Slik kartlegger du risiko på vei inn i 2022

Amerikanske «The Institute of Internal Auditors»’ ferske undersøkelse – OnRisk 2022 – kartlegger hvilke risikofaktorer som i størst grad bekymrer dagens internasjonale ledere. Lignende undersøkelser er også gjort i Norge, og resultatene er i stor grad likelydende. Det blir stadig mer risikabelt å drive en virksomhet, men lederne i virksomhetene ser ikke omfanget.

Foto

Kristian Thaysen er daglig leder og grunnlegger av rådgivningsselskapet Agenda Risk. (Foto: Svein Finneide)

Kristian Thaysen, daglig leder og grunnlegger av rådgivningsselskapet Agenda Risk, er blant dem som mener risikobildet for de fleste norske virksomheter de siste årene har blitt betydelig mer omfattende og komplekst.

Ifølge Agenda Risk-sjefen er det svært mange norske virksomheter som ikke tar seg tid til å reflektere over hva som kan gå galt – spesielt når alt blir mer komplekst og uoversiktlig. Mange har ikke tilstrekkelig fantasi eller tror ikke det kan skje dem.

− Folk forstår ikke hvordan ting påvirker deres egen hverdag, framhever Thaysen.

IT, kompetansemangel og global usikkerhet

I OnRisk-undersøkelsen har ledere i 90 store bedrifter i Nord-Amerika blitt dybdeintervjuet om hva de ser på som de største utfordringene for 2022. Helt på topp er IT-sikkerhet, etterfulgt av tilgang på nøkkelpersonell. Ustabile internasjonale forhold og usikkerhet knyttet til leveranser av råvarer er andre risikofaktorer som trekkes fram.

Næringslivets sikkerhetsråd presenterte sin beredskapsundersøkelse for 2021 i august i år, som sier mye av det samme. Også den siste norske Samfunnssikkerhetsmeldingen kom fram til mange av de samme risikoforholdene som i den amerikanske rapporten:

• konflikt og ustabilitet i andre deler av verden

• internasjonal handel og ordninger for samhandling kan utnyttes til fiendtlige formål

• risiko knyttet til svikt i og manglende kontroll over verdikjeder for kritiske varer og tjenester

• økt sosial ulikhet kan gi risiko for økt polarisering

• økt risiko for rask spredning av alvorlige smittsomme sykdommer

World Economic Forum sin siste «Global Risk Report» er også en rapport som snakker om mange av de samme risikofaktorene. Poenget er at bildet er entydig – likevel gjør virksomhetene lite for å redusere risiko.

Jeg mener både toppledelse og styrer rundt om nå må ta innover seg at det vil stilles helt andre krav til risikovurdering i fremtiden

Manglende risikovurdering

Det viser blant annet en annen undersøkelse fra Næringslivets sikkerhetsråd. Nylig la de sin såkalte Kriminalitets- og sikkerhetsundersøkelse i Norge – KRISINO. Undersøkelsen bygger på et utvalg ledere og sikkerhetsansvarlige i 2000 private og 500 offentlige virksomheter.

Andelen virksomheter som har en skriftlig risikovurdering av kriminalitet i eller mot virksomheten holder seg stabilt sammenlignet med 2019. Da var det 28 prosent som hadde foretatt en egen risikovurdering, mens det i 2021 er 27 prosent som har det.

Det er stor forskjell på private og offentlige virksomheter. Mens 48 prosent av de offentlige virksomhetene har skriftlig sikkerhetsvurdering er det kun 22 prosent av de private som har det. Store private virksomheter har det i like stor grad som store offentlige, men mellomstore og små private virksomheter skiller seg ut ved å ha det i mindre grad enn mellomstore og små offentlige virksomheter, viser KRISNO-undersøkelsen.

− Det er forbausende få virksomheter som gjør risikoanalyser. Og jeg tror det står enda dårligere til enn det tallene fra Næringslivets sikkerhetsråd viser, sier Kristian Thaysen i Agenda Risk.  Han mener en grundig risikoanalyse normalt bør gjennomføres – og i det minste ajourføres – årlig. Dersom virksomheten endrer karakter i mellomtiden eller det oppstår uforutsette hendelser, bør det gjennomføres nye risikoanalyser.

− Men gjelder ikke dette med risiko mest for de store og internasjonale virksomhetene? Har det egentlig noen betydning for små og mellomstore bedrifter i Norge?

− Ja! Disse risikoene kan ha stor betydning også for små og mellomstore virksomheter, sier Kristian Thaysen. − Absolutt. Så til de grader. Mye mer enn hva folk tenker på.

− Folk som for eksempel har bestilt ny bil, opplever i dag i stadig større grad at den ikke kommer til avtalt tid. Dette kan du kanskje leve med. Men dersom du er en liten IT-bedrift som venter på datautstyr som du lever av å selge og det ikke kommer?

Still deg noen enkle spørsmål

− For mange oppfattes det som veldig stort og komplisert å gjøre en risikoanalyse. Men det trenger det ikke å være, påpeker Thaysen.

Det første du bør gjøre er å stille deg selv noen få, sentrale spørsmål:

• Hva er viktig for oss?

• Hva kan gå galt?

• Hva kan vi gjøre for å bedre situasjonen?

− Mye av de risikoene som påvirker deg kan du selvsagt ikke gjøre noe med. Men du kan forberede deg. Og du kan tenke igjennom hva du kan gjøre dersom noe skjer.

− Ta det nye omikron-viruset. Vi kunne jo ikke vite verken om, hvor eller når et slikt virus ville ramme oss. Men vi har hatt halvannet år på å styrke beredskapen i helsevesenet. Vi kunne vært bedre forberedt, mener Thaysen.

Agenda Risk-sjefen påpeker at mange virksomheter jo analyserer risiko rettet mot spesifikke aktiviteter de har. Da er det jo ikke så vanskelig å heve blikket noe, for å se hele virksomheten.

−Jeg mener både toppledelse og styrer rundt om nå må ta innover seg at det vil stilles helt andre krav til risikovurdering i fremtiden enn det de har vært vant til, sier han.  

Det er åpenbart forskjeller på hva som utgjør de største risikoene for ulike virksomheter, påpeker Thaysen.  

− Noen vil rammes fra første sekund dersom at IT-system er nede. Eller hvis du er avheng av en bestemt råvare. Og selv om du kanskje ikke kan påvirke de globale råvareprisene, kan du fordrede deg og tenke igjennom hva som kan gjøres dersom prisene stiger veldig mye eller leveransene uteblir.  Det handler om ha en ide om hvordan man kan håndtere en uforutsett situasjon.

− Det er bare å lese aviser, så får du et ganske godt bilde av risikofaktorene «der ut». Det handler bare om å følge litt bedre med, sier Kristian Thaysen.

− Ikke gå i den vanlige fella om at «dette skjer ikke meg». For det gjør det. Veldig ofte.