I denna del ska vi analysera vår empiri mot den teoretiska analysmodellen som vi presenterade i teorikapitlet, vilket kommer stå till grund för våra slutsatser.
5.1 Implementering
ISO 31000 är tänkt för en långsiktig och heltäckande användning, detta kan ses utifrån den konstanta rapporteringsprocessen som ISO 31000 förutsätter. E.ON har skapat en struktur som kontinuerligt ska granska och återkoppla riskhanteringsarbetet. Det som ISO 31000 medfört är att den täcker alla slags risker, nu kan en och samma standard användas på alla risker. På E.ON har de inte haft en strategi eller tidsplan för implementeringen vilket ISO 31000 rekommenderar för att säkerställa en målmedveten strävan mot en fungerande riskhantering. E.ON fann inte en implementeringsprocess vara nödvändig då de utan större problem ansåg sig kunna anpassa den existerande riskhanteringsprocessen.
Riskhanteringsprocessen påstås ha integrerats inom den högsta ledningen vilket ISO 31000 kräver för att bolagsstyrningen ska vara ändamålsenlig och effektiv. Samtidigt finner personalen att ledningen är motvillig till riskhanteringsarbetet och känner inte att ledningen förstår nyttan av arbetet. Detta är en brist då ISO 31000 kräver att ledningen förbinder sig att arbeta målmedvetet och kontinuerligt för att säkerställa samspel mellan företagets kultur och riskhanteringspolicy. Riskhanteringen utgår från beslutsfattande, vilket innebär att den måste ske från uppifrån och ner (top-down). Ledningens engagemang anses även av Frigo (2011) vara ett krav för bra bolagsstyrning. Utbildning av anställda har inte skett vid
implementeringen av ISO 31000 och de riktlinjer som företaget använder sig av har inte ändrats så mycket, vilket tyder på ett svagt intresse och bristande engagemang från ledningen. Införandet av ISO 31000 kan bero på ett behov av legitimitet inom företaget, främst mellan koncernledningen och Risk Control för att bevisa sin existens genom att hänvisa till en yttre välkänd auktoritet, i form av ISO 31000.
Vår undersökning tyder på att E.ON bara verkar ha plockat de nödvändigaste delarna och inte lagt tid och resurser på övrigt som ingår i implementeringen av standarden. Därav är det svårt att tala om att någon fullständig implementering har skett då endast små förändringar går att se och undersökningen tyder på att delar av standarden inte följs. Avsaknaden av certifiering kan ha gjort implementeringsprocessen lidande då inga egentliga krav ställs på ett korrekt användande av standarden.
26
5.2 Riskhanteringsprocessen
5.2.1 Kommunikation och konsultation
Trots det påstådda införandet av ISO 31000 så har vi upplevt en brist i struktur och
kommunikationskanaler. Även om det på varje dotterbolag ska finnas en Risk Manager som ansvarar för att sammanställa och rapportera information till enheten Risk Control finner vi att kommunikationen mellan dem är något bristfällig då Risk Managerna inte får tillräcklig återkoppling på sitt arbete. Bristen på kommunikation gäller främst inom företaget, utåt gentemot myndigeter sker en kontinuerlig kommunikation med syfte att skapa förtroende och underlätta framtida investeringar. Utifrån årsredovisningarna kan vi se att kommunikationen gentemot aktieägare inte förändrats då ingen ny information tillkommit. Kommunikation inom företaget bör ske uppåt och nedåt då det är viktigt för att ledningen ska kunna ta välgrundade beslut men även för att riskerna på ett effektivt sätt ska kunnas hanteras av personalen (Frigo, 2011). Bristen på förändring i kommunikation ger ett intryck av
legitimitssökande inom samhället snarare än en vilja att förbättra riskhanteringsarbetet internt.
5.2.2 Etablera kontext
E.ON påstår sig ha tagit hänsyn till interna och externa faktorer och format sin
riskhanteringsprocess i likhet mede riskhanteringsmodellen som presenteras i ISO 31000. Det är inte möjligt att se några större skillnader i jämförelse med tidigare, då t.ex. dotterbolagen inte har upplevt någon förändring gällande riskhanteringen. Riskhanteringen börjar med att bestämma mål och kriterier för företaget. E.ON strävar mot en lägre risknivå och en ökad insikt i riskerna, på projekt- och anläggningsnivå upplever de sig ha märkt av förbättringar, dock går de inte att förknippa med riskhanteringsarbetet då utvärderingen av denna är bristfällig. Kopplingen mellan utvärderingen och den etablerade kontexten är otillräcklig till följd av brist på resurser och tid.
5.2.3 Riskbedömningsprocessen
5.2.3.1 Riskidentifiering
Riskhanteringsarbetet kräver att riskerna identifieras och detta görs på E.ON genom
checklistor, historisk data, brainstorming, workshops och expertutlåtanden. Dessutom tilldelas varje risk en riskägare som ansvarar för att hantera risken, dess bedömning, uppdatering och eventuella behandling. Detta följer modellen som angavs i standarden ISO 31000, dessa metoder anses vara bra och täcker väl behovet för riskidentifiering. Att dotterbolagen inte har märkt någon större skillnad i och med införandet av ISO 31000, kan möjligtvis förklaras med
27 att behovet av riskidentifiering redan tidigare varit stort. Detta till följd av myndigheternas reglering av energibranschen och de stora konsekvenser som eventuella risker kan medföra.
5.2.3.2 Riskanalys
Enligt ISO 31000 bör en djupgående riskanalys bestå av en analys av konsekvenser och sannolikheter av de identifierade riskerna och effekten av den nuvarande riskhanteringen. E.ONs riskanalys sker genom en rad olika metoder. Bredden fås då arbetarna rapporterar funna och upplevda risker in i ett dataprogram som jämför riskerna med historisk data som ger risken en sannolikhet, varefter en simulering görs av risknivån. Ingen av de intervjuade Risk Managerna upplevde någon skillnad i arbetet jämfört med tidigare. Den upplevda bristen på förändring kan möjligtvis förklaras med behovet av att redan tidigare ha haft en väl
utarbetad riskanalys då kraven från myndigheter och andra intressenter redan tidigare varit höga.
5.2.3.3 Riskutvärdering
Vid utvärderingen av risk ska risknivåerna jämföras med kriterierna som togs fram vid etableringen av kontexten. På E.ON sker utvärdering genom indelning i troligt riskutfall som sträcker sig från värsta rimligt tänkbara (Worst Case) till bästa rimligt tänkbara (Best Case). Dock sker ingen indelning av risk i kategorier utan varje risk bedöms för sig. Då
implementeringen inte skett genom standardanvisningarna saknas det en fullt etablerad kontext i enlighet med ISO 31000. Detta skulle göra riskutvärderingen lättare då det blir möjligt att bedöma förändringarna och förenkla jämförelsen av de upplevda riskerna. Vi upplever att det finns ett behov av utvärdering men att resurserna och tiden för det saknas, då de på högre nivå inte är intresserade även om intresset för utvärdering finns på lägre nivå.
5.2.4 Riskbehandling
När en riskbedömning genomförts bör det vid behov ske en behandling av den funna risken för att i rimlig utsträckning minska risknivåerna. Detta sker på E.ON genom transfereringar dvs. försäkrings- eller avtalslösningar, och via förändringar i arbetssätt och handlingsplaner. Dessutom väljer de i vissa fall att leva med risken och bevaka den istället då kostnaderna för riskreduktion överskrider nyttan. Dessutom så sker omvärderingar av riskbehandlingen kvartalsvis för att avgöra effektiviteten på behandlingsmetoden. Detta är förståeligt då riskerna inom energibranschen är väldigt varierande och vissa risker prioriteras. Om alla risker som når en viss nivå skulle behandlas skulle det leda till allt för höga kostnader och drabba företaget ekonomiskt i en omotiverat stor omfattning. Detta sker i enlighet med ISO 31000 som beskriver att riskhantering bör ske till den nivå som anses ekonomiskt rimligt.
28 Möjligtvis kan riskbehandlingens oförändrade utformning vara hänförlig till de krav som redan tidigare ställts från myndigheter och samhället på en välformad och riskfri
energiförsörjning.
5.2.5 Övervakning och granskning
Prestationer kan mätas genom målstyrning, utvärderingar och fortlöpande anpassning av riskhanteringsprocesser. På E.ON sker detta genom användandet av budget, och dess fördel ligger i dess relativt lätta mätbarhet. I budgetarbetet används riskhanteringsarbetet som ett stöd för att prognostisera kostnader. Nackdelen är att det som mäts snarare visar på hur bra företaget är på att uppskatta kostnader och inte på hur bra riskhanteringsarbete som bedrivs. Detta upplever vi som ett problem då ingen vidare utvärdering verkar ske varken hos Risk Control eller hos dotterbolagen. Det skapar även problem för vidare utveckling av
riskhanteringsarbetet då återkoppling är nödvändigt för att upptäcka fel, förbättringsmöjligheter och att anpassa riskhanteringsprocesserna.
På högre nivå anser de att kvalitén på riskhanteringsarbetet har förbättrats och att olyckorna på anläggningarna har minskat. Det verkar som om kommunikationen om detta skett utåt mot myndigheter för att skapa förtroende och legitimitet för företaget. Dotterbolagen upplever att förbättringar skett under ett antal år, men de kan inte ge något konkret exempel då de inte haft resurser att utvärdera sitt riskarbete. Vi upplever att riskövervakningen kräver förbättring speciellt då återkopplingen inom företaget gällande granskning är bristfällig. Det krävs utveckling av en metod som möjliggör prestationsmätning, istället för att jämföra utfallet av budgeten vilket inte ger en rättvisande bild av riskhanteringsarbetets effektivitet. Detta behövs då utvärdering är viktigt för att upptäcka fel som görs i riskhanteringsarbetet och för att kunna förbättra det på bästa möjliga sätt.
5.3 Sammanfattning
Någon egentlig implementeringsprocess verkar inte ha skett på dotterbolagen då de inte märkt av något införande, då de fortfarande i stor utsträckning använder sig av samma metoder som tidigare. Den högsta ledningen verkar inte vara intresserad av standarden, vilket är en
förutsättning för en lyckad implementering. Det är möjligt att det snarare handlar om att söka legitimitet genom användandet av en accepterad och ansedd standard än för att förbättra riskhanteringsarbetet (Power, 2009). De små skillnader som vi upplevt kan även bero på ledningens bristfälliga intresse då denna i många undersökningar visat sig vara en avgörande faktor för en lyckad förändring i organisationen (Murphy & Paté-Cornell, 1996). Det är även
29 möjligt att riskhanterarna inom företaget söker legitimitet genom hänvisning till utomstående auktoriteter, i det här fallet ISO 31000. Något som kan finna stöd i att Risk Officern ser en ointresserad ledning som det största problemet gällande riskhanteringsarbetet.
Kommunikationen utåt verkar fungera bra då E.ON strävar efter att skapa förtroende
gentemot myndigheter och aktivt söker deras godkännande. Dock har det i kommunikationen mot aktieägare inte skett några större förändringar. Inom företaget har kommunikationen vissa brister då kopplingen mellan Risk Control och dotterbolagen inte fungerar som den bör, då Risk Managerna upplever en brist på återkoppling och utvärdering av deras
riskhanteringsarbete.
Riskidentifieringen och riskanalysen verkar fungera i likhet med ISO 31000 och sker i enlighet med standarden och dess metoder samt med en väldefinierad ansvarsfördelning. Detta beror möjligen på myndigheternas krav och regleringar som sedan länge påverkat dessa delar av företagets riskhantering. Riskutvärderingen är bristfällig beroende på avsaknaden av tid och resurser. Vi upplever att E.ON ägnar sig åt de nödvändiga delarna av riskhanteringen som är ofrånkomliga för att få bedriva sin verksamhet, det vill säga de delar som ingår i riskbedömningsprocessen. Medan valfria delar verkar ses som mindre viktiga och tilldelas inte lika mycket tid och resurser.
Riskbehandlingen upplever vi vara väl fungerande då riskerna behandlas till den nivå som anses rimlig och prioriteras olika beroende på sin betydelse. Detta är beroende på
samhällskrav gällande energiförsörjning. Övervakningen och granskningen är bristfällig då dotterbolagen saknar egna resurser för utvärdering, vilket betyder att enda sättet för dem att se om någon förbättring verkligen har skett är att jämföra utfallet med den uppställda budgeten. Jämförelserna med budgeten riskerar att mäta effektiviteten på att uppskatta kostnader snarare än att bedriva ett effektivt riskhanteringsarbete vilket gör det svårt att utveckla
30