Blogginnlegg / internkontroll / Risikostyring • 6 min read

Hvordan holder man en effektiv risikoworkshop?

Prenumerera på vårt nyhetsbrev

Mange kommer i kontakt med sin første risikoworkshop i forbindelse med internkontrollarbeidet.

Internkontrollen er området der mange møter sin første risikoworkshop. Under planleggingen dukker "risiko" ofte opp som en uventet og irriterende gjest under en ellers så trivelig tilstelning. Man trenger en plan for å håndtere gjesten, men hvordan kan du få det beste ut av risikoworkshopen og skape en positiv prosess?

For å hjelpe organisasjonen din har vi samlet våre beste tips om hvordan du kan gjøre risikoworkshopen til en suksess!

Samle en relevant gruppe

En risikoworkshop er et kollektivt arbeid. Det er lurt å samle en bred og tverrfunksjonell gruppe for å ha flere perspektiver av virksomhetens risikoer representert rundt bordet. En vanlig feil er å delegere til en enkeltperson å "fikse internkontrollen".

En annen måte er å organisere workshopgrupper basert på deres ansvarsområder i forhold til:

  • Overordnet/felles risiko – Den sentrale ledergruppen/C-gruppen
  • Virksomhetsspesifikk risiko – Lokale ledergrupper/forum
  • Prosesspesifikk risiko – Prosesseiere sammen med lokale lederskapsrepresentanter og prosessbrukere

Behold fokus

For å lykkes med analysen, trenger man et tydelig utgangspunkt. Å blande fugl og fisk resulterer sjelden i en meningsfull analyse. Begrens omfanget, og fokuser på områdene som er valgt ut for risikoworkshopen.

Tenk "HVA kan gå feil?". For å finne de "gode" og relevante risikoene kreves det mer enn bare å si at noe kan gå feil. En vanlig feil er å identifisere, tolke og uttrykke risiko som noe som allerede har gått feil, i stedet for å fokusere på årsaken til det.

Finn årsakene

Forsøk i stedet å fokusere på HVA som kan gå feil. Det gjør det lettere å redusere sannsynligheten for gjentakelse og oppnå god kontinuerlig kontroll.

  • Ikke fokuser kun på konsekvens: "Det er feil i bokføringen"
  • Fokuser på årsaker: Betalinger utføres for ubekreftede leveranser og tjenester til uredelige leverandører

På denne måten fanger du opp risikoen på en mer definert måte, og hele organisasjonen får et bedre bilde av hvordan det skal håndteres.

Gjør forskjell på risikoer og problemer

Et vanlig problem er at man ikke skiller godt nok mellom risiko og problem. Dette kan forvrenge risikoworkshopanalysen. Problemer er ting vi opplever akkurat nå, risikoer er ting vi potensielt kan oppleve.

Problemer er kjente ting som må håndteres her og nå. "Huset brenner" er et problem, ikke en risiko.

Risikoer er ukjente mengder og potensielle problemer som kanskje må håndteres i fremtiden – og som vi derfor vil unngå om vi kan. "Et stearinlys med åpen flamme som etterlates på kontoret, kan forårsake brann" er en risiko – et potensielt problem.

Hvis det likevel tas opp problemer under workshopen, kan du dokumentere disse i et eget "problemregister" og la ledelsen håndtere disse som en del av den normale arbeidsflyten.

Alle risikoer som identifiseres, skal deles inn i to lister:

  • Risikoer som krever aktiv håndtering

Och

  • Risikoer som kan aksepteres som de er

Det er viktig å huske at risikoanalysen også er en prioriteringsøving i å forstå hvilke spørsmål det er viktigst å fokusere på. Det kan derfor være lurt å sammenligne og vurdere risikoene i forhold til hverandre.

Men arbeidet slutter ikke der! Det desidert viktigste er hvordan du og organisasjonen tar med risikoene og håndterer dem, primært gjennom kontinuerlige prosesskontroller og klare forbedringstiltak.

Tips! Definer en tydelig eier per prioriterte risiko, som står ansvarlig for koordinering, sporing, oppfølging og rapportering rundt denne risikoen.

Bruk en ekstern og engasjert moderator

Med en moderator får hele gruppen bedre oversikt, og du unngår å gå i den klassiske fellen "det er den best betalte i rommet som bestemmer". Moderatoren har ansvaret med å håndtere risikoworkshopen og dokumentere resultatene. De trenger ikke kunne virksomheten, det er deltakernes rolle, men de skal stille spørsmål og utfordre deltakerne.

Moderatoren dokumenterer risikoene og vurderingen av disse (sannsynlighet og konsistens) på en whiteboardtavle eller, enda bedre, i et dedikert system. Hvis det blir komplekse diskusjoner som tar for mye tid, kan moderatoren "parkere" disse for å bli håndtert senere.

Til slutt – Ikke glem hva en risikoanalyse er til for

Risikoanalysen hjelper dere å fokusere på de viktigste risikoene for virksomheten. Det er ikke godt nok å bare liste opp alt som kan gå galt. Man må sitte igjen med en tydelig plan for hvordan kontrollen skal styrkes og hvem som er ansvarlig for håndteringen. Ingen organisasjon, muligens med unntak av Apple, har ubegrensede ressurser, og mange risikoer må aksepteres som de er. Det er greit.

Det er bedre med noen få forbedringer som faktisk skjer, enn en lang liste ønsker som man aldri gjør noe med.

Vil du vite mer om produktet vårt for Risikostyring? Les mer her