Integrering av operasjonell risiko i virksomhetsstyring : en flercasestudie av tolv virksomheter
Abstract
Økt globalisering, digitalisering og nyere samarbeidsformer i et komplekst og stadig skiftende
miljø medfører både utvidelse og endring av risikoer som virksomheter står overfor. En sentral
risiko i alle virksomheter, uavhengig bransje, er operasjonell risiko. Formålet med oppgaven
er å identifisere styringsmekanismer som virksomheter benytter for operasjonell risikostyring.
Oppgaven tar utgangspunkt i det teoretiske rammeverket, Simons (1995) Levers of Control,
og tidligere forskningslitteratur på risikostyring. Problemstillingen belyses og besvares med
utgangspunkt i en flercasestudie med tolv virksomheter innenfor ulike bransjer som vi har
kategorisert innunder: (1) Finansforetak, (2) Fiskeri og infrastruktur og (3) Konsulentselskap.
En avgjørende styringsmekanisme omhandler organisering og ansvarsforhold. Det er viktig at
styret og toppledelsen har fullstendig forståelse og kompetanse for hvordan de skal drive med
risikostyring i virksomheten. I tillegg er det viktig å tydeliggjøre sentrale roller som er
involvert i risikostyring, og at det blir utarbeidet klare mandater og stillingsbeskrivelser som
blir tilpasset virksomheten. Det vil også være hensiktsmessig å etablere utvalg og komité for
å opprettholde kontroll og styrke risikostyring i virksomheten. En annen avgjørende
styringsmekanisme er at internkontroll blir gjennomført og godt dokumentert. Videre er
avgjørende styringsmekanismer å utarbeide risikopolicyer og risikorammeverk, samt definere
virksomhetens risikoappetitt.
Andre avgjørende styringsmekanismer for operasjonell risikostyring er å benytte
risikomatrise, risikolister i rapportering, registrere hendelsesdata og predefinere tiltak med
tydelige ansvarsforhold. Det vil også være hensiktsmessig at virksomheter kvantifiserer
operasjonell risiko ved metodene KPI, KRI og budsjett. Finansforetakene skal i tillegg beregne
kapitalbehov for operasjonell risiko. Virksomheter bør imidlertid veie opp kvantitative
indikatorer mot kvalitative, og ledelsens kvalitative vurderinger bør veie like mye som de
kvantitative ved operasjonell risiko. Videre viser studiens funn at det er manglende
kompetanse på operasjonell risikostyring i virksomheter. For å bygge opp kompetanse og
skape en felles forståelse av risikobildet i virksomheten er det hensiktsmessig å benytte
risikoverktøy, hendelsesdatabase, overvåke og implementere et godt internt
kommunikasjonssystem. I tillegg bør virksomheten legge opp til kontinuerlig diskusjon og
involvering i alle ledd for å bygge kompetanse og bevisstgjøring. Det vil bidra til å skape felles
risikoholdninger og en god risikokultur i virksomheten. En god risikokultur er nøkkelen for å
drive med god operasjonell risikostyring.
Vår oppgave er et viktig bidrag til den akademiske litteraturen med empiriske beskrivelser av
hvordan tolv ulike virksomheter arbeider med risikostyring, samt vår visuelle fremstilling som
inkluderer avgjørende styringsmekanismer for god operasjonell risikostyring. Studien gir
dermed innsikt for praktikere for hvordan operasjonell risikostyring integreres i
virksomhetsstyringen.