse risici er, at de sjældent er risici, men derimod ofte issues. Issues skal her forstås som opståede problemer, som nu er kendte og indtruffet og derfor kræver en aktiv handling. Mange af disse har aldrig været beskrevet og er indgået i risikoregistret som risici, men er alene opstået og formuleret samtidig med, at problemet er opstået. Denne type issues skygger ofte for det egentlige risikoarbejde, da de er relevante og alvorlige og med et akut behov for at få opmærksomhed, så de kan blive prioriteret, adresseret og håndteret.

Det betyder, at mange risikoregistre indeholder ”risici” på flere niveauer, hvor der er de generelle, som er svære at handle på, og de specifikke, som er nemme at handle på, men egentlig allerede er issues. Det er blandt andet den sammensætning, som gør det så svært at praktisere risikoledelse.

Hvorfor ender risikoarbejdet i den situation? Kort sagt så er det den manglende kobling til målhierarkiet. En risiko bør kun være relevant, hvis den udgør en trussel eller en mulighed for at nå de aftalte målsætninger. Risici, der alternativt kobles til leverancer, projekttrekanten og andre tilsvarende parametrer medfører desværre ofte, at denne type risici kommer til at handle om stram tidsplan, manglende ressourcer og dårlig kvalitet i leverancerne. Tid, ressourcer og kvalitet er konsekvenser af en risiko, men er ikke selve risikohændelsen.

Risikoperspektiver
Ovenstående udfordringer kan man betragte som en slags vertikale udfordringer, som samlet betegnelse for problemer med det faglige niveau i risikoarbejdet. Der findes også en række horisontale udfordringer, forstået som at komme 360 grader rundt om projektet og få flere perspektiver på risici. Vi ser i mange organisationers risikoarbejde, at der er en tydelig overvægt af interne risici med et indefra-ud perspektiv. Det er risici, som er indenfor organisationens kontrol og dermed også indenfor ledelsens indflydelse og mulighed at mitigere. Det er risici set fra de risikoansvarliges eget perspektiv.

Eksterne risici er sjældent godt afdækket. De bliver ikke afdækket tilstrækkeligt gennem organisationens eget risikoperspektiv. Der er behov for at supplere med et udefra-ind perspektiv. Kunder og nøgleinteressenters perspektiv indeholder en række potentielt vigtige risici. Identificeres de ikke som en del af risikoarbejdet, sker der desværre ofte det, at organisationen møder dem som issues på en senere tidspunkt. Det kan være risici, som knytter sig til kundens anvendelse af det produkt eller den service, som organisationen leverer. Udefra-ind perspektivet er sjældent det samme som indefra-ud perspektivet. En grundig afdækning af kunderne oplevelser og den forventede fremtidssituation, nedbringer denne type risici betragteligt. Men disse typer af risici undgås sjældent helt, da der altid er atypiske brugere, som ikke passer ind i mainstream brugerrejser.

Andre eksterne risici opstår i relationen til andre, hvor der er stor kompleksitet eller afhængighed i forhold til alt udvikle og levere et produkt eller en service. Med den stigende kompleksitet i globale organisationer og i tværgående deling af data og it-infrastruktur, er der behov for at favne et bredere risikoperspektiv og kunne skabe overblik over et bredere risikolandskab. Desværre synes de eksisterende metoder og rammeværker ikke at adressere denne kompleksitet og dette stigende behov. Det kan være en væsentlig årsag til, at det også mangler ude i det praktiske risikoarbejde.

For at arbejdet med risiko kan modnes og der skabes ejerskab på ledelsesniveau, er der behov for at løfte risikoarbejdet og få adresseret ovenstående udfordringer. Ved at adressere større kompleksitet, opfange både vertikale og horisontale risikoperspektiver og koble risici til organisationens mål, vil risici blive nærværende og mere vedkommende for ledelsen.

Ansvar og lederskab
Man kan spørge sig selv, hvad det vil sige, at tage ejerskab til risici og praktisere risikoledelse og hvorfor det ser ud til at være så svært at få til at ske i praksis. Svarene er sikkert mange, men her peger vi på nogle konkrete udfordringer i det risikoarbejde, vi har studeret. For det første er der en udfordring i den måde, hvorpå risikoarbejdet bliver præsenteret for ledelsen. Risici opsamles ofte i regneark, og en risiko bliver opsamlet som en linje med en række parametre, herunder sandsynlighed og konsekvens med henblik på at vurdere risikoens alvor og betydning. Det er en simpel sandsynlighedsvurdering, som synes at være den dominerende tilgang i de gængse rammeværker og metoder. Tilgangen tager ikke hensyn til organisationens risikovillighed, risikomodenhed og den kompleksitet, som en risiko ofte udspiller sig i. En risiko opsamles her i en enkel form og uden at blive koblet til de potentielt mange årsager og hændelser. Den manglende kontekst og den forsimplede sammenhæng er med til at skabe afstand til ledelsen. Taget i betragtning, at mange risici fremkommer fra organisationen eget perspektiv, er det ikke sandsynligt, at man har fat i de største og mest væsentlige risici sat i forhold til deres indflydelse på strategi og mål.

I de fleste af vores cases er der en accept af, at risikoarbejdet kan favnes i et regneark eller en tilsvarende dokumentation, og at risikovurderingen sker ud fra en subjektiv vurdering af sandsynlighed og konsekvens. Det er imidlertid vores erfaring, at den tilgang og det format ikke rammer bestyrelsen, direktionen, linjeledelsen eller styregruppens behov. Resultatet er i mange tilfælde, at behandlingen af risici ikke opleves som nærværende og relevant, og vi har i mange tilfælde kunne konstatere, at konsekvensen er, at emnet udskydes og nedprioriteres.

For det andet mangler der i nogen grad et ejerskab til risikoledelse i bestyrelsen, direktionen, linjeledelsen og styregruppen. Det er ikke et sundt tegn. Det er ledelsen, som ejer og skal tage ejerskab til risiciene og alle risici skal have en ansvarlig på ledelsesniveau. Det kan være et direktionsmedlem eller et medlem af styregruppen. Det er også ledelsens opgave og ansvar at efterspørge risikoanalyse, risikooverblik og fremlæggelse af centrale risici til drøftelse og efterfølgende mitigering. Ledelsen skal sikre, at der sker en fremlæggelse og behandling af risici på direktionsmøder og i styregrupperne. Det ansvar bliver ikke altid løftet. Mange steder er risikoarbejdet tilrettelagt som en buttom-up proces, hvor risici identificeres nede og løftes op. Det medfører ofte, at der kommer til at mangle vitale perspektiver i risikobilledet, jf. afsnittet om risikoperspektiver. Top-down tilgangen mangler ofte i forelæggelsen for ledelsen. Det er først i behandlingen af risici, at de beriges med ledelsens perspektiv. Det har desværre den ærgerlige konsekvens, at risikoarbejdet opleves fraværende og irrelevant for ledelsens arbejde. Fremlægges det desuden i et regneark, er der stor sandsynlighed for, at ledelsen har svært ved at se det som deres værktøj til aktiv risikoledelse.

For det tredje synes manglende kvalitet, forskellige formater og forskellig modenhed at være en væsentlige årsager til, at risikoarbejdet ikke efterspørges i tilstrækkelig grad af ledelsen. Ad hoc præget risikodokumentation er svært for ledelsen at håndtere sideløbende med, at der er et stigende fokus på issue-håndtering og styring af fremdrift. Umodent risikoarbejde kan ikke konkurrere om den begrænsede tid og opmærksomhed. Her vil det kræve en ledelse, der efterspørger risikoarbejde, som egner sig til at blive drøftet, behandlet og besluttet på ledelsesniveau.

Forudsigelige risici
Rigtig mange risici er mulige at forudsige. De fleste risici er allerede oplevet ved tidligere situationer i organisationen eller opsamlet af andre gennem studier af risici indenfor eller på tværs af branche eller forretningsområde. Ledelsen kan tage initiativ til at opsamle erfaringer på tværs af forretningsområder og porteføljer. Den tilgang vil bidrage til at systematisere arbejdet med risici og til at kunne identificere mønstre og skabe et bedre videngrundlag for beslutninger. De forudsigelige risici er ikke statiske, men de kan identificeres og løbende opdateres. Det gør det muligt at arbejde med dem og sætte sig mål om med tiden helt at elimere de risici, som har størst konsekvenser, så de ikke længere udgør en trussel for organisationen. Risikoledelse af forudsigelige risici handler derfor især om at opsamle viden, dokumentere den og derved skabe grundlaget for evidensbaseret risikoarbejde.

Med større modenhed skabes fundamentet også til at arbejde med stor værdiskabelse ved, at risikoledelse favner muligheder. Organisationer går glip af mange muligheder, fordi de ikke formår at dyrke og samle dem op og skabe en kultur, hvor de de honoreres af ledelsen. Det er ofte af den simple årsag, at ledelsen ikke efterspørger det. Det kræver også, at ledelsen åbner for det perspektiv, kommunikerer det og dermed gør det muligt. Google har bevidst arbejdet med at gøre muligheder til et forretningsområde ved at opmuntre medarbejdere til at bruge en del af deres arbejdstid på at arbejde med egne ideer og forretningsudvikling på eksisterende forretningsområder.

Uforudsigelige risici
Andre risici er sværere at forudsige. Det gør ikke, at ledelsen ikke kan arbejde med uforudsigelige risici. En af de organisationer som har arbejdet succesfuldt med uforudsigelige risici, er Shell, tilbage i 1960’erne, da de udviklede scenarieplanlægning. Shell har observeret, at risici ikke kun er tekniske, men opstår i en øget kompleksitet. De kan være økonomiske, sociale, politiske, miljømæssige og ikke mindst relateret til branding. Med scenarieplanlægning arbejder Shell med beredskaber til en række plausible scenarier. Et af disse var tilbage i 1960’erne en potentiel oliekrise. Da oliekrisen indtræf i begyndelsen af 70’erne, var Shell et skridt foran og havde udviklet et beredskab, som de kunne aktivere, mens andre olieselskaber endnu manglede at finde ud af, hvor de stod, og hvordan de skulle handle. Netop denne tilgang stillede dengang Shell bedre under oliekrisen end deres konkurrenter.

Scenarieplanlægning handler om holdninger, antagelser og opfattelser og har til formål at forudsige fremtidige muligheder og trusler ved at forestille sig fremtidige situationer og udfald og altså ikke sandsynligheder. Scenarierne anvendes til at forberede sig på forskellige situationer – hvis de forekommer! Det er altså ikke modelbaserede analyser og statistik. Der ses mere på mønstre og trends i fremtiden.

Med øget kompleksitet og et endnu bredere spektrum af risici siden 1960’erne bliver scenarieplanlægning et vigtigt supplement til risikoledelse,så der både kan arbejdes med det forudsigelige og det uforudsigelige.

Modne organisationer kan favne arbejdet med det uforudsigelige og kan geare organisationen til hurtigt og fleksibelt at reagere på det uforudsigelige. Det er netop denne evne, der adskiller de bedste fra de andre i mange brancher. Scenarieplanlægning er en dokumenteret metode til at kunne agere i en uforudsigelig kontekst.

Risikoledelse er ledelse af undtagelser
Modenhed i risikoledelse bidrager til, at organisationer når deres mål og realiserer potentielle gevinster. Formår organisationerne at koble risikoledelse til den generelle ledelse af forretningen, opnås en sund balance mellem strategi, planer og de muligheder og trusler, som dukker op og potentielt vil udfordre og hindre organisationen i at opnå en fuld værdiskabelse. Den modenhed kræver i nogen tilfælde en fleksibel tilpasning af planerne, genbesøg af strategien og justering af målene, men det er jo netop også, hvad der er behov for, når det omkringliggende samfund bevæger sig, og der sker udefrakommende påvirkninger, som kan få indflydelse på forretningen og værdiskabelsen.

Læs flere artikler om risikoledelse ved at tegne abonnement på Håndbogen i Risk Management. Kontakt os på info@blackswaninstitute.dk