Inga produkter i varukorgen.
Systematisk riskhantering en konkurrensfördel: ”Det är vd:ns skyldighet”
Riskhantering Risker hanteras med fördel innan de blivit verklighet. Men hur vet man som vd var man ska börja, vilka risker som ska prioriteras, och hur mycket det får kosta? Säkerhetskonsulten Lars Zetterström delar med sig av praktiska verktyg som förvandlar riskhanteringen från tung utgiftspost till strategisk tillgång.
Foto: 365 Robust/Stock Adobe
Säkerhetschefen som ska informera ledningsgruppen om vilka ”hot” och ”risker” bolaget står inför, möts inte sällan av korslagda armar och den reflexmässiga frågan om vad det kommer att kosta. Det säger Lars Zetterström, säkerhetskonsult, som anser att vd:n måste få med säkerhetschefen i det ekonomiska tänket. Systematiskt riskhanteringsarbete behöver nämligen inte vara svårt, men det bör ha som syfte att bidra till den långsiktiga affären.
– Frånvaron av riskhantering kan bli en synnerligen kostsam historia. Jobbar man inte systematiskt med det så får man en händelsestyrd riskhantering, som ligger steget efter och blir väldigt dyr, säger Lars Zetterström.
Någonting är fel
Du är inloggad som prenumerant hos förlaget Pauser Media, men nånting är fel. På din profilsida ser du vilka av våra produkter som du har tillgång till. Skulle uppgifterna inte stämma på din profilsida – vänligen kontakta vår kundtjänst.
VD-tidningen premium
Läs vidare – starta din prenumeration
Redan prenumerant? Logga in och läs vidare.
Scenarier som stör eller förstör
Omvänt kan förebyggande riskhantering bli till en strategisk fördel för bolaget. Att identifiera scenarier och förutse överraskningar fungerar skyddande.
– Med riskanalyser identifierar man scenarier som kan störa eller förstöra bolagets tillgångar, eller störa resan mot ett långsiktigt affärsmål. Det handlar inte bara om angrepp eller stölder av fysiska tillgångar, det kan lika gärna handla om en konkurrent som överraskar en, ett politiskt beslut, börsutvecklingen, eller att man satsar för mycket pengar i ett nytt projekt, säger Lars Zetterström.
Har man analyserat sådana saker och gjort en bra riskanalys så har man också svar på vad man gör om riskerna inträffar. Det kallas att man har en kontinuitetsplan, enligt vilken verksamheten kan fortgå.
Se riskbedömningen som en försäkringspremie
– Sedan kommer riskbedömningen in. Scenarier har identifierats, sannolikheten för vart och ett av dem att inträffa, och konsekvensen av dem. Multiplicera konsekvensen med sannolikheten så får du ett riskvärde. Rangordna sedan riskerna på basis av det värdet. Och så frågar man sig: Är det en acceptabel risk, ja eller nej? En del är acceptabla, några inte, säger Lars Zetterström.
Fördelen med att göra på det här sättet är att man lägger grunden för medvetna beslut, som det är upp till vd:n eller ledningsgruppen att fatta. Motsatsen är att man chansar, vilket ju kan gå bra om man har tur. Men Lars Zetterström liknar det vid försäkringspremier, som han kallar en ”sund investering” – det kan kännas som att man betalar premien i onödan, men kostnaden för den är i regel betydligt lägre än kostnaden för att återställa förödelsen efter en olycka, ett cyberintrång eller vad det kan vara.
Genom att skapa stabilitet och långsiktighet för ägare, bolagsledning och anställda, ger det systematiska riskhanteringsarbetet en konkurrensfördel. Exakt vilka förebyggande åtgärder som behövs är branschspecifikt, och har juridisk grund.
Fakta
Riskarbete i tre delar
- Identifiera lagkraven i din bransch, och säkerställ att du lever upp till dem. Åtgärdsplaner kan ge en bild av hur uppfyller kraven på sikt.
- Gör systematiska riskanalyser, på basis av vad som kan störa verksamheten. Skyddsbarriärer eller en kontinuitetsplan gör att verksamheten kan ställas om ifall risken inträffar.
- Avgör hur mycket riskekonomi som är rimligt att investera i. 0,5-2 procent är en tumregel.
Lagkraven förpliktigar
– Som vd är man skyldig att informera sig om vilka standarder och lagkrav man har att leva upp till, och sedan analysera innebörden av de lagkraven. Brister kan leda till dryga böter eller fängelse, och då fungerar det inte att hävda att man inte kände till kraven, säger Lars Zetterström.
Antalet standarder har ökat kraftigt de senaste åren, inte minst på cyber- och säkerhetsområdet. Som vd är det viktigt att man, om man delegerar arbetsuppgifter som har med regelefterlevnad att göra, inte frånsäger sig ansvaret. Det kan göra att man förlorar kontrollen.
Vad är ditt råd till vd:ar som vill göra det systematiska riskhanteringsarbetet, men har svårt att veta var de ska börja?
– Börja enkelt. Det är inte hokuspokus. En rekommendation är att göra så kallade swot-analyser, det står för strengths, weaknesses, opportunities, threats. Formulera ett antal scenarier utifrån hoten du identifierar. De som är oacceptabla gör man något åt. Och vad är lönsamt för en vd att göra i förväg? Jo, att ta fram en kontinuitetsplan, instruerar Lars Zetterström.
Begränsade resurser för riskekonomi
Eftersom riskerna varierar mellan branscher, gör också kostnaderna det. Det är inget ovanligt att vd:n drabbas av känslan av att man bara köper och köper säkerhetsutrustning – beroende på verksamheten kan det till exempel handla om låssystem, säkerhetsdörrar, inbrottslarm, it-säkerhetssystem, ögonspolning mot kemikalier – och ingen har råd med allt. Tumregeln för tillverkande företag är att utgifterna för riskekonomi ska uppgå till 0,5-2 procent av omsättningen.
Ett bolag som omsätter 100 miljoner bör alltså investera en halv till två miljoner i att förebygga risk.
– Det kan jämföras med att investera i ett nytt verktyg som ska öka produktiviteten. Investerar man x, väntas utfallet bli y. På säkerhetssidan är det tvärtom: Kalkylen ska tala om vad man riskerar att gå miste om i intäkter, om investeringen inte görs, säger Lars Zetterström.
