Hvilke faktorer påvirker virksomhetenes tilnærming til risiko Ayse NORDAL UNDERVISNINGSBYGG OSLO KF

Transkript

1 Hvilke faktorer påvirker virksomhetenes tilnærming til risiko Ayse NORDAL UNDERVISNINGSBYGG OSLO KF

2 Agenda- 10 faktorer som påvirker virksomhetens tilnærming til risiko Definisjon av risiko Integrering av risikostyring og beslutningsprosesser Risikopersepsjon Risikoappetitt Kultur Sektor Organisasjon Modenhetsnivå Rammeverk og prosess Verktøy Case

3 DEFINISJON AV RISIKO farer R= Sannsynlighet X Konsekvens uønskede hendelser muligheter Usikkerhet knyttet til mål sannsynlighet volatilitet

4 INTEGRERING AV RISIKOSTYRING OG BESLUTNINGSPROSESSER Beslutningstaker Utfallsegenskaper Utfall Intern beslutningstaker Eks: Å drikke en kopp kaffe Intern beslutningstaker Eks: Estimere antall fremtidige elever i bydel X Intern beslutningstaker Eks: Introdusere et helt nytt produkt i et nytt marked Ekstern beslutningstaker Known unknowns. Blir oppfattet gjennom «what-if» scenarioer. Eks: opptøyer Ekstern beslutningstaker Unknown unknowns. Ukjent hendelse som kommer overraskende. Eks: 9/11 Deterministisk Stokastisk, påvirket av tilfeldigheter Stokastisk Kaskade(snøball) effekter, «fat-tailed distribution» Sannsynligheten kan ikke beregnes med de teknikkene vi besitter i dag. Blir ikke oppdaget av «what-if» scenarioer. Kjent og sikker Kaffekoppen er tom (????) Sannsynlighetsfordelingen av utfall er kjent/ kan estimeres Sannsynlighetsfordelingen av utfall er ukjent Grå svaner Sorte svaner Denne figuren er en oversettelse av opprinnelig versjon som finnes i Y. Ayse B. Nordal, Risk Management Practices, Decision Making and Corporate Governance, Book of Proceedings, International May Conference on Strategic Management, University of Belgrade, May 2015

5 RISIKOPERSEPSJON Risikopersepsjon er et begrep som har sitt utgangspunkt i faget kognitiv psykologi og som omhandler hvordan mennesket oppfatter og vurderer usikkerhet. Det har vist seg å være en sammenheng mellom opplevd usikkerhet og hvordan mennesker forholder seg til usikkerheten. Hva som oppfattes som usikkerhet og hvor usikre ulike forhold oppleves, vil være styrt av både individuelle forhold og kjennetegn ved den kulturen en er en del av.

6 RISIKOPERSEPSJON Kunnskap og erfaringer tallforståelse sannsynlighetsteori statistikk læring hukommelse kommunikasjon Kritiske ferdigheter Personlige egenskaper og kultur tilnærming verdier tilhørighet

7 RISIKOAPPETITT Det nivå av usikkerhet en organisasjon er villig- og har evne til å påta seg for å kunne gjennomføre sine aktiviteter og realisere sine mål. Risikoaversjon, risikovillighet og risiko-nøytralitet (Expected Utility Teori- Von Neumann-Morgenstern) Asymmetri i risikoappetitt (Tapaversjon- Prospect Theory- Kahneman & Tversky) I følge COSO: Enterprise Risk Management, juni 2017: Å definere virksomhetens risikoappetitt er en av de 20 risikostyringsprinsipper.

8 RISIKOKULTUR IRM s (Institute of risk management) definisjon av risikokultur: values, beliefs, knowledge and understanding about risk, shared by a group of people with a common purpose, in particular the employees of an organization or of teams or groups within an organization. Indikatorer for en velfungerende risk-kultur: Tone fra toppen Ansvarlighet Transparens Insentiver

9 SEKTOR Sektor-forskjeller på risikostruktur (Cyber-risiko, HMS, korrupsjon) IBM Cyber-Security Intelligence Index har omfattet data som ble innsamlet i perioden , i 8000 klientenheter i 100 land. Indeksen viser følgende rekkefølge når det gjelder sårbarhet til cyber-angrep: HELSE PRODUKSJONSINDUSTRI FINANSIELLE TJENESTRER REGJERING TRANSPORT

10 ORGANISASJON Risikostyringsfunksjonens organisatoriske plassering varierer avhengig av virksomheten og modenhetsnivået for helhetlig risikostyring Styrets ansvar Forankring i ledelsen Risikostyring og beslutningstaking Forhold mellom de tre forsvarslinjene

11 MODENHETSNIVÅ «Risikomodenhet» er en målestokk, et redskap som viser i hvilken grad en virksomhet har implementert helhetlig risikostyring i samsvar med gjeldende beste praksis. Med få unntak forutsetter eksisterende modenhetsmodeller stadig progresjon til høyere modenhetsnivåer. En utfordring med måten flere tradisjonelt har målt modenhet, er at det gjøres i form av trappetrinn der det forutsettes at man har oppfylt ett nivå, før man kan nå det neste. Modenhetsnivået kan være svært forskjellig innenfor virksomhetens ulike områder

12 MODENHETSNIVÅ- En enkel modell Nordal & Kjørstad Dimensjoner 1. Risikostyring, strategi og beslutningsprosesser 2. Kommunikasjon, informasjon og rapportering 3. Organisering, myndighet og relasjoner 4. IT-verktøy og analyse 5. Rammeverk og prosesser Modenhetsmålsetninger Alle beslutninger (strategiske, taktiske og operasjonelle) bygger på en dokumentert vurdering av risiko og muligheter. Virksomheten sørger for løpende kommunikasjon og rapportering av relevant informasjon med hensiktsmessig frekvens. Virksomheten har en hensiktsmessig organisering og ressursallokering til risikostyringsarbeidet. Risikostyringen bygger på beste tilgjengelige informasjon og er tilpasset virksomhetens behov. Virksomheten har implementert et effektivt og egnet rammeverk for risikostyring.

13 RAMMEVERK OG PROSESS Mål Håndtere virkningene av usikkerhet Treffe valg Registrering & rapportering Kommunikasjon &konsultasjon Evaluere konsekvenser Bestemmelse av kontekst Identifisere alternativer Risikovurdering Risikohåndtering Beskrive målsetningen Overvåkning & evaluering Beslutningstaking Helhetlig risikostyring IS0:31000:2018

14 VERKTØY NS-ISO/IEC 31010:2009-inneholder 31 ulike teknikker Strategiske beslutninger Brain storming Delphi What-if analyse /scenarioanalyse Beslutningstre Flerkriteria beslutningsanalyse Risikomatrise Korrelasjonsmatrise Taktiske og operasjonelle beslutninger Grovanalyse (Preliminary Hazard Analysis) HAZOP (Hazard & Operability Analysis) Rot-årsak analyse Bow-tie analysis Business Impact Analysis Monte Carlo simulering Human Reliability Analysis

15 EKSEMPEL: HELHETLIG RISIKOSTYRING I UNDERVISNINGSBYGG Faktor Status Risikodefinisjon I samsvar med NS-ISO 31000:2009 / ISO 31000: 2018 Virkningen av usikkerhet knyttet til mål Risikostyring /beslutningsprosesser Persepsjon Risikoappetitt Planlegging, beslutningstaking og risikostyring bygger på analyser av både risikoer og muligheter. Usikkerheten identifiseres både på strategisk nivå og på prosjekter. Beredskapsplaner som bygger på scenarioanalyser identifiserer «grå svanene». Det tas hensyn til Styrets, ledergruppens, avdelingenes og seksjonenes risikopersepsjon gjennom risiko-workshop Det utarbeides måltall, nedre- og øvregrenser for viktigste risikoer og muligheter Eksempler: - H-verdier i forbindelse med skader og ulykker - Gjennomføringsgrad-reklamasjoner - Vedlikeholdsetterslep Styregodkjente strategiplaner informerer om identifiserte risikoer, muligheter og måltall.

16 EKSEMPEL: HELHETLIG RISIKOSTYRING I UNDERVISNINGSBYGG Faktor Kultur Status Tone fra toppen: - Styret diskuterer strategiske risikoer, muligheter, måltall - Ledelsen gjennomfører risikoworkshop - Det er etablert rapporteringsrutiner Ansvarlighet: Det er knytter risikoeier til hver risiko/mulighet som har ansvar for korrigerende eller stimulerende tiltak Transparens: - Bred involvering ifm. risikoidentifisering, risikoanalyse, tiltakssetting - Risikorapporter er tilgjengelig informasjon Insentiver: - Presentasjon av risikostyring til alle på oppstartskurs og v/opplæringstiltak - Muligheter for faglig nettverksbygging

17 EKSEMPEL: HELHETLIG RISIKOSTYRING I UNDERVISNINGSBYGG Faktor Sektor Status Iboende risikoer: sosial dumping, økonomisk kriminalitet, yrkesskader Iboende muligheter: god forståelse av analyser, verktøy, arbeidsprosesser og prosjektstyring Organisasjon 1 fagansvarlig for risikostyring og planlegging Etablerte samarbeidsfora: 2 og 3. forsvarslinje observerer risikokartlegginger. Fagansvarlig for risikostyring observerer ledelsens gjennomgang av styringssystemet Tett samarbeid med adm. Dir. og hele ledergruppen Modenhetsnivå Ikke målt

18 EKSEMPEL: HELHETLIG RISIKOSTYRING I UNDERVISNINGSBYGG Faktor Status Rammeverk & prosess Rammeverk: NS-ISO 31000:2009 /ISO 31000:2018 Prosess: Verktøy Risikomatrise med risikoer og muligheter

19 For helhetlig risikostyring er det like viktig å kjenne til virksomheten Å kjenne til rammeverk, prosess, metode og verktøy