Många organisationer har policys, ramverk och system på plats. Ändå uppstår friktion när risk ska hanteras. Enligt Christopher Läns, GRC-expert på Stratsys, handlar verklig riskmognad inte om dokumenterad efterlevnad, utan om organisationens förmåga att agera.
De flesta större organisationer har idag kommit långt i sitt arbete med risk och efterlevnad. Policys är etablerade, kontroller definierade och regelverk implementerade.
På papper ser det moget ut. Men i genomförandet uppstår ett annat mönster. Samma risk återkommer i flera regelverk, men hanteras i separata processer, av olika funktioner och i olika system.
Det gör att arbetet växer i komplexitet, utan att kontrollen nödvändigtvis blir bättre.
- Många organisationer ser mogna ut utifrån sina ramverk. Men när man tittar på hur arbetet fungerar i praktiken märks det att samma risk ofta hanteras flera gånger, i olika delar av organisationen, säger Christopher.
Christopher Läns, GRC-expert på Stratsys
Efterlevnad är inte operativ förmåga
Att uppfylla krav är en sak. Att kunna agera är en annan. Det är här skillnaden mellan formell efterlevnad och operativ förmåga blir tydlig.
När samma risk bryts ner och hanteras separat per regelverk uppstår parallella kontroller, uppföljningar och informationsflöden. Det innebär att organisationen lägger mycket tid på att hantera strukturen i arbetet, snarare än själva riskerna.
Konsekvenserna är konkreta:
- Samma kontroll följs upp flera gånger
- Verksamheten får återkommande förfrågningar om samma information
- Uppföljningar sker parallellt i olika flöden
- Datakvaliteten blir svår att säkerställa
- Beslutsunderlag skiljer sig åt mellan funktioner
- Arbetet upplevs som administration snarare än som ett stöd för verksamheten.
- Kapaciteten binds upp i administration. Man samlar in och sammanställer information i flera steg, för olika syften, vilket ger mindre tid för analys och prioritering, säger Christopher.
Organisationen uppfyller kraven, men saknar förutsättningar att arbeta effektivt och konsekvent.
Strukturella glapp i styrningen
Det handlar om strukturella utmaningar, inte individuella.
Otydligt ägarskap är en central del av problemet. Samma risk berör flera funktioner, men saknar ett sammanhållet ansvar. IT, säkerhet och verksamhet arbetar utifrån sina respektive perspektiv, utan en gemensam struktur som binder ihop arbetet.
Fragmenterade arbetsflöden är en annan utmaning. När varje regelverk eller initiativ hanteras i egna processer uppstår parallella spår och dubbelarbete.
Samtidigt saknas gemensamma definitioner. Vad som utgör en risk, en kontroll eller en åtgärd kan skilja sig mellan funktioner och regelverk.
- Det är vanligt att samma kontroll definieras och följs upp på olika sätt beroende på var i organisationen man tittar. Det skapar både ineffektivitet och osäkerhet kring vad som faktiskt gäller, säger Christopher.
Konsekvensen blir att organisationen saknar en gemensam bild av riskläget. Beslut fattas på olika underlag, i olika delar av organisationen.
Riskmognad som operativ förmåga
Organisationer som har kommit längre arbetar inte med varje regelverk separat. Istället utgår de från en gemensam struktur för risker och kontroller, där samma kontroll kan kopplas till flera regelverk. Uppföljning sker samlat och bygger på gemensamma definitioner och data.
Det skapar ett mer sammanhållet arbetssätt:
- En kontroll definieras en gång och används i flera regelverk.
- Gemensamma definitioner används över funktioner.
- Uppföljning sker samlat, inte parallellt.
- Samma data används i flera sammanhang.
- Ansvar är tydligt kopplat till både risk och åtgärd.
När arbetet hänger ihop minskar behovet av koordinering. Samtidigt ökar kvaliteten i uppföljningen.
- När strukturen sitter blir det tydligt vad ni faktiskt gör och varför. Det gör det möjligt att arbeta mer konsekvent och fatta bättre beslut, säger Christopher.
Styrning i praktiken
När fragmenteringen minskar förändras effekten av arbetet. Organisationen får en samlad och tillförlitlig bild av riskläget. Samma risk behöver inte hanteras flera gånger, och uppföljningen bygger på ett gemensamt underlag.
Det gör att prioriteringar kan baseras på helheten. Samtidigt minskar den administrativa belastningen. Färre parallella processer och mindre dubbelarbete frigör kapacitet.
Kapaciteten kan istället användas till:
- Analys av risker
- Prioritering av åtgärder
- Uppföljning av effekt
- Beslutsfattande på ledningsnivå
Riskarbetet blir också mer relevant för verksamheten. När informationen är sammanhängande går det att koppla risker till mål, prioriteringar och investeringar.
- Nästa steg handlar inte om att göra mer, utan om att få det som redan görs att hänga ihop. Det är där den verkliga effekten finns, säger Christopher.
När styrningen hänger ihop
Det saknas sällan ambition eller vilja att arbeta strukturerat med risk. I många organisationer finns både kompetens och engagemang. Utmaningen ligger i att få arbetet att hänga ihop.
När samma risk hanteras i flera spår ökar komplexiteten. När arbetet istället samlas i en gemensam struktur blir det möjligt att skapa överblick, minska dubbelarbete och stärka beslutsförmågan. Det är då skillnaden märks.
Riskmognad handlar inte om hur väl organisationen uppfyller krav, utan om hur väl den kan agera när det krävs. I takt med att kraven ökar och riskbilden förändras blir förmågan att omsätta styrning i handling allt viktigare.
Vill du läsa vidare? Utforska fler artiklar i Stratsys Kunskapshub om risk och kontroll och fördjupa dig i hur ett mer sammanhållet arbetssätt kan stärka både styrning, prioritering och beslutsfattande. Du kan även kontakta oss om du vill veta mer om hur Stratsys kan stötta er organisation med ert riskarbete.
