operationel risikostyring

Djævelen bor i den operationelle detalje 

Operationel og forretningsmæssig forankring af GRC-indsatsen er alfa og omega. Det er sikkert noget, som alle kan blive enige på papiret. Men i praksis skilles vandene.

“They (PwC) still seem to believe that a risk appetite statement can drive the business decisions that take risk at all levels of the organization. I don’t”.

Sådan skriver Norman Marks på sin blog – læs her. Han er en af dem jeg følger inden for risikostyring, og jeg kan varmt anbefale hans blog. I dette tilfælde er pointen ikke at bashe PwC. Tværtimod. Norman Marks roser den aktuelle rapport fra PwC, fordi den lægger vægt på at risikostyringen skal ud i frontlinjen. Men han tordner mod at tro på at en generel og bred udmelding fra koncernen eller gruppen kan slå igennem ude i frontlinjen hos hundreder eller tusinder af medarbejdere.

Djævelen under overfladen 

Jeg er meget enig. Alle de daglige beslutninger rummer et element af risiko, og set fra koncernens synspunkt kan de stort set være usynlige. Det er som et isbjerg, og hvis du kun ser på den del, som stikker op over vandoverfladen, så ser du ikke 90 pct af beslutningerne. På koncernniveau ser man aggregerede data, men de er stykket sammen af alle de detaljer som udgør den samlede hverdag. Men djævelen bor i detaljen. Og risikostyringen skal ud og have fat derude, hvor risikoen faktisk bor. Det er udelukket at koble risikostyring på det hele, og derfor skal vi have en forretningsmæssig vurdering, når vi skal udvælge felter, hvor risikostyringen og dens kontroller skal i arbejde. Vi skal jo kun bruge det tunge skyts, når strategien afhænger af, at vi ikke fejler.

Forretningsmæssig tegning 

Når vi hos LinkGRC rådgiver om a lave risikoanalyser har vi held med at tegne virksomhedens flow på en helt simpel tegning. Vi bruger den til at identificere de processer, som er afgørende for målopfyldelsen. Tegningen bygger bro mellem en forretningsmæssig ledelse og GRC-teamet. Hele ideen er at prioritere virksomhedens indsats inden for risikostyring ud fra en forretningsmæssig vurdering. Men det er kun første step. Når vi har defineret de ”varme” procesområder, skal vi sætte ind på en virksom måde med målepunkter og kontroller ”dybt under vandlinjen” i den operationelle detalje, hvor djævelen har til huse.

Interesserer du dig for forankringen af GRC-indsatsen så læs, hvad Norman Marks skriver!

Skriv et svar

Din e-mailadresse vil ikke blive publiceret. Krævede felter er markeret med *