IDA afholdt d. 5. december 2017 International Risk Management konference i København med oplægsholdere og deltagere fra ind- og udland. Konferencen bød på oplæg om mange spændende risk management temaer. Temaerne bevægede sig både på operationelt, projekt, portefølje og strategisk niveau, og der var inspiration af hente både ift. ledelse, styringsmodeller, metoder og værktøjer. I artiklen her vil vi dels opsummere væsentlige pointer fra en række af indlæggene og dels reflektere på de udviklingstendenser, som konferencens temaer afspejler.

 

Konferencens temaer og deltagende risikoprofessionelle fra både privat og offentlige sektor afspejler meget godt, at risikostyring som fag fortsat er en niche-disciplin, som fortsat dyrkes på udvalgte styringsområder i virksomhederne, men at de risikotemaer som skal håndteres (fx disruption og cyberangreb) bør være på enhver topledelses agenda. Således er vi vidne til en spændende bevægelse, hvor risk management ikke blot er en styringsdisciplin for de få, men hvor det afleder behovet for risk leadership eller risikoledelse som et ”nyt” ledelsesparadigme for ledere på alle niveauer i virksomheden.

 

 

Stine Bosse, tidligere administrerende direktør i Tryg og nu aktiv i en række bestyrelser, åbnede konferencen og talte om den nødvendige bevægelse fra risk management til risk leadership, dvs. at risikostyring ikke kun er noget, der bør optage risk managers på forskellige niveauer i virksomheden, men en disciplin og ledelsestilgang, som topledelsen bør praktisere aktivt og løbende have på agendaen.

 

Stine Bosse talte om disruption og hastigheden, hvormed forandring sker, og det pres dette sætter på risikostyringen. I dag står virksomhederne i en virkelighed, hvor man sjældent kan tillade langvarige analyseforløb af fx ændrede markedsforhold, men løbende må kunne reagere hurtigt på opdukkende risici. Dette kræver, at ledelsen har indsigt og overblik over det aktuelle risikolandskab.

 

Der blev talt om risikokultur, og om nødvendigheden af at have en kultur som tillader fejl, og som giver tid til at analysere, hvorfor fejlen opstod eller risikoen indtraf – hvad kan vi lære? Dette bl.a. for at sikre, at fejlslagne projekter ikke gør os overdrevne risikoadverse, således at risikohændelser bremser virksomhedens fortsatte udvikling. Men en risikokultur, som også faciliterer, at medarbejderne tør tale åbent med ledelsen om trusler og udfordringer og bruger ledelsen til sparring og beslutning vedrørende valg af mitigeringsstrategier.

 

Endelig blev der talt om den positive businesscase, der er ved at investere i risk management og risk leadership. Pointen er, at virksomhederne ikke har råd til at lade være, fordi de risici som kan blive overset kan ende med at lukke virksomheden.

 

Stine Bosse talte om de store risikotemaer, som bør optage alle virksomheder. Trusler og muligheder ved disruption, cybertrusler, ændringer i kundeadfærd, organisationens forandringsparathed eller mangel på samme, arbejdsmarked og vanskelige rammer for rekruttering samt håndtering af stadig mere komplekse krav til håndtering af privacy og persondata. Dette også som illustration af de meget forskelligartede emner, som virksomhedens risikostyring skal kunne håndtere og illustration af den tværfaglighed, som er nødvendig for at tegne og arbejde med virksomhedens risikolandskab.

 

Endelig afsluttede Stine Bosse med pointen om, at alle risici i sidste ende handler om medarbejdere, og at håndtering af netop people-aspektet sætter risk leadership på allerhøjeste niveau.

 

 

Graeme Keith, Head of Entreprise Risk Management i Mærsk Oil fortalte under overskriften ”Hvorfor jeg hader risikomatricer, og hvordan jeg har lært at leve med dem” om den holistiske tilgang til risikostyring, man forsøger at anlægge i Mærsk Oil. Graeme gav et levende billede af, hvordan der i oliebranchen med højest volatile oliepriser og store usikkerheder, skabes et stort behov for, at risk management kan binde beslutningstagning på det operationelle niveau sammen med strategisk beslutningstagning på virksomhedsniveau.

 

Risikostyringen i olieindustrien skal kunne håndtere de klassiske risikotemaer vedrørende, leverancesikkerhed, juridiske forhold, håndtering af 3. partsleverandører, sikkerhed, terrorisme og konflikter, men også risici som muligheder med de store indtjeningsmuligheder, der kan opstå i et marked med stærkt skiftende råvarepriser. Graeme illustrerede, hvordan Mærsk Oil databaseret og med simple stokastiske risikoanalyser vurderer alle investeringsmuligheder, således at investeringsporteføljen kan få det rette mix.

 

Den holistiske tilgang til risikostyring betyder, at man søger at få den overordnede strategi til at flyde ned igennem organisationen, således at risikostyring på det operationelle niveau kan forholde sig til strategisk risiko, og at det så er muligt at aggregere de operationelle risk til et overordnet risikobillede på virksomhedsniveauet. I Mærsk Oil søges det gennem at udforme en risikopolitik, der udstikker rammer for afkast og risikoprofil for investering og risikoaccept. Risikopolitikken skaber således grundlag for at en investeringskomité prioriterer i investeringsporteføljen og sammensætter en portefølje med den ønskede risikoprofil.

 

På forretningsområderne og operationelt niveau gennemføres der løbende risikoanalyser og mitigering med mulighed for mitigering til næste niveau. Risikostyringen på operationelt og forretningsniveau mappes og rapporteres op imod virksomhedsstrategien og samler således et risikobillede på virksomhedsniveau og med mulighed for reelt at præsentere ledelsen for de største risici.

 

En af de udfordringer der blev talt om ift. til få top-down og buttom-up processerne til at fungere var bl.a., hvordan man får strømlinet risikovurderingsmetoden på tværs af en international organisation, idet der kan være store kulturelle forskelle til fx tilgangen til vurdering af sandsynlighed og konsekvensvurdering. Dette kræver bl.a. uddannelse af medarbejdere i den korrekte risikotilgang på tværs af hele organisationen, således at der opnås en konsistent brug af risikovurdering på tværs af discipliner og landegrænser.

 

Grame afsluttede med at konstatere, at risikobilledet til topledelsen ikke nødvendigvis altid præsenterer dem for risici, som de ikke tidligere har været opmærksomme på, men at risikostyringen og aggregering og prioritering fører til en fokusering af hvilke risici, man bør have mest fokus på i den aktuelle situation.

 

Mærsk Oil casen tjener som et godt eksempel på behovet for og ikke mindst udfordringerne ved at binde risikostyring på operationelt niveau sammen med virksomhedens strategiske niveau.

 

 

Karlene Agard, risk manager ved Transport of London, talte om, hvordan projekt risk management kan styrkes ved at arbejde med value management som en integreret del af projekt- og risikostyring.

 

Udgangspunktet var en oplevelse af, at mange risikoworkshops primært ender med at identificere risici som trusler og langt færre risici som muligheder. Value management kan her anvendes til at fokusere mere på muligheder for at skabe værdi for kunder og slutbrugere og bidrage til at realisere de forretningsmæssige mål, som virksomheden har opstillet.

 

Karlene gennemgik teknikkerne i value management. Det metodiske grundlag herfor er udviklet af Lawrence D. Miles helt tilbage i 1960erne.  I value management anvendes funktionel analyse, hvor man ud fra sine forretningsmæssige mål og ønskede gevinster for projektet, som i et klassisk målhierarki, med spørgsmålet ”hvordan” nedbryder sine mål i en søgen efter de mest værdiskabende og effektive indsatser og leverancer for projektet, som kan understøtte målopnåelse og gevinstrealisering. Dette for at afgrænse projektet, således at det kun fokuserer på at levere noget, der understøtter de forretningsmæssige mål under den bedst mulige udnyttelse af ressourcerne.

 

Metoden skal understøtte at fokus i projektstyring og risikostyring er på de ønskede resultater og gevinster ved at anvende projektets løsningen, og ikke på at levere løsningen i sig selv. Metoden kan bruges til at værdiansætte forskellige løsningsmuligheder ud fra, hvor godt de understøtter forretningen og strategien.

 

Den positive synergi mellem value management og risikostyring er ifølge Karlene, som har bred erfaring med at anvende metoden inden for transportbranchen, at metoden forbedrer grundlaget for at identificere risici som muligheder, fordi anvenderen tvinges til at tænke i, hvad der positivt skal til for at realisere de forretningsmæssige mål. Samtidig kan nedbrydningen give grundlag for, også at se mere nuanceret på risiko som trusler – hvilke trusler der kan true, at vi opnår vores mål og realiserer gevinster ved projektet.

 

I Danmark er der både i offentlig og privat sektor udbredt erfaring med projektmodellen PRINCE2, hvor man netop prøver at sammenkæde forretningsmål, forandringer, leverancer og gevinster som grundlag for investeringen. Risikostyringen har fokus på at identificere trusler og muligheder mod forretningsmålene.

 

Erfaringer er dog i langt de fleste tilfælde, at der fortsat er udfordringer med at gøre projekters risikostyring fokuseret på gevinstrealisering og værdi for forretningen. Risikostyringen kommer oftest til at have fokus på risici i forhold til levering af projektets produkter til kvalitet, tid og økonomi.

 

 

DTU præsenterede de foreløbige resultater fra et igangværende forskningsprojekt, hvor man har interviewet en række ingeniørdrevne virksomheder om sammenhængen mellem innovation og risk management, dette for at undersøge sammenhængen mellem de to discipliner.

 

Studiet viser, at risk management både kan være hæmmer og fremmer for innovation. Risk management kan hæmme innovationen, hvis den anvendes tidligt til at begrænse det innovative rum ved at dræbe alle idéer med ”den her risiko er tidligere indtruffet og har begrænset…”, omvendt kan risk management anvendes positivt til at skærpe muligheder og trusler ved tidligt at fokusere og prioritere de mest bæredygtige ideer.

 

For at få risk management til at fremme innovation, er det ifølge Josef Oehmen fra DTU vigtigt at se risk management som en læringsstrategi. Det betyder, at risk manageren ikke blot skal spille en gate-keeper roller i de senere faser af projektet, i selve produktionsudviklingen, men risk manageren skal i endnu højere grad kunne være en sam-skaber i innovationsprocessen. En af Oehmens pointer var i den forbindelse, at man kan bruge risikostyringen til at identificere kritiske risici ift. løsningsbehov, eksekvering og teknologi tidligt i innovationsprocessen og brug risiciene aktivitet til at fokusere, frem for først at kigge på risikobillede i selv produktetableringen.

 

I et læringsperspektiv bliver dokumentation af ”risk burndown” vigtigt at følge op på i innovationsprojektet, fordi vi ikke blot skal se på potentielle risici for projektet, men også lære at de risici, som er indtruffet i innovationsprocessen eller som vi fik håndteret, før de indtraf. Pointen er, at der er en god businesscase ved at bruge risikostyring i innovationsforløb, fordi vi ved at lære at vores risikoerfaringer kan blive bedre til at scope og fokusere vores udviklingsforløb.

 

Oplægget fra DTU viste endnu et godt eksempel på i hvor mange af virksomhedens kerneprocesser, at risikostyring kan anvendes med effekt, hvis den applikeres med respekt for den disciplin og virksomhedskultur, den skal sameksistere med, fx inden for innovationsområdet.

 

Læs mere om DTUs forskningsprojekt og netværk ift. projekt risikostyring på http://www.projectriskforum.com/

 

 

Matthew Hardy fra foreningen af amerikanske vej og transportmyndigheder (AASHTO) fortalte i sit oplæg om arbejdet med at implementere Enterprise Risk Management (ERM) på tværs af statslige vej- og transportmyndigheder.

 

Foreningen (ASSHTO) forener føderale, statslige og lokale myndigheder, der har ansvaret for transportinfrastruktur i USA. Baggrunden for arbejdet med risk og resilience programmerne i ASSHTO er bl.a. nyere lovkrav om, at der anvendes en risikobaseret tilgang hos infrastrukturmyndighederne med henblik på at øge sikkerheden og sikre bedst mulig vedligeholdelse af værdien af infrastrukturen.

 

Risikostyringen ser både på risikokonsekvenser som konsekvenser for ejeren af infrastrukturen (hvad kan det komme til at koste at udskifte infrastrukturen, hvis den fx bliver ødelagt af naturkatastrofer) samt de øgede brugeromkostninger ved, at fx borgerne skal bruge mere tid og har øgede kørselsomkostninger, hvis infrastrukturen ikke er fuldt ud til rådighed.

Der er blandt amerikanske vej- og transportmyndigheder en vis erfaring med risikostyring på projektniveau, hvorimod der ikke er samme erfaring med risikostyring på virksomhedsniveauet (ERM).

 

Foreningen har etableret et Enterprise Risk Management framework og guidance med udgangspunkt i ISO-standarden, som den stiller til rådighed for de enkelte statslige myndigheder. Det er ikke et krav at myndighederne anvender netop dette rammeværk, men det fungerer. ERM indsatsen har bl.a. betydet, at man nu aggregeret kan se på risikoøkonomi ved forskellige typer af naturkatastrofer og andre typer af hændelser på tværs af infrastrukturen.

 

Oplægget fra ASSHTO viste igen værdien ved at samle den operationelle risikostyring og projektrisikostyring på virksomhedsniveauet, og her særligt i sektorer, hvor mange myndigheder skal samarbejde om ensartede aktiviteter. Oplægget viste også nogle af de udfordringer der er ved at få implementeret ERM og behov for at få ledelsen til at interessere sig for ERM og se værdien herved.

 

Læs mere om konferencen her  https://universe.ida.dk/international-risk-management-conference-2017/enrol-conference/