Med rammeværk henviser forskerne til en ramme og struktur, der har til formål at understøtte en virksomheds risikostyringsaktiviteter, såvel som de vurderinger og beslutninger som træffes i denne forbindelse.
Ingen konsekvent brug
- Vi er i kontakt med ganske mange af de store virksomheder i Danmark. Og vores undersøgelser viser, at ingen benytter et af de eksisterende rammeværker fuldt ud, men plukker hvad, de mener, er relevant og former det efter deres eget behov, siger erhvervsforsker Per Henriksen, som sammen med assisterende projektleder Thomas Uhlenfeldt står for projektet med reference til professor Preben Melander, Center for virksomhedsudvikling og ledelse på Copenhagen Business School.
At plukke blandt det relevante er for så vidt en udmærket løsning. Det er ikke nødvendigvis et must at bruge et rammeværk, påpeger forskerne. Men et potentielt problem er, at man i realiteten ikke kender andre formelle rammeværker end COSO, som dels er meget engelsk/amerikansk orienteret, styret oppefra og ned, dels er mere indrettet på kontrol og rapportering end på vurdering af de positive muligheder såvel som negative risici i en usikker verden.
Ved siden af det veldokumenterede, men lidt formalistiske COSO, er der tre andre muligheder, som forskerholdet har analyseret, og som de mener, bør inddrages i overvejelserne, når virksomheder planlægger at sætte system i deres håndtering af risiko. Det er DeLoach, som er udviklet af en daværende partner i Arthur Andersen, FERMA, som er udviklet som en Risk Management Standard af Federation of European Risk Management Association, og den australsk-new zealandske Risk Management Standard. Alle fire modeller kan give en virksomhed et fælles sprog og et gennemprøvet system, hvis elementer i rækkefølge er:
- Mål og strategier
- Risikoidentifikation
- Risikovurdering
- Risikorespons
- Handlingsplaner
- Kontrolaktiviteter
Svage punkter
Når forskerne skal vurdere og sammenligne de fire værktøjskasser, er der fire punkter, de især hefter sig ved. Og det er her, at alle modellerne har nogle større eller mindre svagheder, når man kommer ned under hensigtserklæringerne og ser på brugen i praksis.
Det svageste punkt er koblingen til virksomhedens strategi. De største risici er ofte knyttet til virksomhedens overordnede strategiske beslutninger. Her hersker en usikkerhed, som ofte kan koste dyrt, som når man beslutter sig for et marked med ukendte vilkår eller for partnerskaber med ukendte med- eller modparter.
Hertil kommer, at arbejdet ofte starter i de enkelte afdelinger, som har let ved at opregne og vurdere risiko. Men de mange enkelte projekter summes sjældent op i et overordnet system, hvor ledelsen kan afveje den mod hinanden og styre efter de totalt bedste løsninger.
Forsømmer muligheder
I realiteten er fokus på tabsundgåelse. Men at undgå tab kan være at forsømme muligheder. Og her er det kun det australsk-new zealandske rammeværk, som tilbyder gode værktøjer til hjælp.
Hertil kommer, at de meget angelsaksiske modeller er tænkt oppefra og nedefter, de inddrager kun i beskedent omfang medarbejderne og virksomhedskulturen. De er præget af hensynet til aktionærernes interesser og mangler at inddrage de øvrige interessenter, som vi i Skandinavien lægger stor vægt på. Resultatet af forskernes sammenligning fremgår af tabel 2.
- Man kan ikke generelt udnævne den rigtige model. Det må afhænge af den enkelte virksomhed, dens situation og det marked, den opererer på. Men hvis vi endelig skulle vælge med udgangspunkt i skandinaviske ledelseværdier, må vi anbefale virksomhederne at se nærmere på den australsk-new zealandske model, siger Per Henriksen og Thomas Uhlenfeldt.
Tabel 2: Sammenfatning på konceptuel sammenligning
Rammeværk