Selv om målet med profesjonalisering innen risikovurderinger er å heve kvaliteten, kan det også virke mot sin hensikt.
Profesjonaliseringen innen risikovurderinger gjør at disse vurderingene oftere feiler som beslutningsgrunnlag. Hvorfor det?
De siste årene har arbeidet med risiko blitt stadig mer profesjonalisert. Hovedmotivet har vært å heve kvaliteten på risikovurderingene som utarbeides, slik at de fremmer velinformerte valg og beslutninger. Imidlertid kan profesjonaliseringen også virke mot sin hensikt og faktisk gjøre at beslutningsgrunnlaget svekkes. Her vil vi løfte frem fire årsaker til dette:
1. Detaljfokus
Profesjonaliseringen kan lede til et detaljfokus som gjør det vanskeligere for ledere å trekke ut essensen av vurderingene. Risiko blir inngående vurdert, uten at den plasseres inn i en overordnet virksomhetskontekst. Resultatet er at lederne ikke får den støtten de trenger til å drive helhetlig styring. Det de får i hende, er saksspesifikke vurderinger knyttet til eksempelvis dataangrep, sikkerhetsbrudd og driftsstans, mens det de trenger, er helhetsvurderinger som hjelper dem å forstå hvor den egentlige risikoen ligger.
2. Fremmedgjørende faguttrykk
Profesjonaliseringen kan også resultere i utstrakt bruk av faguttrykk som gjør vurderingene mindre tilgjengelige og forståelige. Uttrykk som risikoakseptanse, risikostrategi, trusselaktører og trusselscenarioer, som gir god mening for analytikerne, vil for mange ledere virke diffuse og fremmedgjørende. Søken etter høyere presisjon for bedre å kunne støtte lederne, skaper snarere en større kløft. Vurderingene bærer preg av terminologisk floskelmakeri som undergraver deres beslutningsmessige relevans.
3. Problemer med rammeverk
Profesjonaliseringen kan lede til introduseringen av rammeverk uten at rammeverkenes funksjon er tilstrekkelig forstått. Grunntanken bak rammeverkene er å fremme en arbeidsflyt som sikrer at risikoen på best mulig vis blir vurdert og fulgt opp. Et gjennomgående trekk ved rammeverkene er imidlertid at de er nokså omfangsrike, noe som gjør det nødvendig å utvise skjønn i bruken av dem.
Det som altfor ofte skjer, er at rammeverkene søkes implementert ned til minste detalj. Det å gjøre alt riktig, blir viktigere enn å gjøre de viktige tingene riktig. Resultatet er en unødig tids- og ressurskonsumerende prosess som ikke gir merverdi.
4. Tiltak tas for gitt
Profesjonaliseringen kan gi opphav til en sneversynthet der tiltakene tidvis tas for gitt. Etter at risikodriverne er blitt møysommelig vurdert, gir tiltakene seg selv. Slik forholder det seg ikke. Like viktig som å avdekke risikoen og dens årsaker, er å gjennomføre analyser som viser hvilke tiltak som vil ha størst effekt. Uten at dette gjøres, kan prioriteringen av begrensede ressurser for styring av risiko raskt slå feil. Man vil kunne komme til å bruke ressurser på å tette hull der mangel på finsikting dessverre gjør at tiltakene bommer på målet. Identifiserte hull forblir vidåpne og risikogenererende.
Hvordan kan dette motvirkes?
Et første tiltak er å tydeliggjøre budskapet til ledelsen i vurderingen. I det ligger to ting: Det ene er å erstatte faguttrykk med ord som gjør innholdet mer forståelig. Det andre er å redusere detaljfloraen slik at de sentrale sammenhengene klarere fremgår. Det man med disse grepene eventuelt taper i innsikt, vil bli mer enn oppveid ved at ledere dermed mottar vurderinger de aktivt kan forholde seg til og trekke veksler på når beslutninger skal tas.
Et neste tiltak er å utvikle et friere forhold til rammeverk. Rammeverk er ment å være et hjelpemiddel, ikke en tvangstrøye. De gir deg anvisninger om hva du bør gjøre, uten at du på noe som helst vis er forpliktet til å følge anvisningene til punkt og prikke. Rett nok er noen av anvisningene av større viktighet enn andre. Mye av oppgaven ligger nettopp i å identifisere denne kjernen, for dermed å kunne differensiere mellom hva som må gjøres, hva som bør gjøres og hva som eventuelt kan legges til side.
Dette leder direkte over til tredje og siste tiltak. Spørsmålet som til enhver tid må stilles, er hvorvidt risikovurderingene gir merverdi for lederne. Adresseres risiko av stor betydning for virksomheten som trengs å kommuniseres til toppledere? Tidvis kan det være vanskelig å overskue de mulige ringvirkningene av en risiko, noe som tilsier bruk av et føre-var-prinsipp. Vårt poeng er snarere at selv når usikkerheten rår, er det viktig at relevansen tydeliggjøres, slik at lederne raskt forstår at de står overfor risiko de trenger å være seg bevisst og ta høyde for.
Medforfatter er tidligere ansatt i Sopra Steria Ole Lindaas.