5.2.1 Definition och omfång
Såsom vi kunnat utläsa av den teoretiska referensramen, utgör det givna företagets konkretisering av operativ risk den viktigaste förutsättningen för att kunna bedriva en effektiv hantering (Power, 2005, s.583) (Chorafas, 2004, s.87) (Deloitte & I. VW-HSG, 2007, s.14). Detta innebär att, utifrån den regulatoriska definitionen, specificera samt konkretisera de orsaker och händelser som är av relevans för den givna verksamheten.
Inledningsvis kan vi konstatera att ingetdera av företagen har vidareutvecklat definitionen av operativ risk, vilket framförallt bygger på att operativ risk inte är ett verksamhetsbegrepp som företagen aktivt agerar mot. Å andra sidan finns det en självklar förståelse för behovet av att beakta verksamhetsrelaterade risker, vilket sker allmänt eller under begreppet verksamhetsrisk/verksamhetsstörande risk.
Samförståndet kring de risker som finns inneboende i verksamheten underlättar att skifta mellan begreppen och istället diskutera i termer av operativ risk. I denna
bemärkelse kan man alltså betrakta operativ risk som ett paraplybegrepp, vilket ramar in de styrmedel och åtgärdstyper som respondenterna förknippar med
verksamhetsrelaterade risker.
Även om båda fallföretagen känner sig tillfredsställda med deras riskhantering, innebär avsaknaden av konkretisering och formalisering att det föreligger en förhöjd risk för att riskansvaret inte kan spridas fullt ut genom verksamheterna (Chorafas, 2004, s.87) (Power, 2005, s.585). Den stora vikten som läggs på chefernas uppfattning om vad som är riskfyllt, kombinerat med den abstrakta ramen, ökar också risken för att alla
väsentliga risker inte kommer att lyftas upp (Mikes, 2009, s.37). Det man däremot kan utläsa är att detta kompenseras av ett högt krav på verksamhetsförståelse, vilket också
borde innebära att riskhanteringsfunktionen inte saknar kapacitet att utmana verksamheterna beträffande deras identifierade risker.
Sammantaget kan man konstatera att båda fallföretagen tillämpar en helt annan terminologi än vad som förespråkas av Solvens 2. Att grundbegreppet för
verksamhetens risker skiljer sig skulle även kunna förklara varför företagen inte till fullo följer den praxis som följer av det specifika konceptet ”operativ risk”.
Fallföretagen har för övrigt en klar bild av vad som utgör risker för dem, vilket Bihmani (2009, s.3) menar är det viktigaste kriteriet för att kunna operationalisera riskbegreppet.
I denna bemärkelsen kan man således ändå hävda att de uppfyller den bakomliggande intentionen till operativ riskhantering.
5.2.2 Process och hantering
Processen för hantering av operativ risk bygger i båda fallföretagen på en årsvis riskanalys som främst aktualiserar situationen vad gäller relevanta risker, men som också sätter agendan för det kommande årets åtgärder. I detta avseende kan man konstatera att periodiciteten ligger i linje med branschen i stort. Utöver detta utför fallföretag A kvartalsvisa uppföljningar för att stämma av status på
riskhanteringsarbetet.
Hos båda fallföretagen genomförs lejonparten av riskanalysprocessen i mötesform där verksamheternas chefer, tillsammans med riskfunktionen, arbetar fram de risker som upplevs vara viktigast. Utöver detta använder sig båda fallföretagen av
processrelaterade metoder för kontroll av den löpande verksamheten. Detta är något som bl.a. har förespråkats av Xu, Pinedo och Xue (2017, s.426), där argumentationen utgår från att välutvecklade processmetodologier kan medföra stora nyttor i hanteringen av operativ risk. Den teoretiska referensramen lägger en stor vikt vid att riskanalysen av operativa risker ska utgå från en konkretisering av de orsaker och händelser som kan drabba verksamheten (Deloitte & I. VW-HSG, 2007, s.14) (Chorafas, 2004, s.87) (Basel, 2002, s.3–4). I denna bemärkelsen kan man konstatera att båda fallföretagen tillämpar ett helt annat förhållningsätt till analysen av risker, vilken delvis utgår från en konsensusbaserad men fri bedömning om riskexponering och delvis från säkerställandet av förutbestämda kriterier inom verksamhetsprocesserna.
Även om samtliga detaljer i fallföretagens riskhanteringsprocesser inte är klarlagda, går det trots allt att relatera deras övergripande aktiviteter till Hamiltons (2011, s. 68–69) process för riskhantering. I denna bemärkelse kan man iaktta distinkta skillnader beträffande det antal steg som respektive företag genomför.
Fallföretag A underströk vikten av att kunna attribuera ett belopp till samtliga risker, dels för att bättre förstå den potentiella effekten, men även för att kunna dimensionera försäkringar i de fall tillgångar skulle förstöras eller gå förlorade. Även fallföretag B tog upp kvantifieringen av risker, men där värderingen i huvudsak utifrån en konsensus mellan ledningsrepresentanterna. De arbetar därutöver aktivt med skräddarsydda åtgärder för att reducera sannolikheten för att risker ska inträffa, men omnämner inte utformningen av lindrande aktiviteter eller skadefinansiering.
Distinktionen utgörs därav av att fallföretag A stäcker sin riskhanteringsprocess till steget skadefinansiering, medan fallföretag B endast sträcker sin process till
riskbehandlingen.
Riskanalys Riskbehandling Skadebehandling Skadefinansiering
Fallföretag A Utförs Utförs Utförs Utförs
Fallföretag B Utförs Utförs - -
Figur 13 - Fallstudieföretagens riskhanteringsprocess
Av empirin kunde vi konstatera att inget av fallföretagen gör någon koppling mellan hanteringen av operativa risker och dess kapitalkrav. För fallföretag A skulle man kunna argumentera för att detta inte är problematiskt, eftersom deras riskhanteringsprocess egenhändigt inbegriper att motverka effekterna av inträffade risker.
Annat är det för fallföretag B, vilket bara sträcker sin process till riskbehandlingen.
Detta skulle eventuellt kunna förklaras av att företaget inte värderar sina risker i kronor, vilket i sin tur försvårar förutseendet av skadebehandlingen, tillika dimensioneringen av skadefinansieringen. I deras fall anser jag att kapitalkravet utgör en intressant
parameter, eftersom det just är till för att absorbera effekterna av inträffade risker. Att företaget inte gör någon koppling mellan faktiska risker och kapitalkravet skulle kunna innebära att bufferten inte är rätt dimensionerad i förhållande till riskerna.
5.2.3 Ramverk och metoder
Såsom Lundqvist (2014, s.394) har noterat finns det ett antal ramverk för riskhantering, alla med olika förhållningssätt beträffande sättet till vilket risker beaktas och värderas.
Enligt Toscha (2012, s.22) utgör COSO det mest utbredda ramverket, men han konstaterar samtidigt att det vanligast förekommande alternativet är att inte tillämpa något vedertaget ramverk överhuvudtaget. Detta innebär dock inte att företagen agerar ostrukturerat, utan de tenderar istället att skapa egna, eller tillämpa kombinationer av befintliga (Lundqvist, 2014, s.394).
Fallstudierna visar att inget att företagen tillämpar något känt ramverk, vilket också placerar dem i majoritetskategorin inom branschen. Den främsta orsaken till detta utgörs, enligt fallföretag A, av att de är alldeles för övergripande och teoretiska för att vara tillämpbara. Min tolkning är att deras riskhantering utgår från en samling metoder och verktyg som bäst stödjer deras uppfattning om risk. Ur detta perspektiv påminner riskhanteringen mycket mer om principerna bakom ekonomistyrningen, inom vilken
”paket” av ekonomistyrning byggs ihop till ett sammanhängande system (Ahrens, 2018, s.58).
Man kan därutöver konstatera att inget av företagen gör någon koppling mellan operativ risk och intern kontroll. Analysen under avsnitt 5.1.3.2 indikerade att detta samband har ett beroende i tillämpningen av COSO, en hypotes som alltså förstärks genom resultatet av fallstudierna.
5.2.4 Utmaningar och framtida utveckling
Att ställa frågan kring kända och kommande utmaningar har varit viktig för att kunna avgöra hur företagen generellt sett förhåller sig till hanteringen av operativ risk samt om den konceptuella problembilden känns igen av näringslivets utövare.
Det är intressant att inget av fallföretagen ser någon utmaning med hanteringen av operativ risk, trots att den mer eller mindre skulle kunna innefatta allt som
verksamheterna gör. Tvärtom anger båda fallföretagen att de är tillfredsställda med deras riskhantering, trots att denna i många avseenden avviker från den teoretiska referensramen. Fallföretag A tog visserligen upp risken att inte vara tillräckligt
”hands-on”, vilket kan tolkas som att riskhanteringsfunktionerna måste ha väldigt god kunskap om verksamheten och inte angripa den utifrån en checklista.
5.2.5 Modell över fallföretagens operativa riskhantering
Nedan modell sammanfattar fallföretagens operativa riskhantering och illustrerar, utifrån tidigare föreslagen modell, hur denna relaterar till spektrumet av möjliga uttryck.
Denna modell ger inte bara en övergripande bild över fallföretagens perspektiv, utan kan även användas till att härleda de perspektiv som inte har fördjupats.
Figur 14 - Modell över fallföretagens operativa riskhantering