job Kvalitet og metode

Å ikke se skogen for bare trær

Det er en fare innen risikostyring at vi er så fokusert på enkeltrisikoer og forvaltning av disse at vi glemmer å se på dem i en større sammenheng. Sammenheng betyr ikke bare å se skogen som en helhet, men også å forstå at skogen lever og vokser i sitt eget mikro- og makroklima. Vi må forstå hele konteksten.

Innenfor risikostyring snakker vi om kontekstanalyse.  Vi ønsket å belyse temaet og tok en prat med Ayse Nordal, seniorrådgiver planlegging- og risikostyring, med fagansvar for risikostyring i Undervisningsbygg Oslo KF.

Kontekstanalyse er en forutsetning i både COSO ERM rammeverket og i ISO 31000-standarden. Hvilke faktorer skal vurderes i en slik analyse?

Begge de kildene, samt Risk Management Standard fra FERMA[1] nevner mer eller mindre samme faktorene: Vi skal analysere interne og eksterne omgivelsesfaktorer som virksomheten opererer og prøver å nå sine målsetninger i.

ISO 31000 nevner eksempelvis følgende eksterne faktorer:

  • Samfunnsmessige, kulturelle, politiske, juridiske, forskriftsmessige, finansielle, teknologiske, økonomiske, miljømessige faktorer
  • Trender
  • Kontraktsmessige forhold
  • Interessentenes oppfatninger.

Disse kan være lokale forhold, men også nasjonale- og internasjonale forhold.

Når vi eksempelvis får en ny sikkerhetslov, ny personvernlovgivning, når digitaliseringen får økt fart eller nye miljøkrav pålegger virksomheter ny praksis, kan vi ikke fortsette med samme risikoregisteret vi benyttet i fjor og tidligere år.

Når det gjelder interne faktorer er det viktig å følge med på områder som:

  • Styring, roller og ansvar
    • endringer i oppgaver
  • Organisasjonsstruktur
    • kultur
  • Informasjonssystemer og -strømmer
    • prosesser i linjen og på kryss og tvers av linjer

Vi ser blant annet at med så mange medarbeidere på hjemmekontor for tiden, er det høyst relevant å ivareta kommunikasjons- og informasjonsprosesser og etterlevelse. 

Kan du si noe om ekstern og intern kontekst og når en slik analyse skal foretas?

Risikostyring er en dynamisk og iterativ prosess. Kontekstanalyse er en del av denne prosessen. Som grunnregel kan man si at hver gang det gjennomføres en risikokartlegging bør det foreligge en kontekstanalyse i bunnen. Omgivelsesfaktorer, både interne og eksterne, er kilder til utfordringer og muligheter som danner virksomhetens risikobilde.

Sjarmen med ISO 31000 og COSO ERM er at de ikke har «mekaniske» krav, Risikostyringsprosessen tar hensyn til organisasjonen, og står i forhold til dens eksterne og interne kontekst som er knyttet til målene.

Men, det ville overraske meg om seriøse aktører ikke sjekker faktorene i konteksten når de setter opp risikoregisteret i dag. Det har vært vesentlige endringer i konteksten etter mars 2020.

Hva er fordelen med å gjennomføre en grundig kontekstanalyse?

Den gir risikovurderingene legitimitet og troverdighet. Som ISO 31000 formulerer så fint i Kap. 5.7.1 : «…Organisasjonen bør kontinuerlig overvåke og tilpasse rammeverket for risikostyring slik at det tar hensyn til eksterne og interne endringer. Organisasjonen kan øke sin verdi ved å gjøre dette.»

Hvilke metoder er best som hjelpemiddel når man skal gjennomføre en kontekstanalyse?

Det finnes ikke noe som er «best» i denne sammenheng. Det som er viktigere er vurderingen av hva som er hensiktsmessig, effektiv, konsistent og lett å formidle. Vi bruker Leavitts diamant fordi den har en lettfattelig visuelt utrykk. Samtidig kan vi få med vesentlige momenter.

Hvordan ser du for deg at kontekstanalysen kommuniseres til ledelsen og styret?

ISO 31000 gjør et tydelig skille mellom kommunikasjon og konsultasjon. Kommunikasjon er et en-veis informasjonsstrøm, mens konsultasjon er to-veis. Vi må konsultere med styret i forbindelse med kontekstanalysen. Det er viktig å få styrets kunnskap, erfaringer og prioriteringer med. Styret kan få et diskusjonsgrunnlag til uttalelse, endring og supplering.

Når vi befinner oss midt opp i en epidemi bør det foretas en ny kontekstanalyse?

Noe annet ville overraske meg, gitt de endringene vi nå opplever, blant annet makroøkonomiske forhold.

  • Ved utgangen av juli 2020 var det registrert 232 700 helt ledige, delvis ledige og arbeidssøkende på tiltak hos NAV, dvs. 8,2 % av arbeidsstokken.
  • Ifølge KS vil kommunene få en redusert skatteinngang i 2020 på 6,4 mrd. kroner, etter det optimistiske anslaget. Et mer pessimistisk scenario gir et tap på 8,1 mrd. kroner.
  • Bisnode melder 54 konkurser i uke 33, 42 konkurser i uke 32, 29 konkurser i uke 31 og 38 konkurser i uke 30, til sammen 163 konkurser på 4 uker.
  • NOK /EURO og NOK/USD er henholdsvis 10,61 og 8,9 den 20.august.

Kan vi beholde våre planer uten justeringer og jobbe med samme risikoregister fra i fjor?

Hvis medarbeidere har samme rammebetingelser når de utfører sine oppgaver, eksempelvis lokalisering, lederoppfølging, samarbeids-muligheter, tilbakemeldinger osv. Men det er det vel de færreste som har i denne situasjonen vi nå lever i.

Hermed oppfordres alle vi som er opptatt av god risikostyring å heve blikket og se på interne og eksterne miljøendringer som påvirker skogens gode fremdrift og vekst!


[1] FERMA, A Risk Management Standard, 2003, Brussels, Belgium.