Att verka för en positiv riskkultur är en av riskmanagers främsta uppgift
Den senaste tiden har jag stött på ett flertal artiklar (bland annat på Commercial Risk Europe) som handlar om betydelsen av att bygga en positiv riskkultur. Bland annat har COSO och andra oberoende organisationer (t ex IRM) sedan länge eller nyligen tagit upp ämnet och gett ut vägledningar för hur en positiv riskkultur kan uppnås.
Författarna är överens om att en riskkultur som präglas av stor riskmedvetenhet och en öppen kommunikation om risker och hot är en grundläggande förutsättning för en organisation för att möta dessa tillräckligt flexibelt och snabbt.
Tänker man i COSO-termer så sorterar riskkulturen under ramverkets huvudkomponent Kontrollmiljö. Det innebär i sin tur att själva riskidentifieringen och –hanteringen kan urholkas om inte dessa grundförutsättningar finns på plats. Det tillkommer att en enhetlig riskkultur i en komplex organisation inte är enkelt att uppnå eftersom det ofta finns grundläggande kulturella skillnader mellan länder och regioner vilka styr om och hur öppet risker tas upp till diskussion.
För att förankra en positiv riskkultur behövs förebilder i ledningen på alla nivåer, en rätt ”Tone at the top”. Ledande befattningshavare bör i sitt agerande på ett synligt sätt avväga möjligheter mot risker, och på det sättet främja en öppen diskussion om denna balans. Budskapet ska vara tydligt: ”Vi vill uppmuntra alla till en öppen dialog om våra risker!”
Riskmanagers roll är att tillhandahålla enkla metoder för ledning och medarbetare så att riskläget synliggörs och kan diskuteras. Här kan riskmanagern agera som processledare/utbildare i riskanalysen så att rätt balans mellan möjligheter och risker hittas vilken ligger i linje med organisationens önskade övergripande risknivå. I detta sammanhang kan till exempel också en systematisk avvikelsehanteringsprocess (”incident management”) vara en kraftfull katalysator för en riskdiskussion som uppfattas positivt i verksamheten eftersom den har en direkt koppling till det löpande förbättringsarbetet.
Riskmanagern borde också bidra med vad som kallas för ”corporate risk intelligence”. Han eller hon är ofta den enda som kan lägga ihop organisationens konsoliderade riskläge vilket ge honom/henne en stor möjlighet att över enheternas gränser skapa riskmedvetenhet. På så sätt bör riskmanagern löpande bidra till att enheterna lär sig av varandra att hantera hot mot gemensamma mål vilket i större organisationer ofta upplevs enormt värdefullt. Genom detta arbete får riskmanagern också en känsla för vilka skillnader i riskkulturen mellan de olika enheterna som finns, och kan styra sina insatser efter det.
Att etablera en öppen och positiv riskkultur kan vara en överlevnadsfråga för många organisationer i en affärsmiljö som kan förändras snabbt och radikalt. Riskmanagers roll i att utveckla och vårda rätt riskkultur får därför inte underskattas.