Strategisk riskhantering är inte den lättaste men den roligaste delen i riskhantering
Strategiska risker är externa eller interna hot som negativt påverkar en organisations förmåga att nå sina strategiska mål. Enligt ramverket COSO ERM är strategiska mål övergripande mål som återspeglar organisationens mission. Det innebär att strategiska risker är de mest prominenta riskerna som borde tas hänsyn till när en strategi tas fram, när den exekveras, och när den följs upp.
På det viset blir strategisk riskhantering en naturlig del inte bara av ERM –processen utan av den interna styrningen i sig.
Strategisk risk eller inte?
I praktiken kan det vara svårt att urskilja strategiska risker från andra kategorier som exempelvis operativa, finansiella och compliance risker. Ibland hjälper sig företag med att definiera sina topp 10-risker vilka sedan anses vara strategiska per automatik. Men det behöver inte vara fallet. Det avgörande måttet för om en risk har strategisk betydelse är inte bara hur stor påverkan är utan hur varaktiga konsekvenserna bedöms kan vara, eller med andra ord, hur uthålligt risken påverkar organisationens mål negativt. Tidsdimensionen spelar därför en stor roll.
I princip kan alltså varje risk få en strategisk betydelse, även om den per definition inte tillhör typiska strategiska risker, som exempelvis dåliga investeringsbeslut eller medel- och långsiktiga förändringar på marknaden. En per definition operativ risk som tex produktionsavbrott i en fabrik kan nå en strategisk dimension i fall fabriken är en kritisk del i den interna leverantörskedjan och om avbrottet varar tillräckligt länge vilket medför större kundförluster.
Sammanfattningsvis kan alltså alla typer av risker bli strategiska så fort de på ett både djupgående och långvarigt sätt hotar organisationens medel- och långsiktiga önskade strategiska position. Det innebär att deras förebyggande och hanterande måste prioriteras före alla andra risker!
Hur gör man?
Frågan som ofta lyfts i mina diskussioner med företag är om organisationen redan från början av utvecklingen av riskhanteringen borde arbeta med systematisk strategisk riskhantering även om den allmänna mognadsnivån i systematisk riskhantering bedöms vara låg.
Det är en mycket berättigad fråga med tanke på att vanliga mognadsmodeller för riskhantering ofta visar att strategisk riskhantering utgör den sista nivån i utvecklingskurvan. Organisationernas bevekelsegrunder till frågan är ofta viljan att förflytta sin riskhantering från en reaktiv dvs hanterade till en mycket mer proaktiv dvs förutseende och förebyggande process.
Frågan kan besvaras genom att belysa vad som krävs för att uppnå en systematisk process för strategisk riskhantering. Min erfarenhet visar att åtminstone följande moment borde finnas på plats:
- Att förebygga och hantera strategiska risker kräver att i strategiprocessens samtliga steg löpande identifiera och bevaka risker som kan orsaka uthålliga avvikelser från den definierade strategin. Graden av integreringen av "risktänk" i strategiprocessen är mycket hög.
- För att fånga upp den långsiktiga och varaktiga karaktären av strategiska risker krävs det att i förebyggande syfte arbeta med riskindikatorer (KRI) och svaga signaler (weak signals) så att trender och utvecklingar i omvärlden blir synliga. Systematiska omvärlds- och scenarioanalyser prioriteras och är mycket väl utvecklade.
- I hanterande syfte krävs bland annat robusta krishanteringsprocesser och en fungerande krisorganisation. Alla kritiska sårbarheter i verksamheten är identifierade och kan motstå kraftiga händelser.
- Strategiska risker ställer stora krav på en risk managers kompetens att utifrån strategiskt sammanhang tolka risk information (”strategic mindset”). Denna kompetens avgör ofta om strategiska risker inte bara fångas upp utan också lyfts fram på ett tydligt sätt. Risk managers behöver därför vara väl insatta i organisationens strategi och dess implikationer, och har förmågan att tolka den övergripande riskbilden i relation till den. Goda exempel visar att det är till stor fördel att risk managers inte bara har en mångårig erfarenhet i organisationen utan också utvecklar ett nära samarbete med funktioner som group control eller likande enheter som ”äger” strategiprocessen.
Oavsett hur lång tid en organisation behöver för att uppnå dessa förutsättningar borde dessa dock känneteckna den utvecklingsnivån man i längden siktar på. Min erfarenhet visar att de flesta organisationer vill snabbt komma åt de riskerna som allvarligt kan hota den övergripande strategin. Så länge man lyckas med det spelar det övriga ”riskbruset” inte en större roll.
Strategisk riskhantering är ett mycket intressant men komplext område. Kontakta mig gärna när ni vill bolla kring hur ni kan ta ert nästa steg dit!