Problemhantering vs. riskhantering

<span id="hs_cos_wrapper_name" class="hs_cos_wrapper hs_cos_wrapper_meta_field hs_cos_wrapper_type_text" style="" data-hs-cos-general-type="meta_field" data-hs-cos-type="text" >Problemhantering vs. riskhantering</span>
Skriven av
Karl Sandström
Lästid
2 min

Inom Intern styrning och Kontroll (ISK eller GRC) är det ganska vanligt att stöta på uppfattningen att risk och problem är i princip samma sak och kan hanteras på samma sätt. Problem och risk är dock två sidor av samma mynt, låsta i en evig dans.

Förståelsen för hur de relaterar till varandra och formandet av hur man arbetar på ett sätt som utnyttjar dansens energi är nyckelaspekter i kontinuerlig förbättring och stärkande mot framtida problem. Med andra ord, det är en direkt värdeskapande del av riskhanteringsprocessen om det görs rätt.

Här kommer vi att diskutera vad risk och problem är, hur de relaterar till varande strukturellt sett, och hur du kan använda den relationen för att förbättra din verksamhet.

Vad är de och hur skiljer de sig?

Risk är osäkerhetsfaktorer som påverkar verksamheten. Risk har potential att förverkligas i framtiden men om, hur, och när är okända faktorer. Riskutvärderingsprocessen handlar om att bedöma vilka potentiella händelser (hot och möjligheter) som skulle ha mest effekt på verksamheten och hur troligt det är att de inträffar.

Den resulterande bedömningen ligger till grund för beslut om hur brådskande det är att hantera dom. ’Förhindra’ är en trevlig ambition att ha, men i verkligheten kan de flesta risker inte helt förhindras. Poängen i relation till hot i synnerhet, är att reducera den potentiella effekten, troligheten, eller både och.

Problem och incidenter är risker som har materialiserats och nu har en effekt. Ett problem kan ses som mer löpande och en incident som en klart avgränsad händelse. Men vi har inte alltid förutsett risken att något specifikt ska hända och problemhantering har därför tre huvudsyften:

  1. Skadebegränsning: Hantera problemet/incidenten;
  2. Kontrollrevision: Om problemet materialiserats mot en risk vi trodde vi hade kontroll över så kan ett materialiserat problem tyda på att vi har fel eller dåligt implementerade kontroller;
  3. Riskidentifikation: Problem och incidenter kan också vara indikatorer för risker vi inte visste att vi hade. Varje problem och incident av viss tyngd måste därför utvärderas för att fastställa om det behövs en riskhanteringsplan för att undvika samma problem i framtiden.

Hur hänger de ihop strukturellt?

Relationen mellan risk och problem kan ses som en cyklisk ’dans’. Många risker kan identifieras genom diskussion, erfarenhet, och så vidare. Cykeln börjar då på ’RISK’ medan ’PROBLEM’ ger feedback på riskreduceringens effektivitet.

Ganska ofta upptäcks dock risker genom återkommande problem och incidenter och då börjar cykeln på ’PROBLEM’. Det är viktigt att det finns mekanismer och rutiner på plats för att upptäcka, samla in, och analysera relevant risk och riskreduktion kopplade till problemen för att röra sig vidare i cykeln.

Om inte, slutar det som en eskalerande spiral av konstant ’brandbekämpning’ av samma eller liknande problem om och om igen. Kraft, resurser, och bandbredd cirklar hela tiden i en utmattande dödskamp med hög personalomsättning och konstant förlust av spetskompetens som tröttnar och går vidare.

Hur kan jag använda dansen för att stärka min verksamhet?

Riskhantering och problemhantering är delar i det kontinuerliga förbättringsarbetet – inte något man gör i en handvändning. Det tar tid att få till det och särskilt att få till allt. Riskutvärderingen handlar om att prioritera vad man hanterar först för att se till att det blir rätt. Men prioritering innebär inte att man kan glömma det icke-prioriterade eller ignorera lärdomar från problem.

Det är alltid billigare och enklare att hantera risker innan de blivit allvarliga problem. Konstant ’brandbekämpning’ är tids-, kraft-, och resurskrävande även som bäst – för att inte nämna förtroenderisken kopplad till att konstant starta och släcka interna och externa bränder. Men problem och incidenthantering är viktiga indikatorer som visar om vår riskhantering fungerar.

Genom att koppla ihop och samla data kring risker och problem, och att analysera dom ihop, kan du använda dina problem idag för att hantera dina risker imorgon – och inte bränna resurser och trovärdighet på att repetera samma problem om igen. Standardiserade kontroller i arbetssätt hanterar risk utan extrainsatser och frigör tid för att fokusera på att driva verksamheten istället för att släcka onödiga bränder.

Beroende på storlek och komplexitet på verksamheten så kan detta göras i allt från enkla Excelblad till digitala system. Med ett digitalt system får du också möjlighet att spåra, övervaka, matcha och analysera risk och problemdata från hela organisationen och geografiska områden för att driva kontinuerlig förbättring av arbetssätt.

Vill du veta mer om hur du kan digitalisera ditt GRC-arbete? Ladda ner vår guide “Skapa försäkran med integrerad GRC” på länken nedan!

Ladda ner guide