Flere og flere virksomheder arbejder systematisk med risikostyring alias Enterprise Risk Mangement. Men hvornår startede de på det, og hvordan gør de det? Det har Ledelseidag.dk og journalist Lone Nyhuus spurgt fire store danske virksomheder om. Her er det Strategic Risk Manager Hans Læssøe, der fortæller om risikostyring i LEGO.
01. april 2009
Spørg Hans Læssøe, Strategic Risk Manager i LEGO, om, hvilke kvaliteter der kendetegner en god Risk Manager. Så er det hverken uddannelse eller titler, han nævner. Ifølge ham skal en god Risk Manager have:
- Derudover er strategisk risikostyring – meget langt hen ad vejen – anvendt, fokuseret sund fornuft. Jeg tror, det vil være fantastisk farligt at bygge eller etablere avancerede matematiske eller andre beslutningsmodeller for risikostyring, fordi det giver ”anledning” eller ansporing til at have for stor tillid til disse modellers resultater – hvorved man så at sige sætter auto-piloten til og glemmer at tænke sig om. Det er, som jeg ser det, præcis det, der er sket i den finansielle verden, vurderer Hans Læssøe.
Det var for halvandet år siden, og det var efter et års stille opstart, at Hans Læssøe tiltrådte stillingen som Strategic Risk Manager. I LEGO-koncernen havde de forsikringsbare, operationelle og finansielle risici været styret systematisk i mange år – helt på linje med alle andre professionelle virksomheder. Nu var turen kommet til strategisk risikostyring.
- Der er vi stadig i den tidligere fase. Erfaringer siger, at det tager mindst fem år at få en god risikostyring på plads, siger Hans Læssøe, der i en artikel til håndbogen i Risk Management gør rede for, hvordan han – sammen med 25 specialister fra alle dele af koncernen – har budt ind med over 200 risici.
Risiciene blev skrevet ind i et Excell-ark og derefter skåret ned til 75 (for nogle af dem lignede hinanden). Derefter blev dels sandsynligheden og dels effekten af risikoen sat ind i et skema. Dette skema har underafdelinger, der opregner beskrivelse og vurdering af risici; hvordan man sikrer sig, og hvor advarselslamperne kommer fra. Der er også indsat et led, der beskriver, hvordan én risiko vil føre en anden (eller andre) med sig. Databasen danner grundlaget for vurderinger og opdateres løbende, og væsentlige ændringer i sammensætningen eller i enkelte risici rapporteres separat.
Selve processen med at sikre en risikostyring er defineret centralt – ifølge Hans Læssøe er det lidt det samme som at sikre, at der er budgetter for hele organisationen. Derimod er det meget klart kommunikeret fra direktionen, at ansvaret for risici ligger i linjeorganisationen. Her har Hans Læssøe et ”netværk” af cirka 50 personer på mellemleder-/leder-/specialist-niveau rundt omkring i virksomheden. De bliver løbende kontaktet omkring systematiske opdateringer – og de er løbende mere opmærksomme end den almindelige medarbejder med at give input om ting, der opstår eller ændres.
- Den systematiske udrulning, hvor vi sikrer, at alle facetter af risikostyring er solidt forankret i alle dele af virksomheden, er vi kun lige ved at begynde på. Vi er - naturligt nok, synes vi - startet med de store og væsentlige risici. Den proces – og metoden at arbejde på, databasen til opsamling af data etc. - er ved at være på plads, og vi vil nu begynde at gå et ”spadestik” længere ud i organisationen på Business Unit-niveau, ligesom vi vil gå et spadestik dybere i processen og begynde at auditere at beskrevne mitigerende handlinger og early-warning-målinger reelt er på plads,« siger Hans Læssøe, før han slutter:
- Vi er altså SLET IKKE færdige med at etablere risikostyringen, men bliver man nogensinde det?
Se mere på www.lego.com
