Organisationers riskhantering påminner initialt om individuell riskhantering i vardagen: att förebygga skador och minimera följderna från fall till fall. Då organisationen växer lönar det sig dock att satsa på systematisk riskhantering med målet att stödja det strategiska och operativa beslutsfattandet och bevara organisationens handlingsförmåga i alla lägen.
Nästan all mänsklig verksamhet inbegriper osäkerhet. Både som privatpersoner och medarbetare är vi så vana att bedöma följderna av osäkerhet att vi knappt märker det. Vi bedömer riskernas sannolikhet och påverkan utifrån vår kunskap och erfarenhet. På detta baserar vi beslut om risktagandets fördelar och nackdelar.
Förhållningssättet till risktagande varierar dock. Många av oss kanske tidvis förundras över en vän eller bekant som verkar vara beredd att ta stora risker, sådana vi själva aldrig skulle ta. Vi känner också igen en typ av människor som tycker att all slags osäkerhet är obekväm och ska undvikas så långt som möjligt – på bekostnad av att vissa möjligheter blir outnyttjade.
Typiskt för vardaglig riskhantering är att riskerna bedöms från fall till fall då något känns osäkert i stunden. Subjektiva riskbedömningar bygger inte nödvändigtvis på en oförvanskad uppfattning om osäkerhetens sannolikhet och påverkan utan vår hjärna betonar ofta händelser som skett nyligen eller gjort ett starkt intryck. Vi kan tycka att det som styrker vår förhandsuppfattning är viktigare än annan information eller så påverkas vi av andras verkliga eller förmodade åsikter i vår bedömning av osäkerhetens betydelse.
Även med dessa brister räcker beslutsfattandet kring osäkerhet oftast för en privatperson. Inledningsvis siktar även många organisationers riskhantering på att förebygga skador eller minimera följderna från fall till fall. Då organisationen växer måste man dock uppmärksamma hur en större och eventuellt mer komplex organisation ska hanteras. Organisationen eller dess delar behöver gemensamma spelregler, kommunikation och samordning av olika synsätt.
Riskhanteringen stöder måluppfyllelsen
Ibland måste en organisationsmedlem utifrån subjektiv kunskap, erfarenhet och yrkeskunnande bedöma riskens följder för hela organisationen samt avgöra om risken ska tas eller inte. Det här läget är svårt för individen och hela organisationen eftersom vi vet att identifiering och bedömning av riskens betydelse beror på faktaunderlaget och förvanskningar av tolkningen samt individuellt varierande förhållningssätt till osäkerhet.
Systematisk riskhantering och en gemensam uppfattning om organisationens riskbenägenhet stöder organisationsmedlemmarnas beslutsfattande och bidrar till att organisationen som helhet når mer konsekventa resultat jämfört med riskhantering som bygger på individuella beslut.
Storföretagen har länge utvecklat en övergripande riskhantering som kan skapa betydande konkurrensfördelar och mätbar nytta i pengar. Typiskt integrerar dessa företag riskhanteringen i ledarskapet. Eftersom måluppfyllelse i praktiken alltid förutsätter risktagande har man försökt hitta förfaranden som bidrar till uppfyllelsen av målen och förbättrar företagets resiliens, förmåga att regera på omvärldsförändringar.
Med tanke på organisationen och de anställda är det viktigt att skapa en gemensam uppfattning om riskhanteringen mål och innehåll, en berättelse om hur organisationens måluppfyllelse kan påverkas av osäkerhet och hur man på organisationsnivå ska förhålla sig till olika risker.
Mot en mer strategisk riskhantering
När organisationens riskhantering blir mer systematisk förändras ofta uppfattningen om riskernas betydelse. Typiskt minskar den relativa betydelsen av att hantera skaderisker och fokus flyttas till en mer strategisk riskhantering.
Strategiska risker är tendenser eller händelser som äventyrar uppfyllelsen av organisationens strategiska mål. De gäller t.ex. organisationens rykte, tekniken och omvärlden. Organisationernas risker klassificeras ofta som strategiska, operativa, finansiella och skaderisker. Det har bedömts att över hälften eller upp till 2/3 av företagens risker hör till de strategiska riskerna ur ekonomisk synpunkt. Ungefär en femtedel är operativa.
De ekonomiska riskerna utgör en klart mindre del och skaderiskerna bara några procent. Trots detta verkar strategidiskussionen ofta ha sin egen gång och grundas på tankar om en statisk omvärld eller väl förutsedda åtgärder med välkända följder.
De strategiska riskernas betydelse framgår t.ex. av den årliga riskrapporten från World Economic Forum. Den ger en spännande och intuitiv inblick i företagens och de offentliga aktörernas globala risker och sambanden mellan dem.
I en publikation från riksdagens framtidsutskott (“Suomen sata mahdollisuutta”) utmålas en bild av hur tekniska innovationer förändrar vår värld. Det krävs strategiskt nytänkande och reglering för att kunna utnyttja teknikens potential på bästa sätt och minimera de negativa effekterna.
Det är synd att riskhanteringen – beroende på betraktarens utgångspunkter – kan ge intrycket av organisationstekniskt sysslande med olika modeller eller en mängd osammanhängande anvisningar – eller i värsta fall ändlösa möten. Riskhanteringen har dock helt andra mål. I dess hårda kärna finns en strävan att skapa mervärde åt organisationen. Målet är att identifiera och hantera potentiella händelser som påverkar organisationen, förbättra dess reaktionsförmåga och hålla riskerna inom sådana gränser att de inte äventyrar organisationens verksamhet.
Esko Mustonen
Skribenten är biträdande controller i statsrådet och arbetar på finansministeriet.