Den psykologiske risikofaktor

Af Tomas Hellum, direktør for LinkGRC og rådgiver inden for governance, risk og compliance

Revision og audit-processer er også et møde mellem mennesker, og derfor er det tankevækkende, at vi i risikostyringens domæne så godt som aldrig ser på ubevidste, utilsigtede og emotionelle elementer af dette møde.

P1 Morgen fortalte forleden, at et italiensk studie viser, at domme afsagt lige før frokost er markant hårdere end domme afsagt lige efter frokost i alverdens retssale. Underforstået at dommerens blodsukker spiller en større rolle end forseelsens karakter. Samme element af menneskelighed er til stede, når vi laver kontroller, audits og revision. Mere eller mindre bevidst kan vi afvige fra det strukturerede, objektive og optimale på grund af forhold i den givne situation eller i den menneskelige relation.

Denne kemiske faktor – på amerikansk kaldet ”cognitive bias” – er naturligvis særligt til stede, når vi caster hinanden relativt hårdt i rollerne som henholdsvis ”kontrollant” og som ”kontrolleret”. Vi får aktiviteret de samme stærke psykologiske kræfter, som er på spil i en eksamenssituation. Her er der præstationsangst, manipulation og følelser for autoritet i spil med 130 km i timen. Det er klart nok, at vi alle er påvirket af flere faktorer end de strengt faglige, selv om vi kun sjældent ser bevidst usaglig adfærd. Personligt kan jeg godt komme i kontakt med situationer, hvor jeg nok lige har strammet mine vurderinger, fordi noget i situationen provokerede mig.

Det burde vi have mere fokus på i fagligheden omkring GRC, hvor vi har en tendens til at negligere den psykologiske inkonsistens i menneskets vurderinger for at give revisor og kontrollant mest mulig autoritet. Jeg mener ikke, at vi kan og skal afskaffe rollefordelingen mellem kontrolobjekter og kontrollanter, men jeg tror, at vi kan blive bedre til at få værdi af både intern og ekstern revision. Det hænger for mig klart sammen med at vi bygger et audit-univers, som er så meningsfuldt som muligt. Der er tusind eksempler på, at risikostyringen enten er for rigid, firkantet eller overgjort, eller at de reelle risici ikke er op til undersøgelse, vurdering og kalibrering.

Nøglen er, at vi erstatter blind tro på eksterne audits med langt mere sund fornuft. Ekstern revision er naturligvis et fornuftigt bolværk mod bedrageri og bevidst manipulation i en ledelse. Men langt de fleste ledelser er jo drevet af at gøre det så godt som muligt i forhold til nogle forretningsmæssige målsætninger. Derfor vil det være helt naturligt at bygge risikostyringen op om risiciene forbundet med at nå og ikke nå disse forretningsmæssige målsætninger. Hvis dialogen mellem kontrollant og kontrolobjekt starter her, så starter den noget mere fælles, positivt og konstruktivt. Det giver bedre samarbejde, når man bygger på et fælles værdigrundlag. Og det giver lidt mindre tendens til bare ”at bestå audit” og så fortrænge risiciene for resten af tiden.

Har du lyst til at læse mere om cognitive bias i GRC-feltet? Så tjek disse links:

https://mkuckein-wordpress-com.cdn.ampproject.org/c/s/mkuckein.wordpress.com/2018/04/16/why-internal-auditors-cannot-adhere-to-their-own-code-of-ethics/amp/

https://mkuckein-wordpress-com.cdn.ampproject.org/c/s/mkuckein.wordpress.com/2018/04/27/risk-exaggeration-a-cognitive-bias-case-study/amp/

Skriv et svar

Din e-mailadresse vil ikke blive publiceret. Krævede felter er markeret med *