Essensen af risikostyring kan koges ned til beslutningsprocessen om hvilket problem man helst vil have. Som Søren siger: ”Ingen valg er uden risiko, og du skal være bevidst om de risici, som du påtager dig”. Netop den kongstanke var en af hovedopgaverne at få forankret i organisationen, da Søren i rollen som Risikomanager, var ansvarlig for at implementere Enterprise Risk management (ERM) i Skatteforvaltningen. Søren fik til opgave at etablere en risikometode som passede til organisationen samt en governance som kunne eksekvere, når top-risici skulle synliggøres til et konsolideret risikobillede for hele organisationen.
Hvad er risikostyring og risici for en størrelse
Hvordan kommer man i gang med at italesætte risici i sin organisation, og hvordan indarbejder man en risikokultur, som sikrer at tingene kommer frem i tide i en åben og ærlig dialog? Hvad er risici for en størrelse?
”Risici kan forstås som trusler der kan påvirke resultater, målsætninger og værdiskabelse negativt – Det kan også være et mistet potentiale fx hvis vi ikke gør noget” siger Søren.
Inden for Enterprise Risk Management arbejder man med risici på to niveauer:
- Risici der er afgrænset inden for et enkelt område
- Risici der går på tværs af område og er af mere strukturel karakter
Denne kategorisering er vigtigt for at forstå omfanget af den enkelte trussel, hvilket hjælper til at understøtte hvordan du som leder skal håndtere en risiko beslutnings- og procesmæssigt. Hvis den samme risiko opstår igen og igen, så skyldes det oftest en strukturel risiko eller en manglende kapabilitet i organisationen.
Risikostyring i det offentlige
”Der hvor risikostyring er en smule anderledes i det offentlige, er det styringsmæssige og forvaltningsmæssige element som kan påvirke risikoappetit – forkert forvaltning kan være en overset risiko i det offentlige, men det er den type risici, som giver kritik fra Rigsrevisionen til enten direktion eller minister.” fortæller Søren.
Ofte opererer det offentlige med at risikoansvar og ejerskab altid skal placeres på ledelsesniveau: Strategiske risici placeres på direktionsniveau, og operationelle risici og projektrisici på mellemleder/styregruppeniveau. Desuden skal forretningsrisici placeres hos forretningsejer, og leverancerisici forankres hos leveranceansvarlig. Det er vigtigt, at der etableres processer og governance, som sikrer løbende risikoafdækning og indstillinger om evt. mitigeringsaktiviteter. Det er obligatorisk at have en risikolog i statens IT-projektmodel, og denne indgår i Statens IT-råds risikovurdering. Risici identificeres og estimeres i risikologgen. Projekterne skal herefter indarbejde væsentlige risici i business casen, som beregner projektets risikopulje. Men risikostyring er i høj grad også udfordringer i den løbende drift, hvor især risici omkring informationssikkerhed er kommet til at fylde meget i risikobilledet.
Risikostyring er ikke kun at finde trusler men også muligheder
Risikostyring er også at bruge tidligere erfaringer, fx når man starter nyt projekt eller program.
”For at give et nyt projekt den bedste start, er det altid godt at kigge bagud og reflektere over hvilke typer af tidligere projekter det minder om” fortæller Søren, og fortsætter: ”Når man tager udgangspunkt i erfaringer med tidligere projekter, bliver man automatisk i stand til at forstå og bedømme, hvorvidt et nyt projekt starter med allerede identificerede risici” siger Søren.
Netop tidligere erfaringer giver forståelse for hvilke strukturer, der er i spil i organisationen ift. projekter – og hvordan man risikostyrer og mitigerer disse. Hvordan er organisationens evne til at eksekvere på transitioner, projekter og programmer?
Sådan kommer du i gang med risikostyring i det offentlige:
Trin 1: Sikre ledelsesforankring i toppen
Topledelsen skal efterspørge risikostyring. Især i det offentlige bliver ledelsen presset til at øge risikostyring fra Rigsrevisionen eller projektrådet. Brug dette element til at få forankret risikostyringen hos nøglepersoner, som kan være med til at skabe awareness.
Trin 2: Risikofokuseret samtale
Få indarbejdet en risikofokuseret samtale i direktionslokalet, så der er åben dialog omkring risici. Governance starter i direktionslokalet. Det handler om at facilitere samtalen om risici blandt ledelsesmedlemmerne. Risici skal være et punkt på dagsordenen.
”Vi skal altså helt lavpraktisk bordet rundt og høre alle ledelsesmedlemmer om, hvad de hver især har tænkt på af risici, hvad og hvordan de har mitigeret eventuelle risici og hvem det eventuelt kunne ramme omkring bordet” fortæller Søren.
Siloer skal brydes på toppen. Vi er afhængige af hinanden – problemet er et sted (problemejer), men risici og løsning kan måske være et andet sted (risikoejer). Vi arbejder med en problemejer og en risikoejer.
Trin 3: ‘Solve important problems first’.
Den største fordel ved risikostyring er, at vi løser de vigtigste problemer først. Det betyder, at risikostyring skal styre den daglige agenda, altså kalenderen. Risikostyring er et redskab til at få et prioriteret overblik over hvor vigtige ting er.
”Stil dine kollegaer i direktionen og de øvrige direktionsmedlemmer dette spørgsmål: hvordan kan jeg se at din kalender repræsenterer, hvad der er vigtigst?”, siger Søren og fortsætter: ”Det giver mulighed for og legitimerer, at man må omprioritere sin kalender ift. risikobilledet. Det er vigtigt for forankringen at stille de svære spørgsmål – og nogle gange giver det mening at få en udefra, til at lege djævelens advokat”.
Trin 4: Indarbejde en risikokultur
Som nævnt før, starter rejsen oppe fra. Det er vigtigt, at når ledelsen siger ”min dør står åbent”, så er der handling bag ordene. Medarbejderne skal opleve, at de kan komme med deres bekymringer/risici, så de kommer tidligt frem i lyset.
”Ofte får topledelsen informationer om risici, når det er for sent. Derfor skal risici introduceres i ledelsesdialogerne, og derfra sive ned på alle niveauer. Det handler om tillid, samspil og de fælles ting”, fortæller Søren.
Man skal også bryde siloerne i direktionslokalet, og sikre at ledelsen ikke kun interesserer sig for at håndtere ting inden for eget område. Hvis ikke det sker, bliver det svært at skabe en lyst til at komme med info om potentielle svære ting, inden de eskalerer. Risikostyring skal afspejles i dagsordenen i møder, styregruppemøder mv., kalender og dagsordener.
Trin 5: Risikoregister/Risikolog
Når kulturen er indarbejdet, kan man overveje at skabe et risikoregister for alle typer af risici, der blandt andet skaber overblik over, hvad vi har gang i, planer og mitigering, risikofrekvens, opsamling af disse m.m.
Trin 6: Governance
Som en del af governance bør det formaliseres fx via et årshjul, hvem der er risikomanager, hvem der har indblik i risici, og hvem der har ansvar for risikoregister, metoder mv. Effektiv risikostyring medvirker til at reducere strategiske og forretningsmæssige risici, sikre compliance samt kvaliteten af grundlaget for ledelsens beslutninger og den finansielle rapportering. Risikostyring bør indgå som et fast emne på bestyrelsens årshjul, og organisationer bør rapportere på struktureringen af processen for risikoafdækning, de identificerede væsentlige risici, samt hvordan organisationen håndterer disse.