Kostnad och förväntad nytta av riskhantering.
Organisationer med stor riskaptit förväntar sig liten nytta av att identifiera och åtgärda risker och vill spendera relativt lite av sina resurser (lkr) på sådan verksamhet. Organisationer med liten riskaptit förväntar sig större nytta av att identifiera och åtgärda risker och är villiga att spendera mer av sina resurser (mkr) på detta. Oavsett hur mycket resurser en organisation spenderar på att identifiera och åtgärda risker kommer det alltid att finnas kvarvarande risker som inte har identifierats av organisationen.
Att identifiera och åtgärda risker är viktigt men detta är i sig inte tillräckligt för att säkerställa en säker framtid utan oacceptabla överraskningar. För att öka organisationens möjlighet att överleva på sikt bör riskhanteringen säkerställa att organisationen har förmåga att hantera all möjlig påverkan på viktiga mål utan att äventyra organisationens förmåga att förbättras och utvecklas.
Den militära motsvarigheten
Militärstrateger har iakttagit motsvarande konflikter och hittat lösningar på dem för mer än 1500 år sedan. De insåg att hot sällan uppträder slumpmässigt, hot orsakas av fientliga styrkor. Dessa styrkor har begränsade resurser och deras förmåga att påverka viktiga mål kan utvärderas.
De insåg också att en armés förmåga att uppnå sina mål beror på dess handlingsfrihet. Ju mer av sina resurser en arme måste avsätta för sitt försvar desto mindre handlingsfrihet. En strategisk reserv med tillräckliga resurser att försvara viktiga mål mot varje möjlig fientlig attack ökar en armés handlingsfrihet. Dessa lösningar ingår fortfarande i tillämpade militära strategier och har visat sig kunna appliceras på vilken annan organisation som helst.
En civil tillämpning
En civil organisations motsvarighet till militärens fiende är de krafter och faktorer (någon eller något) i dess interna och externa omgivning som kan påverka organisationens möjlighet att nå viktiga mål. Sådana krafter och faktorer kan vara t.ex. värste konkurrenten, viktigaste kunden, viktigaste leverantören, lagstiftare, nyckelpersoner, miljöaktivister och andra påtryckningsgrupper. Dessa krafter och faktorer kan och bör identifieras och deras möjlighet att påverka viktiga mål utvärderas.
En organisation har tre typer av resurser till sitt förfogande för att hantera varje form av påverkan oavsett om den är positiv eller negativ, förutsedd eller oförutsedd:
- Mänskliga resurser.
- Tekniska, administrativa och andra system.
- Finansiella resurser.
Tillgängliga finansiella resurser är de enda av dessa resurser som en civil organisation enkelt kan omvandla till vilken annan resurs som helst, var som helst och när som helst. Därför är tillgängliga finansiella resurser den civila organisationens motsvarighet till militärens strategiska reserver.
För att öka en civil organisations möjlighet att överleva på sikt bör ledningen säkerställa att
- Viktiga mänskliga resurser är kreativa, kompetenta och motiverade.
- Tekniska, administrativa och andra system som behövs för att nå viktiga mål är utformade, implementerade och att de tillämpas tillfredsställande.
- Tillgängliga finansiella resurser är tillräckliga för att organisationen ska kunna hantera oacceptabel påverkan på viktiga mål – vanligen kallade affärsrisker – utan att äventyra organisationens förmåga att förbättras och utvecklas som förväntat.
En organisation som har tillräckliga finansiella resurser för att kunna hantera den potentiellt största möjliga affärsrisken har också förmåga att hantera varje annan möjlig affärsrisk. För att inte äventyra sin förmåga att överleva på sikt bör organisationen troligen eliminera riskexponeringar som kan sätta mer än 10 till 15 % av dess tillgängliga finansiella resurser på spel.
Det finns i princip två olika sätt att åtgärda oacceptabla riskexponeringar:
- Öka organisationens strategiska reserv av tillgängliga finansiella resurser.
- Eliminera oacceptabla riskexponeringar.
Hur man bäst eliminerar oacceptabla riskexponeringar beror på situationen. Varje åtgärd som minskar organisationens beroende av sin omgivning bör övervägas inklusive att undvika möjlig påverkan t ex genom att byta strategi, att utveckla handlingsalternativ som kan utnyttjas vid behov, att minska omgivningens handlingsfrihet och/eller att hantera identifierade risker.
Ofta vet management inte hur man bäst ska åtgärda ett problem förrän man är fullt medveten om de egentliga orsakerna till problemet. Till exempel, ett företag som tillverkar och säljer elektronisk utrustning köper komponenter från olika leverantörer. En nyckelkomponent till organisationens mest lönsamma produkt köpts från en leverantör som anses vara en av världen mest pålitliga leverantörer av elektroniska komponenter. Under ett hotbildsscenario blir management varse att den enda fabrik i världen som kan tillverka denna komponent är en specialiserad fabrik i Kanada. Tillverkningen av företagets viktigaste produkt är således helt beroende av en viss fabrik i Canada.
Management insåg att om leveranserna av nyckelkomponenten av något skäl skulle utebli skulle kostnaden för att kompensera för detta vida överstiga företagets policy för acceptabel affärsrisk. Därför måste detta hot elimineras. Eftersom det inte finns alternativa leverantörer skulle detta kunna åstadkommas genom att omedelbart utarbeta en plan för att ersätta den aktuella produkten och att öka lagret av nyckelkomponenten till en nivå som skulle ge företaget rimlig tid att introducera ersättningsprodukten om så skulle behövas.
Internrevisionens roll
Management förlitar sig på rättidig, riktig och relevant rapportering av information med avseende på riskexponering och riskhantering. Internrevisionen är en av få verksamheter i en organisation som kan ge en oberoende, objektiv försäkran om riskhanteringen. Det är därför väsentligt att internrevisionen i enlighet med Internationella Riktlinjer för Yrkesmässigt utförd Internrevision överväger hur man ska kunna ge management försäkran om huruvida:
- Riskidentifieringen är fullständig
- Riskbedömnings och prioriteringsprocessernas är effektiva
- Riskhanteringsbeslut och strategier är tillräckligt dokumenterade och kommunicerade
- Riskhanteringens högsta ledning är lämplig
- Resurser som hanterar nyckelrisker är effektiva och produktiva
- Rapporteringen är i rätt tid, riktig och relevant.
Detta lägger onekligen en stor börda på internrevisionen samtidigt som management noga måste väga kostnader mot förväntade nytta för att öka organisationens möjlighet att överleva och utvecklas. Nyttan med internrevisionens försäkran är att den bidrar till att management kan sova bättre om natten medvetna om att sannolikheten är större att viktiga mål kommer att nås än om de hade närmat sig risk på ett mindre ordnat sätt.