14. april 2015
New Zealand og Australien har gennem de seneste 10 år stået i spidsen for udviklingen af nye Risk Management principper og værktøjer, som nu anerkendes verden over. Principperne er udmøntet i den internationale standard, ISO 31000, som OECD anser for at være den nye ”verdensstandard” for vejledning i god risikoledelse/-styring. Mens verdenssamfundet indfører de nye principper, er der kun meget lille opmærksomhed omkring dem i Danmark.
- En del af forklaringen kan være, at der i mange danske virksomheder og offentlige myndigheder stadig hersker den opfattelse, at risikoledelse kun er relevant i forhold til at kunne ruste sig mod terror, naturkatastrofer og store ødelæggende hændelser, og det er jo ikke så aktuelt i Danmark som i mange andre lande. Men de nye principper handler om langt mere. Alle virksomheder står over for risici. De opstår, når beslutninger træffes. Risikoledelse handler om at se muligheder og sætte mål, som ligger inden for ens fastlagte risikoappetit og så løbende sikre, at de altid tilstedeværende usikkerheder ikke påvirker ens mål i uønsket retning. Alt efter ønske kan risici gøres mindre eller større, men det skal ske kontrolleret. Det drejer sig om at nå sine mål så forudsigeligt og omkostningseffektivt som muligt. På den måde medvirker principperne i ledelsesstandarden til at gøre virksomheden bedre til at nå sine forretningsmål, siger seniorkonsulent i Dansk Standard Lars Brogaard.
Den nye form for risikoledelse er ikke ”eventbaseret” men ”målbaseret” og er lige velegnet til målstyring i både den private og offentlige sektor. Det er ikke i sig selv interessant at vurdere risici ud fra en række mulige hændelser. Det er kun interessant at vurdere risici for de hændelser, der kan påvirke opnåelsen af ens mål. Udgangspunktet er derfor at identificere og vurdere, hvad der kan påvirke ens mål.
Opgørelser viser, at en pæn procentdel at virksomheder rammes af større sammenbrud inden for en 5 års periode. Det er ikke kun sådanne større sammenbrud, som risikoledelse fokuserer på at udgå. Alle forhold, som har indflydelse på opnåelse af mål, og som kan påvirkes af usikkerhed, skal have fokus. Udviklingsprojekter er bare et eksempel, hvor risici ofte er utilstrækkeligt identificeret og styret med deraf følgende budget- og tidsoverskridelser. Risici forbindes ofte med udefra kommende påvirkninger i form af hændelser, men i mange virksomheder og organisationer skyldes de største risici interne forhold, fx manglende ressourcer eller kompetencer.
- Det er min oplevelse, at den almindelige holdning er, at risici er uønskede og at ordet risiko normalt benyttes på den måde. Normalt siger man, at der er en chance for at vinde i lotto – sjældent, at der er en risiko for at vinde i lotto, mens alle ved, at der er en risiko for at tabe. Faktum er imidlertid, at risici kan påvirke organisationer i både positiv og negativ retning. De nye principper har ændret fokus på risikostyring fra at undgå risici til at være et proaktivt værktøj. Risici anses ikke længere for at være negative, men risici tages med henblik på at omsætte muligheder til resultater under styrede forhold. Man kan sige, at ISO 31000 er vejledningen i, hvordan virksomheden med succes kan omsætte muligheder til resultater – eller med andre ord: vejledning i at tage de ”rigtige risici”. I en dansk kontekst er der altså brug for en holdningsændring, som kan give grundlag for opbygning af en fælles risikokultur, hvor risikoarbejdet bliver integreret som en naturlig del i virksomhedernes beslutningsprocesser. Gevinsten for virksomheder og offentlige myndigheder består i at blive i stand til at tage beslutninger, som de kan håndtere og gennemføre inden for de fastsatte rammer, både med hensyn til kvalitet, budget, tid og omdømme, siger Lars Brogaard.
IDA RISK og Dansk Standard har inviteret verdens førende ISO 31000 ekspert, Roger Estall, til Danmark. På et seminar den 12. maj vil han fortælle om tendenserne inden for risikoledelse, og hvordan god risikostyring kan indføres ved at anvende principperne i ISO 31000.