Mange organisasjoner har policyer, rammeverk og systemer på plass. Likevel oppstår det friksjon når risiko skal håndteres. Ifølge Christopher Läns, GRC-ekspert i Stratsys, handler reell risikomodenhet ikke om dokumentert etterlevelse, men om organisasjonens evne til å handle.
De fleste større organisasjoner har i dag kommet langt i arbeidet med risiko og etterlevelse. Policyer er etablert, kontroller er definert og regelverk er implementert.
På papiret ser det modent ut. Men i gjennomføringen oppstår et annet mønster. Den samme risikoen går igjen i flere regelverk, men håndteres i separate prosesser, av ulike funksjoner og i ulike systemer.
Dette gjør at arbeidet blir mer komplekst, uten at kontrollen nødvendigvis blir bedre.
– Mange organisasjoner ser modne ut ut fra rammeverkene sine. Men når man ser på hvordan arbeidet fungerer i praksis, blir det tydelig at den samme risikoen ofte håndteres flere ganger, i ulike deler av organisasjonen, sier Christopher.
Christopher Läns, GRC-ekspert i Stratsys
Etterlevelse er ikke operativ evne
Å oppfylle krav er én ting. Å kunne handle er noe annet. Det er her forskjellen mellom formell etterlevelse og operativ evne blir tydelig.
Når den samme risikoen brytes ned og håndteres separat per regelverk, oppstår parallelle kontroller, oppfølginger og informasjonsflyter. Det innebærer at organisasjonen bruker mye tid på å håndtere strukturen i arbeidet, snarere enn selve risikoene.
Konsekvensene er konkrete:
- Den samme kontrollen følges opp flere ganger
- Virksomheten får gjentatte forespørsler om den samme informasjonen
- Oppfølging skjer parallelt i ulike flyter
- Datakvaliteten blir vanskelig å sikre
- Beslutningsgrunnlaget varierer mellom funksjoner
- Arbeidet oppleves som administrasjon snarere enn som støtte for virksomheten
– Kapasiteten bindes opp i administrasjon. Informasjon samles inn og sammenstilles i flere trinn, til ulike formål, noe som gir mindre tid til analyse og prioritering, sier Christopher.
Organisasjonen oppfyller kravene, men mangler forutsetninger for å arbeide effektivt og konsekvent.
Strukturelle gap i styringen
Det handler om strukturelle utfordringer, ikke individuelle.
Utydelig eierskap er en sentral del av problemet. Den samme risikoen berører flere funksjoner, men mangler et helhetlig ansvar. IT, sikkerhet og virksomheten arbeider ut fra sine respektive perspektiver, uten en felles struktur som binder arbeidet sammen.
Fragmenterte arbeidsflyter er en annen utfordring. Når hvert regelverk eller initiativ håndteres i egne prosesser, oppstår parallelle spor og dobbeltarbeid. Samtidig mangler felles definisjoner. Hva som utgjør en risiko, en kontroll eller et tiltak, kan variere mellom funksjoner og regelverk.
– Det er vanlig at den samme kontrollen defineres og følges opp på ulike måter, avhengig av hvor i organisasjonen man ser. Det skaper både ineffektivitet og usikkerhet om hva som faktisk gjelder, sier Christopher.
Konsekvensen er at organisasjonen mangler et felles bilde av risikosituasjonen. Beslutninger tas på ulikt grunnlag, i ulike deler av organisasjonen.
Risikomodenhet som operativ evne
Organisasjoner som har kommet lenger, arbeider ikke med hvert regelverk separat. I stedet tar de utgangspunkt i en felles struktur for risikoer og kontroller, der den samme kontrollen kan knyttes til flere regelverk. Oppfølging skjer samlet og bygger på felles definisjoner og data.
Dette skaper en mer helhetlig arbeidsmåte:
- En kontroll defineres én gang og brukes i flere regelverk
- Felles definisjoner brukes på tvers av funksjoner
- Oppfølging skjer samlet, ikke parallelt
- De samme dataene brukes i flere sammenhenger
- Ansvar er tydelig knyttet til både risiko og tiltak
Når arbeidet henger sammen, reduseres behovet for koordinering. Samtidig øker kvaliteten i oppfølgingen.
– Når strukturen sitter, blir det tydelig hva dere faktisk gjør og hvorfor. Det gjør det mulig å arbeide mer konsekvent og ta bedre beslutninger, sier Christopher.
Styring i praksis
Når fragmenteringen reduseres, endres effekten av arbeidet. Organisasjonen får et samlet og pålitelig bilde av risikosituasjonen. Den samme risikoen trenger ikke håndteres flere ganger, og oppfølgingen bygger på et felles grunnlag.
Dette gjør at prioriteringer kan baseres på helheten. Samtidig reduseres den administrative belastningen. Færre parallelle prosesser og mindre dobbeltarbeid frigjør kapasitet.
Kapasiteten kan i stedet brukes til:
- Analyse av risikoer
- Prioritering av tiltak
- Oppfølging av effekt
- Beslutningstaking på ledelsesnivå
Risikoarbeidet blir også mer relevant for virksomheten. Når informasjonen er sammenhengende, blir det mulig å knytte risikoer til mål, prioriteringer og investeringer.
– Neste steg handler ikke om å gjøre mer, men om å få det som allerede gjøres til å henge sammen. Det er der den reelle effekten ligger, sier Christopher.
Når styringen henger sammen
Det er sjelden ambisjon eller vilje til å arbeide strukturert med risiko som mangler. I mange organisasjoner finnes både kompetanse og engasjement. Utfordringen ligger i å få arbeidet til å henge sammen.
Når den samme risikoen håndteres i flere spor, øker kompleksiteten. Når arbeidet i stedet samles i en felles struktur, blir det mulig å skape oversikt, redusere dobbeltarbeid og styrke beslutningsevnen. Det er da forskjellen blir merkbar.
Risikomodenhet handler ikke om hvor godt organisasjonen oppfyller krav, men om hvor godt den kan handle når det kreves. Etter hvert som kravene øker og risikobildet endrer seg, blir evnen til å omsette styring til handling stadig viktigere.
