När ingen äger risken hela vägen spelar det ingen roll hur bra analysen är. Många organisationer som vi möter på Stratsys saknar inte riskinsikt. De saknar förmågan att omsätta riskinsikten i handling.
Ofta investeras betydande resurser i processer, kontroller och uppföljning för att stärka riskarbetet. Men arbetet tappar kraft innan det leder till tydliga resultat. Riskarbetet ser aktivt ut, men genomslaget i verksamheten uteblir. Det skapar lätt en falsk känsla av kontroll.
Problemet idag är sällan att det saknas riskinsikt. Däremot är förmågan att omsätta riskerna i beslut, prioriteringar och genomförande avgörande.
– Att identifiera och beskriva risker betyder inte automatiskt att arbetet leder vidare. Det är betydligt svårare att säkerställa att någon driver frågan hela vägen, säger Christopher Läns, GRC-expert på Stratsys.
Christopher Läns, GRC Lead, Stratsys
Operativt grepp inom risk
Utan operativt grepp blir resultatet ofta omfattande dokumentation, utan tydlig koppling till ansvar, beslut och förändring. Operativt grepp handlar om:
- Tydligt ägarskap från identifierad risk till genomförd åtgärd.
- Kontroller som påverkar prioriteringar och arbetssätt i verksamheten.
- Åtgärder som är kopplade till styrning och beslut, inte separata handlingsplaner.
- Uppföljning som leder till prioritering, beslut och förändring.
- En sammanhängande struktur där risker, ansvar och åtgärder hänger ihop.
Risker identifieras, men stannar i överlämningar
Risker fastnar ofta mellan funktioner eftersom ingen driver dem till handling och genomförande. Ansvaret är uppdelat i olika delar av processen, utan att någon har mandat att driva förändringen. Då blir ägarskapet formellt snarare än operativt.
Kontroller definieras, men styr inte verksamheten
Samma mönster syns i kontrollarbetet. Många organisationer har omfattande kontrollstrukturer som följs upp i separata processer och rapporteras i egna flöden.
– Många organisationer är bra på att definiera kontroller. Det svåra är att få kontrollerna att styra arbetssätt och prioriteringar. Annars riskerar de att stanna i dokumentation och uppföljning, säger Christopher.
Kontroller som bara används för att visa efterlevnad är dokumentation, inte styrning. Att behandla internkontrollen som en avbockningslista skapar mer administration utan verklig styrning – om kontrollerna inte påverkar beslut och arbetssätt är de heller inget bevis på operativ kontroll.
Åtgärder följs upp, men driver inte förändring
Det finns sällan brist på aktiviteter i riskarbetet. Åtgärder definieras, handlingsplaner tas fram och initiativ startas löpande i organisationen. Många åtgärder följs upp utan att få verkligt genomslag – ofta för att samma underliggande risker hanteras i flera parallella spår.
Vi möter organisationer som driver omfattande åtgärdsarbete utan en tydlig koppling till prioriteringar, ansvar och beslut i den löpande verksamheten. Åtgärder fastnar i handlingsplaner, mötesanteckningar och statusrapporter istället för att bli en del av verksamhetens styrning. Det blir otydligt vem som driver arbetet, vilka beslut som krävs och vad åtgärderna leder till. Förändringen uteblir.
– Många organisationer har gott om åtgärder och aktiviteter igång. Men om de inte kopplas till verksamhetens prioriteringar och beslut blir det svårt att skapa långsiktig effekt. Då lever arbetet parallellt med styrningen istället för att vara en del av den, säger Christopher.
Konsekvensen blir att organisationen arbetar mer, utan att se vad det leder till. Därför upplever många att riskarbetet växer i omfattning utan att verksamheten upplever större kontroll eller tydligare riktning.
Uppföljning leder inte till beslut
Många organisationer följer idag upp stora mängder information kopplat till risk och kontroll. Uppföljning som inte leder till beslut blir ett sätt att beskriva arbetet istället för att driva det framåt.
– Det avgörande är vad som händer efter att informationen har presenterats. Uppföljning behöver leda till tydliga beslut eller förändrade prioriteringar, säger Christopher.
Konsekvensen blir att styrningen tappar genomslag. Det är här många organisationer förlorar sitt operativa grepp. Om uppföljningen inte påverkar prioriteringar riskerar styrningen att se mogen ut på papper, men sakna genomslag i praktiken.
När arbetet växer utan att ge resultat
Riskarbetet blir snabbt administrativt när organisationen mäter aktivitet istället för resultat. Arbetsinsatsen ökar, men kopplingen till förändring försvagas.
– Många organisationer arbetar intensivt med riskfrågor, men har svårt att visa vilka beslut eller förändringar som det har lett till. Risken är att organisationen mäter aktivitet istället för resultat, säger Christopher.
Det är också därför riskarbete ibland upplevs som tungt och administrativt i verksamheten. Arbetet fylls av uppföljning, rapportering och nya initiativ, utan att organisationen tydligt ser hur det påverkar arbetssätt, prioriteringar eller beslut.
Operativt grepp för att driva förändring
Riskarbete som inte påverkar beslut är administrativ aktivitet, inte styrning. Då spelar det ingen roll hur omfattande dokumentationen är. Utan ett sammanhängande operativt grepp riskerar riskarbetet att bli aktivitet istället för faktisk förändring.
Vad har ert riskarbete förändrat? Vem driver arbetet hela vägen från identifierad risk till beslut? Och vilka åtgärder har lett till verklig effekt?
Om ni inte kan svara på det saknas sannolikt inte riskinsikt. Det saknas operativt grepp.
