Svårt att mäta effekt
Hur kan effekten av riskreducerande åtgärder mätas? Denna fråga spelar exempelvis stor roll när det gäller att förebygga och hantera kriser. En tillförlitlig bedömning av den faktiska riskhanteringsförmågan ger svar på följande grundläggande frågor:
- Vilka risker är vi väl förberedda inför?
- Vilka risker är vi dåligt förberedda inför?
- Vilka risker behöver vi prioritera när det gäller att höja riskhanteringsförmågan?
Ramverken COSO, ISO och andra är tydliga med att kräva en regelbunden utvärdering av de riskmitigerande åtgärdernas effekt, till exempel i förhållande till en definierad risktolerans. Tyvärr ger samtliga dock inga tydliga svar på hur man metodiskt kan bedöma denna effekt vilket i mina ögon är en lucka i dessa ramverk.
Konceptuellt är bedömningen av riskhanteringsförmågan viktig för att förstå sammanhanget mellan brutto- och nettorisk:
bruttorisk – samlad effekt av åtgärder (förmågor) = nettorisk
Åtgärderna kan ha olika inriktningar; undvikande, transfererande, delande, accepterande etc. Problemet är att alla åtgärder inte är enkla att mäta vad gäller deras effekt på riskens sannolikhet eller konsekvens. Exempelvis är det enkelt att räkna på den minskade finansiella konsekvensen på grund av en försäkring men det blir svårt att bedöma den minskande effekten av en effektiv och bra personalpolicy. Det gör att många organisationer har en luddig eller svårhanterbar arbetsprocess för att bedöma nettorisk vilket leder till att de själva inte riktigt litar på bedömningen.
Förmågan förenklar riskbedömningen
Ett möjligt koncept för att enkelt kunna bedöma den samlade effekten av de implementerade riskåtgärderna kan beskrivas med hjälp av två begrepp; önskad förmåga och befintlig förmåga. Begreppen kan definieras så här:
- Verksamhetens önskade förmåga utgörs av alla åtgärder som bör finnas på plats för att begränsa händelsens sannolikhet att inträffa och de konsekvenserna den skulle ha till den nivån som verksamheten är villig att acceptera.
- Verksamhetens befintliga förmåga utgörs av alla åtgärder som är på plats och minskar händelsens sannolikhet att inträffa och de konsekvenserna den skulle ha.
Grundtanken i detta koncept är att kunna bedöma gapet mellan önskad och befintlig riskhanteringsförmåga:
samlad effekt av åtgärder (förmågor) = önskad förmåga – befintlig förmåga
I praktiken genomförs bedömningen genom att jämföra en lista med alla åtgärder som har bedömts vara nödvändiga med en lista där det kartlagts vilka åtgärder är på plats och fungerar effektivt (”present and functioning” enligt COSO). Beroende på gapets storlek kan riskhanteringsförmågan sedan kvalitativt beskrivas med hjälp av olika nivåer från ”god” till ”mycket bristfällig”.
Min erfarenhet är att organisationer inte har något problem med att formulera den önskade förmågan eller kartlägga den befintliga. De flesta vet precis både vad de behöver och vad som faktiskt är på plats.
Resultatet av jämförelsen ger en väldigt bra uppfattning hur man ligger till i sin riskhanteringsförmåga. Svaren på frågorna 1 och 2 ovan blir väldigt tydliga så att handlingsplaner kan definieras för att stänga de mest kritiska luckorna.
Nu tänk tanken att enbart jobba med den typen av riskbedömning! Man kanske i första hand inte skulle få ett tydligt svar på fråga 3 ovan men istället skulle slippa den ofta krångliga bedömningen av sannolikhet och konsekvens som många organisationer har svårt med.
Revolutionärt? Kanske inte, men säkert värt ett försök för många organisationer när de utan krångel med sannolikhet och konsekvens vill bedöma sin faktiska riskhanteringsförmåga för att snabbt kunna dra sina slutsatser!