Ce diaporama a bien été signalé.
Nous utilisons votre profil LinkedIn et vos données d’activité pour vous proposer des publicités personnalisées et pertinentes. Vous pouvez changer vos préférences de publicités à tout moment.

Kompendie for faget international risikohåndtering aktiv

1 294 vues

Publié le

Danish Kompendium for use with the Course International Risk Management and handling.

Publié dans : Direction et management
  • Soyez le premier à commenter

Kompendie for faget international risikohåndtering aktiv

  1. 1. Kompendium for faget International Risikohåndtering v. 2.0 Udarbejdet af Nick Bang Ohlsson 2014 Alle rettigheder, materielle såvel som immaterielle, både direkte og afledte i forhold til det nærværende værk, forbeholdes helt og fuldt af forfatteren. Det nærværende værk må ikke gøres til genstand for udlån, fotografisk eller anden gengivelse uanset sammenhæng uden forfatterens udtrykkelige skriftlige godkendelse.
  2. 2. Indholdsfortegnelse 1. Introduktion, struktur og den videnskabsteoretiske sammenhæng. ............................................................... 1 Fakta, forklaringer og vurderinger...................................................................................................................... 3 Grænser for subjektiviteten. .............................................................................................................................. 6 De grundlæggende spilleregler .......................................................................................................................... 8 2. Definition af, baggrund for og afklaring af rammerne for dette fag............................................................... 14 Definitioner, fravalg og afgrænsninger............................................................................................................. 15 Risikoledelse - overordnet procesbeskrivelse................................................................................................... 21 3. Risk management og ISO 31000 ................................................................................................................... 26 4. De første trin i Risiko- og trusselshåndteringen ............................................................................................ 35 5. Efterretningsindhentning og – bearbejdelse................................................................................................. 40 6. Risikohåndteringen i 12 faser....................................................................................................................... 49 1. Dokumenter alt hvad du laver..................................................................................................................... 50 2. Vurder området generelt. ........................................................................................................................ 51 3. Har du tilstrækkelig datakilder, til at kunne vurdere risici? ....................................................................... 53 4. Beskriv problemfeltet............................................................................................................................... 54 5. Skitser baggrunden .................................................................................................................................. 55 6. Vurder og analyser risikofeltet. ................................................................................................................ 58 7. Prioriter og kommenter de fundne risici................................................................................................... 59 8. Skitsér og implementer en løsning for de problemer du kan..................................................................... 61 9. Vær sikker på at løsningerne bliver gennemførte ..................................................................................... 62 10. Koordiner og tilse at evt. fejl eller uklarheder bliver korrigerede........................................................... 63 11. Overdrag risikofeltet eller revurder om der er kommet nye risici til...................................................... 64 12. Omorienter når du er sikker på at risikofeltet er fuldt og helt overdraget til en der magter det. ........... 64 Afsluttende og opsummerende........................................................................................................................ 64 9. Temaer ........................................................................................................................................................ 65 Kultur .............................................................................................................................................................. 65 Militære kapaciteter og PMC´ere..................................................................................................................... 68 Love og regulativer .......................................................................................................................................... 70 Beredskabsplan/Contingency plan................................................................................................................... 71 Fortrolighed, dokument- og datasikkerhed og efterretningsbilledet................................................................. 74 Ledelsesprofil og –stil....................................................................................................................................... 76 Litteraturliste og inspiration til yderligere læsning ............................................................................................... 79
  3. 3. 1. Introduktion, struktur og den videnskabsteoretiske sammenhæng. “In the land of the blind, the one-eyed man is King” Desiderius Erasmus Roterodamus Hvorfor skrive et kompendium? Jeg overvejede længe om jeg ikke kunne have løst opgaven på en anden og nemmere måde – eksempelvis ved at lave en almindelig læseplan med henvisning til andre bøger, artikler m.m. Men problemet er at dette område og dermed dette fag, stadig er på pionerstadiet, hvorfor en sådan løseplan ville have været fragmentarisk, overfladisk og usammenhængende. Når man laver en bibliografisk analyse af ”Risikostyring”, bliver det ret hurtigt klart, at man enten må ændre i udgangspunktet, eller oversætte det til ”Risk management”, alternativt få en meget kort liste. Der er således flere ting der står klart bare ved en hurtig gennemgang af materialet samt et besøg på biblioteket: For det første er der ikke skrevet meget om emnet, og da slet ikke på dansk. For det andet er meget af det der er skrevet, dårligt belyst rent kildemæssigt forstået, herudover er meget af det er skrevet som ”Chain of thought”1 . Eller hvis man skal være grov, kunne man være fristet til at anse en del af det skrevne for, i nogen grad, at være skønlitteratur. Derfor virker det naturligt, at jeg i forlængelse af det forsøger, at sammenfatte nogen af de hovedtræk indenfor det område, som jeg fremadrettet vil beskrive indenfor risikohåndtering. Ordet i sig selv har mange betydninger og er i praksis derfor ikke entydigt. Jeg vurderede også, at jeg i al beskedenhed håbede på, at jeg ved dette kompendium kunne bevæge eleven hurtigere frem i den retning jeg ønskede til fælles fordel, end hvis jeg valgte en mere konventionel retning. Hvorvidt det er lykkedes vil jeg lade læseren om at vurdere. Jeg har ingen ambitioner om at være hverken fejlfri eller i stand til at gennemskue sammenhænge som ingen andre har set før. At skrive et kompendium er noget jeg gør af nød, og ikke fordi jeg har en illusion om at være i stand til at skrive et banebrydende og nytænkende værk. Jeg må derfor på forhånd håbe på at læseren kan kompensere for eventuelle uklarheder eller andre fejl, hvor mine evner som forfatter ikke har slået til. Normalt vil et kompendium typisk være en samling af artikler, som man bruger til at perspektivere – det nærværende vil dermed nærmere have karakter af en grundbog, uden at jeg dog mener at den vil sætte standarden som en kanoniseret grundbog. Dette er mit bud på en grundlæggende tilgang til styring af risici nationalt og internationalt, samt måske grundstammen i den viden og de færdigheder som dem, der fremadrettet ønsker at arbejde med området, vil tilegne sig. Jeg vil i det næste kapitel gå nærmere ind i en definition af såvel risikohåndtering, som dets betydning i dette fag og for de rammer og indhold, som en aktør der vil arbejde indenfor området 1 Typisk forstået som at lade et resultat fremkomme ved associering – en form for brain storming teknik.
  4. 4. 2 skal kende, uanset om det er teoretisk/akademisk eller praktisk arbejde. Dermed vil jeg også præcisere det område, som dette fag vil belyse, for som det vil vise sig, så dækker vi ikke al risikostyring – men i stedet det område som jeg vurderer ikke er dækket af andre og mere specialiserede aktører allerede. For faktum er, at uanset sammenhængen, så er det pionerarbejde. Det betyder ud fra en positiv betragtning, at man som aktør indenfor området har en chance og mulighed for at sætte sit eget fingeraftryk. Ud fra et negativ perspektiv betyder det, at man i vid udstrækning selv er nødt til at udfylde rammerne, give dem meningsfyldt indhold og sælge varen til en modtager, der ikke nødvendigvis har nogen forudsætninger for at forholde sig til den. I forlængelse af det sidstnævnte betyder det, at man ofte vil befinde sig i en situation, hvor man ikke alene skal redegøre for den løsning man har valgt, men også skal kunne sælge sine egen berettigelse og videnskabelige og faglige styrke. Dette sker ofte i konkurrence med andre faggrupper der har påtaget sig ansvaret for risikoanalyser og risikoimødegåelse. Dette kan eksempelvis være fra en af de økonomiske funktioner i virksomheden, der ofte har haft ansvaret for at vurdere økonomiske risici (mere om dette i næste kapitel). Resten af dette kapitel vil beskæftige sig med de forhold og parametre man overordnet kan styre, for at give ens analyser og fremstillinger større vægt. En af de primære parametre i forhold til det, er graden af sandhed og objektivitet i det skrevne. Et af de grundlæggende karakteristika for akademisk litteratur og journalistik er det bevidste valg om at stræbe efter objektivitet og neutralitet. Begreberne "objektiv" og "subjektiv" bruges generelt som målsætning for eller karakteristik af historiebøger, artikler og ekspertudtalelser. Idealet er således, at det fremstillede materiale skal være sagligt og upartisk og ikke påvirket af personlige meninger og følelser. Det er ikke kun en akademisk øvelse, idet ens konkrete valg i praksis for det første kan afgøre om man kan sælge sine resultater til den øvrige organisation. For det andet så vil der blive vurderet, målet og vejet om man har gjort sit arbejde godt nok, når (ikke hvis) det går galt. Alene af den sidste grund, er der derfor et behov for at man har korrekt dokumentation for sine analyser. Diskussionen omkring objektivitet versus subjektivitet, var noget der tog fart i tiden efter anden verdenskrig, idet man tidligere, måske nok tilstræbte det objektive ideal, men i øvrigt, i nogen grad, skrev med udgangspunkt i ens akademiske habitus. Eller med andre ord så skrev en professor med og til andre professorer og studerende forventedes ikke nødvendigvis at tage kritisk stilling til det som deres akademiske overmænd havde skrevet, men alene lære det udenad. Derfor kunne humanistiske og samfundsvidenskabelige bøger og andre værker også, fra tid til anden spændes for en rent nationalistisk vogn. Såkaldt revisionistisk historie er ønsket om at ændre opfattelsen af virkeligheden, så den bedre harmonerer med ens politiske, religiøse eller nationalistiske mål. Blandt de mere kendte eksempler er således bestræbelserne fra forskellige grupperinger om at benægte, eller som minimum, at sætte spørgsmålstegn ved Holocaust. Et mere aktuelt eksempel (pr. 2013), er ønsket fra den øverste russiske ledelse om at skrive en ”mere positiv” historie. Hvilket medfører et krav om, at alle historiebøger til brug i det russiske
  5. 5. 3 uddannelsessystem skal fremstille fortiden i et mere positivt lys2 . Det betyder i praksis blandt andet, at man massivt og systematisk underspiller de enorme udrensninger, folkedrab og forbrydelser der skete under Stalin. Modpoler mellem objektiv og subjektiv formidling bliver dog som regel i dag, i de fleste akademiske sammenhænge, opfattet som en noget forældet tankegang, idet der er mange forskere og andre der anser at det er umuligt at skrive en ”objektiv” udredning om et emne, idet den pr. definition altid vil være påvirket af ens egne holdninger og meninger. Denne tilgang ses ofte i moderne historiebøger. Tanken er således, at en fremstilling er et resultat af en masse valg fra forfatterens side, og her vil personlige erfaringer, forestillinger og holdninger nødvendigvis spille en vigtig rolle. Derfor kan en fremstilling ikke være fuldstændig objektiv i streng forstand – dvs. uafhængig af forfatteren. En måde at anskue dette på er ved at skille formidlingselementerne op, eksempelvis i fakta, forklaringer og vurderinger. Fakta, forklaringer og vurderinger. Dette er relevant idet man skal gøre op med sig selv hvilken argumentation man bygger sin behandling på uanset sammenhængen. Det er således blandt andet for at man kan udøve en struktureret og saglig selvkritik. Fakta Hvad nu hvis fremstillingen kun indeholder beskrivende dele? Problemet er her ikke så meget uenighed om konkrete facts, selv om historikere godt kan være uenige om, hvornår socialismen blev indført i Rusland, eller hvornår Harald Blåtand regerede eller om han reelt kristnede Danmark. I de fleste tilfælde er historikere og andre akademikere imidlertid generelt enige om datering og andre faktuelle oplysninger, selv om især den tidlige historie selvfølgelig kan give problemer på grund af mangelfuldt kildemateriale. Mens egentlige fakta ikke nødvendigvis giver anledning til store problemer, så kommer uenigheden, når man– i den enorme mængde af indtrufne hændelser igennem historien – skal bestemme, hvilke hændelser og forhold, der er så vigtige, interessante og relevante, at de skal medtages som facts i den konkrete fortælling. Begivenheder er ikke selvskrevet vigtige, og en sammenligning af forskellige historiebøger vil vise, at historikere har truffet vidt forskellige valg. Et eksempel på dette er behandlingen af den danske besættelseshistorie, hvor der generelt er konsensus om at vi kæmpede sammen med de allierede, trods det faktum at den bevæbnede danske hær, flåde og flyvevåben under dansk kommando hævdede dansk suverænitet mod de allierede indtil august 1943. Ligesom langt størsteparten af de danskere der kæmpede og også døde under gjorde det i tysk og ikke allieret tjeneste. Pointen er at valget af fakta kan understøtte en bevægelse mod objektivitet eller subjektivitet – afhængig af de valg man tager og de forbehold man gør sig. 2 http://www.rferl.org/content/stalin-attitudes-russia/24917742.html
  6. 6. 4 Man kan dermed skabe en ny objektiv virkelighed ved at helt selektivt og subjektivt at inddrage de objektive fakta der - isoleret og præsenteret korrekt - understøtter ens tese eller holdning. I forhold til international risikohåndtering betyder det en nærliggende risiko for at man, hvis man er ustruktureret eller ikke tager stilling til sine fakta, risikerer at opstille en superreplikator3. En superreplikator4 er en løgn der bliver gentaget så mange gange, at den til sidst af en del af eller hele målgruppen, bliver opfattet som en sandhed. Forudsætningen er typisk at den skal have et vist mål af indbygget logik for at blive en superreplikator, og ikke blive opfattet som en løgn eller usandhed. Konkret betyder det at der er en risiko for at man kan enden med at lede efter det rigtige svar til et forkert spørgsmål, hvilket kan have enorme konsekvenser indenfor risikohåndtering internationalt. Forklaringer Forklaringer spiller en afgørende rolle i de fleste akademiske fremstillinger: Hvorfor gik det, som det gik? Historikere, journalister og samfundsforskere vil ofte have forskellige forklaringer på og baggrundsanalyser af forskellige begivenheder. Formuleringer, ordvalg og ikke mindst fravalg kan skabe en tendens, der er lige så kraftig som ved valg og fravalg af facts. Blandt eksemplerne på emner der kan virke polariserede, kan nævnes de følgende eksempler: Om socialismen har virket noget steds, eller om socialisme er det samme som kommunisme, samt i forlængelse af det om de negative virkninger der er ved denne styreform, er udtryk for personer eller selve styreformen. Eller for den sags skyld om de bærer sammenligning med nazisme og fascisme? Hvorfor dansk økonomi var på vej mod totalt sammenbrud i 1970'erne og starten af 80'erne, hvorfor Muhammedkrisen brød ud og fik det omfang den fik, samt om den evt. nødvendighed og langsigtede konsekvenser? Når historikerne, journalister, politikere m.fl. har forskellige forklaringer, hænger det bl.a. sammen med, at de kan anlægge et forskelligt tidsperspektiv i deres forklaring, at de vægter f.eks. økonomiske og politiske forholds betydning forskelligt, at både udenlandske og indenlandske faktorer kan tænkes at indgå som forklaringer (og man kan vælge en subjektiv vægt af de 2), at konkrete begivenheder, handlinger og personer kan tillægges større eller mindre vægt. Sidst men ikke mindst er samfundskompleksiteten og de mange mulige sammenhænge og synsvinkler selvfølgelig en afgørende forklaring på uenighederne. Derfor er der mange akademikere, der har mere end en sund skepsis i forhold til at lede efter den endelige (objektive eller sande) forklaring på at et fænomen indtraf. Det betyder ikke, at den 3 Som eksempelvis beskrevet her: http://politiken.dk/kultur/ECE226160/lykken-er-ikke-at-have-boern/ 4 Oprindeligt formuleret af Daniel Gilbert i ”Stumbling on Happiness”
  7. 7. 5 postmoderne og sandhedsrelativistiske metode er den rigtige, for faktum er, at uanset om man ønsker det eller ej, så skaber ord en ny virkelighed, og dermed bliver det subjektive til det objektive. Dette kan ses tydeligt i forhold til eksempelvis historiebøger i folkeskolen, hvor man på begrænset plads skal beskrive historiske forhold på en komprimeret og dermed i praksis ofte subjektiv måde. Jævnfør i øvrigt eksemplet ovenfor med Danmarks rolle under anden verdenskrig. Et andet og i denne sammenhæng nok mere vedkommende eksempel er den måde, man analyserer data og input på med henblik på at skabe et beslutningsgrundlag i såvel privat som offentlig regi. Selvom man gerne vil fremstå som ambassadøren for den ultimative og objektive sandhed, der giver den øvre ledelse det bedste udgangspunkt for en oplyst og velafklaret beslutningsproces, så er faktum, at det ofte i den virkelige verden vil være et kompromis, der er blevet til under et stærkt tidspres og ofte med rammer der er givet på forhånd. Derfor bliver det ubestrideligt et subjektivt produkt med en evt. tilstræbt objektivitet. Således er virkeligheden ofte et vanskelig sted at udøve kildekritik, samt at bruge lang tid på at lave det akademiske forarbejde der skaber et så objektivt produkt som muligt. Det betyder ikke at man skal opgive det, men i stedet forsøge at gøre det rutinemæssigt til en del af sin arbejdsproces. Sagt med andre ord så er den nemmeste måde at formulere det på at: Forhold dig altid kritisk og konstruktivt-skeptisk til alt hvad du hører og læser. Overvej HVEM der prøver at fortælle dig HVAD, byggende på HVILKEN type kilder, bearbejdet i hvilken FORM og med hvilket FORMÅL. Og i forlængelse af det i en praktisk sammenhæng så insister på at stille de kritiske og ubehagelige spørgsmål – også til myndighederne og dets ledere - og hold fast i dem indtil du har fået et fyldestgørende svar. I en praksisnær virkelighed er denne proces, ikke noget man bruger tid på at dokumentere, idet man forventes at løfte opgaven uden at skulle spørge om hjælp til metoden. I en akademisk sammenhæng bør man ALTID (som minimum ganske kortfattet), gøre rede for det – enten i et afsnit/kapitel for sig selv. Alternativt som en løbende del af det skrevne. Vurderinger Mens det måske vil overraske nogle, at forskere og journalister kan være uenige om beskrivelser og forklaringer, så er det vel mindre overraskende, at de kan være uenige, når det kommer med vurderinger. Man kunne retorisk stille spørgsmålet, om de ikke bare kunne undlade at give deres personlige synspunkter og holdninger til kende. Dette i form af mere eller mindre positive/negative vurderinger af f.eks. personer, beslutninger, begivenheder, lande, systemer og ideologier og i form af mere eller mindre optimistiske/pessimistiske syn på udviklingen?
  8. 8. 6 Selv hvis man forsøgte at rense sine fremstillinger for ethvert tegn på personlige vurderinger, så vil det dog alligevel ikke kunne forhindre det personlige element. Der er ofte en konsensus om, at ”de fleste” ville synes, at det var mærkværdigt, hvis historikerne havde et "klinisk neutralt" forhold til fænomener som heksebrændinger, nazisme, diktatur, helbredsødelæggende børnearbejde, kommunisme5, undertrykkelse af menneskerettigheder, folkemord, terrorisme. Men allerede der bliver grænset udvisket idet terrorisme eksempelvis opfattes forskelligt af forskellige personer – jf. konflikten i Mellemøsten eller vores forhold til Kina. Konklusionen er altså, at enhver fremstilling i én eller anden udstrækning er farvet af forfatteren – også selv om han/hun efter bedste evne forsøger at være saglig, upartisk, redelig m.v. – og at vi som læsere kritisk må holde os dette for øje. Man skal også knivskarpt gøre sig klart, at selvom man selv mener selv mener at man skriver den etisk forsvarlige og politisk korrekte forklaring/fortælling/redegørelse, så gør det den ikke til en sand! I en praksisnær virkelighed betyder det også at man bliver nødt til at gøre sig klart, at der ikke altid er plads til den objektive sandhed, som man selv ser den i en stor organisation. Der bliver man nødt til at vurdere, hvor langt man kan tilstræbe en objektiv vurdering. Dette ud fra devisen at det kun er riddere og tåber, der kæmper for en tabt sag, eller endnu mere præcist kæmper en kamp, man ikke er sikker på at vinde. Derfor bør den tilstræbt objektive behandling af data og formidlingen af dem og ens vurderinger altid uden undtagelse være en rationel og oplyst afvejning af mange faktorer, herunder hvad man er i stand til at forsvare og hvad man kan lave indenfor de givne rammer. Det kritiske bliver dermed, at man tager konkret og rationelt stilling til i hvor høj grad man anser at ens produkt beskriver hele sandheden. Eller sagt med andre ord at man forsøger at give sin redegørelse en fejlmargen: eksempelvis at der er omkring 20 % chance, for at man tager fejl. Jævnfør i øvrigt PESTLE modellen som beskrevet ovenfor. Dét vil i sagens natur altid være en subjektiv vurdering, men det er kritisk og i denne sammenhæng kan det redde liv at man ikke forsøger at fremstille sig selv og sit produkt som ufejlbarligt således at den øvre ledelse tager en beslutning som din analyse ikke kan bære!6 Grænser for subjektiviteten. Der er som beskrevet grænser for objektiviteten, men er der også grænser for subjektiviteten? Eller bliver konklusionen nu, at alle fremstillinger/skildringer er lige subjektive og altså lige gode/gyldige/rigtige/rimelige? Man bevæger sig, hvis man ikke udøver selvkritik og stringens over i værdirelativisme, som der måske har en værdi rent filosofisk og teoretisk, men som der i bedste fald er værdiløs i virkeligheden. I værste fald når vi taler risikostyring internationalt, kan det medføre handlingslammelse, og dermed tab af de værdier man søger at sikre. Alt er ikke lige godt og værdifuldt, ligesom alle risici ikke har samme tyngde i risikostyring. 5 Lige netop dette har nogle akademikere og journalister haft et noget ambivalent forhold til hvad angår kildekritisk og objektivt tilgang til emnet – i al fald historisk. 6 Men lad være med at forsøge at sætte specifikke et cifrede % op – det giver ingen mening. Det handler om en generel fornemmelse og kritisk holdning til eget arbejde.
  9. 9. 7 Spørger vi akademikere eller journalister, vil de ofte give udtryk for, at de netop (efter deres egen mening) ikke har digtet frit, men tværtimod har bygget på det foreliggende materiale. Eksempelvis kan de have anvendt den historisk-materialekritiske eller hermeneutiske metode i deres undersøgelsesproces. Det brugte kildemateriale, og den historiske metode kan derfor sætte grundlæggende grænser for subjektiviteten. De kan yderligere slå på, at det færdige produkt ikke alene bygger på andre akademikeres resultater, men også eventuelt er indgået i en fagdiskussion, og har været underkastet kritik af andre akademikere/journalister. Netop denne gensidige kritiske ransagelse blandt akademikere udgør en grænse for og en vigtig kontrolforanstaltning mod den rene subjektivitet. Det er, hvad man kalder ”Peer Review”, og er akademisk typisk et af de grundlæggende krav, til en sober fremstilling der kan overleve gennemgang, eksempelvis af Udvalgene vedrørende Videnskabelig Uredelighed (UVVU) der behandler sager om uredelighed i forskning. Hertil kommer yderligere for bl.a. lærebøgernes vedkommende, at nogen skal producere, købe, læse og anvende bøgerne, og heri kan der ligge en ekstra kontrolforanstaltning og relevanthedsgaranti – et slags kvalitetsstempel, MEN også en potentiel fejlkilde. Hvis ikke produktet i betydelig grad afspejler forestillingerne om virkeligheden og historien (hvad angår facts, forklaringer og vurderinger) i den sammenhæng/virksomhed, den er produceret i og til – og dermed altså alligevel i betydelig grad er uafhængig af den person, der har produceret den – så vil den ikke blive brugt. Dette gælder også i virksomheder. Det er netop disse grænser for subjektiviteten – hvoraf mange i sig selv er dybt subjektive, der mere eller mindre objektivt adskiller en materialekritisk fremstillinger fra f.eks. diktaturstaters styrede propagandaversioner, hvor akademikernes hænder har været styret og bundet af magthavernes interesser. Det er også disse krav til en materialekritisk forskning, der (i al fald teoretisk) adskiller dens fremstillinger fra eksempelvis de frit digtede historiske romaner og fra de beskrivelser af historieforløbet, der er bestillingsarbejder betalt af ideologiske tænketanke, politiske partier, organisationer og virksomheder. Eller sagt ganske kort: Pas på ikke at drage for bastante eller vidtrækkende konklusioner ud fra begrænset empiri og viden. Gør dig dine forudsætninger klar, og byg dine konklusioner på hvad du ved og ikke hvad du tror. I dette fag som i den virkelighed den enkelte studerende skal operere i fremadrettet, er det kritisk, at man evner at skelner, mellem hvad man tror og fornemmer, og hvad man kan argumentere for. Det er også kritisk, at man skelner skarpt mellem, hvad der kan lade sig gøre indenfor det muliges kunst, hvilket er en hel legitim, rationel og fornuftig handlingsparameter, og hvad man ved derudover udgør virkeligheden. Dette er ikke mindre kritisk idet man i en praktisk virkelighed, typisk ikke vil have den samme mulighed for Peer Review, som man vil i en akademisk sammenhæng. Tværtimod forventes det typisk, at man leverer et færdigt produkt, som der kan danne beslutningsgrundlag for andre tiltag og
  10. 10. 8 indsatser. Man vil med andre ord ikke nødvendigvis have tid eller mulighed for at rette evt. fejl og fejlslutninger, i det materiale man producerer i det daglige arbejde med risikohåndtering, medmindre dem man skriver til, eller interessenter generelt finder en fejl, i det man har lavet. Derfor sætter det særlige krav til stringens, disciplin og metodevalg når man laver opgaver i en virkelighedsnær kontekst. De grundlæggende spilleregler I forlængelse af alt det ovenstående og opsummerende kan man udlede nogle grundlæggende spilleregler. Mange af dem gælder i dette fag såvel som i andre, mens nogen af dem er specifikke for dette fag. De gælder naturligvis også når man bevæger sig fra det akademisk-teoretiske og over til det praktiske og konkrete. Udvis rettidig omhu. Forstået som at man skal gøre sig alle de forberedelser, og tage alle de valg som man indenfor de givne rammer og retningslinjer kan gøre for at undgå at virksomheder, organisationen eller en selv bliver ramt af et tab eller problem, som man kunne have undgået ved at møde og løse problemet eller udfordringen. Herunder hvis det er nødvendigt indenfor organisationens egne rammer at stille spørgsmålstegn til rammer og retningslinjer, hvis disse står i vejen for håndteringen af risici. Husk at kontrollere for stave- og slåfejl hver gang, det er muligt, at indholdet er vigtigere end formen. Men der er ingen der tager indholdet alvorligt hvis det ser ud som om det er lavet på en eftermiddag – uanset hvor meget arbejde du har lagt i det. Dovenskab belønnes altid i den sidste ende og i forhold til international risikohåndtering, så er belønningen kontant og ekstrem svær at håndtere når det er gået galt. Specielt hvis man ikke har forberedt sig godt nok. Få feedback fra og dialog med andre i forhold til indholdet og konklusioner. Vær konstruktivt-kritisk. Lad være med at acceptere fakta hvis du ikke anser dem for reelt at være fakta. Overvej altid hvilke konsekvenser organisationens og dine valg medfører i forhold til produktet, dine anbefalinger og virkeligheden. Accepter ikke andres meninger hvis du ikke mener, at de har sammenhængende argumenter for dem – det faktum at man kan tale længe og bruge mange fremmedord, betyder ikke nødvendigvis, at man aner hvad man taler om. Overvej hvordan du udtrykker din skepsis eller kritik. Der er ofte en tid og sted til alting, men husk på at det ikke betyder, at man skal udskyde sine forbehold. Nogen gange bortfalder muligheden for at sætte spørgsmål ved beslutninger eller beslutningsgrundlag, hvis man ikke udtrykker sine forbehold, når emnet er på bane. Husk på at der er forskel på en akademisk diskussion, hvor vejen ofte er lige så vigtig som målet, og en praktisk hvor midlerne som regel er helt underordnet målet. Udled og brug den kultur, herunder for dialog og kritiske spørgsmål, der eksisterer i den organisation, du opererer indenfor. Det nytter ikke, at du mener, at du har fundet sandheden hvis der ikke er nogen der gider høre på dig, eller du finder ud af det uger, måneder eller år efter der blev truffet en beslutning, der byggede på den oprindelige konklusion. Accepter hvis der bliver lagt en retning eller formuleret en risikopolitik af ledelsen, men vær sikker på at du har været med til at sætte dit fingeraftryk på den i den udstrækning det er muligt.
  11. 11. 9 Gør dig dine kilder klart. Find ud af hvad dine kilder reelt giver udtryk for, og pas på ikke at være skeptiske overfor dem alle fordi du har et andet udgangspunkt. Man kan ikke fylde et glas der allerede er fyldt, og hvis du på forhånd har lagt dig fast på en konklusion, så vil du uvægerligt udvælge de kilder, der har samme grundholdning som dig. Pas på ikke at bruge argumenter du selv har stillet op som argumenter for andre af dine egne argumenter, også selvom du synes at det hele passer sammen og giver fint mening. Dette kaldes et cirkulært argument og er rent retorisk ikke bare værdiløst, men trækker fra den samlede objektive værdi af det skrevne. Det ligger i øvrigt tæt på en superreplikator som beskrevet ovenfor Udvis selvkritik. Lad være med at tro at du har fundet den objektive sandhed, eller at emnet er uddebatteret, fordi du har brugt lang tid på at analysere og debattere det. Ikke alene ændrer virkeligheden sig dynamisk, men måden vi tolker og forholder os til den ændres også over tid. Derudover er der altid muligheden for, at du grundlæggende har overset, eller måske bevidst eller ubevidst har fortrængt et eller flere grundlæggende forhold – du må være både forberedt på og forvente en kritisk diskussion af dit produkt. Brug den diskussion konstruktivt til at forbedre produktet i stedet for at tage det som et personligt angreb på dig selv. Lad være med at udvise den grundlæggende fejl at tro at din høje intelligens og brede videnspulje gør dig ufejlbarlig – husk på at selv en der ikke magter at formulere sig så godt som dig selv eller konstruere lige så gode argumenter, godt kan have ret. ”Kill your Darlings7” gælder specielt her: der er en helt naturlig tendens til, at man bliver knyttet til et produkt, jo længere tid man bruger på at udarbejde det. Når vi taler om risikoledelse, så kan forudfattede meninger og indspiste sandheder (Darlings), betales med en dyr pris og med risiko for dels at gentage mig selv og dels virke teatralsk i værste fald med tab af menneskeliv. Brug kildehenvisninger korrekt. For det første er det vigtigt, at du afklarer hvilket, publikum du skriver til, samt i hvilket format du skriver. I en akademisk sammenhæng vil man typisk forvente en kildehenvisning, hvis du refererer til eller bygger på noget, der vil ligge udenfor din umiddelbare erfaringshorisont. I tvivlstilfælde forventes en henvisning. Man kan med andre ord ikke trække en akademisk kanin op af hatten og bygge videre på det. Det vil blive opfattet som et cirkulært argument og dermed akademisk uredeligt. I en praktisk sammenhæng vil man i en virksomhed typisk have en lidt anden tilgang, hvor man typisk vil bruge det for at sikre sammenhæng med love, regulativer, interne regler/rammer samt for at underbygge en pointe. Det er de færreste bestyrelser eller ledelsesgrupper, der har lyst til eller for den sags skyld måske forudsætninger for at få en lang akademisk udredning. Her vil det typisk have karakter af et så kortfattet som muligt beslutningsgrundlag, der skal give ledelsen de nødvendige – og KUN de nødvendige – forudsætninger for at træffe en oplyst beslutning på et korrekt grundlag. 7 Oprindeligt fra William Faulkner, men er siden brugt i alle sammenhænge om nødvendigheden af at fokusere på det overordnede behov og dermed den større sammenhæng, og i forlængelse af det fjerne det der ikke understøtter det.
  12. 12. 10 Helt lavpraktisk betyder det også, at der vil være en markant forskel på, hvordan man konkret bruger og skriver kildehenvisninger. Udover henvisninger til nødvendige eksterne ressourcer, vil henvisninger i en virksomhedssammenhæng ofte være kommentarer til det skrevne. I modsætning til dette vil akademiske henvisninger ofte være til stede dels for at demonstrere en reel akademisk baggrund for et postulat, og dels for at andre akademikere kan verificere indholdet via Peer Review. I forhold til det akademiske vil der ofte være mange forskellige tilgangsvinkler i relation til den konkrete måde at opstille kildehenvisninger på. Det følgende er taget fra Aalborg universitets hjemmeside8 , men er udtryk for almindelig praksis: ”Hver gang, I citerer eller skriver en passage med inspiration fra noget, I har læst et andet sted, skal I lave en kildehenvisning – uanset om det er fra en bog, en avis, et magasin, en hjemmeside og så videre. HVER gang, I skriver om noget ud fra noget andet, skal der være en kildehenvisning. Det gælder også, hvis det, I henviser til, er noget, I selv har skrevet, fx i et tidligere projekt. Formålet med kildehenvisningerne er:  At kreditere de personer, som står bag de anvendte værker.  At dokumentere, at I har videnskabeligt belæg for jeres arbejde.  At gøre det muligt for læseren at skaffe værkerne og undersøge, om han/hun ville være kommet frem til de samme konklusioner, som jer, ud fra det samme grundlag. Kildehenvisningerne er derfor en stor del af et videnskabeligt projektarbejde. Kildehenvisningerne skal være korte og ensartede, og de skal placeres alle de steder, det er nødvendigt. Der er forskellige måder, hvorpå man kan lave en kildehenvisning. Det vigtigste er, at I vælger én måde, og gør det sådan konsekvent. Én måde, man kan lave en kildehenvisning på, er sådan her:  (Rienecker og Jørgensen, 2001, s. 192) Her står forfatternes efternavne, det år bogen udkom, og den side I har læst på. I kan også vælge at skrive det således:  [Rienecker & Jørgensen, 2001:192]. Ved værker af to forfattere nævnes begge ved alle henvisninger. Hvis der er mere end to forfattere, skrives sædvanligvis kun den første forfatters efternavn efterfulgt af et. al. (forkortelse for det 8 http://www.studiehaandbog.huminf.aau.dk/kildehenvisninger-citater-litteraturliste/kildehenvisninger/
  13. 13. 11 latinske et al, som betyder ”med flere”) i de løbende henvisninger i teksten, men i litteraturlisten skal alle forfattere nævnes (se nedenstående). Ved links til hjemmesider kan I vælge at skrive (link 1) eller [Link 1], og derefter i litteraturlisten sætte det fulde link ind, således at læseren kan finde ud af, hvor I har læst det. Hvis der flere gange i træk henvises til samme kilde (det vil sige uden henvisning til andre kilder i mellemtiden), kan I nøjes med at skrive kildehenvisningen første gang og derefter blot Ibid. (forkortelse for det latinske ibidem, som betyder ”sammesteds”). Husk i så fald stadig at ændre sidetallet, såfremt dette ændrer sig. Uanset om der er tale om en bog, en artikel eller et link, er det altid forfatterne af den pågældende tekst, der henvises til – og således ikke redaktøren af det værk, som teksten eventuelt er en del af. Ved værker uden forfatterangivelse anvendes titlen på forfatternavnets plads, fx: (Studieordningen, § 15, nr. 6). Det er virkelig vigtigt, at jeres kildehenvisninger er fuldstændig korrekte. For at gøre det lettere for jer selv, er det en god idé at skrive dem ned med det samme, sådan at I ikke lige pludselig ikke kan finde det sted, I skal henvise til. I kan også vælge at bruge RefWorks, som er et værktøj til at samle og administrere referencer og lave kildehenvisninger. Alternativt har Microsoft Word også mulighed for at oprette en 'bibliografi'. Du kan finde flere informationer om korrekt brug af kildehenvisninger og citater på websitet Stopplagiat.nu”. Man kan også finde mere om emnet her9:  Kulturministeriets vejledende retningslinjer for god citatskik.  Stern, Linda (2007): What every student should know about avoiding plagiarism Uanset hvad er det vigtigt at være konsekvent og entydig i sin brug af kilder – og ikke mindst ydmyg. Derudover skal man huske at sætte alle brugte kilder ind i en litteraturliste til sidst. Brug det givne format og rammer og overhold tidsfrister. Det er uanset sammenhængen kritisk, at man er i stand til, at forstå de rammer man får udstukket til sit arbejde. Udover at det viser manglende forberedelse og struktur, så vil det medføre at ens resultater mere vanskeligt bliver kommunikeret til målgruppen og modtageren. Eller sagt med andre ord vil man have markant sværere ved at sælge sine pointer og få accepteret sine konklusioner af modtagerne. I en akademisk sammenhæng betyder det, at man skal sørge for at overholde formalia som linjeafstand, maksimale antal sider, generelt layout og alle andre kommunikerede forhold. I en 9 Taget fra: http://www.sdu.dk/information_til/studerende_ved_sdu/vejledning/studieteknik/akademisk_redelighed
  14. 14. 12 praktisk sammenhæng betyder det, at man skal overholde mere uformelle formalia som eksempelvis at kommunikere igennem de rigtige kommunikationskanaler, overholde indgåede aftale, herunder om fortrolighed, samt løse opgaven på den måde man har aftalt med opdragsgiveren. Det er fint at være kreativ i løsningen af opgaven, men ikke i forhold til leveringen af det færdige produkt. Bemærk i den forbindelse at det er meget anbefalelsesværdigt i såvel akademisk som en praktisk kontekst, at man bruger nogen af de redskaber, som man sædvanligvis anvender i projektstyring. Som eksempel på disse kan nævnes GanttProject, men hvilken software eller platform man bruger, er underordnet – resultatet er det eneste, der betyder noget. Det ovennævnte program bygger i udgangspunktet på et Gannt diagram10 , som man i princippet godt kan udfylde i hånden, men et elektronisk er på alle måder mere fleksibelt og smart. Man kan også anvende Excel til styring af det projekt som udarbejdelsen af en analyse af risici, og følgende imødegåelse er. Det vigtige uanset platformen er, at man starter bagfra med afleveringstidspunktet og derefter afklarer, hvor lang tid man har til de enkelte faser/opgaver. Derved finder man ud af hvor lang tid man kan tillade sig at allokere til analyser o.l. Derudover angiver man hvem man skal tale med eller indhente viden fra. Bemærk at der er vinduer for hvornår og hvordan man kan indhente data far forskellige kilder – det skal man inkorporere i sin projektplan. Formålet er at man bliver helt færdig med alle delopgaverne, og vel at mærke på en måde der ligger i tråd med den overordnede plan. Derudover at man sikrer, at alle aktører bliver aktiveret på det rette tidspunkt. Den største forhindring for en god plan er ofte illusionen om eksistensen af en perfekt plan. Hvilket i denne sammenhæng også gælder en opgave, uanset om det er i akademisk eller en praktisk sammenhæng. Det handler med andre ord om at lave, den bedste løsning man kan nå indenfor de givne rammer herunder i forhold til den givne tid. At levere en 100 % korrekt løsning betyder intet, hvis den ikke har overholdt tidsrammerne. Sørg for at levere det aftalte og planlagte og læg det derefter fra dig i stedet for at sub-optimere på det. Skriv til den rette modtager. Grunden til at det er vigtigt at skrive til den rette modtager er at forskellige modtagere afkoder forskelligt materiale forskelligt. Det gør ikke nogen modtager bedre eller dårligere end andre, eller har noget med modtagerens intelligens eller uddannelsesniveau at gøre. Det betyder at det alene er op til forfatteren at sørge for at man ved valg af ord, henvisninger og layout rammer sit publikum – sin læser – således at de ikke alene kan, men også har lyst til at læse det skrevne, og dermed afkoder det med den intention som afsenderen/forfatteren har skrevet det. 10 For mere om dette er der mængder på nettet, start eksempelvis her: http://en.wikipedia.org/wiki/Gantt_chart
  15. 15. 13 Det lyder banalt, men faktum er desværre at man ofte ser såvel akademiske som praktiske rapporter, der enten skyder over eller under i forhold til målgruppen. Ofte vil man have en givet modtager i en organisation, hvilket betyder, at det så er (forholdsvist) nemt at finde ud af hvordan man skriver til dem/den. Udfordringen er, at man derved kan stirre sig blind på netop denne specifikke modtager og derved måske glemme de øvrige interessenter, som der enten kan have en direkte eller afledt interesse i det man producerer. Der findes mange fremstillinger, der beskriver dette. Nogle er mere præcise end andre. At gå i dybden med dette emne her vil række ud over dette kompendium. Men i virkeligheden er det heller ikke svært til en vis grad at sætte sig ind i sin modtagers baggrund og tankegange. Men den grundlæggende forudsætning er, at man laver en indsats og tænker tanken. Jeg vil dog i et senere kapitel kort beskrive Interessentanalysen, der er et banalt, men nogen gange effektivt redskab til også at afklare hvem der er ens modtager(e). Tese + Antitese = Syntese. Uanset om det er en akademisk eller praktisk sammenhæng, kan man være tilbøjelig til at løbe stærkt, men i cirkler. Alle har en viden, men en del af problemet er, at mennesker der besidder en stor viden og intelligens, ofte kan blive besnæret til at tro at de ved alt. Det er en meget naturlig og menneskelig reaktion, men den er desværre ødelæggende, hvis man skal have afdækket et helt område uden bias. Det gælder specielt, hvis det er et ukendt område hvor, aktørerne kan være fristet til at falde tilbage på eksisterende viden og i nogen grad holdninger. Det er vigtigt at udfordre ens viden og holdninger. Udover en generel accept af at man ikke ved alting, så kan man konkret gøre denne proces tydeligere ved at bruge formlen Tese + Antitese = Syntese. Det kan enten være teori mod teori, teori mod data, data mod interview eller alle andre kombinationer af saglige og lødige modsatrettede kræfter. Det handler banalt nok om, at når man har afklaret, hvilken retning ens data og analyser viser, forsøger at finde data, teorier eller personer, der står i modstrid til dette. For det første tvinger det en til at argumentere mere i dybden for ens standpunkt. For det andet i forhold til risikostyring så er det en mulighed for at finde nogen af de områder, man ellers ville have overset. For det tredje og afsluttende så gør det, at man i en akademisk sammenhæng løfter hele ens opgave, og får mulighed for at føre den akademiske diskussion i ens produkt på et langt højere og mere interessant plan. Undskyldningen er ikke accepteret. Jeg ønsker ikke at virke unødigt dramatisk eller teatralsk, men faktum er, at arbejdet med risici kræver sin mand eller kvinde. Det er ofte svært, og med en presset tidsramme i et område hvor fejl typisk har en stor konsekvens. Af den grund alene er man nødt til at ramme plet hver gang, uanset om man føler, at det er urimeligt og uretfærdigt. Det betyder, at man må gøre op med sig selv, om man kan levere varen, og hvis ikke om man skal træde til side. Derudover medfører det, at man skal lave sig nogle klare ansvarsfraskrivelser. Det betyder ikke at man kan frasige sig sit ansvar. I stedet er det bydende nødvendigt, at man i tvivlstilfælde og i grænseområder, ved en klar udmelding og ved dialog med sin organisation/virksomhed eller i en
  16. 16. 14 undervisningssituation sin lærer, at sørge for at få placeret ansvaret et sted hvor ingen er i tvivl. Alternativt skal man utvetydigt på anden måde få afklaret eventuelle uklare områder. Husk at det som tidligere beskrevet er et pionerområde, hvorfor man må forvente, at i selv må sætte de rammer, som den øvrige organisation enten ikke nødvendigvis magter eller ønsker. Afsluttende er det vigtigt for mig at gentage, at det ovenstående ikke betyder at man kan smide teorier, modeller og rammer væk for i stedet i fri empirisk leg at finde frem til resultater og konklusioner. Dette således ved brug af sin sunde fornuft og dialog med dem som man mener, kan give en kvalificeret modspil. Det er vigtigt at overholde de basale videnskabelige og akademiske spilleregler hvis man vil tages alvorligt af modtagerne (specielt i et område der er polemisk rent videnskabeligt og akademisk). Jeg vil også pointere, at det ikke er taget med som en form for metodisk minekursus, men fordi det i forhold til at agere som sikkerheds- og risikoaktør er kritisk, at man fremstår sober, afklaret og kompetent. Derfor forventer man, at en der håndterer risici, også er i stand til at kommunikere deres resultater klart og entydigt. Risikohåndtering, såvel nationalt som internationalt, indeholder dermed flere discipliner hvoraf blandt andet ledelse, projektledelse og en generel velfungerende evne til at forholde sig metodisk til et emne kan nævnes. Sagt noget forsimplet og kontant på jævnt og tydeligt dansk, så undskylder en eventuel mangel på forstand, personlig format og forberedelse aldrig mangel på argumenter og resultater. Sørg for at bruge det mest enkle værktøj der kan løse en given problemstilling, jo mere kompliceret jo større risiko for ukendte momenter der kan medføre at din tidsplan skrider. Det betyder ikke at man kan bruge Maslovs hammer11 , forstået som at man kun har ét værktøj eller tankegang som man forsøger at tilpasse virkeligheden til – altså at man kun i overført betydning har en hammer i sin værktøjskasse. 2. Definition af, baggrund for og afklaring af rammerne for dette fag. “If I have seen further it is by standing on the shoulders of giants.” Isaac Newton Som allerede tidligere beskrevet så er dette fag karakteriseret ved at være en ny tilgang. Betyder det, at alt skal genopfindes og intet bygger på noget kendt? Det er et retorisk spørgsmål, og svaret er naturligvis klart nej. Risikohåndtering har eksisteret, siden mennesket blev civiliseret, og har været håndteret i et væld af sammenhænge siden da af meget forskellige faggrupper. Og deri ligger baggrunden for dette fag. Præcis som selve Katastrofe- og risikomanageruddannelsen baner en ny 11 Er her: http://books.google.dk/books?id=3_40fK8PW6QC&printsec=frontcover&redir_esc=y#v=onepage&q&f=false Maslov er typisk mere kendt for sin model omkring behovsopfyldelse, kendt som Maslovs behovspyramide. Den vil jeg gerne have mig frabedt brugen af på dette fag, da jeg opfatter den som værende for banal til at kunne appliceres i praksis.
  17. 17. 15 vej overordnet, så er det målet at dette fag i en meget mindre og mere beskeden målestok, skal skabe sin egen niche på sine egne betingelser. Det betyder ikke at jeg vil bestræbe mig på at genopfinde den dybe tallerken, eller lade som om jeg har fundet de vises sten, men snarere at jeg vil bestræbe mig på at via dette fag skabe en sammenhængende platform, hvor den studerende får et stabilt grundlag at arbejde videre ud fra. Denne platform skal dels gøre eleven i stand til, at orientere sig i hele feltet omkring risikostyring, således at de kan placere sig selv, og jf. det ovenstående i kap. 1 vide hvornår andre faggrupper bør overvejes at komme i spil. Og dels skal den give den studerende både konkrete og brugbare værktøj til at skabe en reel ændring i virkeligheden, samt en teoretisk ramme så man kan indgå i en dialog med det øvrige felt af aktører indenfor området. Min ambition er således, at den enkelte studerende skal bygge videre, på den eksisterende viden man har indhentet på studiet, samt sende den studerende videre med tilstrækkelig ballast til fremadrettet at udbygge sin viden, sine værktøjer og sine kompetencer. Målet er i sidste ende at man som Risikomanager skal kunne bevare det store overblik og kunne skabe en sammenhængende indsats for at håndtere det samlede felt af risici. Herunder at bruge eksterne partnere, eksperter, myndigheder og aktører rettidigt og korrekt – herunder at kunne stille dem de rigtige spørgsmål og krav. Fordelen ved at være i et pionerområde er, at man selv kan være med til at præge det, bagsiden er, at man er nødt til at være med til at præge det for at være en del af det. Man kan derfor ikke regne med, at mulighederne kommer til en – man er selv nødt til at skabe sine muligheder, herunder gøre en fokuseret indsats for at skabe kontakter. I det følgende vil jeg således både søge at definere hvilket område vi vil arbejde indenfor, men i lige så høj grad definere hvad vi vil overlade til andre. Det er også her vigtigt at kritisk forholde sig til, hvad det betyder for dig som modtager – ikke bare som læser, men som en der er, eller skal være aktør indenfor området. Vær også klart opmærksom på at dette er min fortolkning af virkeligheden: forhold dig derfor kritisk til alt hvad jeg skriver og forsøg at holde det op mod virkeligheden, som du bliver konfronteret med den. Vær fleksibel og åben for input uanset hvor det kommer fra - hvis det er velargumenteret og meningsfyldt. Vær kritisk-konstruktiv hvis det ikke er, men overvej om det er en kamp/diskussion der er værd at kæmpe: får du noget ud af det, og hvad er i givet fald omkostningerne? Det kan tit være svært præcist at vide hvilke områder der er kritiske og som man ikke kan bøje af på, contra dem der ikke er så vigtige og som man kan ofre for at virke fleksibel og imødekommende. Derfor kan det anbefales at reflektere over det og nedfælde dem til eget brug således at man agerer rationelt, på det rigtige tidspunkt og i den rette kontekst. Definitioner, fravalg og afgrænsninger. Wikipedia12 definerer Risk management således: “Risk management is the identification, assessment, and prioritization of risks (defined in ISO 31000 as the effect of uncertainty on objectives, whether positive or negative) followed by coordinated and economical application of resources to minimize, monitor, and control the 12 http://en.wikipedia.org/wiki/Risk_management
  18. 18. 16 probability and/or impact of unfortunate events[1] or to maximize the realization of opportunities. Risks can come from uncertainty in financial markets, threats from project failures (at any phase in design, development, production, or sustainment life-cycles), legal liabilities, credit risk, accidents, natural causes and disasters as well as deliberate attack from an adversary, or events of uncertain or unpredictable root-cause.” Man kan ud fra det udlede såvel almene som specifikke forhold. Generelt vil de fleste være enige om, at risikohåndtering indledningsvist handler om identificering, vurdering og prioritering af risici. Uenighederne begynder, når man skal søge at lægge et konkret og praktisk indhold ned i de meget luftige begreber. Der findes således en mængde modeller til risikoidentificering og den efterfølgende behandling af det indhentede datamateriale. Jeg vil gå nærmere ind i den konkrete analyse senere, og vil derfor her i forhold til den første del af risikohåndteringen nøjes med at trække et par eksempler frem, nemlig ROS- og FERMA-modellen. ROS modellen13 er en grundlæggende del af pensum for Katastrofe- og risikomanager, hvorfor jeg af den grund alene ikke vil forklare den nærmere14 . FERMA15 er en europæisk sammenslutning af sikkerheds- og risikohåndteringsvirksomheder, foreninger og aktører generelt, der via en fælles platform søger at påvirke politikere og andre beslutningstagere. FERMA har også skabt en sammenhængende model, hvoraf den danske version findes her (del af modellen er til højre): http://www.ferma.eu/wp-content/uploads/2011/11/a-risk- management-standard-danish-version.pdf Værdien af at kende FERMA er, at den er klart mere internationalt orienteret end den i øvrigt udmærkede ROS- model, hvorfor man i en international sammenhæng vil have svært ved at bruge en dansk model, i samarbejde med folk der bruger en international model. Det betyder også at, selvom den vågne studerende kan undre sig over, at man skal bruge tid på at gøre sig bekendt med et værktøj, når man allerede har ét i værktøjskassen, der udfylder rollen, så handler det om i en international arbejdssituation, at kunne snakke samme sprog, som dem man skal samarbejde med. Derfor vil FERMA modellen være den vi arbejder med i dette fag. Lad mig i den forbindelse tillade mig at slå fast én gang for alle, at jeg anser at: I den praktiske virkelighed og i særdeleshed på dette fag, så har teorier kun og alene en værdi hvis man via dem kan skabe en konkret positiv forandring i virkeligheden, eller fastholde et positivt Status Quo. Teorier der eksisterer alene for sin egen skyld er ikke kun tidsspilde men derudover også tidsrøvere. 13 Kan eksempelvis findes her: http://brs.dk/planlaegning/helhed/planlaegningsgrundlag/rosmodellen/Pages/ROS- modellen.aspx 14 Derfor forventer jeg at alle studerende kender og kan anvende den – alternativt kommunikerer med mig. 15 http://www.ferma.eu/
  19. 19. 17 Det siger jeg ikke for at provokere eller sætte spørgsmålstegn ved nogen eller noget i almindelighed, men alene fordi man ikke har tid til overflødige analyser og sofistiske diskussioner, når man skal levere et konkret produkt indenfor risikohåndteringen. Herudover vil modtageren i en praksis sammenhæng hellere se gode resultater end en genial brug af teorier. Man vil i en praktisk kontekst således ofte opleve, at mange ledere ikke bruger nogen teorier og eventuelt bruger dem, de anvender forkert. Det er der mange grunde til, hvoraf en er problemet med tidsforskydning af appliceringen af teorier. Det opstår ved, at ledere naturligt følger en karrierevej igennem systemet hvor man i praksis sjældent ser øvre ledere tage tid til kurser, efter- og videreuddannelse. Det betyder ofte for de øverste ledere, at de i praksis ofte i vid udstrækning bruger de teorier og værktøjer, de lærte, da de selv var på universitetet/handelsskolen, hvilket kan være 20-40 år siden. Det kan derfor være en udfordring at vælge en meget teoretisk tilgang i forhold til en løsning af en opgave, specielt i et pionerområde, idet ens modtagere potentielt kan være strukturelt skeptiske og dermed imod fra starten. Det der altid er vigtigst er resultater: mærkbare, målbare og konkrete. Derfor skal man anvende de teorier, der kan skabe dem, og ikke mere. En vigtig pointe er dog, at forskellige mennesker har det bedre med forskellige teorier: find dem der virker for dig, tilpas dem så de virker bedst for dig og brug dem til at skabe og præsentere, de bedste resultater du kan frembringe. Uanset modellen så er det primære i denne kontekst i første omgang at kunne forstå tankegangen. Pointen ved at bruge en model i risikohåndtering - og begge modeller kan bruges også internationalt hvis man kender dem – er at, man derved kan systematisere sin indledende jagt på de primære risikodrivere. At man med andre ord tvinger sig selv til at tage den lange og ikke den nemme vej. Når man har identificeret risici via en mere eller mindre systematisk proces, så kan man systematisk og struktureret begynde at analysere og prioritere dem. Når dette arbejde er gennemført i sine indledende Iterationer16, så kan man begynde det egentlige arbejde med at behandle de eksisterende risici således at man kan fjerne dem eller minimere enten deres konsekvens eller sandsynlighed. For studerende der er bekendte med ROS-modellen, så er der nok ikke så meget nyt i dette. Det nye i forhold til at håndtere internationale risici er blandt andet, at man skal forholde sig til internationale forhold og rammer. Derudover skal man forholde sig til internationale aktører samt internationale og udenlandske nationale love og rammer. Endeligt skal man forholde sig til at arbejde i eller samarbejde en international virksomhed med. I sagens natur er det umuligt at give en indsigt i alle internationale forhold og rammer. Men overordnet kan det slås fast at man udenfor Danmark ofte ser en mere gammeldags og hierarkisk opbygget organisation, hvor der er mindre grad af medinddragelse og dialog end i Danmark. Derfor er en del af arbejdet i dette fag at give de studerende et værktøj, således at de kan kombinere deres eksisterende viden og værktøj med nye tanker og værktøj således at de primært kan indgå i 16 Iterationer er her forstået som værende afsluttede gennemgange af et givent materiale. Man kunne også kalde det faser, men den bedste måde at anskue det på er snarere at det er finpudsninger og fejlfindinger af en behandling af og stillingtagen til en given datamængde.
  20. 20. 18 danske nationale virksomheders, organisationer og institutioners risikostyrings beredskab internationalt og i anden omgang at de på sigt er rustet til at blive en del af internationale aktørers krise- og risikostyringsberedskab. Den anden del af definitionen fra Wikipedia handler således om at styre ressourcer, økonomi og andre faktorer for at afværge og reducere følgerne af risikofaktorer eller at maksimere udbyttet i en risikopræget situation eller miljø. Dette ligger således i naturlig forlængelse dels af det ovenstående og dels af det overordnede mål med såvel ROS- som FERMA-modellerne. Det næste i denne definition er området hvor vi vil begynde at skelne og fravælge som beskrevet i kapitel 1 og ovenfor. Målet med dette fag er således ikke at gøre de studerende til ”Jack of all trades and master of none”, men snarere at tegne hele billedet med henblik på at man struktureret og med overblik, kan være med til både at løfte opgaven, samt uddelegere dele til andre afdelinger der er bedre rustet. Eksempelvis vil man i definitioner som den fra Wikipedia af Riskmanagement, ofte finde at den økonomiske risiko vil være fremherskende, hvilket ikke er mærkeligt. For det første er alle private virksomheder direkte drevet af (og offentlige indirekte via deres budgetter), bestræbelserne på at maksimere indtægter og minimere udgifter OG risici. Dette er særligt tydeligt i bankverdenen hvor risiko udmøntes i kroner og ører i forhold til udlåns- og indlånsrente samt mulighederne for eventuelt at få kapital (lån). Med en (pr. 2013) stadig verserende international konjunkturkrise startet af blandt andet en dårlig risikovurdering fra banker og ejendoms kreditinstitutioner, så er det ikke mærkeligt, at det er dette aspekt, der har den periodevist største bevågenhed indenfor risikostyring. Det medfører naturligt også, at det er Virksomhedernes økonomiske og financielle afdelinger, der håndterer denne type risici. Til deres rådighed har de mange specialiserede værktøjer der kan analyserer en given porteføljes risiko og dermed hvordan man kan belåne den og med hvilken værdi man kan indskrive den i regnskabet17 . Det er også det økonomiske, der er drivkræften bag og omdrejningspunktet for en af de få danske bøger om risikostyring, der er skrevet; nemlig Peter Lynggaards ”Risikoledelse og risikostyring”18 . Han definerer området således: ”Det overordnede formål med risikoledelse er at understøtte alle former for beslutninger, så styringen forbedres, og så der bliver større transparens omkring sandsynligheden for at nå de opstillede mål. De mål der tænkes på, kan være strategimål, budgetmål, driftsmål, sikkerhedsmål, miljømål osv.”19 Han lægger også vægt på, at Performance-orienteret risikoledelse tager udgangspunkt i de konkrete strategier, hvor risici bliver vurderet ud fra den tyngde de udgør i forhold til de konkrete strategiske mål. Altså ikke specielt langt fra det vi hidtil har vendt. Men som mange andre publikationer så er 17 Eksempelvist SAS 18 Lynggaard, Peter; 2011, her refereret til bogen som et samlet værk 19 Lynggaard, Peter; 2011, S. 15
  21. 21. 19 fokus og frem for alt de praktiske metoder og værktøjer rettet mod de økonomiske forhold og specielt i forhold til finansbranchen. Det er ikke som sådant forkert, da dette typisk er en central del af risikohåndteringen i mange sammenhæng. Her vil vi dog vælge en lidt anden vinkel på området. Det burde være klart, at den almindelige studerende på dette studie ikke forventes at have sådanne færdigheder, der stiller dem i stand til at indgå på lige linje med økonomer, der har en specialiseret uddannelse bag sig. Men til gengæld har de studerende på Katastrofe- og risikomanageruddannelsen nogle andre værdifulde kompetencer og referencerammer, som der kan bidrage positivt i andre sammenhænge. Derfor vil dette være det første store område, som vi vil fravælge i forhold til emnet dækket i dette fag. Vi vil med andre ord ikke gå ind i den økonomiske risikovurdering hverken nationalt eller internationalt. Men det betyder ikke, at den studerende ikke skal forholde sig til, at det eksisterer samt, at det formodentligt i mange virksomheder vil være med denne baggrund, mange af dem der beskæftiger sig med risiko, er blevet en del af organisationen. Derudover kan økonomiske risici, godt være en del af det risikofelt vi afdækker, men det vil ikke have karakter af den tilbundsgående gennemgang, som eksempelvis banker (forhåbentligt) gennemgår i forhold til deres engagementer. Eller sagt med andre ord: man skal vide, at det er der og at det er vigtigt således, at man dels med saglige argumenter i forhold til shareholders/stakeholders kan fraskrive sig ansvaret, men samtidigt slå fast at der er en anden, der skal være risikoejer på det20. Det næste store område vi vil fravælge, handler om produkter og deres markedsværdi og produktlivscyklus. Det er helt givet, at de fleste private virksomheder lever af at lave produkter – uanset om det er materielle som biler eller mere immaterielle som software eller en transportydelse. I den forbindelse er det et kendt faktum, at de fleste varer følger en generel udvikling, der ofte illustreres med en såkaldt PLC-kurve: Ganske kortfattet handler det om, at de fleste produkter vil gennemløbe flere faser, fra de bliver introduceret til de evt. bliver taget af markedet igen. Indledningsvis vil man således opleve et stigende salg med nyhedsværdi og introduktion og markedsføring. Herefter en stagnering når produktet når en modningsfase, hvor den bare generer en fast indtægt (en såkaldt Cashcow). Endelig en fase hvor salget langsomt falder i en nedgangsfase. Man kan evt. genintroducere varen i en relanceringsfase. 20 Risikoejer/Riskowner er her forstået som den person der indenfor et defineret område er ansvarlig for identificering, vurdering og styring af indsatsen omkring og mod risici. Typisk ved hjælp af saglig, kompetent og frem for alt struktureret analyse og vidererapportering til de korrekte instanser/aktører/personer.
  22. 22. 20 Uanset hvad så er pointen, at dette også vil blive opfattet som en reel risiko i en virksomhed – for mange private virksomheder måske den største. Og dermed også noget man er nødt til at forholde sig til. Det gælder i øvrigt uanset, om det er en privat/offentlig virksomhed eller for den sags skyld en velgørende forening. En offentlig/velgørende organisation eller virksomhed vil således forventes at give maksimal velfærd/nødhjælp eller opmærksomhed for de laveste mulige omkostninger. Det illustrerer meget godt, at begrebet risiko ofte vil blive opfattet meget bredt og dermed have mange faggrupper, der kæmper om det samme område. Men dette vil vi også fravælge. På dette fag vil vi overordnet set altså ikke beskæftige os med den økonomiske risikostyring – ikke fordi den er uvigtig, eller ikke fylder noget i de forskellige virksomheder og aktører, der beskæftiger sig med risikostyring i forskellige sammenhænge og brancher. Det er kritisk at forstå at mange – måske op til 90 % - af de Riskmanagers der sidder på stillingerne i de forskellige virksomheder er økonomer. Deres udgangspunkt er således en økonomisk kalkule og i princippet i vid udstrækning et forsikringsspørgsmål. De benytter sig typisk af forsikringsmæglere som eksempelvis Willis21 , der beregner forskellige risici og anbefaler en forsikring ud fra det. Dette fag og kompendium søger at stille de eventuelt kommende riskmanagers i stand til selv at tage styringen i denne proces, men det er et opgør med den eksisterende praksis med alle de udfordringer og problemer der ligger i det. Et tredje område vi ikke direkte vil behandle for sig selv, er informationssikkerhed. Emnet er ganske enkelt så stort og omfattende, at det er et område i sig selv. Derfor er det naturligvis også vigtigt, at vide at det eksisterer således, at man som en del af sit arbejde kan samarbejde med organisationens eksperter indenfor området. Den danske stat opererer således pt. under ISO 27000 standarden22 , mens private virksomheder enten opstiller deres egne standarder, eller formulerer det vagt. Dette område er i det 21. århundrede kritisk at have styr på, men er samtidigt så komplekst, at det kræver eksperter. I denne sammenhæng vil indgangsvinklen derfor være at man skal sikre sig, at der er en politik for informationssikkerhed, samt i en international sammenhæng sikre sig at der er kompetente aktører der tager sig af det. Herudover vil vi overordnet gå ISO standarden igennem, således at dem studerende har et overordnet værktøj til at gå i dialog med aktørerne indenfor IT sikkerhed. Hvis man er usikker på virksomhedens IT sikkerhed, anbefales det som en af de første opgaver at man peger det ud for ledelsen, og anbefaler, at man adresserer det via relevante organisationer og personer internt i organisationen. Når det er sagt vil der være elementer af Informationssikkerhed der naturligt vil være en del af arbejdet. Pointen her som i meget andet af dette fags pensum er, at stille den studerende i stand til at stille sig kritisk til området, og herudover stille dem i stand til at stille dem i stand til at stille de korrekte og kritiske spørgsmål til de relevante – herunder eventuelt aktører fra egen organisation. En anden risikotilgang er i forhold til fysisk sikkerhed: for såvel virksomhed som dets ansatte, og her begynder vi at bevæge os ind i det område, som vil blive behandlet på dette fag. I den forbindelse er det dog også vigtigt at lave nogle forbehold. Selvom fysisk sikkerhed afgjort vil være en del af pensum, så vil vi ikke gå ind i en nærmere analyse af de taktiske forbehold og tanker, der 21 http://website.willis.dk/ 22 http://www.digst.dk/Arkitektur-og-standarder/Styring-af-informationssikkerhed-efter-ISO-27001/ISO-27000-serien
  23. 23. 21 skal være til stede for eksempelvis at udføre perimetersikkerhed eller personsikkerhed. Dette er ofte opgaver, der vil blive varetaget af specialuddannede politifolk, soldater og eventuelt private sikkerhedsaktører. Det er dog vigtigt, at man kan samarbejde med og stille krav til disse. Derfor vil vinklen snarere være at man skal være i stand til at afdække evt. risici samt sparre og være i dialog med sikkerhedsaktørerne, således at man kan bevare overblikket og sikre den overordnede håndtering af risici. Endeligt kan man diskutere den nationale vs. Den internationale vinkel. Det burde være klart, at der er forskellige love og instanser, der varetager og regulerer risikohåndtering internationalt. Det er meget tydeligt, hvis vi taler finansbranchen, hvor der er stigende krav til både metodik og dokumentation. Det samme gælder bestyrelses- og ledelsesansvar. Af denne grund og med udgangspunkt i studiet som det ser ud i dag, vil vinklen derfor være at dette valgfag skal sætte den studerende i stand til med udgangspunkt i en dansk eller dansk baseret virksomhed, forening, organisation eller instans, at kunne vejlede, rådgive og være med til at styre arbejdet omkring håndtering af risici med undtagelse af primært financielle/økonomiske, salgsorienterede og delvist IT baserede risici både i Danmark og ved operationer, forretninger eller udsendelse af medarbejdere i en international sammenhæng. En definition kunne i forlængelse af det således være at man som studerende ved afslutning af dette fag, på sigt skal have forudsætningerne og rammer til, at være i stand til at indgå i en international virksomhed eller organisation udenfor Danmarks grænser. Dette under forudsætning af at man ved at udbygge sin viden, kontakter og formelle akkreditiver tilpasser sig de krav der dynamisk skifter i den transnationale risikostyring. Som det efterhånden er skrevet nogen gange, er det bedre at ved at afskære noget23, sikre at man har styr på det resterende. Der er også rigeligt at tage fat på og ikke mindst at kunne håndtere i praksis. Den samme tilgang kan det anbefales at man anvender når man sidder i funktionen, uanset organisationen. I den sammenhæng vil det være kritisk at man ikke bare slipper en given risiko, men sørger for at få den placeret i andre og kapable hænder. Risikoledelse - overordnet procesbeskrivelse. Der er mange forskellige tilgange til og beskrivelser af risikoledelse og riskmanagement, men der er mange elementer der også går igen. I det ovenstående har jeg forsøgt at afgrænse nogle hovedstrømninger. I det følgende vil jeg i forlængelse af det forsøge at skitsere helt overordnet hvordan tilgange i denne sammenhæng vil være. 23 Eller mere præcist: allokere ansvaret et andet og relevant sted – i dette tilfælde ved at sige at det er urealistisk at påstå at jeg kan ruste de studerende til efter end valgfag at kunne indgå i eb hvilken som helst virksomheds risk management afdeling et hvilket som helst sted i verdenen.
  24. 24. 22 Som det kan ses af de forskellige illustrationer24 , så vil man ofte vælge en forholdsvis konventionel tilgang, hvor man starter med at tilegne sig data, herefter vurderer data, implementerer sin løsning og herefter, vurderer i hvor høj grad ens løsning har adresseret de udfordringer der eksisterer. Som det også kan ses er der forskellige måder at beskrive emnet, men det kan også ses at de i vid udstrækning ligner hinanden. Det handler således i høj grad om, hvordan man tolker det og i hvilken sammenhæng man placerer det, der afgør i hvor høj grad ens produkt vil matche det problem man skal afværge. Det er kritisk at forstå, at arbejdet med risici er dynamisk og en kontinuert proces, hvor man fortløbende skal tilpasse sine løsninger. Grundlæggende kan man dog sige, at der er nogle fællestræk. Uanset om risikostyringen er national eller international, kan den som udgangspunkt hævdes, at kunne karakteriseres således25 : 1) Det er en fortløbende handling eller gruppe af handlinger, der skal være i overensstemmelse med virksomhedens/organisationens/interessenternes overordnede formål, og dermed med den øvre ledelses forståelse, støtte og feedback. 2) Det har til formål at karakterisere, identificere og kontrollere risici. Hvis man ikke kan kontrollere så i det mindste advisere, således at ledelsen har et rimeligt råderum for at kunne vælge korrigerende eller undvigende handlinger, så virksomheden og organisationen ikke bliver ramt med fuld styrke af en given risiko. 3) Den skal sikre at man i vid udstrækning fra ledelsen og interessenternes side i en rimelig og indenfor nærmere bestemte angivne rammer26 , er i stand til, at sikre at virksomheden eller organisationens mål bliver opfyldt. Samtidigt skal den sikre, at der ikke opstår uforudsete forhold, der vil virke uforholdsmæssigt indgribende på den daglige drift eller medføre uacceptable27 tab eller skader på personer, organisationens værdier eller organisationens ry og rygte28. 24 Som man kan finde mange steder på nettet og i bøger. Eksempelvis som denne: http://strikingprojectmanagement.com/qualitative-risk-analysis/ 25 Med inspiration fra Peter Lynggard, 2011, S. 16.ff. 26 Kan både være strafferetslige, privatretslige eller ikke-retslige (eksempelvis i medierne). 27 Som nærmere defineret enten af organisationen selv eller hvis den er undergivet offentligt tilsyn, af disses regler. 28 Hvilket i en overordnet sammenhæng kan være dets brand. Nogen virksomheder lever af deres Brand; det folk associerer virksomheden med, både positivt og negativt.
  25. 25. 23 4) Endeligt skal risikostyringen sikre, at man erkender problemerne, i tilstrækkelig tid til at kunne identificere, vurdere, handle og om nødvendigt korrigere sin indsats. Herunder at man fra ledelsens side har tid og mulighed for at få de rette løsnings- og styringsmidler i spil. Bemærk hvordan dette ligner den såkaldte PDCA-model, der ofte bruges i sammenhæng med projektstyring29. Det vigtige i den sammenhæng er at forstå, at man bruger disse modeller til kontinuerte forbedringer. Det kan være en udfordring, hvis man skal levere et afsluttet produkt på et givet tidspunkt, hvor man ikke har mulighed for at tilpasse løsningen fortløbende. Derfor skal man også tænke ind i sin løsning, hvordan man sikrer, at man ikke har lavet en løsning, der falder fra hinanden, når man slipper den. En blandt mange forudsætninger for at dette virker i praksis, er derfor, at man enten skal være med til eller rådgive om, at man skal etablere strukturer, procedurer og en organisation der magter at arbejde med risici. Derfor skal den studerede lære arten og kilder af relevante risici, og ting der påvirker organisationer. Herudover hvordan risikoen reelt har indflydelse på og sammenhæng med eksempelvis Finans, HR, Logistik, Drift, IT etc. I forvaltningen af eksterne og interne interessenter, investorer og aktører. Dette vil i sagens natur ikke være noget der kan forklares uddybende her, men vil være op til den studerende efterfølgende at tilegne sig tilstrækkelig viden indenfor i den udstrækning det er meningsfyldt for den studerende i forbindelse med studie og kommende arbejde. De skal have uddybet forskellige værktøjer og teknikker, herunder betydningen af den kulturelle, sociologiske og samfundsøkonomiske kontekst. Således også forstå hvordan folk tager beslutninger, og i forlængelse af det kritisk kunne anvende sin viden og færdigheder i praktiske organisatoriske udfordringer. De skal således også have beskrevet de færdigheder, der kræves for at kunne kommunikere effektivt med andre risiko-relaterede discipliner og aktører. Jeg vil komme med mit bud i de kommende kapitler, men i forlængelse af det ovenstående, kan jeg ganske kort skitsere den tilgangsvinkel jeg i det følgende vil anvende her: 1. Dokumentér alt hvad du laver. Hvis det går galt, kan det være kritisk at du viser hvordan du nåede frem til dine konklusioner. I en juridisk sammenhæng er det en del af risikohåndteringen, at sørge for at virksomheden ikke hjemfalder et unødigt juridisk eller ikke-juridisk ansvar, uanset om det er en erstatning, eller at man bliver hængt ud på forsiden af medierne 2. Vurder området generelt. Hvad er din opgave, og hvem laver du den for? Hvad ligger der i din opgave, og har du reelt forstået den? Hvad er de historiske, 29 Også kendt som Deming circle/cycle/wheel eller Shewhart cycle.
  26. 26. 24 infrastrukturelle, socioøkonomiske, samfundsmæssige og organisatoriske forudsætninger og begrænsninger for opgaven som givet? 3. Har du tilstrækkelig datakilder, til at kunne vurdere risici? Er det en engangsopgave, eller afsluttet område du skal beskæftige dig med, eller skal du fortløbende stå for risikohåndteringen i en afdeling. Kan du kontinuerligt forbedre, den måde du håndterer information og viden på således, at du bedre kan håndtere risici? 4. Beskriv problemfeltet. Hvis du ikke har fået en egentlig problemformulering, så må du selv og gerne i dialog med interessenterne formulere den. Tag kontakt med relevante eksterne organisationer for at få afklaret området. 5. Skitser baggrunden. En passende historisk, geografisk eller organisatorisk rids af det der skal behandles – sæt stolperne så organisationen ved hvor de er henne. Det vigtige her er relevans – alt det relevante skal med men kun det relevante. 6. Vurder og analyser risikofeltet. Ved brug af alle de relevante og til rådighed stående midler og datakilder skal du finde HELE problemfeltet – eller den del af det som tid og ressourcer levner mulighed for. 7. Prioriter og kommenter de fundne risici. Find en måde der i så høj grad som muligt adresserer de problemer, du har fundet. Vurder om det er tilstrækkeligt, eller om der er områder, som du har brug for ekspertbistand til. Hvis der er områder, der kræver yderligere indsats for at blive afklarede og eventuelt via eksterne organisationer, personer eller virksomheder, så gør det. Alternativt så meld klart ud til organisationen at der er områder, der kræver en yderligere behandling. 8. Skitser og implementer en løsning for de problemer du kan. Find de nødvendige samarbejdspartnere, hvis løsningen rækker ud over din evner, ressourcer, kompetenceområde, hvad du har hjemmel/ret til osv. 9. Vær sikker på at løsningerne bliver gennemførte, og lav en plan der håndterer, de risici du ikke kan fjerne. Mål, test og rapporter på sikkerhed og risici. Vurder sikkerhedsniveauet og forsøg langs forskellige vektorer – med forskellige tilgangsvinkler, at sikre at tingene forholder sig, som du har planlagt, eller regner med. 10. Koordiner og tilse at evt. fejl eller uklarheder bliver korrigerede – og husk at test det. Opfølgningen rapporteres til ledelsen. 11. Overdrag risikofeltet eller revurder om der er kommet nye risici til. Som beskrevet tidligere så er risikohåndtering ikke en statisk størrelse. Derfor er det kritisk at man forbliver i bevægelser eller sikrer en ansvarsoverdragelse så ændringer af eksisterende risici eller nye der kommer til, ikke ændrer det sikkerhedsmæssige landskab i en negativ retning. 12. Omorienter når du er sikker på at risikofeltet er fuldt og helt overdraget til en der magter det. En del af opgaven er således eksempelvis at tage stilling til, hvilke samarbejdspartnere der er relevante for at kunne vurdere risici, i forhold til eksempelvis at sende medarbejdere eller starte et projekt i et land der ikke har samme struktur eller orden som Danmark. En del af disse aktører vil vi
  27. 27. 25 drøfte, men for en stor dels vedkommende er udfordringen, at man som aktør indenfor sikkerhed bliver tvunget til at vurdere, hvem der reelt er de relevante samarbejdspartnere. Det er i den forbindelse kritisk at huske på, at etablerede danske handlingsmønstre ikke nødvendigvis fungerer, når man bare kommer lidt udenfor de danske grænser. Korruption er for eksempel normen snarere end undtagelsen i mange lande, herunder også syd- og østeuropæiske. Hvis vi tager dette eksempel, så udgør det en risiko for den internationalt engagerede virksomhed. For det første så er der risikoen for, at man ikke kan lave forretninger i det land man ønsker, hvis man ikke bøjer sig for det traditionsbundne krav om ekstrabetaling. Det kan i parentes bemærkes at Danmark, af den toneangivende institution Transparency International, opfattes som et af de mindst korrupte lande30. Det skal fremhæves at netop et studie af denne institutions hjemmeside er en af de basale og grundlæggende kilder når man skal vurdere en operation eller forretningsmuligheds risikopotentiale i udlandet. Dette kan eksempelvis i et land som Italien, være i form af at visse forhandlingspartnere kan kræve, at man bruger en særlig konsulentvirksomhed i forhold til implementeringen og indkørslen af et givent produkt eller tjenesteydelse. Dette kan ofte være i området 3 - 12 % af købssummen for hovedproduktet. Det viser sig i disse tilfælde ofte, at konsulentvirksomheden har indkøberen/forhandlingspartneren som direkte ejer eller som eneste ejer. Vælger man ikke at følge opfordringen, vil konsekvensen formodentlig være at en anden får ordren31. Som nogle danske virksomheder har oplevet32 , så er der mange risici i dette: for det første er der risikoen for, at man ikke får ordren – men dette har vi jf. det ovenstående valgt at fravælge at behandle i denne sammenhæng. For det andet så kan man komme i lommen på korrupte embedsmænd eller kriminelle organisationer, og derved risikere at blive tvunget til yderligere lovbrud. Visse steder – eksempelvis Kina – bruger man stadig den teknik der var almindelig under den kolde krig i forbindelse med hvervning af agenter og informanter, nemlig Honningfælden33 . Metoden går således ud på at lokke offeret som man gerne vil hverve eller vende til sin sag, ind i en kompromitterende situation (eksempelvis ved at filme sex og true med at offentliggøre filmene), hvorefter man afpresser dem for penge eller tvinger dem til fremadrettet at samarbejde med egne aktører mod deres egen organisation. Normalt vil målet være udlevering af data. At betale korruptionspenge kan således skabe en situation hvor man er nødt til at betale mere for at ikke få offentliggjort at man betalte til at starte med. 30 http://www.transparency.org/cpi2012/results 31 http://issuu.com/transparencyinternational/docs/cpi_2012_report?e=2496456/2010281 32 http://www.novonordisk.com/press/news/news.asp?sShowNewsItemGUID=e5c2578f-e26b-4d2a-942f- ca7f4929d0aa&sShowLanguageCode=en-GB 33 For en overfladisk og overordnet skitse af hvervemetoder og sammenhæng, se Wikipedia: http://en.wikipedia.org/wiki/Clandestine_HUMINT_asset_recruiting#Recruitment
  28. 28. 26 For det tredje risikerer man naturligvis at blive opdaget hvilke udover risikoen for bøder vil medføre tab af ens brands værdi34. Dette kan i sig selv på sigt betyde et markant større tab end såvel selve den betalte korruption, i kraft af tab af salg og/eller en vanskeligere forhandlingsposition i forhold til eksempelvis offentlige myndigheder. For nogen organisationer vil Endelig viser det manglende overskud og overblik fra virksomhedens retning i forhold til evaluering og håndtering ikke kun af pressen, men i mindst lige så høj grad fra den del af organisationen der burde håndtere risici. 3. Risk management og ISO 31000 Jeg har indtil videre i store træk forsøgt at undgå brugen af ordet Risk Management. Det har jeg idet ordet har et konkret indhold og ikke er en almen frase. Der har i mange år været mange der har givet forskellige bud på, og disse bud har langt fra været entydige. Som jeg beskrev i indledningen så er en af grundene til at jeg valgte at skrive dette kompendium, det faktum at jeg ikke fandt at der var andre bøger der fuldt dækkede dette område. Eller og i forlængelse af det, at jeg mente at der var et hul i forhold til hvad der eksisterede og hvad jeg mente der var behov for. Men risikostyring er ikke nyt eller for den sags skyld styret af nye værktøjer. Den grundlæggende tanke om at veje sandsynlighed og konsekvens for en given risikovektor, op mod potentialet for gevinst eller større skade er urgammel. I princippet er det tankegang af denne type der driver os på arbejdet hver dag idet konsekvensen ikke ved er at gøre det er større end den kumulerede risiko for skade, irritation og kedsomhed. For at skabe en større form for entydighed og en mere klar international konsensus omkring risikostyring har ISO organisationen stået for et udviklingsarbejde der i november 2009 kulminerede i den nye branche standard ISO 31000:2009. Formålet med denne er udover at skabe en ensartet tilgang, i høj grad også at skabe en ensartet forståelse af terminologien omkring risikostyring. Overordnet skelner standarden mellem Risk Management og Risk Assessment: ” Risk management includes the application of logical and systematic methods for • communicating and consulting throughout this process; • establishing the context for identifying, analysing, evaluating, treating risk associated with any activity, process, function or product • monitoring and reviewing risks • reporting and recording the results appropriately. 34 http://www.economist.com/node/10853611
  29. 29. 27 Risk assessment is that part of risk management which provides a structured process that identifies how objectives may be affected, and analyses the risk in term of consequences and their probabilities before deciding on whether further treatment is required . Risk assessment attempts to answer the following fundamental questions : • what can happen and why (by risk identification)? • what are the consequences? • what is the probability of their future occurrence? • are there any factors that mitigate the consequence of the risk or that reduce the probability of the risk? Is the level of risk tolerable or acceptable and does it require further treatment? This standard is intended to reflect current good practices in selection and utilization of risk assessment techniques, and does not refer to new or evolving concepts which have not reached a satisfactory level of professional consensus .”35 Som det kan ses, opfattes Risk assesment som en underordnet og integreret del af Risk Management, det er den samme tilgangsvinkel som vi bruger senere i 12 trins modellen. Tilgangen er generisk dvs. at det ikke er ment som en værktøj der detaljeret skal anvise konkrete måder at gå til emnet på, men i stedet skal give inspiration til den overordnede tankegang36 . Derfor har den også som målgruppe en bred vifte af såvel stake- som shareholders37, ligesom den også henvender sig til professionelle og alle andre der beskæftiger sig med området. Dette inkluderer såvel topledelsen, som den operative ledelse af en virksomhed, projektledere og specialister indenfor risikohåndteringsorganisationen i virksomheder/organisationer, alle der er ansat for at sikre ens ensartet tilgang herunder auditors38, Studerende og uafhængige konsulenter for nu at nævne de fleste. Før jeg går ind i selve standarden vil jeg tage et skridt tilbage og kort skitsere baggrunden for ISO organisationen og dens grundlag, ligesom jeg også kort vil beskrive bevægelsen mod ensretning efter første verdenskrig. For nu at starte bagfra kan man postulere at den spæde begyndelse til behovet for standardisering, som så meget andet var krig. En del af problemet var at der fandtes et væld af forskellige 35 Iso 31000:2009, s. 6 36 This standard does not deal specifically with safety. It is a generic risk management standard and any references to safety are purely of an informative nature. Guidance on the introduction of safety aspects into IEC standards is laid down in ISO/IEC Guide 51. (Iso 31000:2009, s. 7) 37 Shareholders her forstået i den almindelige terminologi, dvs. som ejerne af virksomheden/organisationen/processen, dette også afledt dvs. aktieejere m.m. Stakeholders forstået som dem der har interesse i eller fokus på virksomheden. 38 Ansatte i certificeringsvirksomheder, kontakt til hvilken i Danmark kan etableres via Dansk Standard: http://www.ds.dk/da/
  30. 30. 28 målesystemer og værdier ligesom der også fandtes forskellige måder at opmåle på. Derudover fandtes der forskellige rutiner, værktøj og tilgangsvinkler i produktionen af alle maskiner, våben o.l. Derfor indførte man det metriske system, med udgangspunkt i franskmændene der indfasede det i 1799. Efterhånden er der andre måleenheder end kun længdemål der er kommet til, og den er derfor blevet udvidet i en grad hvor den er blevet til et omfattende system kaldet SI-systemet. Et system der indeholder blandt andet rummål, tidsmål og flademål. Dette var en bevægelse der som beskrevet har været i gang over 200 år, men det fik særligt fokus under anden verdenskrig hvor det blev en kritisk faktor dels at en given genstand kunne samles med komponenter lavet af underleverandører. Herudover at man kunne med skib kunne fragte komponenter mellem de allierede med det formål at kunne samle det endelige produkt i et andet land. Det gav specielt mening hvor der var et begrænset antal specialiserede komponenter der var en del af et tungt slutprodukt – eksempelvis i en kampvogn. Dette medførte at man var nødt til at producere delkomponenter med specifikke mål og små tolerancer og i øvrigt brugte de samme procedurer for at samle det endelige produkt. Sagt med andre ord så var målet at man skulle gøre det på samme måde hver gang – ISO kommer ikke bare af forkortelsen International Standardization Organization, men også af det græske ISOS forstået som det samme. Man har siden 1945 begyndt at indføre et væld af ISO standarder for et væld af ting, herunder processer og teoretiske rammer. Når en virksomhed bliver ISO certificeret er det således for at kunder, leverandører og samarbejdspartnere kan være sikre på at de laver det samme produkt på den samme måde hver gang. Forudsigelighed er dermed det kritiske. Det er vigtigt at slå fast at en virksomhed godt kan certificeres til at lave et dårligt eller inferiørt produkt. Det er med andre ord IKKE kvaliteten af et produkt eller proces som en ISO standard garanterer. ISO standarden 31000:2009 afløste en tidligere australsk/New zealandsk standard, der var mere praktisk orienteret, og som der de facto var industristandarden. Standarden har ikke haft som et mål at skulle skabe baggrunden for en certificering, om end der på sigt sikkert vil være forskellige institutioner der med udgangspunkt i standarden vil certificere de processer og mål. Den skal derfor snarere ses som et grundlag som de forskellige organisationer, virksomheder og ledere kan bruge som et grundlag til at bygge på. Det er også med dette in mente at jeg har inddraget elementer fra den i 12-fase modellen som beskrevet ovenfor. Som beskrevet i Standarden, så opererer standarden med de følgende 7 måder man grundlæggende kan forholde sig til risici: a) Avoiding the risk by deciding not to start or continue with the activity that gives rise to the risk; b) Taking or increasing the risk in order to pursue an opportunity; c) Removing the risk source; d) Changing the likelihood;
  31. 31. 29 e) Changing the consequences; f) Sharing the risk with another party or parties (including contracts and risk financing); and g) Retaining the risk by informed decision.39 Som det kan ses så er en af de vigtige pointer at man ikke nødvendigvis bør eller skal have som sit mål at fjerne en given risiko. Man kan i den ene ende af spektret anse en risiko for en mulighed, hvorunder man kan vælge at forøge den for dermed at udnytte en mulighed. I den anden ende fjerne den eller dele dem med andre. Det er i sig selv delvist nyt, om end man i lang tid har talt om risikoprofiler og risikovillighed som udtryk for at man var klar over at en risiko også kan betyde et indtjeningspotentiale, eller hvis man arbejder med nødhjælp eller medicinsk hjælp i krigsområder at være nødt til at acceptere at risiko i sagen natur er en del af arbejdet. For forsikringsselskaber er det at dele en risiko intet nyt, idet reassurance hos andre forsikringsselskaber er en standardtilgang for alle forsikringsselskaber. For det andet så er udgangspunktet at standarden skal kunne bruges til alle typer risici: ”This International Standard can be applied to any type of risk, whatever its nature, whether having positive or Negative consequences.”40 En vigtig detalje her er altså at en risiko ikke nødvendigvis opfattes som noget der vil have en entydig negativ konsekvens. Standarden søger som beskrevet også at skabe entydighed om begreberne, således eksempelvis: Risk - effect of uncertainty on objectives. Risk management: coordinated activities to direct and control an organization with regard to risk risk management framework set of components that provide the foundations and organizational arrangements for designing, implementing, monitoring, reviewing and continually improving risk management throughout the organization Risk management policy statement of the overall intentions and direction of an organization related to risk management Risk attitude organization's approach to assess and eventually pursue, retain, take or turn away from risk Risk management plan scheme within the risk management framework specifying the approach, the management components and resources to be applied to the management of risk Risk owner person or entity with the accountability and authority to manage a risk41 Blandt de ovenfor nævnte er der flere interessante, eksempelvis den grundlæggende idé om at risiko er ”effekten af usikkerhed på målsætninger”. En noget luftig men alligevel grundlæggende god beskrivelse idet den giver udtryk for den grundlæggende sandhed at risici giver uklarhed om muligheden for at nå de mål som virksomheden sætter sig. En usikkerhed der eksempelvis for financielle institutioner sætter krav om såvel dets soliditet, altså hvor godt de er polstret økonomisk samt om deres udlånsprofil. 39 Iso 31000:2009, s. 19 40 Iso 31000:2009, s. 1 41 Iso 31000:2009, s. 2
  32. 32. 30 Derudover er der også en skitsering af nogen af de overordnede betragtninger og forhold til risikohåndteringen. Således eksempelvis Risikopolitikken, der er forstået som virksomhedens vision i forhold til risici. Det kunne eksempelvis være i form af at vælge at sige at man ikke accepterer nogen risiko for at miste nogen medarbejdere til kriminelle organisationer. En sådan politik vil dog åbenlyst både være for specifik samtidigt med at den er utilstrækkelig. Derfor vil man ofte vælge en mere generisk som eksempelvis Maersk´s der slår fast at man gennem rettidig omhu skal undgå og afværge alle de risici man kan forudse eller forhindre. Standarden beskriver elementer af risikopolitikken således: Accountability The organization should ensure that there is accountability, authority and appropriate competence for managing risk, including implementing and maintaining the risk management process and ensuring the adequacy, effectiveness and efficiency of any controls. Integration into organizational processes Risk management should be embedded in all the organization's practices and processes in a way that it is relevant, effective and efficient. The risk management process should become part of, and not separate from, those organizational processes. In particular, risk management should be embedded into the policy development, business and strategic planning and review, and change management processes. Resources The organization should allocate appropriate resources for risk management. Establishing internal communication and reporting mechanisms The organization should establish internal communication and reporting mechanisms in order to support and encourage accountability and ownership of risk. Establishing external communication and reporting mechanisms The organization should develop and implement a plan as to how it will communicate with external stakeholders.42 Risikoattituden er mere en taktisk pendant til den strategiske tilgang i risikopolitikken. Det handler således om at definere hvilke værktøj man ønsker og kan bruge. Standarden beskriver også eksterne og interne kontekster, hvor de begge forstås som de miljøer indenfor hvilket organisationen søger at opnå deres mål: 42 Iso 31000:2009, s. 10 ff
  33. 33. 31 Eksterne mekanismer kan indeholde:  The cultural, social, political, legal, regulatory, financial, technological, economic, natural and competitive environment, whether international, national, regional or local;  key drivers and trends having impact on the objectives of the organization; and relationships with, and perceptions and values of external stakeholders Interne mekanismer kan indeholde:  Governance, organizational structure, roles and accountabilities;  Policies, objectives, and the strategies that are in place to achieve them;  The capabilities, understood in terms of resources and knowledge (e.g. capital, time, people, processes, systems and technologies);  information systems, information flows and decision-making processes (both formal and informal);  relationships with, and perceptions and values of, internal stakeholders;  the organization's culture;  standards, guidelines and models adopted by the organization; and form and extent of contractual relationships. Dette bruges også i Risikokriterierne, der er en referenceramme mod hvilket man sammenligner de fundne risici. Dette ligger i forlængelse af risikopolitikken og – attituden, og bygger herudover også organisationens mål og de in- og eksterne kontekster som beskrevet ovenfor. Endelig bygger det selvfølgeligt også på standarder, love, branchepraksis og alle andre relevante parametre. Standarden beskæftiger sig også med risikohåndtering, defineret som den overordnede proces kombineret af Risikoidentifikation, Risikoanalyse og Risikoevaluering. Risikoidentifikation er processen med at finde, erkende/genkende og beskrive risici. Dette involverer identifikationen af risikokilder, begivenheder deres årsager samt deres potentielle konsekvenser. Dette kan indeholde historiske data, teoretiske analyser, (mere eller mindre) oplyste holdninger/meninger og ekspertudsagn samt de eventuelle behov for stakeholders. Risikoanalysen er den proces man bruger for at forstå typen og indholdet af risikoen samt fastslå niveauet af truslen. Dette skaber fundamentet for Risikoevalueringen og senere beslutningerne om risikohåndteringen og hvordan man i praksis fjerner eller forholder sig til dem. Risikoevalueringen er den proces hvor man sammenligner resultatet af Risikoanalysen med de rammer man har opstillet i Risikokriterierne, med henblik på at slå fast hvorvidt risikoen er acceptabel eller man skal lave en indsats for at ændre det. Herefter skal man under Risikobehandlingen vurdere hvorledes man forholder sig til de erkendte risici. Dette er de 7 tilgange beskrevet på side 61 øverst i dette kompendium. Når man har mødt og løst risici, kan man være efterladt med nogen risici der ikke er løst. Disse betegnes som residualrisiko, og kan enten bestå af ikke-erkendte risici eller af ”retained risk”, eller risici som man bevidst vælger at fastholde.

×