Integrering av operasjonell risiko i virksomhetsstyring : en flercasestudie av tolv virksomheter

Abstract

Økt globalisering, digitalisering og nyere samarbeidsformer i et komplekst og stadig skiftende miljø medfører både utvidelse og endring av risikoer som virksomheter står overfor. En sentral risiko i alle virksomheter, uavhengig bransje, er operasjonell risiko. Formålet med oppgaven er å identifisere styringsmekanismer som virksomheter benytter for operasjonell risikostyring. Oppgaven tar utgangspunkt i det teoretiske rammeverket, Simons (1995) Levers of Control, og tidligere forskningslitteratur på risikostyring. Problemstillingen belyses og besvares med utgangspunkt i en flercasestudie med tolv virksomheter innenfor ulike bransjer som vi har kategorisert innunder: (1) Finansforetak, (2) Fiskeri og infrastruktur og (3) Konsulentselskap. En avgjørende styringsmekanisme omhandler organisering og ansvarsforhold. Det er viktig at styret og toppledelsen har fullstendig forståelse og kompetanse for hvordan de skal drive med risikostyring i virksomheten. I tillegg er det viktig å tydeliggjøre sentrale roller som er involvert i risikostyring, og at det blir utarbeidet klare mandater og stillingsbeskrivelser som blir tilpasset virksomheten. Det vil også være hensiktsmessig å etablere utvalg og komité for å opprettholde kontroll og styrke risikostyring i virksomheten. En annen avgjørende styringsmekanisme er at internkontroll blir gjennomført og godt dokumentert. Videre er avgjørende styringsmekanismer å utarbeide risikopolicyer og risikorammeverk, samt definere virksomhetens risikoappetitt. Andre avgjørende styringsmekanismer for operasjonell risikostyring er å benytte risikomatrise, risikolister i rapportering, registrere hendelsesdata og predefinere tiltak med tydelige ansvarsforhold. Det vil også være hensiktsmessig at virksomheter kvantifiserer operasjonell risiko ved metodene KPI, KRI og budsjett. Finansforetakene skal i tillegg beregne kapitalbehov for operasjonell risiko. Virksomheter bør imidlertid veie opp kvantitative indikatorer mot kvalitative, og ledelsens kvalitative vurderinger bør veie like mye som de kvantitative ved operasjonell risiko. Videre viser studiens funn at det er manglende kompetanse på operasjonell risikostyring i virksomheter. For å bygge opp kompetanse og skape en felles forståelse av risikobildet i virksomheten er det hensiktsmessig å benytte risikoverktøy, hendelsesdatabase, overvåke og implementere et godt internt kommunikasjonssystem. I tillegg bør virksomheten legge opp til kontinuerlig diskusjon og involvering i alle ledd for å bygge kompetanse og bevisstgjøring. Det vil bidra til å skape felles risikoholdninger og en god risikokultur i virksomheten. En god risikokultur er nøkkelen for å drive med god operasjonell risikostyring. Vår oppgave er et viktig bidrag til den akademiske litteraturen med empiriske beskrivelser av hvordan tolv ulike virksomheter arbeider med risikostyring, samt vår visuelle fremstilling som inkluderer avgjørende styringsmekanismer for god operasjonell risikostyring. Studien gir dermed innsikt for praktikere for hvordan operasjonell risikostyring integreres i virksomhetsstyringen.