Tekniske miljøer gjerne har basert seg på ISO31000 mens COSO har sitt utspring i økonomimiljøet.  Er terminologien forståelig for virksomheten vi opererer i? Snakker vi egentlig samme språk? Hva kan disse to miljøene lære av hverandre?

Risikonettverket i IIA Norge inviterte i september til risiko roundtable for å utveksle erfaringer knyttet til overnevnte tema. Etter to korte innledninger fra henholdsvis Martin Stevens i Risikonettverket og Roger Strøm fra Norsk Forening for Kvalitet og Risikostyring, gikk diskusjonen høyt.

Risikostyringens kontekst er avgjørende for et godt resultat

Et tidlig diskusjonstema var hvordan man best mulig kommuniserer med styret og toppledelsen rundt risiko. Blant annet ble det diskutert hvordan man kommuniserer finansielle og omdømmemessige konsekvenser, og hvordan man gjerne skiller på ulike risikoklasser. Det var bred enighet om at en omforent kontekst for risikostyringen er en svært viktig forutsetning for å sikre riktig tilnærming og god kommunikasjon. Uklarhet rundt kontekst medfører fort en uklar bestilling fra styret og ledelsen.

Et hjertesukk hos flere i forsamlingen var at risikostyring alt for ofte blir sett på som ren nedsidehåndtering, som kan delegeres til en risiko- eller kvalitetsleder. Dette gjør det vanskelig å koble risiko til verdiskapningen i en virksomhet. En erfaring flere hadde gjort seg, er at styremedlemmer og toppledere selv er spørrende til hva som skal inngå i risikorapporteringen, fremfor selv å ta eierskap til dette. Styreansvar blir herunder tatt opp som et område det ofte er for lite bevissthet rundt.

Som en forlengelse av diskusjonen ble driverne bak innføring av helhetlig risikostyring drøftet. Mange virksomheter kan synes motivert av lovpålagte krav om risikostyring, gjerne knyttet til spesifikke deler av sin virksomhet. Dette er ikke alltid et godt utgangspunkt når man skal styre risiko på helhetlig vis. En tydelig kobling mellom risiko og virksomhetens strategiske mål og mandat, er nødvendig for å kunne skape verdi på vegne av styret og toppledelsen. I tillegg må man huske å vurdere effektivitet og nytteverdi i eksisterende prosesser og kontroller; fremfor umiddelbart å diskutere behov for nye tiltak for detaljerte enkeltrisikoer. Forankring av en god systematikk som skal sikre en helhetlig tilnærming, bør derfor stå høyt på agendaen til ledere for risikostyringsarbeidet.

Snakker vi samme språk?

Rundt bordet satt deltagere som har jobbet med risikostyring fra et økonomi- og styringsperspektiv, og andre fra regulert industri der arbeidet gjerne har vært knyttet til ulike ISO-sertifiseringer. I begge leire har man lenge snakket om risikostyring, og de mest benyttede rammeverkene har utviklet seg de senere årene. I forsamlingen oppleves forskjellen mellom rammeverkene som mindre enn tidligere.

Det blir trukket frem at selv om terminologien på enkelte områder er ulik, er intensjonen og innholdet i COSOs rammeverk sammenfallende med ISO31000 og de ulike styringsrammeverkene (eksempelvis ISO 9001). Rammeverkene har ulike styrker og svakheter; noen synes COSO best beskriver risikoappetitt og inntar et helhetlig perspektiv på organisasjonen, mens ISO-rammeverkene gjerne er tydeligere på prosess. Det som imidlertid skaper utfordringer, er gjerne ulik bruk av uttrykk og manglende avklaring internt i virksomhetene.

En felles terminologi internt blir derfor avgjørende. Og til tross for at rammeverkene har blitt likere, er det like fullt forskjeller i terminologi. Ulik erfaring med de forskjellige rammeverkene gjør at personer med ulik bakgrunn kan ha ulikt «stammespråk» innarbeidet. Eksempler på dette er nyanser i hvordan man omtaler om risikoappetitt og -toleranse, og at ISO-standardene ofte refererer til interne revisjoner som del av sine rammeverk, uten at dette tilsvarer det vi kjenner som internrevisjon. Kjennskap til de ulike rammeverkene og forskjeller i terminologien de benytter, kan derfor bidra til at man unngår misforståelser og gjør seg forstått i hele virksomheten.

Bakgrunn: Nettverket Risikostyring er del av IIA Norge. Risiko roundtable er et uformelt forum for utveksling av erfaringer på tvers av virksomheter og fagområder.