Efter att under de senaste månaderna skrivit en serie artiklar for CFOworld kring operationella risker och hur man som organisation och ledning kan hantera och minimera en del av dessa känns det rimligt att summera och dra en del slutsatser.
Området i sig är stort och varje verksamhet har en unik uppsättning operationella risker varav jag har berört ett par viktiga riskkategorier; nämligen operationella risker med avseende på strategiska förändringsprogram med större inslag av it, samt hur man kan hantera och styra it-funktionens leverans bättre internt, och framför allt externt, i samband med outsourcing.
Jag har valt att fokusera på dessa områden då min personliga känsla är att dessa representerar om inte de vanligaste riskerna, så i varje fall de risker som historiskt orsakat störst ekonomisk skada för ett antal nordiska organisationer.
I min avslutande artikel kommer jag därför kort beskriva ett antal andra operationella risktyper och ge en del tips kring hur man belyser och hanterar en del av dessa. Låt mig emellertid for nytillkomna läsare börja med att sammanfatta vad operationella risker är och i vilka situationer jag menar att man alltid ska genomföra en operationell riskbedömning som ledning eller styrelse samt hur man kan gå tillväga.
Operationell risk definieras som risken att ekonomiska förluster uppstår på grund av fel och brister inom processer, teknik eller kompetenser eller på grund av externa faktorer (fritt efter Basel II-definitionen). Operationell risk kan även omfatta annan risk som bedrägeri, legala risker, fysiska risker och miljörisk.
Den stora skogsbranden i Västmanland (de företagare som inte haft försäkringsskydd) är ett aktuellt exempel på materialiserad operationell risk i form av betydande ekonomiska skador som drabbat organisationer – i detta fall sannolikt på grund av bristande kompetenser i ledningen.
När ska man då överväga att göra en operationell riskanalys?
Organisationer med operationell risk på ledningens agenda och vars styrelse diskuterar området ett par gånger per år har sannolikt god kontroll på sina operationella risker. I övrigt anser jag att man generellt ska göra en (extern eller intern) genomlysning av riskläget innan beslut formellt fattas att starta större utvecklingsprojekt, systembyten eller outsourcing av delar verksamheten.
Vidare alltid som del i due diligence vid företagsförvärv samt så tidigt som möjligt som nytillträdd (externt rekryterad) styrelseordförande, VD, CFO eller CIO.
Man kan enkelt förbättra sin riskmitigering genom att företagsledning tillsammans med nyckelfunktioner kontinuerligt arbetar med att identifiera och reducera de operationella riskerna. Normala företag och organisationer kommer långt med en enkel metodik som innefattar kartläggning av risker och riskområden samt analyssammanställning och bedömning av nuvarande risker.
Därefter värdering av risknivåerna – om möjligt inklusive finansiella konsekvenser (jämför den stora skogsbranden) samt beslut kring åtgärder (aktivitetsplaner och budget), följt av löpande riskmitigering som en del i den dagliga verksamheten, samt med regelbunden avrapportering till ledning och styrelse.
Några kontrollfrågeställningar i olika riskområden
Strategi och styrning
Hur ser ledningen på styrning av it funktionen och finns en it-strategi?
Finns en tydlig målbild och vision avseende it systemen?
Vilka mål utöver finansiella styr man it-funktionen mot?
It-funktionens planer och genomförandeförmåga?
Lokal it-styrning och it-ledningens kompetens?
Känner man till och följer it:s miljöpåverkan?
Vilka krav på dokumentation, formell beslutsprocess och rapportering av utfall mot mål och andra KPI ställer ledningen på it-chefen?
HR/Personalfunktion och it-organisation
Vad har personalfunktion med operationell risk att göra? Kanske en adekvat fråga och i min värld har det att göra med att synliggöra eventuella brister for att säkerställa att rätt kompetenser finns på plats inom organisationen.
Vid stora beroenden av så kallade nyckelpersoner och utan successionsplanering, en bra kompetenskartläggning samt befattnings- och rollbeskrivningar inom it, kan man i värsta fall stå utan de kompetenser som organisationen behöver för att fungera. Vidare är det väsentligt att it-funktionen löpnade dokumenterar sina processer och det dagliga arbetet avseende förändringar i it-system och liknande. Tyvärr är det vanligt att it-organisationen är så belastad eller sysselsatt med ”brandsläckning” att man inte hinner med strukturer, egen utbildning och process utveckling, kartläggning och dokumentation.
Jag har till exempel varit i kontakt med ett stort företag som satsade stora pengar och resurser på processutveckling inom hela koncernen – med undantag av två process områden (it funktion och projektstyrning). Exempel på frågeställningar inkluderar förekomst av best practise, diskussioner kring ISO eller annan certifiering.
Förekommer brister inom it funktionens egna processer?
Kartläggs och rapporteras dessa inom it och till företagsledningen?
Finns det ITIL eller motsvarande infört och hur utbildade är personalen inom systemförvaltning, help desk och support organisation avseende ITIL respektive operationella risker?
It-säkerhet
Följer och rapporterar it-organisationen incidenthistorik och driftstörningar?
Finns det en dokumenterad (och testad) redundans och fallback-rutiner avseende hårdvara, mjukvara, nätverk och telefoni?
Har organisationen gjort en katastrofplanering och övar man regelbundet?
Görs externa granskningar av it-säkerheten, penetrationstester, backup-rutiner, behörigheter och lösenord?
Informationssäkerhet
Finns det en kommunicerad informationssäkerhetspolicy?
Har organisationen adekvat kunskap om gällande lagstiftning som PUL?
Hur hanteras de ’’tysta perioderna’’?
Finns det tydliga riktlinjer avseende utskrifter och dokumenthantering?
Hur hanteras informationssäkerheten vid möjlighet att använda sina egna datorer eller surfplattor (BYOD) och vilken syn har ledningen på dataintegritetsfrågor?
Eventuellt kan också angränsande områden som skalskydd och inpasseringsrutiner vara viktiga att belysa.
Processer inom ekonomifunktionen
Det finns ett antal operationella risker som relaterar direkt eller indirekt till ekonomifunktionen. Har ekonomi till exempel full kontroll på alla in- och utgående betalningsflöden? Om inte alla fakturaflöden är automatiskt avstämda och kontrolleras finns anledning att se över detta.
Exempel på materialiserade risker är felaktiga momssatser, felaktiga utbetalningar och räntor, förseningsavgifter eller betalningsförelägganden. Nyckelord att ha med sig i analysen inkluderar transaktionsintensitet, automatisk avstämning, har felaktiga eller sena betalningar skett historiskt samt till exempel antalet betalningsanmärkningar.
Jag har personligen sett en organisation där chefer avsiktligt inte bokade större inkomna fakturor innan ett kvartalsbokslut (sannolikt i syfte att ”förbättra” det egna resultatet och därmed det egna bonusutfallet). Detta – om det är korrekt uppfattat – skulle i min värld falla under begreppet bedrägligt förfarande eller bedrägeri.
Andra exempel på finansiella processer som kan vara vettigt att titta närmare på är ”record to report”, ”order to cash”, management-rapportering och business intelligence. Till exempel är det centralt att kundbonusar beräknas på faktisk försäljning, det vill säga ett underlag avstämt med bokföringen.
Sist men inte minst – hur ser it-funktionens tillgänglighet att snabbt hantera eventuella driftproblem under känsliga perioder som lönekörningar och bokslut ut?
Miljö/CSR
CSR i allmänhet, och miljöfrågor i synnerhet, har snabbt vuxit i betydelse till den grad att myndigheter och en del organisationer har krav att särredovisa områdena i form av specifika årsredovisningar.
Finns det processer som minimerar energiförbrukning inom it och lokaler?
Mäter man reduktion av pappersförbrukning, flygresor och liknande?
Finns det en miljöpolicy kommunicerad till hela organisationen?
Har organisationen kontroll på sina underleverantörers arbetssätt avseende till exempel barnarbete, miljöfrågor och har ledningen fullständig kontroll hur internationella affärer genomförs?Detta är exempel på CSR-perspektivet. Effekterna att inte ha erforderlig operationell risk kontroll i CSR-perspektivet kan TeliaSonera vittna om.
It-leverantörer
Hur man styr och kontrollerar leverantörer av it-tjänster (drift, systemutveckling, molntjänster), oavsett om dessa ligger ”in-house” eller är outsourcade, har beskrivits i en separat artikel.
Andra relaterade områden är licenshantering samt att ha full kontroll på hårdvara (datorer, surfplattor, mobiltelefoner) som felaktigt hanterade kan innebära väsentliga merkostnader i form av straffavgifter eller andra direkta kostnader. Trots det är det inte ovanligt att företag inte har en process där nyanställda eller andra medarbetare kvitterar sin dator och telefoniutrustning samt upprätthåller en aktuell inventarieförteckning.
Projektstyrning (Change management)
Finns det en god förmåga och mognad hos den egna organisationen att driva projekt?
Finns det en etablerad projektstyrningsmodell?
Vem i organisationen styr och leder projektportföljen?
Finns det ett projektkontor om flera projekt drivs parallellt?
Levereras projekten historiskt enligt plan?
Se detta som exempel och den som är intresserad kan läsa två tidigare artiklar på temat ledning och styrning av program/projekt.
Sannolikt ger svaren på de mest relevanta frågeställningarna i artikelserien en tydlig indikation av behovet att belysa de operationella riskerna i just din organisation eller företag.
Min förhoppning är att mina artiklar stimulerar fler företagsledningar och styrelser att proaktivt arbeta med synliggörande och reduktion av sina inneboende operationella risker och därmed snabbt göra väsentliga ekonomiska besparingar.
Om skribenten: Björn Ovar Johansson är grundare av företaget Senior IT Executive, samt skribent för CIO Sweden, Computer Sweden samt verksam som föredragshållare. Du når Björn Ovar via cfoworld@idg.se
