Risikostyringsprosessen omfatter hele kjeden av risikoarbeidet, fra risikoidentifikasjon til implementering av kontrollaktiviteter og iverksetting av direkte tiltak. Her går vi gjennom hvordan dere kan sette strukturen for en effektiv risikostyringsprosess.
Hvordan ligger organisasjonen din an med risikostyringen?
En god start på å sette strukturen for virksomhetens risikostyringsprosess er å foreta en evaluering av pågående arbeid. Ta utgangspunkt i spørsmålene nedenfor for å kartlegge hvordan organisasjonen ligger an med risikoarbeidet sitt.
- Har vi nok informasjon om risikoene i våre kritiske prosesser til å kunne utvikle en troverdig strategi og plan?
- Har vi som organisasjon kontroll over risikoeksponeringen vår på et overordnet nivå; virksomhetsnivå; og teknisk nivå – og hvordan disse risikoene relaterer til hverandre?
- Vet vi om vi håndterer og reduserer risikoene knyttet til våre strategiske mål på en effektiv måte?
- Kan vi på en troverdig måte analysere og evaluere risikoene våre knyttet til strategier, mål og virksomhet?
- Har vi tilstrekkelig med informasjon for å sette i gang de riktige tiltakene og minimere tap knyttet til lovoverholdelse?
- Følger vi kontinuerlig nøkkeltall (key risk indicators) knyttet til risiko i IT-systemene, prosessene og informasjonssystemene våre?
- Identifiserer og overvåker vi risiko i det daglige arbeidet, f.eks. i prosjekter og det løpende arbeidet?
- Har vi en troverdig risikostyringsprosess for risikoer på alle nivåer i virksomheten?
Hvordan sette strukturen for en effektiv risikostyringsprosess?
Før man begynner å sette strukturen for risikostyringsprosessen, må man ha definert omfang, ressurser, interessenter og lovkrav som må overholdes.
Her er fem steg som bidrar til at internkontroll blir en verdiskapende aktivitet og ikke en administrativ belastning. Dette vil resultere i en mer effektiv risikostyringsprosess da dere kan bruke mer tid på å implementere den i virksomheten.
- Utvikle klare styringsdokumenter
Styringsdokumentene skal være konkrete og enkle å forstå. Tenk derfor på å bryte ned kompliserte prosesser til et detaljert nivå. Sett også klare forventninger i styringsdokumentene slik at det er en tydelig struktur for roller, ansvar, fullmakter og mandater. - Sett en klar og realistisk visjon
Dokumenter hvordan du ønsker at internkontrollarbeidet skal se ut i løpet av de neste årene og sett et målbilde. Kommuniser i organisasjonen hva målbildet for internkontrollarbeidet er slik at alle forstår hvor organisasjonen er på vei. Vær tydelig i å forklare hvordan internkontroll vil skape merverdi i organisasjonen slik at alle forstår hvorfor det er behov for endring. - Vurder eksisterende arbeidsmetoder
Mye av det dere allerede gjør er egentlig en del av internkontrollarbeidet. Så før dere begynner å se på hva dere kan gjøre mer av i organisasjonen, start med å se på hvordan dere jobber i dag og hva som fungerer. Internkontrollarbeidet skal skape verdier for organisasjonen og være i tråd med regulatoriske krav og forventninger. Godt internkontrollarbeid er ikke det som ser bra ut på papiret; derimot er det det som fungerer og brukes i praksis. - Etablerte arbeidsmåter endres ikke over natten
Endring tar tid og må få lov til å ta tid. Det er derfor viktig å stille realistiske forventninger og legge en fornuftig handlingsplan med tiltak. Tenk også på å ikke skape en administrativ byrde for organisasjonen ved å måtte fylle ut mange skjemaer; sørg heller for at dere kan fokusere på de riktige tingene. - Skap en sterk og etisk risikokultur
Ledere skal være rollemodeller i både ord og handling. En dårlig holdning til risiko og kontroll hos ledere kan ha alvorlige negative konsekvenser for organisasjonen i form av unødvendig risikotaking og manglende risikostyring, men også høy personalutskifting. For å få ærlig rapportering er det viktig at organisasjonskulturen tillater å gjøre feil en gang iblant. Men at det i bunn og grunn er en kultur som handler om forsiktig oppførsel.
Effektivisere risikostyringsprosessen i et digitalt miljø
Dokumentasjon av risiko og tiltak kan, som vi nevnte tidligere, være en stor administrativ arbeidsbelastning for mange virksomheter. I tillegg, dersom administrasjonen gjøres manuelt og er personlig, blir risikoarbeidet sårbart dersom vedkommende forlater organisasjonen. Internkontroll som dreier seg om å fylle ut mange skjemaer skaper ikke direkte merverdi; derimot fører det til mer administrasjon.
Ved å digitalisere administrative arbeidsprosesser i et verktøy kan man spare tid, penger og ressurser. Man får også oversikt og åpenhet via verktøyet, noe som gjør risikostyringsprosessen mer effektiv for virksomheten ettersom ressurser kan brukes på de rette stedene, for å bringe arbeidet til live.
Stratsys sitt verktøy for Risiko og Kontroll gir organisasjoner effektiv støtte i internkontrollarbeidet og risikostyringen. Vil du vite mer om hva et risikostyringssystem kan gjøre for din organisasjon? Les mer om Stratsys sitt produkt for risiko og kontroll.