Den vedvarende Covid-19-situasjonen legger press på ledere og ansatte. God risikokultur er viktig for å komme styrket ut av krisen.
Oppsummering
- Den nye arbeidshverdagen gjør det mer krevende å opprettholde og bygge en god risikokultur
- Styret og ledelsen bør sette risikokulturen på agendaen og identifisere tiltak for å styrke kulturen
- Et viktig tiltak er å undersøke hvordan det står til med risikokulturen i virksomheten
Verdien av god organisasjons- og risikokultur er godt kjent, men ofte glemt. God kultur bidrar til høyere motivasjon og bedre prestasjoner. Motsatt er en dårlig kultur ofte en av de viktigste årsakene til at virksomheter ikke når målene sine eller at uønskede hendelser skjer.
Organisasjonskultur vs. risikokultur
Organisasjonskultur defineres gjerne som «måten vi gjør ting på», med andre ord måten vi tar beslutninger på, målene vi setter oss og atferden blant ledere og ansatte. Risikokultur er mer spesifikt knyttet til normer, holdninger og atferd relatert til risikostyringen i organisasjonen. Vi kan dele risikokultur inn i to ulike dimensjoner:
A) Hvordan ulike mekanismer i organisasjonen, herunder styrings-, risk- og kontrollprosesser, påvirker atferden. Eksempler er virksomhetens retningslinjer og hvordan ledelsen kommuniserer rundt risikovilje, demonstrerer åpenhet, etikk og motiverer de ansatte.
B) Hvordan atferden i organisasjonen påvirker risiko- og konsekvensbildet. Eksempler kan være at viktige kontroller neglisjeres, kjente risikoer underkommuniseres, eller at ansatte ikke tør å ta risiko der det egentlig er nødvendig for å oppnå resultater.
Begge dimensjoner, og ikke minst forholdet mellom dem, er viktige for å bygge en god risikokultur.
Hvorfor er risikokulturen viktig nå?
Det er flere grunner til at det er verdt å bruke tid på å undersøke hvordan det står til med risikokulturen akkurat nå:
- Større press: For mange virksomheter har Covid-19 satt kostnadskutt og omstrukturering høyt på agendaen, for å sikre overlevelse og økonomisk bærekraft. Det øker presset på både ledere og ansatte. Konsekvensen kan være at fokuset i for lang tid skyves fra langsiktige investeringer til kortsiktig krisehåndtering, eller at det tas uheldige snarveier som kan skade måloppnåelsen, sikkerheten og omdømmet til virksomheten. Hvis vi ikke ivaretar en god risikokultur, vil det langsiktige fokuset og kontinuerlige forbedringsarbeidet svekkes.
- Raskere endringer: Ledere og ansatte blir stilt overfor raskere endringer og mer usikkerhet enn vi er vant til. Eksempler er de stadige endringene i smitteverntiltak, og utfordringer knyttet til innkjøps- og leverandørkjeden. Behovet for å gjøre raske endringer stiller også nye krav til risikovurderinger enn tidligere. I en situasjon med en grunnleggende usikkerhet for hva morgendagen bringer, er det behov for effektive og transparente prosesser for å håndtere risiko. Det kan bidra til både bedre kontroll og større optimisme blant eiere, ledere og ansatte.
- Økt risikoeksponering: Organisasjoner eksponeres for andre type risikoer enn tidligere, eller opplever at vektingen av risiko har endret seg. I EY gjennomførte vi nylig en risikovurdering for nordiske internrevisjonsledere. Her ser vi at risikoen for at «kontrollmiljøet er mindre i fokus når organisasjonen er under press», har økt etter Covid-19. «Tap av markedsandeler grunnet utfordringer med å utnytte digitale og teknologiske muligheter» er en av risikoene som er ny på topp 10-listen. God risikokultur er vesentlig for å håndtere begge deler. For eksempel er det viktig med en kultur som gjør at ansatte ivaretar informasjonssikkerheten på hjemmekontoret, at etablerte kontroller tilpasses det endrede risikobildet i virksomheten og at styret og ledelsen er tydelig på hvor det skal satses for å gripe mulighetene som oppstår i lys av Covid-19.
- Ny arbeidshverdag: Pandemien har ført til at arbeidshverdagen for mange er snudd på hodet. Mange opplever at det er vanskelig å skille jobb og fritid, og savner den uformelle praten med kollegaene ved kaffeautomaten. Behovet for å vite hva de ansatte tenker og føler, for deretter å adressere konkrete utfordringer og gjøre noe med dem i tide, er viktigere enn noensinne. En undersøkelse i EY viser for eksempel at det er de yngste som sliter mest med hjemmekontor. Den nye arbeidshverdagen innebærer også at ledere må gi mer tillit til de ansatte, fordi det i mange tilfeller blir vanskeligere å følge opp hva de ansatte gjør. Hvordan ledere sørger for å opprettholde eller bygge en god kultur i den endrede arbeidshverdagen, er sentrale spørsmål for alle organisasjoner.
Til sammen tilsier utfordringsbildet at ledere nå må bruke mer tid på å opprettholde en god kultur enn før. Det gamle ordtaket om at «kultur spiser strategi til frokost» gjelder fortsatt, og kanskje med enda større appetitt og relevans. I lys av en vedvarende pandemisituasjon er det kritisk å bygge opp under en sunn kultur som skaper varige verdier for både ansatte, organisasjonen og samfunnet rundt oss.
Sett fokus og ta tempen!
Det er flere måter å ta tak i risikokulturen på, og god grunn til å måle temperaturen i organisasjonen. Dette kan bidra til at positive erfaringer spres i organisasjonen og at uheldige utviklinger identifiseres og håndteres tidlig.
Hva kan ulike interessenter gjøre?
Styret og ledelse bør:
- sette organisasjons- og risikokultur på agendaen
- identifisere tiltak for å bygge opp om en kultur som skaper varige verdier, og adressere hva det betyr å ta vare på virksomhetens verdier nå og i tiden fremover
- demonstrere åpenhet gjennom å synliggjøre vesentlige risikoer, valg og prioriteringer
- kommunisere ønsket risikovilje, myndighet og ansvar i et nytt og annerledes risikolandskap i rask endring
Internrevisjonen og andre risiko- og kontrollmiljøer bør:
- inkludere organisasjons- og risikokultur i sine risikovurderinger og revisjonsplaner
- gjennomføre jevnlige undersøkelser av kulturen ved hjelp av survey-metodikk, intervjuer og workshops (gjerne digitalt)
- dele ledende praksis fra andre virksomheter og ulike deler av organisasjonen hvor det identifiseres positive læringspunkter
En god oversikt over risikokulturen i virksomheten kan bidra til at risiko håndteres bedre. Det gjelder både hvordan organisasjonen beskytter seg mot nedsiderisiko som for eksempel cyberangrep, hvordan mulighetene som ligger i endrede markedsbetingelser og ny teknologi utnyttes, og hvordan organisasjonen forbereder seg på eksterne risikoer, som endringer i smittesituasjonen eller klimarisiko.
Det krever langsiktig og systematisk arbeid å bygge en god organisasjons- og risikokultur, men det tar kort tid å bryte den ned. Ved å prioritere arbeidet med risikokultur nå, kan du motvirke en uønsket utvikling og bidra til at organisasjonen kommer styrket ut av krisen. Alternativet kan bli dyrt.
Sammendrag
Verdien av god organisasjons- og risikokultur er godt kjent, men ofte glemt. Den vedvarende Covid-19-situasjonen gjør det nødvendig å fokusere på risikokulturen i virksomheten. Det er viktig med en god risikokultur både for å håndtere utfordringer og sikre fokus på langsiktige prioriteringer og det kontinuerlige forbedringsarbeidet. Den nye arbeidshverdagen gjør det også mer krevende å opprettholde og bygge en god risikokultur. Styret og ledelsen bør derfor prioritere tiltak for å styrke risikokulturen, og risiko- og kontrollmiljøer bør undersøke hvordan det står til med risikokulturen i virksomheten.
Denne artikkelen ble først publisert på EYs sider.