Vi opplever nå en stadig mer kompleks verden; Markedssituasjonen endres oftere enn før. Frykten for terror øker, den politiske situasjonen i de mange regioner er meget ustabil, finanskrisen gjør at eksportorienterte virksomheter sliter og konkurransen fra Asia er intens. Dette gjør det viktigere enn før med et effektivt risikostyringssystem. Det er neppe tilstrekkelig med den tradisjonelle “risikomatrisen” med sannsynlighet og konsekvenser på aksene.
I denne artikkelen skal vi se på et nytt rammeverk – et rammeverk hvor vi går mer i dybden og kategoriserer de ulike risikofaktorene i tre forskjellige kategorier.
Risikokategori 1: Unngåelige risikoelementer
Dette er risiko som oppstår internt i virksomheten, de er kontrollerbare og kan unngås. Eksempler på dette er ansatte eller ledelsens feil i produksjonsprosesser, manglende ivaretakelse av rutiner, feilkalkulasjoner, skader, feilsendte varer, feil faktura, misforståelser med kunder, uautoriserte innkjøp, upassende oppførsel, uetisk atferd, m.m.
Mål med risikotiltak: Unngå risikoen.
Kontrollmodell: Det beste tiltaket ledelsen kan gjøre for å unngå denne risikokategorien er å jobbe målbevisst med mål og verdier. Dette vil være kompasset for de ansatte, slik at de går i riktig retning. Videre bør man ha regelbaserte beslutninger for å unngå risiko, eks kvalitetssystem med prosedyrer og sjekklister. Eksempelvis som sjekklistene en pilot gjennomfører før take-off. Intern og ekstern kvalitetsrevisjon er også hyppige kontrollmetoder for å unngå risiko.
Risikokategori 2: Strategisk risiko
Dette er risiko som gjerne er ønskelig. Dette kan være risiko som kan gi meget høy avkastning, men som samtidig kan få betydelige negative konsekvenser. Et eksempel er oljeboring i meget sensitive naturområder. Et annet kan være investering i eiendom i politisk ustabile områder.
Mål med risikotiltak: Her er målet å redusere sannsynligheten og konsekvensene av risikoen.
Kontrollmodell: Risikostyringsmatrise, KRI-Scorecards (ref KPI-scorecards). KRI – Key Risk Indicators.
I følge Robert Kaplan (Harvard Business School) å kontrollere strategisk risiko. En av disse er å engasjere uavhengige eksterne eksperter i et “risikoråd”. Dette kan være aktuelt der virksomheten har betydelige utviklingsprosjekter med høy risiko (høy forskningsandel).
En annen måte er å benytte fasilitatorer. Dette kan være aktuelt der etterspørselen er relativt stabil og hvor teknologien endres sakte og på en forutsigbar måte; eks vann- og strømforsyning. Fasilitatorenes rolle er å gjennomføre jevnlige workshops for å avdekke iboende risikofaktorer som kan være skjulte over lang tid.
En tredje måte er å benytte interne eksperter. Et eksempel hvor det er aktuelt kan være risikoeksperter i finansbransjen hvor en enkelt avtale/et engasjement kan få dramatiske følger om det slår feil.
Virksomheter som har et godt risikostyringssystem vil kunne ta høyere risiko enn konkurrentene, nettopp fordi de kan håndtere risikoen på en bedre måte.
Risikokategori 3: Ekstern risiko
Visse typer risiko er utenfor virksomhetens styring og kontroll. Miljøkatastrofer, terrorangrep og kraftige valutafluktuasjoner er eksempler på rammefaktorer utenfor virksomhetens kontroll. Ledelsens rolle her er å identifisere disse, analysere hvilken effekt de kan ha på virksomheten og redusere innvirkningen risikoen har på virksomheten.
Noen av faktorene har umiddelbar virkning. Et eksempel på dette er vulkanutslippet på Island i 2010 som stengte europeisk luftrom i minst 1 uke. Et annet er tsunamien forårsaket av jordskjelvet i Japan i 2011.
Andre faktorer er mer langsiktige. Dette er global oppvarming, politiske endringer, effekten av konflikter som krig og kupp.
Noen har effekter på mellomlang sikt: fremveksten av ny teknologi; RFID, mobiltelefoner, internett, m.m. er eksempler på slike faktorer.
Mål med risikotiltak: Her er målet å redusere konsekvensene av risikoen.
Kontrollmodell: Stresstester, Scenarioplanlegging, krigsspill og djevelens advokat.
Finansselskaper bruker stresstester til å synliggjøre effekten av en dobling i oljepris, dramatisk endring i rente eller valutakurs vil ha for selskapet og deres kunder.
Scenarioplanlegging og analyse tar for seg et sett med eksterne faktorer som politiske, sosiale, teknologiske, miljømessige og regulatoriske i et langsiktig perspektiv. Det settes opp ekstreme verdier på enkeltfaktorer, og de minst sannsynlige elimineres. Etter hvert sitter virksomheten igjen med et mindre antall alternative scenarios som man kan jobbe videre med.
Krigsspill kan brukes til å analysere effekten av konkurrentenes endrede strategier. Ledelsen setter ned 2-4 små team som analyserer ulike trekk konkurrentene kan tenkes foreta seg de nærmeste årene. Deretter er oppgavene å analysere hva slags konsekvenser det får for vårt selskap, samt foreslå tiltak for å motvirke de negative konsekvensene dette kan gå på vår virksomhet.
Ledelsens utfordring
Risikostyring er annerledes enn strategistyring. Risikostyring handler om å redusere negative effekter. Strategistyring handler om å skape positive effekter. På mange måter kan vi si at risikostyring handler om “F” og “T” i en SOFT- analyse, mens strategistyring handler om “S” og “O”.
En utfordring er at mange ledere unngår å investere i dag for å unngå en fremtidig risiko. Man diskonterer fremtiden. Risikostyring må også håndteres av et medlem av toppledelsen. Erfaringer fra de siste års finanskrise viser at de virksomheter som har hatt risikoledelse med direkte tilgang til toppledelsen, eller medlem av toppledelsen har klart seg langt bedre enn gjennomsnittet. Det er nok å nevne Goldman Sachs – dette selskapet klarte seg godt gjennom finanskrisen i USA. Selskapet har også en integrert risikostyringskultur – godt kjent i toppledelsen.
Veien til lønnsom vekst 