Kompendie for faget international risikohåndtering aktiv
1. Kompendium for faget International
Risikohåndtering v. 2.0
Udarbejdet af Nick Bang Ohlsson 2014
Alle rettigheder, materielle såvel som immaterielle, både direkte og afledte i forhold til det nærværende
værk, forbeholdes helt og fuldt af forfatteren. Det nærværende værk må ikke gøres til genstand for udlån,
fotografisk eller anden gengivelse uanset sammenhæng uden forfatterens udtrykkelige skriftlige
godkendelse.
2. Indholdsfortegnelse
1. Introduktion, struktur og den videnskabsteoretiske sammenhæng. ............................................................... 1
Fakta, forklaringer og vurderinger...................................................................................................................... 3
Grænser for subjektiviteten. .............................................................................................................................. 6
De grundlæggende spilleregler .......................................................................................................................... 8
2. Definition af, baggrund for og afklaring af rammerne for dette fag............................................................... 14
Definitioner, fravalg og afgrænsninger............................................................................................................. 15
Risikoledelse - overordnet procesbeskrivelse................................................................................................... 21
3. Risk management og ISO 31000 ................................................................................................................... 26
4. De første trin i Risiko- og trusselshåndteringen ............................................................................................ 35
5. Efterretningsindhentning og – bearbejdelse................................................................................................. 40
6. Risikohåndteringen i 12 faser....................................................................................................................... 49
1. Dokumenter alt hvad du laver..................................................................................................................... 50
2. Vurder området generelt. ........................................................................................................................ 51
3. Har du tilstrækkelig datakilder, til at kunne vurdere risici? ....................................................................... 53
4. Beskriv problemfeltet............................................................................................................................... 54
5. Skitser baggrunden .................................................................................................................................. 55
6. Vurder og analyser risikofeltet. ................................................................................................................ 58
7. Prioriter og kommenter de fundne risici................................................................................................... 59
8. Skitsér og implementer en løsning for de problemer du kan..................................................................... 61
9. Vær sikker på at løsningerne bliver gennemførte ..................................................................................... 62
10. Koordiner og tilse at evt. fejl eller uklarheder bliver korrigerede........................................................... 63
11. Overdrag risikofeltet eller revurder om der er kommet nye risici til...................................................... 64
12. Omorienter når du er sikker på at risikofeltet er fuldt og helt overdraget til en der magter det. ........... 64
Afsluttende og opsummerende........................................................................................................................ 64
9. Temaer ........................................................................................................................................................ 65
Kultur .............................................................................................................................................................. 65
Militære kapaciteter og PMC´ere..................................................................................................................... 68
Love og regulativer .......................................................................................................................................... 70
Beredskabsplan/Contingency plan................................................................................................................... 71
Fortrolighed, dokument- og datasikkerhed og efterretningsbilledet................................................................. 74
Ledelsesprofil og –stil....................................................................................................................................... 76
Litteraturliste og inspiration til yderligere læsning ............................................................................................... 79
3. 1. Introduktion, struktur og den videnskabsteoretiske sammenhæng.
“In the land of the blind, the one-eyed man is King”
Desiderius Erasmus Roterodamus
Hvorfor skrive et kompendium?
Jeg overvejede længe om jeg ikke kunne have løst opgaven på en anden og nemmere måde –
eksempelvis ved at lave en almindelig læseplan med henvisning til andre bøger, artikler m.m.
Men problemet er at dette område og dermed dette fag, stadig er på pionerstadiet, hvorfor en sådan
løseplan ville have været fragmentarisk, overfladisk og usammenhængende. Når man laver en
bibliografisk analyse af ”Risikostyring”, bliver det ret hurtigt klart, at man enten må ændre i
udgangspunktet, eller oversætte det til ”Risk management”, alternativt få en meget kort liste.
Der er således flere ting der står klart bare ved en hurtig gennemgang af materialet samt et besøg på
biblioteket:
For det første er der ikke skrevet meget om emnet, og da slet ikke på dansk. For det andet er meget
af det der er skrevet, dårligt belyst rent kildemæssigt forstået, herudover er meget af det er skrevet
som ”Chain of thought”1
. Eller hvis man skal være grov, kunne man være fristet til at anse en del af
det skrevne for, i nogen grad, at være skønlitteratur.
Derfor virker det naturligt, at jeg i forlængelse af det forsøger, at sammenfatte nogen af de
hovedtræk indenfor det område, som jeg fremadrettet vil beskrive indenfor risikohåndtering. Ordet i
sig selv har mange betydninger og er i praksis derfor ikke entydigt. Jeg vurderede også, at jeg i al
beskedenhed håbede på, at jeg ved dette kompendium kunne bevæge eleven hurtigere frem i den
retning jeg ønskede til fælles fordel, end hvis jeg valgte en mere konventionel retning. Hvorvidt det
er lykkedes vil jeg lade læseren om at vurdere.
Jeg har ingen ambitioner om at være hverken fejlfri eller i stand til at gennemskue sammenhænge
som ingen andre har set før. At skrive et kompendium er noget jeg gør af nød, og ikke fordi jeg har
en illusion om at være i stand til at skrive et banebrydende og nytænkende værk. Jeg må derfor på
forhånd håbe på at læseren kan kompensere for eventuelle uklarheder eller andre fejl, hvor mine
evner som forfatter ikke har slået til. Normalt vil et kompendium typisk være en samling af artikler,
som man bruger til at perspektivere – det nærværende vil dermed nærmere have karakter af en
grundbog, uden at jeg dog mener at den vil sætte standarden som en kanoniseret grundbog. Dette er
mit bud på en grundlæggende tilgang til styring af risici nationalt og internationalt, samt måske
grundstammen i den viden og de færdigheder som dem, der fremadrettet ønsker at arbejde med
området, vil tilegne sig.
Jeg vil i det næste kapitel gå nærmere ind i en definition af såvel risikohåndtering, som dets
betydning i dette fag og for de rammer og indhold, som en aktør der vil arbejde indenfor området
1
Typisk forstået som at lade et resultat fremkomme ved associering – en form for brain storming teknik.
4. 2
skal kende, uanset om det er teoretisk/akademisk eller praktisk arbejde. Dermed vil jeg også
præcisere det område, som dette fag vil belyse, for som det vil vise sig, så dækker vi ikke al
risikostyring – men i stedet det område som jeg vurderer ikke er dækket af andre og mere
specialiserede aktører allerede.
For faktum er, at uanset sammenhængen, så er det pionerarbejde. Det betyder ud fra en positiv
betragtning, at man som aktør indenfor området har en chance og mulighed for at sætte sit eget
fingeraftryk. Ud fra et negativ perspektiv betyder det, at man i vid udstrækning selv er nødt til at
udfylde rammerne, give dem meningsfyldt indhold og sælge varen til en modtager, der ikke
nødvendigvis har nogen forudsætninger for at forholde sig til den. I forlængelse af det sidstnævnte
betyder det, at man ofte vil befinde sig i en situation, hvor man ikke alene skal redegøre for den
løsning man har valgt, men også skal kunne sælge sine egen berettigelse og videnskabelige og
faglige styrke. Dette sker ofte i konkurrence med andre faggrupper der har påtaget sig ansvaret for
risikoanalyser og risikoimødegåelse. Dette kan eksempelvis være fra en af de økonomiske
funktioner i virksomheden, der ofte har haft ansvaret for at vurdere økonomiske risici (mere om
dette i næste kapitel).
Resten af dette kapitel vil beskæftige sig med de forhold og parametre man overordnet kan styre,
for at give ens analyser og fremstillinger større vægt. En af de primære parametre i forhold til det, er
graden af sandhed og objektivitet i det skrevne. Et af de grundlæggende karakteristika for
akademisk litteratur og journalistik er det bevidste valg om at stræbe efter objektivitet og neutralitet.
Begreberne "objektiv" og "subjektiv" bruges generelt som målsætning for eller karakteristik af
historiebøger, artikler og ekspertudtalelser. Idealet er således, at det fremstillede materiale skal være
sagligt og upartisk og ikke påvirket af personlige meninger og følelser. Det er ikke kun en
akademisk øvelse, idet ens konkrete valg i praksis for det første kan afgøre om man kan sælge sine
resultater til den øvrige organisation. For det andet så vil der blive vurderet, målet og vejet om man
har gjort sit arbejde godt nok, når (ikke hvis) det går galt. Alene af den sidste grund, er der derfor et
behov for at man har korrekt dokumentation for sine analyser.
Diskussionen omkring objektivitet versus subjektivitet, var noget der tog fart i tiden efter anden
verdenskrig, idet man tidligere, måske nok tilstræbte det objektive ideal, men i øvrigt, i nogen grad,
skrev med udgangspunkt i ens akademiske habitus. Eller med andre ord så skrev en professor med
og til andre professorer og studerende forventedes ikke nødvendigvis at tage kritisk stilling til det
som deres akademiske overmænd havde skrevet, men alene lære det udenad.
Derfor kunne humanistiske og samfundsvidenskabelige bøger og andre værker også, fra tid til
anden spændes for en rent nationalistisk vogn. Såkaldt revisionistisk historie er ønsket om at ændre
opfattelsen af virkeligheden, så den bedre harmonerer med ens politiske, religiøse eller
nationalistiske mål. Blandt de mere kendte eksempler er således bestræbelserne fra forskellige
grupperinger om at benægte, eller som minimum, at sætte spørgsmålstegn ved Holocaust. Et mere
aktuelt eksempel (pr. 2013), er ønsket fra den øverste russiske ledelse om at skrive en ”mere
positiv” historie. Hvilket medfører et krav om, at alle historiebøger til brug i det russiske
5. 3
uddannelsessystem skal fremstille fortiden i et mere positivt lys2
. Det betyder i praksis blandt andet,
at man massivt og systematisk underspiller de enorme udrensninger, folkedrab og forbrydelser der
skete under Stalin.
Modpoler mellem objektiv og subjektiv formidling bliver dog som regel i dag, i de fleste
akademiske sammenhænge, opfattet som en noget forældet tankegang, idet der er mange forskere
og andre der anser at det er umuligt at skrive en ”objektiv” udredning om et emne, idet den pr.
definition altid vil være påvirket af ens egne holdninger og meninger. Denne tilgang ses ofte i
moderne historiebøger. Tanken er således, at en fremstilling er et resultat af en masse valg fra
forfatterens side, og her vil personlige erfaringer, forestillinger og holdninger nødvendigvis spille en
vigtig rolle. Derfor kan en fremstilling ikke være fuldstændig objektiv i streng forstand – dvs.
uafhængig af forfatteren.
En måde at anskue dette på er ved at skille formidlingselementerne op, eksempelvis i fakta,
forklaringer og vurderinger.
Fakta, forklaringer og vurderinger.
Dette er relevant idet man skal gøre op med sig selv hvilken argumentation man bygger sin
behandling på uanset sammenhængen. Det er således blandt andet for at man kan udøve en
struktureret og saglig selvkritik.
Fakta
Hvad nu hvis fremstillingen kun indeholder beskrivende dele?
Problemet er her ikke så meget uenighed om konkrete facts, selv om historikere godt kan være
uenige om, hvornår socialismen blev indført i Rusland, eller hvornår Harald Blåtand regerede eller
om han reelt kristnede Danmark. I de fleste tilfælde er historikere og andre akademikere imidlertid
generelt enige om datering og andre faktuelle oplysninger, selv om især den tidlige historie
selvfølgelig kan give problemer på grund af mangelfuldt kildemateriale.
Mens egentlige fakta ikke nødvendigvis giver anledning til store problemer, så kommer uenigheden,
når man– i den enorme mængde af indtrufne hændelser igennem historien – skal bestemme, hvilke
hændelser og forhold, der er så vigtige, interessante og relevante, at de skal medtages som facts i
den konkrete fortælling. Begivenheder er ikke selvskrevet vigtige, og en sammenligning af
forskellige historiebøger vil vise, at historikere har truffet vidt forskellige valg. Et eksempel på dette
er behandlingen af den danske besættelseshistorie, hvor der generelt er konsensus om at vi
kæmpede sammen med de allierede, trods det faktum at den bevæbnede danske hær, flåde og
flyvevåben under dansk kommando hævdede dansk suverænitet mod de allierede indtil august
1943. Ligesom langt størsteparten af de danskere der kæmpede og også døde under gjorde det i tysk
og ikke allieret tjeneste. Pointen er at valget af fakta kan understøtte en bevægelse mod objektivitet
eller subjektivitet – afhængig af de valg man tager og de forbehold man gør sig.
2
http://www.rferl.org/content/stalin-attitudes-russia/24917742.html
6. 4
Man kan dermed skabe en ny objektiv virkelighed ved at helt selektivt og subjektivt at inddrage de
objektive fakta der - isoleret og præsenteret korrekt - understøtter ens tese eller holdning.
I forhold til international risikohåndtering betyder det en nærliggende risiko for at man, hvis man er
ustruktureret eller ikke tager stilling til sine fakta, risikerer at opstille en superreplikator3.
En superreplikator4 er en løgn der bliver gentaget så mange gange, at den til sidst af en del af eller
hele målgruppen, bliver opfattet som en sandhed. Forudsætningen er typisk at den skal have et vist
mål af indbygget logik for at blive en superreplikator, og ikke blive opfattet som en løgn eller
usandhed. Konkret betyder det at der er en risiko for at man kan enden med at lede efter det rigtige
svar til et forkert spørgsmål, hvilket kan have enorme konsekvenser indenfor risikohåndtering
internationalt.
Forklaringer
Forklaringer spiller en afgørende rolle i de fleste akademiske fremstillinger: Hvorfor gik det, som
det gik? Historikere, journalister og samfundsforskere vil ofte have forskellige forklaringer på og
baggrundsanalyser af forskellige begivenheder. Formuleringer, ordvalg og ikke mindst fravalg kan
skabe en tendens, der er lige så kraftig som ved valg og fravalg af facts.
Blandt eksemplerne på emner der kan virke polariserede, kan nævnes de følgende eksempler:
Om socialismen har virket noget steds, eller om socialisme er det samme som kommunisme, samt i
forlængelse af det om de negative virkninger der er ved denne styreform, er udtryk for personer
eller selve styreformen. Eller for den sags skyld om de bærer sammenligning med nazisme og
fascisme?
Hvorfor dansk økonomi var på vej mod totalt sammenbrud i 1970'erne og starten af 80'erne, hvorfor
Muhammedkrisen brød ud og fik det omfang den fik, samt om den evt. nødvendighed og
langsigtede konsekvenser?
Når historikerne, journalister, politikere m.fl. har forskellige forklaringer, hænger det bl.a. sammen
med, at de kan anlægge et forskelligt tidsperspektiv i deres forklaring, at de vægter f.eks.
økonomiske og politiske forholds betydning forskelligt, at både udenlandske og indenlandske
faktorer kan tænkes at indgå som forklaringer (og man kan vælge en subjektiv vægt af de 2), at
konkrete begivenheder, handlinger og personer kan tillægges større eller mindre vægt.
Sidst men ikke mindst er samfundskompleksiteten og de mange mulige sammenhænge og
synsvinkler selvfølgelig en afgørende forklaring på uenighederne.
Derfor er der mange akademikere, der har mere end en sund skepsis i forhold til at lede efter den
endelige (objektive eller sande) forklaring på at et fænomen indtraf. Det betyder ikke, at den
3
Som eksempelvis beskrevet her: http://politiken.dk/kultur/ECE226160/lykken-er-ikke-at-have-boern/
4
Oprindeligt formuleret af Daniel Gilbert i ”Stumbling on Happiness”
7. 5
postmoderne og sandhedsrelativistiske metode er den rigtige, for faktum er, at uanset om man
ønsker det eller ej, så skaber ord en ny virkelighed, og dermed bliver det subjektive til det objektive.
Dette kan ses tydeligt i forhold til eksempelvis historiebøger i folkeskolen, hvor man på begrænset
plads skal beskrive historiske forhold på en komprimeret og dermed i praksis ofte subjektiv måde.
Jævnfør i øvrigt eksemplet ovenfor med Danmarks rolle under anden verdenskrig.
Et andet og i denne sammenhæng nok mere vedkommende eksempel er den måde, man analyserer
data og input på med henblik på at skabe et beslutningsgrundlag i såvel privat som offentlig regi.
Selvom man gerne vil fremstå som ambassadøren for den ultimative og objektive sandhed, der giver
den øvre ledelse det bedste udgangspunkt for en oplyst og velafklaret beslutningsproces, så er
faktum, at det ofte i den virkelige verden vil være et kompromis, der er blevet til under et stærkt
tidspres og ofte med rammer der er givet på forhånd.
Derfor bliver det ubestrideligt et subjektivt produkt med en evt. tilstræbt objektivitet.
Således er virkeligheden ofte et vanskelig sted at udøve kildekritik, samt at bruge lang tid på at lave
det akademiske forarbejde der skaber et så objektivt produkt som muligt. Det betyder ikke at man
skal opgive det, men i stedet forsøge at gøre det rutinemæssigt til en del af sin arbejdsproces.
Sagt med andre ord så er den nemmeste måde at formulere det på at:
Forhold dig altid kritisk og konstruktivt-skeptisk til alt hvad du hører og læser. Overvej HVEM der
prøver at fortælle dig HVAD, byggende på HVILKEN type kilder, bearbejdet i hvilken FORM og
med hvilket FORMÅL. Og i forlængelse af det i en praktisk sammenhæng så insister på at stille de
kritiske og ubehagelige spørgsmål – også til myndighederne og dets ledere - og hold fast i dem
indtil du har fået et fyldestgørende svar.
I en praksisnær virkelighed er denne proces, ikke noget man bruger tid på at dokumentere, idet man
forventes at løfte opgaven uden at skulle spørge om hjælp til metoden.
I en akademisk sammenhæng bør man ALTID (som minimum ganske kortfattet), gøre rede for det
– enten i et afsnit/kapitel for sig selv. Alternativt som en løbende del af det skrevne.
Vurderinger
Mens det måske vil overraske nogle, at forskere og journalister kan være uenige om beskrivelser og
forklaringer, så er det vel mindre overraskende, at de kan være uenige, når det kommer med
vurderinger.
Man kunne retorisk stille spørgsmålet, om de ikke bare kunne undlade at give deres personlige
synspunkter og holdninger til kende. Dette i form af mere eller mindre positive/negative vurderinger
af f.eks. personer, beslutninger, begivenheder, lande, systemer og ideologier og i form af mere eller
mindre optimistiske/pessimistiske syn på udviklingen?
8. 6
Selv hvis man forsøgte at rense sine fremstillinger for ethvert tegn på personlige vurderinger, så vil
det dog alligevel ikke kunne forhindre det personlige element. Der er ofte en konsensus om, at ”de
fleste” ville synes, at det var mærkværdigt, hvis historikerne havde et "klinisk neutralt" forhold til
fænomener som heksebrændinger, nazisme, diktatur, helbredsødelæggende børnearbejde,
kommunisme5, undertrykkelse af menneskerettigheder, folkemord, terrorisme. Men allerede der
bliver grænset udvisket idet terrorisme eksempelvis opfattes forskelligt af forskellige personer – jf.
konflikten i Mellemøsten eller vores forhold til Kina.
Konklusionen er altså, at enhver fremstilling i én eller anden udstrækning er farvet af forfatteren –
også selv om han/hun efter bedste evne forsøger at være saglig, upartisk, redelig m.v. – og at vi som
læsere kritisk må holde os dette for øje. Man skal også knivskarpt gøre sig klart, at selvom man selv
mener selv mener at man skriver den etisk forsvarlige og politisk korrekte
forklaring/fortælling/redegørelse, så gør det den ikke til en sand!
I en praksisnær virkelighed betyder det også at man bliver nødt til at gøre sig klart, at der ikke altid
er plads til den objektive sandhed, som man selv ser den i en stor organisation. Der bliver man nødt
til at vurdere, hvor langt man kan tilstræbe en objektiv vurdering. Dette ud fra devisen at det kun er
riddere og tåber, der kæmper for en tabt sag, eller endnu mere præcist kæmper en kamp, man ikke
er sikker på at vinde. Derfor bør den tilstræbt objektive behandling af data og formidlingen af dem
og ens vurderinger altid uden undtagelse være en rationel og oplyst afvejning af mange faktorer,
herunder hvad man er i stand til at forsvare og hvad man kan lave indenfor de givne rammer.
Det kritiske bliver dermed, at man tager konkret og rationelt stilling til i hvor høj grad man anser at
ens produkt beskriver hele sandheden. Eller sagt med andre ord at man forsøger at give sin
redegørelse en fejlmargen: eksempelvis at der er omkring 20 % chance, for at man tager fejl.
Jævnfør i øvrigt PESTLE modellen som beskrevet ovenfor. Dét vil i sagens natur altid være en
subjektiv vurdering, men det er kritisk og i denne sammenhæng kan det redde liv at man ikke
forsøger at fremstille sig selv og sit produkt som ufejlbarligt således at den øvre ledelse tager en
beslutning som din analyse ikke kan bære!6
Grænser for subjektiviteten.
Der er som beskrevet grænser for objektiviteten, men er der også grænser for subjektiviteten? Eller
bliver konklusionen nu, at alle fremstillinger/skildringer er lige subjektive og altså lige
gode/gyldige/rigtige/rimelige?
Man bevæger sig, hvis man ikke udøver selvkritik og stringens over i værdirelativisme, som der
måske har en værdi rent filosofisk og teoretisk, men som der i bedste fald er værdiløs i
virkeligheden. I værste fald når vi taler risikostyring internationalt, kan det medføre
handlingslammelse, og dermed tab af de værdier man søger at sikre. Alt er ikke lige godt og
værdifuldt, ligesom alle risici ikke har samme tyngde i risikostyring.
5
Lige netop dette har nogle akademikere og journalister haft et noget ambivalent forhold til hvad angår kildekritisk og
objektivt tilgang til emnet – i al fald historisk.
6
Men lad være med at forsøge at sætte specifikke et cifrede % op – det giver ingen mening. Det handler om en
generel fornemmelse og kritisk holdning til eget arbejde.
9. 7
Spørger vi akademikere eller journalister, vil de ofte give udtryk for, at de netop (efter deres egen
mening) ikke har digtet frit, men tværtimod har bygget på det foreliggende materiale. Eksempelvis
kan de have anvendt den historisk-materialekritiske eller hermeneutiske metode i deres
undersøgelsesproces. Det brugte kildemateriale, og den historiske metode kan derfor sætte
grundlæggende grænser for subjektiviteten. De kan yderligere slå på, at det færdige produkt ikke
alene bygger på andre akademikeres resultater, men også eventuelt er indgået i en fagdiskussion, og
har været underkastet kritik af andre akademikere/journalister. Netop denne gensidige kritiske
ransagelse blandt akademikere udgør en grænse for og en vigtig kontrolforanstaltning mod den rene
subjektivitet. Det er, hvad man kalder ”Peer Review”, og er akademisk typisk et af de
grundlæggende krav, til en sober fremstilling der kan overleve gennemgang, eksempelvis af
Udvalgene vedrørende Videnskabelig Uredelighed (UVVU) der behandler sager om uredelighed i
forskning.
Hertil kommer yderligere for bl.a. lærebøgernes vedkommende, at nogen skal producere, købe, læse
og anvende bøgerne, og heri kan der ligge en ekstra kontrolforanstaltning og relevanthedsgaranti –
et slags kvalitetsstempel, MEN også en potentiel fejlkilde. Hvis ikke produktet i betydelig grad
afspejler forestillingerne om virkeligheden og historien (hvad angår facts, forklaringer og
vurderinger) i den sammenhæng/virksomhed, den er produceret i og til – og dermed altså alligevel i
betydelig grad er uafhængig af den person, der har produceret den – så vil den ikke blive brugt.
Dette gælder også i virksomheder.
Det er netop disse grænser for subjektiviteten – hvoraf mange i sig selv er dybt subjektive, der mere
eller mindre objektivt adskiller en materialekritisk fremstillinger fra f.eks. diktaturstaters styrede
propagandaversioner, hvor akademikernes hænder har været styret og bundet af magthavernes
interesser.
Det er også disse krav til en materialekritisk forskning, der (i al fald teoretisk) adskiller dens
fremstillinger fra eksempelvis de frit digtede historiske romaner og fra de beskrivelser af
historieforløbet, der er bestillingsarbejder betalt af ideologiske tænketanke, politiske partier,
organisationer og virksomheder.
Eller sagt ganske kort: Pas på ikke at drage for bastante eller vidtrækkende konklusioner ud fra
begrænset empiri og viden. Gør dig dine forudsætninger klar, og byg dine konklusioner på hvad du
ved og ikke hvad du tror.
I dette fag som i den virkelighed den enkelte studerende skal operere i fremadrettet, er det kritisk, at
man evner at skelner, mellem hvad man tror og fornemmer, og hvad man kan argumentere for. Det
er også kritisk, at man skelner skarpt mellem, hvad der kan lade sig gøre indenfor det muliges kunst,
hvilket er en hel legitim, rationel og fornuftig handlingsparameter, og hvad man ved derudover
udgør virkeligheden.
Dette er ikke mindre kritisk idet man i en praktisk virkelighed, typisk ikke vil have den samme
mulighed for Peer Review, som man vil i en akademisk sammenhæng. Tværtimod forventes det
typisk, at man leverer et færdigt produkt, som der kan danne beslutningsgrundlag for andre tiltag og
10. 8
indsatser. Man vil med andre ord ikke nødvendigvis have tid eller mulighed for at rette evt. fejl og
fejlslutninger, i det materiale man producerer i det daglige arbejde med risikohåndtering,
medmindre dem man skriver til, eller interessenter generelt finder en fejl, i det man har lavet.
Derfor sætter det særlige krav til stringens, disciplin og metodevalg når man laver opgaver i en
virkelighedsnær kontekst.
De grundlæggende spilleregler
I forlængelse af alt det ovenstående og opsummerende kan man udlede nogle grundlæggende
spilleregler. Mange af dem gælder i dette fag såvel som i andre, mens nogen af dem er specifikke
for dette fag. De gælder naturligvis også når man bevæger sig fra det akademisk-teoretiske og over
til det praktiske og konkrete.
Udvis rettidig omhu. Forstået som at man skal gøre sig alle de forberedelser, og tage alle de valg
som man indenfor de givne rammer og retningslinjer kan gøre for at undgå at virksomheder,
organisationen eller en selv bliver ramt af et tab eller problem, som man kunne have undgået ved at
møde og løse problemet eller udfordringen. Herunder hvis det er nødvendigt indenfor
organisationens egne rammer at stille spørgsmålstegn til rammer og retningslinjer, hvis disse står i
vejen for håndteringen af risici. Husk at kontrollere for stave- og slåfejl hver gang, det er muligt, at
indholdet er vigtigere end formen. Men der er ingen der tager indholdet alvorligt hvis det ser ud
som om det er lavet på en eftermiddag – uanset hvor meget arbejde du har lagt i det.
Dovenskab belønnes altid i den sidste ende og i forhold til international risikohåndtering, så er
belønningen kontant og ekstrem svær at håndtere når det er gået galt. Specielt hvis man ikke har
forberedt sig godt nok. Få feedback fra og dialog med andre i forhold til indholdet og konklusioner.
Vær konstruktivt-kritisk. Lad være med at acceptere fakta hvis du ikke anser dem for reelt at
være fakta. Overvej altid hvilke konsekvenser organisationens og dine valg medfører i forhold til
produktet, dine anbefalinger og virkeligheden. Accepter ikke andres meninger hvis du ikke mener,
at de har sammenhængende argumenter for dem – det faktum at man kan tale længe og bruge
mange fremmedord, betyder ikke nødvendigvis, at man aner hvad man taler om.
Overvej hvordan du udtrykker din skepsis eller kritik. Der er ofte en tid og sted til alting, men husk
på at det ikke betyder, at man skal udskyde sine forbehold. Nogen gange bortfalder muligheden for
at sætte spørgsmål ved beslutninger eller beslutningsgrundlag, hvis man ikke udtrykker sine
forbehold, når emnet er på bane. Husk på at der er forskel på en akademisk diskussion, hvor vejen
ofte er lige så vigtig som målet, og en praktisk hvor midlerne som regel er helt underordnet målet.
Udled og brug den kultur, herunder for dialog og kritiske spørgsmål, der eksisterer i den
organisation, du opererer indenfor. Det nytter ikke, at du mener, at du har fundet sandheden hvis der
ikke er nogen der gider høre på dig, eller du finder ud af det uger, måneder eller år efter der blev
truffet en beslutning, der byggede på den oprindelige konklusion.
Accepter hvis der bliver lagt en retning eller formuleret en risikopolitik af ledelsen, men vær sikker
på at du har været med til at sætte dit fingeraftryk på den i den udstrækning det er muligt.
11. 9
Gør dig dine kilder klart. Find ud af hvad dine kilder reelt giver udtryk for, og pas på ikke at være
skeptiske overfor dem alle fordi du har et andet udgangspunkt. Man kan ikke fylde et glas der
allerede er fyldt, og hvis du på forhånd har lagt dig fast på en konklusion, så vil du uvægerligt
udvælge de kilder, der har samme grundholdning som dig.
Pas på ikke at bruge argumenter du selv har stillet op som argumenter for andre af dine egne
argumenter, også selvom du synes at det hele passer sammen og giver fint mening. Dette kaldes et
cirkulært argument og er rent retorisk ikke bare værdiløst, men trækker fra den samlede objektive
værdi af det skrevne. Det ligger i øvrigt tæt på en superreplikator som beskrevet ovenfor
Udvis selvkritik. Lad være med at tro at du har fundet den objektive sandhed, eller at emnet er
uddebatteret, fordi du har brugt lang tid på at analysere og debattere det. Ikke alene ændrer
virkeligheden sig dynamisk, men måden vi tolker og forholder os til den ændres også over tid.
Derudover er der altid muligheden for, at du grundlæggende har overset, eller måske bevidst eller
ubevidst har fortrængt et eller flere grundlæggende forhold – du må være både forberedt på og
forvente en kritisk diskussion af dit produkt. Brug den diskussion konstruktivt til at forbedre
produktet i stedet for at tage det som et personligt angreb på dig selv. Lad være med at udvise den
grundlæggende fejl at tro at din høje intelligens og brede videnspulje gør dig ufejlbarlig – husk på at
selv en der ikke magter at formulere sig så godt som dig selv eller konstruere lige så gode
argumenter, godt kan have ret.
”Kill your Darlings7” gælder specielt her: der er en helt naturlig tendens til, at man bliver knyttet til
et produkt, jo længere tid man bruger på at udarbejde det. Når vi taler om risikoledelse, så kan
forudfattede meninger og indspiste sandheder (Darlings), betales med en dyr pris og med risiko for
dels at gentage mig selv og dels virke teatralsk i værste fald med tab af menneskeliv.
Brug kildehenvisninger korrekt. For det første er det vigtigt, at du afklarer hvilket, publikum du
skriver til, samt i hvilket format du skriver.
I en akademisk sammenhæng vil man typisk forvente en kildehenvisning, hvis du refererer til eller
bygger på noget, der vil ligge udenfor din umiddelbare erfaringshorisont. I tvivlstilfælde forventes
en henvisning. Man kan med andre ord ikke trække en akademisk kanin op af hatten og bygge
videre på det. Det vil blive opfattet som et cirkulært argument og dermed akademisk uredeligt.
I en praktisk sammenhæng vil man i en virksomhed typisk have en lidt anden tilgang, hvor man
typisk vil bruge det for at sikre sammenhæng med love, regulativer, interne regler/rammer samt for
at underbygge en pointe. Det er de færreste bestyrelser eller ledelsesgrupper, der har lyst til eller for
den sags skyld måske forudsætninger for at få en lang akademisk udredning. Her vil det typisk have
karakter af et så kortfattet som muligt beslutningsgrundlag, der skal give ledelsen de nødvendige –
og KUN de nødvendige – forudsætninger for at træffe en oplyst beslutning på et korrekt grundlag.
7
Oprindeligt fra William Faulkner, men er siden brugt i alle sammenhænge om nødvendigheden af at fokusere på det
overordnede behov og dermed den større sammenhæng, og i forlængelse af det fjerne det der ikke understøtter det.
12. 10
Helt lavpraktisk betyder det også, at der vil være en markant forskel på, hvordan man konkret
bruger og skriver kildehenvisninger. Udover henvisninger til nødvendige eksterne ressourcer, vil
henvisninger i en virksomhedssammenhæng ofte være kommentarer til det skrevne.
I modsætning til dette vil akademiske henvisninger ofte være til stede dels for at demonstrere en
reel akademisk baggrund for et postulat, og dels for at andre akademikere kan verificere indholdet
via Peer Review.
I forhold til det akademiske vil der ofte være mange forskellige tilgangsvinkler i relation til den
konkrete måde at opstille kildehenvisninger på. Det følgende er taget fra Aalborg universitets
hjemmeside8
, men er udtryk for almindelig praksis:
”Hver gang, I citerer eller skriver en passage med inspiration fra noget, I har læst et andet sted, skal
I lave en kildehenvisning – uanset om det er fra en bog, en avis, et magasin, en hjemmeside og så
videre. HVER gang, I skriver om noget ud fra noget andet, skal der være en kildehenvisning. Det
gælder også, hvis det, I henviser til, er noget, I selv har skrevet, fx i et tidligere projekt.
Formålet med kildehenvisningerne er:
At kreditere de personer, som står bag de anvendte værker.
At dokumentere, at I har videnskabeligt belæg for jeres arbejde.
At gøre det muligt for læseren at skaffe værkerne og undersøge, om han/hun ville være
kommet frem til de samme konklusioner, som jer, ud fra det samme grundlag.
Kildehenvisningerne er derfor en stor del af et videnskabeligt projektarbejde. Kildehenvisningerne
skal være korte og ensartede, og de skal placeres alle de steder, det er nødvendigt. Der er forskellige
måder, hvorpå man kan lave en kildehenvisning. Det vigtigste er, at I vælger én måde, og gør det
sådan konsekvent.
Én måde, man kan lave en kildehenvisning på, er sådan her:
(Rienecker og Jørgensen, 2001, s. 192)
Her står forfatternes efternavne, det år bogen udkom, og den side I har læst på.
I kan også vælge at skrive det således:
[Rienecker & Jørgensen, 2001:192].
Ved værker af to forfattere nævnes begge ved alle henvisninger. Hvis der er mere end to forfattere,
skrives sædvanligvis kun den første forfatters efternavn efterfulgt af et. al. (forkortelse for det
8
http://www.studiehaandbog.huminf.aau.dk/kildehenvisninger-citater-litteraturliste/kildehenvisninger/
13. 11
latinske et al, som betyder ”med flere”) i de løbende henvisninger i teksten, men i litteraturlisten
skal alle forfattere nævnes (se nedenstående).
Ved links til hjemmesider kan I vælge at skrive (link 1) eller [Link 1], og derefter i litteraturlisten
sætte det fulde link ind, således at læseren kan finde ud af, hvor I har læst det.
Hvis der flere gange i træk henvises til samme kilde (det vil sige uden henvisning til andre kilder i
mellemtiden), kan I nøjes med at skrive kildehenvisningen første gang og derefter blot Ibid.
(forkortelse for det latinske ibidem, som betyder ”sammesteds”). Husk i så fald stadig at ændre
sidetallet, såfremt dette ændrer sig.
Uanset om der er tale om en bog, en artikel eller et link, er det altid forfatterne af den pågældende
tekst, der henvises til – og således ikke redaktøren af det værk, som teksten eventuelt er en del af.
Ved værker uden forfatterangivelse anvendes titlen på forfatternavnets plads, fx: (Studieordningen,
§ 15, nr. 6).
Det er virkelig vigtigt, at jeres kildehenvisninger er fuldstændig korrekte. For at gøre det lettere for
jer selv, er det en god idé at skrive dem ned med det samme, sådan at I ikke lige pludselig ikke kan
finde det sted, I skal henvise til. I kan også vælge at bruge RefWorks, som er et værktøj til at samle
og administrere referencer og lave kildehenvisninger. Alternativt har Microsoft Word også
mulighed for at oprette en 'bibliografi'.
Du kan finde flere informationer om korrekt brug af kildehenvisninger og citater på websitet
Stopplagiat.nu”.
Man kan også finde mere om emnet her9:
Kulturministeriets vejledende retningslinjer for god citatskik.
Stern, Linda (2007): What every student should know about avoiding plagiarism
Uanset hvad er det vigtigt at være konsekvent og entydig i sin brug af kilder – og ikke mindst
ydmyg. Derudover skal man huske at sætte alle brugte kilder ind i en litteraturliste til sidst.
Brug det givne format og rammer og overhold tidsfrister. Det er uanset sammenhængen kritisk,
at man er i stand til, at forstå de rammer man får udstukket til sit arbejde. Udover at det viser
manglende forberedelse og struktur, så vil det medføre at ens resultater mere vanskeligt bliver
kommunikeret til målgruppen og modtageren. Eller sagt med andre ord vil man have markant
sværere ved at sælge sine pointer og få accepteret sine konklusioner af modtagerne.
I en akademisk sammenhæng betyder det, at man skal sørge for at overholde formalia som
linjeafstand, maksimale antal sider, generelt layout og alle andre kommunikerede forhold. I en
9
Taget fra: http://www.sdu.dk/information_til/studerende_ved_sdu/vejledning/studieteknik/akademisk_redelighed
14. 12
praktisk sammenhæng betyder det, at man skal overholde mere uformelle formalia som eksempelvis
at kommunikere igennem de rigtige kommunikationskanaler, overholde indgåede aftale, herunder
om fortrolighed, samt løse opgaven på den måde man har aftalt med opdragsgiveren.
Det er fint at være kreativ i løsningen af opgaven, men ikke i forhold til leveringen af det færdige
produkt.
Bemærk i den forbindelse at det er meget anbefalelsesværdigt i såvel akademisk som en praktisk
kontekst, at man bruger nogen af de redskaber, som man sædvanligvis anvender i projektstyring.
Som eksempel på disse kan nævnes GanttProject, men hvilken software eller platform man bruger,
er underordnet – resultatet er det eneste, der betyder noget. Det ovennævnte program bygger i
udgangspunktet på et Gannt diagram10
, som man i princippet godt kan udfylde i hånden, men et
elektronisk er på alle måder mere fleksibelt og smart.
Man kan også anvende Excel til styring af det projekt som
udarbejdelsen af en analyse af risici, og følgende
imødegåelse er.
Det vigtige uanset platformen er, at man starter bagfra med
afleveringstidspunktet og derefter afklarer, hvor lang tid man
har til de enkelte faser/opgaver. Derved finder man ud af
hvor lang tid man kan tillade sig at allokere til analyser o.l.
Derudover angiver man hvem man skal tale med eller indhente viden fra. Bemærk at der er vinduer
for hvornår og hvordan man kan indhente data far forskellige kilder – det skal man inkorporere i sin
projektplan. Formålet er at man bliver helt færdig med alle delopgaverne, og vel at mærke på en
måde der ligger i tråd med den overordnede plan. Derudover at man sikrer, at alle aktører bliver
aktiveret på det rette tidspunkt.
Den største forhindring for en god plan er ofte illusionen om eksistensen af en perfekt plan.
Hvilket i denne sammenhæng også gælder en opgave, uanset om det er i akademisk eller en praktisk
sammenhæng. Det handler med andre ord om at lave, den bedste løsning man kan nå indenfor de
givne rammer herunder i forhold til den givne tid. At levere en 100 % korrekt løsning betyder intet,
hvis den ikke har overholdt tidsrammerne. Sørg for at levere det aftalte og planlagte og læg det
derefter fra dig i stedet for at sub-optimere på det.
Skriv til den rette modtager. Grunden til at det er vigtigt at skrive til den rette modtager er at
forskellige modtagere afkoder forskelligt materiale forskelligt. Det gør ikke nogen modtager bedre
eller dårligere end andre, eller har noget med modtagerens intelligens eller uddannelsesniveau at
gøre. Det betyder at det alene er op til forfatteren at sørge for at man ved valg af ord, henvisninger
og layout rammer sit publikum – sin læser – således at de ikke alene kan, men også har lyst til at
læse det skrevne, og dermed afkoder det med den intention som afsenderen/forfatteren har skrevet
det.
10
For mere om dette er der mængder på nettet, start eksempelvis her: http://en.wikipedia.org/wiki/Gantt_chart
15. 13
Det lyder banalt, men faktum er desværre at man ofte ser såvel akademiske som praktiske rapporter,
der enten skyder over eller under i forhold til målgruppen. Ofte vil man have en givet modtager i en
organisation, hvilket betyder, at det så er (forholdsvist) nemt at finde ud af hvordan man skriver til
dem/den. Udfordringen er, at man derved kan stirre sig blind på netop denne specifikke modtager
og derved måske glemme de øvrige interessenter, som der enten kan have en direkte eller afledt
interesse i det man producerer.
Der findes mange fremstillinger, der beskriver dette. Nogle er mere præcise end andre. At gå i
dybden med dette emne her vil række ud over dette kompendium. Men i virkeligheden er det heller
ikke svært til en vis grad at sætte sig ind i sin modtagers baggrund og tankegange. Men den
grundlæggende forudsætning er, at man laver en indsats og tænker tanken.
Jeg vil dog i et senere kapitel kort beskrive Interessentanalysen, der er et banalt, men nogen gange
effektivt redskab til også at afklare hvem der er ens modtager(e).
Tese + Antitese = Syntese. Uanset om det er en akademisk eller praktisk sammenhæng, kan man
være tilbøjelig til at løbe stærkt, men i cirkler. Alle har en viden, men en del af problemet er, at
mennesker der besidder en stor viden og intelligens, ofte kan blive besnæret til at tro at de ved alt.
Det er en meget naturlig og menneskelig reaktion, men den er desværre ødelæggende, hvis man skal
have afdækket et helt område uden bias. Det gælder specielt, hvis det er et ukendt område hvor,
aktørerne kan være fristet til at falde tilbage på eksisterende viden og i nogen grad holdninger.
Det er vigtigt at udfordre ens viden og holdninger. Udover en generel accept af at man ikke ved
alting, så kan man konkret gøre denne proces tydeligere ved at bruge formlen Tese + Antitese =
Syntese. Det kan enten være teori mod teori, teori mod data, data mod interview eller alle andre
kombinationer af saglige og lødige modsatrettede kræfter.
Det handler banalt nok om, at når man har afklaret, hvilken retning ens data og analyser viser,
forsøger at finde data, teorier eller personer, der står i modstrid til dette. For det første tvinger det en
til at argumentere mere i dybden for ens standpunkt. For det andet i forhold til risikostyring så er det
en mulighed for at finde nogen af de områder, man ellers ville have overset.
For det tredje og afsluttende så gør det, at man i en akademisk sammenhæng løfter hele ens opgave,
og får mulighed for at føre den akademiske diskussion i ens produkt på et langt højere og mere
interessant plan.
Undskyldningen er ikke accepteret. Jeg ønsker ikke at virke unødigt dramatisk eller teatralsk, men
faktum er, at arbejdet med risici kræver sin mand eller kvinde. Det er ofte svært, og med en presset
tidsramme i et område hvor fejl typisk har en stor konsekvens. Af den grund alene er man nødt til at
ramme plet hver gang, uanset om man føler, at det er urimeligt og uretfærdigt. Det betyder, at man
må gøre op med sig selv, om man kan levere varen, og hvis ikke om man skal træde til side.
Derudover medfører det, at man skal lave sig nogle klare ansvarsfraskrivelser. Det betyder ikke at
man kan frasige sig sit ansvar. I stedet er det bydende nødvendigt, at man i tvivlstilfælde og i
grænseområder, ved en klar udmelding og ved dialog med sin organisation/virksomhed eller i en
16. 14
undervisningssituation sin lærer, at sørge for at få placeret ansvaret et sted hvor ingen er i tvivl.
Alternativt skal man utvetydigt på anden måde få afklaret eventuelle uklare områder. Husk at det
som tidligere beskrevet er et pionerområde, hvorfor man må forvente, at i selv må sætte de rammer,
som den øvrige organisation enten ikke nødvendigvis magter eller ønsker.
Afsluttende er det vigtigt for mig at gentage, at det ovenstående ikke betyder at man kan smide
teorier, modeller og rammer væk for i stedet i fri empirisk leg at finde frem til resultater og
konklusioner. Dette således ved brug af sin sunde fornuft og dialog med dem som man mener, kan
give en kvalificeret modspil. Det er vigtigt at overholde de basale videnskabelige og akademiske
spilleregler hvis man vil tages alvorligt af modtagerne (specielt i et område der er polemisk rent
videnskabeligt og akademisk).
Jeg vil også pointere, at det ikke er taget med som en form for metodisk minekursus, men fordi det i
forhold til at agere som sikkerheds- og risikoaktør er kritisk, at man fremstår sober, afklaret og
kompetent.
Derfor forventer man, at en der håndterer risici, også er i stand til at kommunikere deres resultater
klart og entydigt. Risikohåndtering, såvel nationalt som internationalt, indeholder dermed flere
discipliner hvoraf blandt andet ledelse, projektledelse og en generel velfungerende evne til at
forholde sig metodisk til et emne kan nævnes.
Sagt noget forsimplet og kontant på jævnt og tydeligt dansk, så undskylder en eventuel mangel på
forstand, personlig format og forberedelse aldrig mangel på argumenter og resultater.
Sørg for at bruge det mest enkle værktøj der kan løse en given problemstilling, jo mere kompliceret
jo større risiko for ukendte momenter der kan medføre at din tidsplan skrider. Det betyder ikke at
man kan bruge Maslovs hammer11
, forstået som at man kun har ét værktøj eller tankegang som man
forsøger at tilpasse virkeligheden til – altså at man kun i overført betydning har en hammer i sin
værktøjskasse.
2. Definition af, baggrund for og afklaring af rammerne for dette fag.
“If I have seen further it is by standing on the shoulders of giants.”
Isaac Newton
Som allerede tidligere beskrevet så er dette fag karakteriseret ved at være en ny tilgang. Betyder det,
at alt skal genopfindes og intet bygger på noget kendt? Det er et retorisk spørgsmål, og svaret er
naturligvis klart nej. Risikohåndtering har eksisteret, siden mennesket blev civiliseret, og har været
håndteret i et væld af sammenhænge siden da af meget forskellige faggrupper. Og deri ligger
baggrunden for dette fag. Præcis som selve Katastrofe- og risikomanageruddannelsen baner en ny
11
Er her: http://books.google.dk/books?id=3_40fK8PW6QC&printsec=frontcover&redir_esc=y#v=onepage&q&f=false
Maslov er typisk mere kendt for sin model omkring behovsopfyldelse, kendt som Maslovs behovspyramide. Den vil jeg
gerne have mig frabedt brugen af på dette fag, da jeg opfatter den som værende for banal til at kunne appliceres i
praksis.
17. 15
vej overordnet, så er det målet at dette fag i en meget mindre og mere beskeden målestok, skal
skabe sin egen niche på sine egne betingelser.
Det betyder ikke at jeg vil bestræbe mig på at genopfinde den dybe tallerken, eller lade som om jeg
har fundet de vises sten, men snarere at jeg vil bestræbe mig på at via dette fag skabe en
sammenhængende platform, hvor den studerende får et stabilt grundlag at arbejde videre ud fra.
Denne platform skal dels gøre eleven i stand til, at orientere sig i hele feltet omkring risikostyring,
således at de kan placere sig selv, og jf. det ovenstående i kap. 1 vide hvornår andre faggrupper bør
overvejes at komme i spil. Og dels skal den give den studerende både konkrete og brugbare værktøj
til at skabe en reel ændring i virkeligheden, samt en teoretisk ramme så man kan indgå i en dialog
med det øvrige felt af aktører indenfor området. Min ambition er således, at den enkelte studerende
skal bygge videre, på den eksisterende viden man har indhentet på studiet, samt sende den
studerende videre med tilstrækkelig ballast til fremadrettet at udbygge sin viden, sine værktøjer og
sine kompetencer. Målet er i sidste ende at man som Risikomanager skal kunne bevare det store
overblik og kunne skabe en sammenhængende indsats for at håndtere det samlede felt af risici.
Herunder at bruge eksterne partnere, eksperter, myndigheder og aktører rettidigt og korrekt –
herunder at kunne stille dem de rigtige spørgsmål og krav.
Fordelen ved at være i et pionerområde er, at man selv kan være med til at præge det, bagsiden er,
at man er nødt til at være med til at præge det for at være en del af det. Man kan derfor ikke regne
med, at mulighederne kommer til en – man er selv nødt til at skabe sine muligheder, herunder gøre
en fokuseret indsats for at skabe kontakter. I det følgende vil jeg således både søge at definere
hvilket område vi vil arbejde indenfor, men i lige så høj grad definere hvad vi vil overlade til andre.
Det er også her vigtigt at kritisk forholde sig til, hvad det betyder for dig som modtager – ikke bare
som læser, men som en der er, eller skal være aktør indenfor området. Vær også klart opmærksom
på at dette er min fortolkning af virkeligheden: forhold dig derfor kritisk til alt hvad jeg skriver og
forsøg at holde det op mod virkeligheden, som du bliver konfronteret med den. Vær fleksibel og
åben for input uanset hvor det kommer fra - hvis det er velargumenteret og meningsfyldt. Vær
kritisk-konstruktiv hvis det ikke er, men overvej om det er en kamp/diskussion der er værd at
kæmpe: får du noget ud af det, og hvad er i givet fald omkostningerne?
Det kan tit være svært præcist at vide hvilke områder der er kritiske og som man ikke kan bøje af
på, contra dem der ikke er så vigtige og som man kan ofre for at virke fleksibel og
imødekommende. Derfor kan det anbefales at reflektere over det og nedfælde dem til eget brug
således at man agerer rationelt, på det rigtige tidspunkt og i den rette kontekst.
Definitioner, fravalg og afgrænsninger.
Wikipedia12
definerer Risk management således:
“Risk management is the identification, assessment, and prioritization of risks (defined in ISO
31000 as the effect of uncertainty on objectives, whether positive or negative) followed by
coordinated and economical application of resources to minimize, monitor, and control the
12
http://en.wikipedia.org/wiki/Risk_management
18. 16
probability and/or impact of unfortunate events[1]
or to maximize the realization of opportunities.
Risks can come from uncertainty in financial markets, threats from project failures (at any phase in
design, development, production, or sustainment life-cycles), legal liabilities, credit risk, accidents,
natural causes and disasters as well as deliberate attack from an adversary, or events of uncertain or
unpredictable root-cause.”
Man kan ud fra det udlede såvel almene som specifikke forhold. Generelt vil de fleste være enige
om, at risikohåndtering indledningsvist handler om identificering, vurdering og prioritering af risici.
Uenighederne begynder, når man skal søge at lægge et konkret og praktisk indhold ned i de meget
luftige begreber. Der findes således en mængde modeller til risikoidentificering og den
efterfølgende behandling af det indhentede datamateriale.
Jeg vil gå nærmere ind i den konkrete analyse senere, og vil derfor her i forhold til den første del af
risikohåndteringen nøjes med at trække et par eksempler frem, nemlig ROS- og FERMA-modellen.
ROS modellen13 er en grundlæggende del af pensum for Katastrofe- og risikomanager, hvorfor jeg
af den grund alene ikke vil forklare den nærmere14
.
FERMA15
er en europæisk sammenslutning af sikkerheds-
og risikohåndteringsvirksomheder, foreninger og aktører
generelt, der via en fælles platform søger at påvirke
politikere og andre beslutningstagere. FERMA har også
skabt en sammenhængende model, hvoraf den danske
version findes her (del af modellen er til højre):
http://www.ferma.eu/wp-content/uploads/2011/11/a-risk-
management-standard-danish-version.pdf
Værdien af at kende FERMA er, at den er klart mere
internationalt orienteret end den i øvrigt udmærkede ROS-
model, hvorfor man i en international sammenhæng vil
have svært ved at bruge en dansk model, i samarbejde
med folk der bruger en international model. Det betyder
også at, selvom den vågne studerende kan undre sig over, at man skal bruge tid på at gøre sig
bekendt med et værktøj, når man allerede har ét i værktøjskassen, der udfylder rollen, så handler det
om i en international arbejdssituation, at kunne snakke samme sprog, som dem man skal samarbejde
med. Derfor vil FERMA modellen være den vi arbejder med i dette fag. Lad mig i den forbindelse
tillade mig at slå fast én gang for alle, at jeg anser at:
I den praktiske virkelighed og i særdeleshed på dette fag, så har teorier kun og alene en værdi
hvis man via dem kan skabe en konkret positiv forandring i virkeligheden, eller fastholde et
positivt Status Quo. Teorier der eksisterer alene for sin egen skyld er ikke kun tidsspilde men
derudover også tidsrøvere.
13
Kan eksempelvis findes her: http://brs.dk/planlaegning/helhed/planlaegningsgrundlag/rosmodellen/Pages/ROS-
modellen.aspx
14
Derfor forventer jeg at alle studerende kender og kan anvende den – alternativt kommunikerer med mig.
15
http://www.ferma.eu/
19. 17
Det siger jeg ikke for at provokere eller sætte spørgsmålstegn ved nogen eller noget i
almindelighed, men alene fordi man ikke har tid til overflødige analyser og sofistiske diskussioner,
når man skal levere et konkret produkt indenfor risikohåndteringen. Herudover vil modtageren i en
praksis sammenhæng hellere se gode resultater end en genial brug af teorier.
Man vil i en praktisk kontekst således ofte opleve, at mange ledere ikke bruger nogen teorier og
eventuelt bruger dem, de anvender forkert. Det er der mange grunde til, hvoraf en er problemet med
tidsforskydning af appliceringen af teorier. Det opstår ved, at ledere naturligt følger en karrierevej
igennem systemet hvor man i praksis sjældent ser øvre ledere tage tid til kurser, efter- og
videreuddannelse. Det betyder ofte for de øverste ledere, at de i praksis ofte i vid udstrækning
bruger de teorier og værktøjer, de lærte, da de selv var på universitetet/handelsskolen, hvilket kan
være 20-40 år siden. Det kan derfor være en udfordring at vælge en meget teoretisk tilgang i forhold
til en løsning af en opgave, specielt i et pionerområde, idet ens modtagere potentielt kan være
strukturelt skeptiske og dermed imod fra starten.
Det der altid er vigtigst er resultater: mærkbare, målbare og konkrete. Derfor skal man anvende de
teorier, der kan skabe dem, og ikke mere. En vigtig pointe er dog, at forskellige mennesker har det
bedre med forskellige teorier: find dem der virker for dig, tilpas dem så de virker bedst for dig og
brug dem til at skabe og præsentere, de bedste resultater du kan frembringe.
Uanset modellen så er det primære i denne kontekst i første omgang at kunne forstå tankegangen.
Pointen ved at bruge en model i risikohåndtering - og begge modeller kan bruges også internationalt
hvis man kender dem – er at, man derved kan systematisere sin indledende jagt på de primære
risikodrivere. At man med andre ord tvinger sig selv til at tage den lange og ikke den nemme vej.
Når man har identificeret risici via en mere eller mindre systematisk proces, så kan man systematisk
og struktureret begynde at analysere og prioritere dem. Når dette arbejde er gennemført i sine
indledende Iterationer16, så kan man begynde det egentlige arbejde med at behandle de eksisterende
risici således at man kan fjerne dem eller minimere enten deres konsekvens eller sandsynlighed.
For studerende der er bekendte med ROS-modellen, så er der nok ikke så meget nyt i dette. Det nye
i forhold til at håndtere internationale risici er blandt andet, at man skal forholde sig til
internationale forhold og rammer. Derudover skal man forholde sig til internationale aktører samt
internationale og udenlandske nationale love og rammer. Endeligt skal man forholde sig til at
arbejde i eller samarbejde en international virksomhed med. I sagens natur er det umuligt at give en
indsigt i alle internationale forhold og rammer. Men overordnet kan det slås fast at man udenfor
Danmark ofte ser en mere gammeldags og hierarkisk opbygget organisation, hvor der er mindre
grad af medinddragelse og dialog end i Danmark.
Derfor er en del af arbejdet i dette fag at give de studerende et værktøj, således at de kan kombinere
deres eksisterende viden og værktøj med nye tanker og værktøj således at de primært kan indgå i
16
Iterationer er her forstået som værende afsluttede gennemgange af et givent materiale. Man kunne også kalde det
faser, men den bedste måde at anskue det på er snarere at det er finpudsninger og fejlfindinger af en behandling af og
stillingtagen til en given datamængde.
20. 18
danske nationale virksomheders, organisationer og institutioners risikostyrings beredskab
internationalt og i anden omgang at de på sigt er rustet til at blive en del af internationale aktørers
krise- og risikostyringsberedskab.
Den anden del af definitionen fra Wikipedia handler således om at styre ressourcer, økonomi og
andre faktorer for at afværge og reducere følgerne af risikofaktorer eller at maksimere udbyttet i en
risikopræget situation eller miljø. Dette ligger således i naturlig forlængelse dels af det ovenstående
og dels af det overordnede mål med såvel ROS- som FERMA-modellerne.
Det næste i denne definition er området hvor vi vil begynde at skelne og fravælge som beskrevet i
kapitel 1 og ovenfor.
Målet med dette fag er således ikke at gøre de studerende til ”Jack of all trades and master of none”,
men snarere at tegne hele billedet med henblik på at man struktureret og med overblik, kan være
med til både at løfte opgaven, samt uddelegere dele til andre afdelinger der er bedre rustet.
Eksempelvis vil man i definitioner som den fra Wikipedia af Riskmanagement, ofte finde at den
økonomiske risiko vil være fremherskende, hvilket ikke er mærkeligt. For det første er alle private
virksomheder direkte drevet af (og offentlige indirekte via deres budgetter), bestræbelserne på at
maksimere indtægter og minimere udgifter OG risici. Dette er særligt tydeligt i bankverdenen hvor
risiko udmøntes i kroner og ører i forhold til udlåns- og indlånsrente samt mulighederne for
eventuelt at få kapital (lån).
Med en (pr. 2013) stadig verserende international konjunkturkrise startet af blandt andet en dårlig
risikovurdering fra banker og ejendoms kreditinstitutioner, så er det ikke mærkeligt, at det er dette
aspekt, der har den periodevist største bevågenhed indenfor risikostyring. Det medfører naturligt
også, at det er Virksomhedernes økonomiske og financielle afdelinger, der håndterer denne type
risici. Til deres rådighed har de mange specialiserede værktøjer der kan analyserer en given
porteføljes risiko og dermed hvordan man kan belåne den og med hvilken værdi man kan indskrive
den i regnskabet17
.
Det er også det økonomiske, der er drivkræften bag og omdrejningspunktet for en af de få danske
bøger om risikostyring, der er skrevet; nemlig Peter Lynggaards ”Risikoledelse og risikostyring”18
.
Han definerer området således: ”Det overordnede formål med risikoledelse er at understøtte alle
former for beslutninger, så styringen forbedres, og så der bliver større transparens omkring
sandsynligheden for at nå de opstillede mål. De mål der tænkes på, kan være strategimål,
budgetmål, driftsmål, sikkerhedsmål, miljømål osv.”19
Han lægger også vægt på, at Performance-orienteret risikoledelse tager udgangspunkt i de konkrete
strategier, hvor risici bliver vurderet ud fra den tyngde de udgør i forhold til de konkrete strategiske
mål. Altså ikke specielt langt fra det vi hidtil har vendt. Men som mange andre publikationer så er
17
Eksempelvist SAS
18
Lynggaard, Peter; 2011, her refereret til bogen som et samlet værk
19
Lynggaard, Peter; 2011, S. 15
21. 19
fokus og frem for alt de praktiske metoder og værktøjer rettet mod de økonomiske forhold og
specielt i forhold til finansbranchen. Det er ikke som sådant forkert, da dette typisk er en central del
af risikohåndteringen i mange sammenhæng. Her vil vi dog vælge en lidt anden vinkel på området.
Det burde være klart, at den almindelige studerende på dette studie ikke forventes at have sådanne
færdigheder, der stiller dem i stand til at indgå på lige linje med økonomer, der har en specialiseret
uddannelse bag sig. Men til gengæld har de studerende på Katastrofe- og risikomanageruddannelsen
nogle andre værdifulde kompetencer og referencerammer, som der kan bidrage positivt i andre
sammenhænge.
Derfor vil dette være det første store område, som vi vil fravælge i forhold til emnet dækket i dette
fag. Vi vil med andre ord ikke gå ind i den økonomiske risikovurdering hverken nationalt eller
internationalt. Men det betyder ikke, at den studerende ikke skal forholde sig til, at det eksisterer
samt, at det formodentligt i mange virksomheder vil være med denne baggrund, mange af dem der
beskæftiger sig med risiko, er blevet en del af organisationen. Derudover kan økonomiske risici,
godt være en del af det risikofelt vi afdækker, men det vil ikke have karakter af den tilbundsgående
gennemgang, som eksempelvis banker (forhåbentligt) gennemgår i forhold til deres engagementer.
Eller sagt med andre ord: man skal vide, at det er der og at det er vigtigt således, at man dels med
saglige argumenter i forhold til shareholders/stakeholders kan fraskrive sig ansvaret, men samtidigt
slå fast at der er en anden, der skal være risikoejer på det20.
Det næste store område vi vil fravælge, handler om produkter og deres markedsværdi og
produktlivscyklus. Det er helt givet, at de fleste private virksomheder lever af at lave produkter –
uanset om det er materielle som biler eller mere immaterielle som software eller en transportydelse.
I den forbindelse er det et kendt faktum, at de fleste varer følger en generel udvikling, der ofte
illustreres med en såkaldt PLC-kurve:
Ganske kortfattet handler det om, at de fleste
produkter vil gennemløbe flere faser, fra de
bliver introduceret til de evt. bliver taget af
markedet igen. Indledningsvis vil man således
opleve et stigende salg med nyhedsværdi og
introduktion og markedsføring. Herefter en
stagnering når produktet når en modningsfase,
hvor den bare generer en fast indtægt (en såkaldt
Cashcow). Endelig en fase hvor salget langsomt
falder i en nedgangsfase.
Man kan evt. genintroducere varen i en
relanceringsfase.
20
Risikoejer/Riskowner er her forstået som den person der indenfor et defineret område er ansvarlig for
identificering, vurdering og styring af indsatsen omkring og mod risici. Typisk ved hjælp af saglig, kompetent og frem
for alt struktureret analyse og vidererapportering til de korrekte instanser/aktører/personer.
22. 20
Uanset hvad så er pointen, at dette også vil blive opfattet som en reel risiko i en virksomhed – for
mange private virksomheder måske den største. Og dermed også noget man er nødt til at forholde
sig til. Det gælder i øvrigt uanset, om det er en privat/offentlig virksomhed eller for den sags skyld
en velgørende forening. En offentlig/velgørende organisation eller virksomhed vil således forventes
at give maksimal velfærd/nødhjælp eller opmærksomhed for de laveste mulige omkostninger.
Det illustrerer meget godt, at begrebet risiko ofte vil blive opfattet meget bredt og dermed have
mange faggrupper, der kæmper om det samme område. Men dette vil vi også fravælge.
På dette fag vil vi overordnet set altså ikke beskæftige os med den økonomiske risikostyring – ikke
fordi den er uvigtig, eller ikke fylder noget i de forskellige virksomheder og aktører, der beskæftiger
sig med risikostyring i forskellige sammenhænge og brancher. Det er kritisk at forstå at mange –
måske op til 90 % - af de Riskmanagers der sidder på stillingerne i de forskellige virksomheder er
økonomer. Deres udgangspunkt er således en økonomisk kalkule og i princippet i vid udstrækning
et forsikringsspørgsmål. De benytter sig typisk af forsikringsmæglere som eksempelvis Willis21
, der
beregner forskellige risici og anbefaler en forsikring ud fra det. Dette fag og kompendium søger at
stille de eventuelt kommende riskmanagers i stand til selv at tage styringen i denne proces, men det
er et opgør med den eksisterende praksis med alle de udfordringer og problemer der ligger i det.
Et tredje område vi ikke direkte vil behandle for sig selv, er informationssikkerhed. Emnet er
ganske enkelt så stort og omfattende, at det er et område i sig selv. Derfor er det naturligvis også
vigtigt, at vide at det eksisterer således, at man som en del af sit arbejde kan samarbejde med
organisationens eksperter indenfor området. Den danske stat opererer således pt. under ISO 27000
standarden22
, mens private virksomheder enten opstiller deres egne standarder, eller formulerer det
vagt. Dette område er i det 21. århundrede kritisk at have styr på, men er samtidigt så komplekst, at
det kræver eksperter. I denne sammenhæng vil indgangsvinklen derfor være at man skal sikre sig, at
der er en politik for informationssikkerhed, samt i en international sammenhæng sikre sig at der er
kompetente aktører der tager sig af det. Herudover vil vi overordnet gå ISO standarden igennem,
således at dem studerende har et overordnet værktøj til at gå i dialog med aktørerne indenfor IT
sikkerhed. Hvis man er usikker på virksomhedens IT sikkerhed, anbefales det som en af de første
opgaver at man peger det ud for ledelsen, og anbefaler, at man adresserer det via relevante
organisationer og personer internt i organisationen. Når det er sagt vil der være elementer af
Informationssikkerhed der naturligt vil være en del af arbejdet. Pointen her som i meget andet af
dette fags pensum er, at stille den studerende i stand til at stille sig kritisk til området, og herudover
stille dem i stand til at stille dem i stand til at stille de korrekte og kritiske spørgsmål til de relevante
– herunder eventuelt aktører fra egen organisation.
En anden risikotilgang er i forhold til fysisk sikkerhed: for såvel virksomhed som dets ansatte, og
her begynder vi at bevæge os ind i det område, som vil blive behandlet på dette fag. I den
forbindelse er det dog også vigtigt at lave nogle forbehold. Selvom fysisk sikkerhed afgjort vil være
en del af pensum, så vil vi ikke gå ind i en nærmere analyse af de taktiske forbehold og tanker, der
21
http://website.willis.dk/
22
http://www.digst.dk/Arkitektur-og-standarder/Styring-af-informationssikkerhed-efter-ISO-27001/ISO-27000-serien
23. 21
skal være til stede for eksempelvis at udføre perimetersikkerhed eller personsikkerhed. Dette er ofte
opgaver, der vil blive varetaget af specialuddannede politifolk, soldater og eventuelt private
sikkerhedsaktører.
Det er dog vigtigt, at man kan samarbejde med og stille krav til disse. Derfor vil vinklen snarere
være at man skal være i stand til at afdække evt. risici samt sparre og være i dialog med
sikkerhedsaktørerne, således at man kan bevare overblikket og sikre den overordnede håndtering af
risici.
Endeligt kan man diskutere den nationale vs. Den internationale vinkel. Det burde være klart, at der
er forskellige love og instanser, der varetager og regulerer risikohåndtering internationalt. Det er
meget tydeligt, hvis vi taler finansbranchen, hvor der er stigende krav til både metodik og
dokumentation. Det samme gælder bestyrelses- og ledelsesansvar.
Af denne grund og med udgangspunkt i studiet som det ser ud i dag, vil vinklen derfor være
at dette valgfag skal sætte den studerende i stand til med udgangspunkt i en dansk eller dansk
baseret virksomhed, forening, organisation eller instans, at kunne vejlede, rådgive og være
med til at styre arbejdet omkring håndtering af risici med undtagelse af primært
financielle/økonomiske, salgsorienterede og delvist IT baserede risici både i Danmark og ved
operationer, forretninger eller udsendelse af medarbejdere i en international sammenhæng.
En definition kunne i forlængelse af det således være at man som studerende ved afslutning af dette
fag, på sigt skal have forudsætningerne og rammer til, at være i stand til at indgå i en international
virksomhed eller organisation udenfor Danmarks grænser. Dette under forudsætning af at man ved
at udbygge sin viden, kontakter og formelle akkreditiver tilpasser sig de krav der dynamisk skifter i
den transnationale risikostyring.
Som det efterhånden er skrevet nogen gange, er det bedre at ved at afskære noget23, sikre at man har
styr på det resterende. Der er også rigeligt at tage fat på og ikke mindst at kunne håndtere i praksis.
Den samme tilgang kan det anbefales at man anvender når man sidder i funktionen, uanset
organisationen. I den sammenhæng vil det være kritisk at man ikke bare slipper en given risiko,
men sørger for at få den placeret i andre og kapable hænder.
Risikoledelse - overordnet procesbeskrivelse.
Der er mange forskellige tilgange til og beskrivelser af risikoledelse og riskmanagement, men der er
mange elementer der også går igen. I det ovenstående har jeg forsøgt at afgrænse nogle
hovedstrømninger. I det følgende vil jeg i forlængelse af det forsøge at skitsere helt overordnet
hvordan tilgange i denne sammenhæng vil være.
23
Eller mere præcist: allokere ansvaret et andet og relevant sted – i dette tilfælde ved at sige at det er urealistisk at
påstå at jeg kan ruste de studerende til efter end valgfag at kunne indgå i eb hvilken som helst virksomheds risk
management afdeling et hvilket som helst sted i verdenen.
24. 22
Som det kan ses af de forskellige illustrationer24
, så vil man ofte vælge en forholdsvis konventionel
tilgang, hvor man starter med at tilegne sig data, herefter vurderer data, implementerer sin løsning
og herefter, vurderer i hvor høj grad ens løsning har adresseret de udfordringer der eksisterer.
Som det også kan ses er der forskellige måder at beskrive emnet, men det kan også ses at de i vid
udstrækning ligner hinanden. Det handler således i høj grad om, hvordan man tolker det og i
hvilken sammenhæng man placerer det, der afgør i hvor høj grad ens produkt vil matche det
problem man skal afværge. Det er kritisk at forstå, at arbejdet med risici er dynamisk og en
kontinuert proces, hvor man fortløbende skal tilpasse sine løsninger.
Grundlæggende kan man dog sige, at der er nogle fællestræk. Uanset om risikostyringen er national
eller international, kan den som udgangspunkt hævdes, at kunne karakteriseres således25
:
1) Det er en fortløbende handling eller gruppe af handlinger, der skal være i overensstemmelse med
virksomhedens/organisationens/interessenternes overordnede formål, og dermed med den øvre
ledelses forståelse, støtte og feedback.
2) Det har til formål at karakterisere, identificere og kontrollere risici. Hvis man ikke kan
kontrollere så i det mindste advisere, således at ledelsen har et rimeligt råderum for at kunne vælge
korrigerende eller undvigende handlinger, så virksomheden og organisationen ikke bliver ramt med
fuld styrke af en given risiko.
3) Den skal sikre at man i vid udstrækning fra ledelsen og interessenternes side i en rimelig og
indenfor nærmere bestemte angivne rammer26
, er i stand til, at sikre at virksomheden eller
organisationens mål bliver opfyldt. Samtidigt skal den sikre, at der ikke opstår uforudsete forhold,
der vil virke uforholdsmæssigt indgribende på den daglige drift eller medføre uacceptable27
tab eller
skader på personer, organisationens værdier eller organisationens ry og rygte28.
24
Som man kan finde mange steder på nettet og i bøger. Eksempelvis som denne:
http://strikingprojectmanagement.com/qualitative-risk-analysis/
25
Med inspiration fra Peter Lynggard, 2011, S. 16.ff.
26
Kan både være strafferetslige, privatretslige eller ikke-retslige (eksempelvis i medierne).
27
Som nærmere defineret enten af organisationen selv eller hvis den er undergivet offentligt tilsyn, af disses regler.
28
Hvilket i en overordnet sammenhæng kan være dets brand. Nogen virksomheder lever af deres Brand; det folk
associerer virksomheden med, både positivt og negativt.
25. 23
4) Endeligt skal risikostyringen sikre, at man erkender problemerne, i tilstrækkelig tid til at kunne
identificere, vurdere, handle og om nødvendigt korrigere sin indsats. Herunder at man fra ledelsens
side har tid og mulighed for at få de rette løsnings- og styringsmidler i spil.
Bemærk hvordan dette ligner den såkaldte PDCA-model,
der ofte bruges i sammenhæng med projektstyring29. Det
vigtige i den sammenhæng er at forstå, at man bruger
disse modeller til kontinuerte forbedringer. Det kan være
en udfordring, hvis man skal levere et afsluttet produkt på
et givet tidspunkt, hvor man ikke har mulighed for at
tilpasse løsningen fortløbende. Derfor skal man også
tænke ind i sin løsning, hvordan man sikrer, at man ikke
har lavet en løsning, der falder fra hinanden, når man
slipper den. En blandt mange forudsætninger for at dette
virker i praksis, er derfor, at man enten skal være med til
eller rådgive om, at man skal etablere strukturer, procedurer og en organisation der magter at
arbejde med risici.
Derfor skal den studerede lære arten og kilder af relevante risici, og ting der påvirker
organisationer. Herudover hvordan risikoen reelt har indflydelse på og sammenhæng med
eksempelvis Finans, HR, Logistik, Drift, IT etc. I forvaltningen af eksterne og interne interessenter,
investorer og aktører. Dette vil i sagens natur ikke være noget der kan forklares uddybende her, men
vil være op til den studerende efterfølgende at tilegne sig tilstrækkelig viden indenfor i den
udstrækning det er meningsfyldt for den studerende i forbindelse med studie og kommende arbejde.
De skal have uddybet forskellige værktøjer og teknikker, herunder betydningen af den kulturelle,
sociologiske og samfundsøkonomiske kontekst. Således også forstå hvordan folk tager beslutninger,
og i forlængelse af det kritisk kunne anvende sin viden og færdigheder i praktiske organisatoriske
udfordringer.
De skal således også have beskrevet de færdigheder, der kræves for at kunne kommunikere effektivt
med andre risiko-relaterede discipliner og aktører.
Jeg vil komme med mit bud i de kommende kapitler, men i forlængelse af det ovenstående, kan jeg
ganske kort skitsere den tilgangsvinkel jeg i det følgende vil anvende her:
1. Dokumentér alt hvad du laver. Hvis det går galt, kan det være kritisk at du viser
hvordan du nåede frem til dine konklusioner. I en juridisk sammenhæng er det en del
af risikohåndteringen, at sørge for at virksomheden ikke hjemfalder et unødigt
juridisk eller ikke-juridisk ansvar, uanset om det er en erstatning, eller at man bliver
hængt ud på forsiden af medierne
2. Vurder området generelt. Hvad er din opgave, og hvem laver du den for? Hvad
ligger der i din opgave, og har du reelt forstået den? Hvad er de historiske,
29
Også kendt som Deming circle/cycle/wheel eller Shewhart cycle.
26. 24
infrastrukturelle, socioøkonomiske, samfundsmæssige og organisatoriske
forudsætninger og begrænsninger for opgaven som givet?
3. Har du tilstrækkelig datakilder, til at kunne vurdere risici? Er det en engangsopgave,
eller afsluttet område du skal beskæftige dig med, eller skal du fortløbende stå for
risikohåndteringen i en afdeling. Kan du kontinuerligt forbedre, den måde du
håndterer information og viden på således, at du bedre kan håndtere risici?
4. Beskriv problemfeltet. Hvis du ikke har fået en egentlig problemformulering, så må
du selv og gerne i dialog med interessenterne formulere den. Tag kontakt med
relevante eksterne organisationer for at få afklaret området.
5. Skitser baggrunden. En passende historisk, geografisk eller organisatorisk rids af det
der skal behandles – sæt stolperne så organisationen ved hvor de er henne. Det
vigtige her er relevans – alt det relevante skal med men kun det relevante.
6. Vurder og analyser risikofeltet. Ved brug af alle de relevante og til rådighed stående
midler og datakilder skal du finde HELE problemfeltet – eller den del af det som tid
og ressourcer levner mulighed for.
7. Prioriter og kommenter de fundne risici. Find en måde der i så høj grad som muligt
adresserer de problemer, du har fundet. Vurder om det er tilstrækkeligt, eller om der
er områder, som du har brug for ekspertbistand til. Hvis der er områder, der kræver
yderligere indsats for at blive afklarede og eventuelt via eksterne organisationer,
personer eller virksomheder, så gør det. Alternativt så meld klart ud til
organisationen at der er områder, der kræver en yderligere behandling.
8. Skitser og implementer en løsning for de problemer du kan. Find de nødvendige
samarbejdspartnere, hvis løsningen rækker ud over din evner, ressourcer,
kompetenceområde, hvad du har hjemmel/ret til osv.
9. Vær sikker på at løsningerne bliver gennemførte, og lav en plan der håndterer, de
risici du ikke kan fjerne. Mål, test og rapporter på sikkerhed og risici. Vurder
sikkerhedsniveauet og forsøg langs forskellige vektorer – med forskellige
tilgangsvinkler, at sikre at tingene forholder sig, som du har planlagt, eller regner
med.
10. Koordiner og tilse at evt. fejl eller uklarheder bliver korrigerede – og husk at test det.
Opfølgningen rapporteres til ledelsen.
11. Overdrag risikofeltet eller revurder om der er kommet nye risici til. Som beskrevet
tidligere så er risikohåndtering ikke en statisk størrelse. Derfor er det kritisk at man
forbliver i bevægelser eller sikrer en ansvarsoverdragelse så ændringer af
eksisterende risici eller nye der kommer til, ikke ændrer det sikkerhedsmæssige
landskab i en negativ retning.
12. Omorienter når du er sikker på at risikofeltet er fuldt og helt overdraget til en der
magter det.
En del af opgaven er således eksempelvis at tage stilling til, hvilke samarbejdspartnere der er
relevante for at kunne vurdere risici, i forhold til eksempelvis at sende medarbejdere eller starte et
projekt i et land der ikke har samme struktur eller orden som Danmark. En del af disse aktører vil vi
27. 25
drøfte, men for en stor dels vedkommende er udfordringen, at man som aktør indenfor sikkerhed
bliver tvunget til at vurdere, hvem der reelt er de relevante samarbejdspartnere.
Det er i den forbindelse kritisk at huske på, at etablerede danske handlingsmønstre ikke
nødvendigvis fungerer, når man bare kommer lidt udenfor de danske grænser. Korruption er for
eksempel normen snarere end undtagelsen i mange lande, herunder også syd- og østeuropæiske.
Hvis vi tager dette eksempel, så udgør det en risiko for den internationalt engagerede virksomhed.
For det første så er der risikoen for, at man ikke kan lave forretninger i det land man ønsker, hvis
man ikke bøjer sig for det traditionsbundne krav om ekstrabetaling. Det kan i parentes bemærkes at
Danmark, af den toneangivende institution Transparency International, opfattes som et af de mindst
korrupte lande30. Det skal fremhæves at netop et studie af denne institutions hjemmeside er en af de
basale og grundlæggende kilder når man skal vurdere en operation eller forretningsmuligheds
risikopotentiale i udlandet.
Dette kan eksempelvis i et land som Italien, være i form af at visse forhandlingspartnere kan kræve,
at man bruger en særlig konsulentvirksomhed i forhold til implementeringen og indkørslen af et
givent produkt eller tjenesteydelse. Dette kan ofte være i området 3 - 12 % af købssummen for
hovedproduktet. Det viser sig i disse tilfælde ofte, at konsulentvirksomheden har
indkøberen/forhandlingspartneren som direkte ejer eller som eneste ejer. Vælger man ikke at følge
opfordringen, vil konsekvensen formodentlig være at en anden får ordren31.
Som nogle danske virksomheder har oplevet32
, så er der mange risici i dette: for det første er der
risikoen for, at man ikke får ordren – men dette har vi jf. det ovenstående valgt at fravælge at
behandle i denne sammenhæng.
For det andet så kan man komme i lommen på korrupte embedsmænd eller kriminelle
organisationer, og derved risikere at blive tvunget til yderligere lovbrud. Visse steder – eksempelvis
Kina – bruger man stadig den teknik der var almindelig under den kolde krig i forbindelse med
hvervning af agenter og informanter, nemlig Honningfælden33
. Metoden går således ud på at lokke
offeret som man gerne vil hverve eller vende til sin sag, ind i en kompromitterende situation
(eksempelvis ved at filme sex og true med at offentliggøre filmene), hvorefter man afpresser dem
for penge eller tvinger dem til fremadrettet at samarbejde med egne aktører mod deres egen
organisation. Normalt vil målet være udlevering af data. At betale korruptionspenge kan således
skabe en situation hvor man er nødt til at betale mere for at ikke få offentliggjort at man betalte til at
starte med.
30
http://www.transparency.org/cpi2012/results
31
http://issuu.com/transparencyinternational/docs/cpi_2012_report?e=2496456/2010281
32
http://www.novonordisk.com/press/news/news.asp?sShowNewsItemGUID=e5c2578f-e26b-4d2a-942f-
ca7f4929d0aa&sShowLanguageCode=en-GB
33
For en overfladisk og overordnet skitse af hvervemetoder og sammenhæng, se Wikipedia:
http://en.wikipedia.org/wiki/Clandestine_HUMINT_asset_recruiting#Recruitment
28. 26
For det tredje risikerer man naturligvis at blive opdaget hvilke udover risikoen for bøder vil
medføre tab af ens brands værdi34. Dette kan i sig selv på sigt betyde et markant større tab end såvel
selve den betalte korruption, i kraft af tab af salg og/eller en vanskeligere forhandlingsposition i
forhold til eksempelvis offentlige myndigheder. For nogen organisationer vil
Endelig viser det manglende overskud og overblik fra virksomhedens retning i forhold til
evaluering og håndtering ikke kun af pressen, men i mindst lige så høj grad fra den del af
organisationen der burde håndtere risici.
3. Risk management og ISO 31000
Jeg har indtil videre i store træk forsøgt at undgå brugen af ordet Risk Management. Det har jeg idet
ordet har et konkret indhold og ikke er en almen frase. Der har i mange år været mange der har
givet forskellige bud på, og disse bud har langt fra været entydige.
Som jeg beskrev i indledningen så er en af grundene til at jeg valgte at skrive dette kompendium,
det faktum at jeg ikke fandt at der var andre bøger der fuldt dækkede dette område. Eller og i
forlængelse af det, at jeg mente at der var et hul i forhold til hvad der eksisterede og hvad jeg mente
der var behov for.
Men risikostyring er ikke nyt eller for den sags skyld styret af nye værktøjer. Den grundlæggende
tanke om at veje sandsynlighed og konsekvens for en given risikovektor, op mod potentialet for
gevinst eller større skade er urgammel. I princippet er det tankegang af denne type der driver os på
arbejdet hver dag idet konsekvensen ikke ved er at gøre det er større end den kumulerede risiko for
skade, irritation og kedsomhed.
For at skabe en større form for entydighed og en mere klar international konsensus omkring
risikostyring har ISO organisationen stået for et udviklingsarbejde der i november 2009
kulminerede i den nye branche standard ISO 31000:2009. Formålet med denne er udover at skabe
en ensartet tilgang, i høj grad også at skabe en ensartet forståelse af terminologien omkring
risikostyring.
Overordnet skelner standarden mellem Risk Management og Risk Assessment:
” Risk management includes the application of logical and systematic methods for
• communicating and consulting throughout this process;
• establishing the context for identifying, analysing, evaluating, treating risk associated with
any activity, process, function or product
• monitoring and reviewing risks
• reporting and recording the results appropriately.
34
http://www.economist.com/node/10853611
29. 27
Risk assessment is that part of risk management which provides a structured process that
identifies how objectives may be affected, and analyses the risk in term of consequences and
their probabilities before deciding on whether further treatment is required .
Risk assessment attempts to answer the following fundamental questions :
• what can happen and why (by risk identification)?
• what are the consequences?
• what is the probability of their future occurrence?
• are there any factors that mitigate the consequence of the risk or that reduce the
probability of the risk?
Is the level of risk tolerable or acceptable and does it require further treatment? This standard is
intended to reflect current good practices in selection and utilization of risk assessment
techniques, and does not refer to new or evolving concepts which have not reached a satisfactory
level of professional consensus .”35
Som det kan ses, opfattes Risk assesment som en underordnet og integreret del af Risk
Management, det er den samme tilgangsvinkel som vi bruger senere i 12 trins modellen.
Tilgangen er generisk dvs. at det ikke er ment som en værktøj der detaljeret skal anvise konkrete
måder at gå til emnet på, men i stedet skal give inspiration til den overordnede tankegang36
. Derfor
har den også som målgruppe en bred vifte af såvel stake- som shareholders37, ligesom den også
henvender sig til professionelle og alle andre der beskæftiger sig med området. Dette inkluderer
såvel topledelsen, som den operative ledelse af en virksomhed, projektledere og specialister
indenfor risikohåndteringsorganisationen i virksomheder/organisationer, alle der er ansat for at sikre
ens ensartet tilgang herunder auditors38, Studerende og uafhængige konsulenter for nu at nævne de
fleste.
Før jeg går ind i selve standarden vil jeg tage et skridt tilbage og kort skitsere baggrunden for ISO
organisationen og dens grundlag, ligesom jeg også kort vil beskrive bevægelsen mod ensretning
efter første verdenskrig.
For nu at starte bagfra kan man postulere at den spæde begyndelse til behovet for standardisering,
som så meget andet var krig. En del af problemet var at der fandtes et væld af forskellige
35
Iso 31000:2009, s. 6
36
This standard does not deal specifically with safety. It is a generic risk management standard and any references to
safety are purely of an informative nature. Guidance on the introduction of safety aspects into IEC standards is laid down
in ISO/IEC Guide 51. (Iso 31000:2009, s. 7)
37
Shareholders her forstået i den almindelige terminologi, dvs. som ejerne af
virksomheden/organisationen/processen, dette også afledt dvs. aktieejere m.m. Stakeholders forstået som dem der
har interesse i eller fokus på virksomheden.
38
Ansatte i certificeringsvirksomheder, kontakt til hvilken i Danmark kan etableres via Dansk Standard:
http://www.ds.dk/da/
30. 28
målesystemer og værdier ligesom der også fandtes forskellige måder at opmåle på. Derudover
fandtes der forskellige rutiner, værktøj og tilgangsvinkler i produktionen af alle maskiner, våben o.l.
Derfor indførte man det metriske system, med udgangspunkt i franskmændene der indfasede det i
1799. Efterhånden er der andre måleenheder end kun længdemål der er kommet til, og den er derfor
blevet udvidet i en grad hvor den er blevet til et omfattende system kaldet SI-systemet. Et system
der indeholder blandt andet rummål, tidsmål og flademål.
Dette var en bevægelse der som beskrevet har været i gang over 200 år, men det fik særligt fokus
under anden verdenskrig hvor det blev en kritisk faktor dels at en given genstand kunne samles med
komponenter lavet af underleverandører. Herudover at man kunne med skib kunne fragte
komponenter mellem de allierede med det formål at kunne samle det endelige produkt i et andet
land. Det gav specielt mening hvor der var et begrænset antal specialiserede komponenter der var en
del af et tungt slutprodukt – eksempelvis i en kampvogn.
Dette medførte at man var nødt til at producere delkomponenter med specifikke mål og små
tolerancer og i øvrigt brugte de samme procedurer for at samle det endelige produkt.
Sagt med andre ord så var målet at man skulle gøre det på samme måde hver gang – ISO kommer
ikke bare af forkortelsen International Standardization Organization, men også af det græske ISOS
forstået som det samme. Man har siden 1945 begyndt at indføre et væld af ISO standarder for et
væld af ting, herunder processer og teoretiske rammer.
Når en virksomhed bliver ISO certificeret er det således for at kunder, leverandører og
samarbejdspartnere kan være sikre på at de laver det samme produkt på den samme måde hver
gang. Forudsigelighed er dermed det kritiske. Det er vigtigt at slå fast at en virksomhed godt kan
certificeres til at lave et dårligt eller inferiørt produkt.
Det er med andre ord IKKE kvaliteten af et produkt eller proces som en ISO standard garanterer.
ISO standarden 31000:2009 afløste en tidligere australsk/New zealandsk standard, der var mere
praktisk orienteret, og som der de facto var industristandarden. Standarden har ikke haft som et mål
at skulle skabe baggrunden for en certificering, om end der på sigt sikkert vil være forskellige
institutioner der med udgangspunkt i standarden vil certificere de processer og mål.
Den skal derfor snarere ses som et grundlag som de forskellige organisationer, virksomheder og
ledere kan bruge som et grundlag til at bygge på. Det er også med dette in mente at jeg har
inddraget elementer fra den i 12-fase modellen som beskrevet ovenfor.
Som beskrevet i Standarden, så opererer standarden med de følgende 7 måder man grundlæggende
kan forholde sig til risici:
a) Avoiding the risk by deciding not to start or continue with the activity that gives rise to the risk;
b) Taking or increasing the risk in order to pursue an opportunity;
c) Removing the risk source;
d) Changing the likelihood;
31. 29
e) Changing the consequences;
f) Sharing the risk with another party or parties (including contracts and risk financing); and
g) Retaining the risk by informed decision.39
Som det kan ses så er en af de vigtige pointer at man ikke nødvendigvis bør eller skal have som sit
mål at fjerne en given risiko. Man kan i den ene ende af spektret anse en risiko for en mulighed,
hvorunder man kan vælge at forøge den for dermed at udnytte en mulighed. I den anden ende fjerne
den eller dele dem med andre. Det er i sig selv delvist nyt, om end man i lang tid har talt om
risikoprofiler og risikovillighed som udtryk for at man var klar over at en risiko også kan betyde et
indtjeningspotentiale, eller hvis man arbejder med nødhjælp eller medicinsk hjælp i krigsområder at
være nødt til at acceptere at risiko i sagen natur er en del af arbejdet. For forsikringsselskaber er det
at dele en risiko intet nyt, idet reassurance hos andre forsikringsselskaber er en standardtilgang for
alle forsikringsselskaber.
For det andet så er udgangspunktet at standarden skal kunne bruges til alle typer risici:
”This International Standard can be applied to any type of risk, whatever its nature, whether
having positive or Negative consequences.”40
En vigtig detalje her er altså at en risiko ikke nødvendigvis opfattes som noget der vil have en
entydig negativ konsekvens.
Standarden søger som beskrevet også at skabe entydighed om begreberne, således eksempelvis:
Risk - effect of uncertainty on objectives.
Risk management: coordinated activities to direct and control an organization with regard to risk
risk management framework set of components that provide the foundations and organizational
arrangements for designing, implementing, monitoring, reviewing and continually improving risk
management throughout the organization
Risk management policy statement of the overall intentions and direction of an organization
related to risk management
Risk attitude organization's approach to assess and eventually pursue, retain, take or turn away
from risk
Risk management plan scheme within the risk management framework specifying the approach,
the management components and resources to be applied to the management of risk
Risk owner person or entity with the accountability and authority to manage a risk41
Blandt de ovenfor nævnte er der flere interessante, eksempelvis den grundlæggende idé om at risiko
er ”effekten af usikkerhed på målsætninger”. En noget luftig men alligevel grundlæggende god
beskrivelse idet den giver udtryk for den grundlæggende sandhed at risici giver uklarhed om
muligheden for at nå de mål som virksomheden sætter sig. En usikkerhed der eksempelvis for
financielle institutioner sætter krav om såvel dets soliditet, altså hvor godt de er polstret økonomisk
samt om deres udlånsprofil.
39
Iso 31000:2009, s. 19
40
Iso 31000:2009, s. 1
41
Iso 31000:2009, s. 2
32. 30
Derudover er der også en skitsering af nogen af de overordnede betragtninger og forhold til
risikohåndteringen. Således eksempelvis Risikopolitikken, der er forstået som virksomhedens vision
i forhold til risici. Det kunne eksempelvis være i form af at vælge at sige at man ikke accepterer
nogen risiko for at miste nogen medarbejdere til kriminelle organisationer. En sådan politik vil dog
åbenlyst både være for specifik samtidigt med at den er utilstrækkelig. Derfor vil man ofte vælge en
mere generisk som eksempelvis Maersk´s der slår fast at man gennem rettidig omhu skal undgå og
afværge alle de risici man kan forudse eller forhindre.
Standarden beskriver elementer af risikopolitikken således:
Accountability
The organization should ensure that there is accountability, authority and appropriate competence
for managing risk, including implementing and maintaining the risk management process and
ensuring the adequacy, effectiveness and efficiency of any controls.
Integration into organizational processes
Risk management should be embedded in all the organization's practices and processes in a way
that it is relevant, effective and efficient. The risk management process should become part of, and
not separate from, those organizational processes. In particular, risk management should be
embedded into the policy development, business and strategic planning and review, and change
management processes.
Resources
The organization should allocate appropriate resources for risk management.
Establishing internal communication and reporting mechanisms
The organization should establish internal communication and reporting mechanisms in order to
support and encourage accountability and ownership of risk.
Establishing external communication and reporting mechanisms
The organization should develop and implement a plan as to how it will communicate with external
stakeholders.42
Risikoattituden er mere en taktisk pendant til den strategiske tilgang i risikopolitikken. Det handler
således om at definere hvilke værktøj man ønsker og kan bruge.
Standarden beskriver også eksterne og interne kontekster, hvor de begge forstås som de miljøer
indenfor hvilket organisationen søger at opnå deres mål:
42
Iso 31000:2009, s. 10 ff
33. 31
Eksterne mekanismer kan indeholde:
The cultural, social, political, legal, regulatory, financial, technological, economic, natural
and competitive environment, whether international, national, regional or local;
key drivers and trends having impact on the objectives of the organization; and relationships
with, and perceptions and values of external stakeholders
Interne mekanismer kan indeholde:
Governance, organizational structure, roles and accountabilities;
Policies, objectives, and the strategies that are in place to achieve them;
The capabilities, understood in terms of resources and knowledge (e.g. capital, time, people,
processes, systems and technologies);
information systems, information flows and decision-making processes (both formal and
informal);
relationships with, and perceptions and values of, internal stakeholders;
the organization's culture;
standards, guidelines and models adopted by the organization; and form and extent of
contractual relationships.
Dette bruges også i Risikokriterierne, der er en referenceramme mod hvilket man sammenligner de
fundne risici. Dette ligger i forlængelse af risikopolitikken og – attituden, og bygger herudover også
organisationens mål og de in- og eksterne kontekster som beskrevet ovenfor. Endelig bygger det
selvfølgeligt også på standarder, love, branchepraksis og alle andre relevante parametre.
Standarden beskæftiger sig også med risikohåndtering, defineret som den overordnede proces
kombineret af Risikoidentifikation, Risikoanalyse og Risikoevaluering.
Risikoidentifikation er processen med at finde, erkende/genkende og beskrive risici. Dette
involverer identifikationen af risikokilder, begivenheder deres årsager samt deres potentielle
konsekvenser. Dette kan indeholde historiske data, teoretiske analyser, (mere eller mindre) oplyste
holdninger/meninger og ekspertudsagn samt de eventuelle behov for stakeholders.
Risikoanalysen er den proces man bruger for at forstå typen og indholdet af risikoen samt fastslå
niveauet af truslen. Dette skaber fundamentet for Risikoevalueringen og senere beslutningerne om
risikohåndteringen og hvordan man i praksis fjerner eller forholder sig til dem.
Risikoevalueringen er den proces hvor man sammenligner resultatet af Risikoanalysen med de
rammer man har opstillet i Risikokriterierne, med henblik på at slå fast hvorvidt risikoen er
acceptabel eller man skal lave en indsats for at ændre det.
Herefter skal man under Risikobehandlingen vurdere hvorledes man forholder sig til de erkendte
risici. Dette er de 7 tilgange beskrevet på side 61 øverst i dette kompendium.
Når man har mødt og løst risici, kan man være efterladt med nogen risici der ikke er løst. Disse
betegnes som residualrisiko, og kan enten bestå af ikke-erkendte risici eller af ”retained risk”, eller
risici som man bevidst vælger at fastholde.