I takt med at operasjonell risiko får stadig større betydning, er det på høy tid å revitalisere RCSA og gjenvinne dens rolle som et verktøy for styring og forbedring.
Basert på innsikt og læringspunkter fra Elena Pykhovas webinar om Risk and Control Self-Assessments.
Risk and Control Self-Assessments (RCSA) har i mange virksomheter utviklet seg til en prosess som gir opphav til mer frustrasjon enn den tilfører verdi. Opprinnelig ble metoden etablert for å gi virksomheter et verktøy til selv å identifisere og vurdere egne risikoer og kontrolltiltak. Nå opplever mange det som en rutinepreget og lite meningsfull aktivitet. I takt med at operasjonell risiko får stadig større betydning, er det på høy tid å revitalisere RCSA og gjenvinne dens rolle som et verktøy for styring og forbedring.
Denne artikkelen bygger på innsikt og læringspunkter fra et nylig gjennomført webinar ledet av Elena Pykhova, en anerkjent ekspert på operasjonell risiko. Hun ga deltakerne et tydelig budskap:
RCSA står i fare for å miste sin relevans, og det kreves både strategisk fokus og praktisk fornyelse for å snu utviklingen.
Når formålet med RCSA forsvinner
De siste årene har RCSA fått et svekket omdømme blant førstelinjeledere og prosesseiere. En av hovedårsakene er at risikovurderingene lider av såkalt «forurensning», der risikoregistre fylles med små og lite vesentlige forhold.
Når alt er en risiko, blir ingenting viktig.
Samtidig preges vurderingene ofte av utydelighet, der det som beskrives som risiko i realiteten er kontrollsvikt, årsaker eller konsekvenser. Dette fører til det mange omtaler som «skitten data», som igjen gjør det vanskelig å skape mening og retning i styringsinformasjonen.
Riktig innhold krever tydelig struktur
For å gjenvinne verdien av RCSA må arbeidet ta utgangspunkt i virksomhetens kontekst og målsettinger. Risikoformuleringer bør være presise, og de må være relevante og vesentlige i lys av virksomhetens strategi. Kontroller må formuleres slik at det er klart hvem som har ansvar, hvordan kontrollen fungerer i praksis, og hvilken hensikt den har, enten den er forebyggende, avdekkende, retningsgivende eller korrigerende. Når det er uklarhet i formuleringene, skapes det forvirring om hvem som gjør hva, og hvorfor tiltaket eksisterer.
Et sentralt grep er å etablere en tydelig og felles risikostruktur, en taksonomi som gir konsistens i hvordan risikoer forstås og kommuniseres på tvers av enheter. En slik struktur bidrar til bedre sammenlignbarhet, enklere prioritering og tydeligere styringsinformasjon.
Vertikalt, horisontalt – eller begge deler?
Hvordan RCSA organiseres strukturelt har stor betydning for kvaliteten på resultatene. Mange tar utgangspunkt i en vertikal modell der hver avdeling gjør sin vurdering, noe som gir klart eierskap og lokal forankring. Samtidig øker dette sannsynligheten for silotankegang og manglende forståelse av prosess-avhengigheter. En alternativ tilnærming er horisontal vurdering på tvers av virksomhetskritiske prosesser, der risikoer og kontroller ses i sammenheng fra start til slutt. Denne metoden gir bedre oversikt og forståelse for helheten, men krever ofte høy organisatorisk modenhet og tydelig definert prosessansvar. Flere virksomheter kombinerer de to tilnærmingene i en hybridmodell, der vertikal dekning sikrer bredde og horisontal vurdering gir dybde på de mest kritiske områdene.
Forarbeid utgjør hele forskjellen
Forberedelse er et av de mest undervurderte aspektene i RCSA-prosessen. Mange møter opp i workshops uten noe grunnlag for refleksjon, og dermed blir vurderingene preget av magefølelse og rutine. Når deltakerne i forkant får tilgang til relevant informasjon, som compliance- og revisjonsfunn, hendelser, varsler, eksterne trender etc., skjerpes diskusjonen og gir grunnlag for mer realistiske vurderinger. Et godt forarbeid gjør også at arbeidet får et fremtidsrettet og proaktivt preg, fremfor å være en oppsummering av det som allerede har skjedd.
Teknologi som støtte, ikke erstatning
Ny teknologi kan være en støtte i dette arbeidet. Generativ kunstig intelligens og digitale verktøy kan bistå med strukturering av risikobilder, foreslå relevante temaer for diskusjon eller sammenstille innsikt fra eksterne kilder. Dette må imidlertid ikke bli en sovepute da teknologien må støtte faglig skjønn, ikke erstatte det. En god RCSA bygger på erfaringsbasert innsikt, konkret kunnskap om virksomheten og et bevisst forhold til formålet med prosessen.
Fra mekanikk til mening
RCSA har potensial til å bli en verdiskapende og styrkende prosess, dersom virksomheten evner å gå fra mekanisk gjennomføring til målrettet innsikt. Det krever at man rydder opp i innholdet, fokuserer på det som er vesentlig, og forankrer arbeidet i virksomhetens strategi. Når dette lykkes, får man ikke bare bedre styringsinformasjon, men man styrker risikokulturen, tydeliggjør ansvar og øker virksomhetens evne til å håndtere endringer og usikkerhet.
Veien videre handler ikke om å gjøre mer, men om å gjøre det bedre. Dette innebærer å stille spørsmål ved hva som virkelig er formålet med RCSA, og hvordan det kan brukes som et aktivt verktøy for forbedring, ikke bare etterlevelse. Ved å gjøre denne dreiningen kan RCSA igjen bli en sentral komponent i virksomhetens styringssystem.
