Riskkultur finns bara där
Riskkultur är ett konstigt begrepp. Varken COSO ERM eller ISO 31000 använder begreppet utan "risk management culture" eller "risk managment philosophy" och ställer flitigt dessa i sammanhang till "corporate culture". Jag känner dock att det praktiska språkbruket har vuxit ifrån ramverken eftersom termen riskkultur används mest av practitioners för att beskriva en organisations grundläggande attityd gentemot risk och riskhantering.
Om man utgår ifrån denna enkla definition så kan man konstatera att någon riskkultur finns alltid på plats, oavsett man har definierat den eller ej. Frågan är alltså inte om det över huvud taget finns en riskkultur utan om den befintliga riskkulturen är den man vill ha. Och här börjar jakten!
Olika utgångspunkter
Förra veckan diskuterade jag riskkultur med ett globalt tyskt bolag. Deras utgångspunkt var att främst förbättra riskmedvetenhet och riskägarskap i organisationen. Nu i veckan kom frågan upp i ett svenskt bolag i miljardklassen där diskussionen startades utifrån definition av riskaptit. Båda infallsvinklar är möjliga som man ser på bilden.
Bilden visar tydligt att det krävs en gedigen genomgång och utvärdering av ett antal faktorer som påverkar riskkulturen. Analysen visar sedan vilka faktorer är mest relevanta och vilka av de är de som behöver förtydligas så att rätt riskkultur kan kommuniceras och utvecklas.
Värderingar är A och O
Min erfarenhet i frågan säger mig att kärnvärderingar som är tydligt definierade och kommunicerade är den viktigaste utgångspunkten för att förankra rätt företagskultur och därmed rätt riskkultur. Kan man inte bocka av denna viktiga faktor i början så är det ingen idé att gå vidare med de andra. Även om det kan kännas självklart, men att till exempel tydligt fastställa som värdegrund att "vi agerar i linje med gällande lagstiftning på alla våra marknader" kan vara en viktig del i en tydlig gemensam värdegrund.
En möjlig väg att jaga
Gör till exempel så här för att jaga rätt riskkultur:
- Gör en kritisk översyn av er definierade värdegrund
- Kartlägg de relevanta faktorerna som påverkar riskkulturen, t ex enligt bilden ovan
- Formulera riskkulturens målbild per faktor som är i linje med den grundläggande värdegrunden
- Välj ut de mest relevanta faktorerna och genomför en enkät på dem i alla viktiga enheterna
- Analysera resultatet i förhållande till målbilden och identifiera problemområden
- Ta fram eller förtydliga policys och riktlinjer och kommunicera dem
- Träna ledare och medarbetare och följ upp
Kom ihåg att riskkulturen i vissa fall ska se olika ut i olika delar av verksamheten även om det finns en gemensam värdegrund. Därför blir det hela ingen lätt övning för de företagen som verkar i olika affärsmiljöer eller driver heterogena affärsmodeller.
Drömmen lever
Jag vågar påstå att många styrelser och ledningar drömmer om den där riskkulturen som bara känns rätt. Den kan uppnås men resan dit kommer aldrig ta slut då kulturen behöver ses över då och då i takt med förändringstakten runt omkring.