Jämförelse mot olika utvecklingsfaser

DeLoach (2000) har delat in riskhanteringens utveckling i tre faser, vilka han benämner Traditionell riskhantering, Business Risk Management och Enterprise-Wide Risk Management. Vi avser i detta avsnitt att jämföra fallföretagen samt referensföretaget med de olika utvecklingsfaserna för att erhålla en helhetsbild av respektive företags riskhantering.

Telia

Telias riskhantering är till viss del funktionsdriven, som följd av att de traditionella finansiella respektive försäkringsbara riskerna, hanteras på en central nivå skild från övrig riskhantering. Dessa funktioner hanterar riskerna

på ett fragmenterat sätt, där varje risk hanteras separat. De har även ett negativt riskperspektiv eftersom de fokuserar på att reducera de negativa konsekvenser som dessa risker kan medföra. Det medför att riskhanteringen av de traditionella riskerna inom Telia, enligt DeLoach (2000), är kostnadsbaserad framför värdebaserad. Med avseende på de traditionella riskerna har Telia följaktligen en riskhantering som i flera avseende har en karaktär av det DeLoach (2000) har benämnt Traditionell riskhantering.

På affärsområdesnivå, där det yttersta riskansvaret åligger affärsområdeschefen, har Telia en återkommande och proaktiv riskhantering. De tillämpar ett brett riskhanteringsperspektiv, där affärsområdets samtliga risker tas i beaktande. De försöker även att utnyttja de eventuella möjligheterna som riskerna kan innebära, vilket resulterar i vad DeLoach (2000) benämner värdebaserad riskhantering. Företaget har därmed uppnått ett Business Risk Management perspektiv.

Vi menar att Telia har en integrerad riskhantering, då strategi och processer både på affärsområdes- och koncernnivå kontinuerligt länkas samman. Företaget försöker även på kontinuerlig basis sammankoppla individer med teknologi för att underlätta samt förbättra den processdrivna riskhanteringen. Företaget aggregerar även riskerna från projektnivå, via affärsområdesnivå, upp till koncernnivå. Det är indicier på att Telia närmar sig det DeLoach (2000) benämner Enterprise-Wide Risk Management. Anledningen till varför

Utifrån ett helhetsperspektiv positionerar vi Telias riskhantering mellan de två perspektiven Business Risk Management och Enterprise-Wide Risk Management, men med mest dragning mot det senare. Vi grundar det på att företaget aggregerar riskerna till koncernnivå för att erhålla en helhetsbild sin totala riskexponering. Vidare är riskhanteringen integrerade med övrig verksamhetsstyrning, vilket skapar en proaktiv och aktiv hantering av företagets risker. Att riskernas korrelationer inte beaktas hindrar dock företaget från att uppnå ett Enterprise-Wide perspektiv.

Telenor

Telenors riskhantering är delvis funktionsdriven, då de finansiella riskerna av traditionell riskkaraktär hanteras på en central nivå skild från den övriga riskhanteringen inom organisationen. De finansiella riskerna betraktas dock utifrån ett negativt riskperspektiv, eftersom det fokuseras på att undvika och begränsa eventuella finansiella skador. Det gör att riskhanteringen snarare är kostnadsbaserad än värdebaserad enligt DeLoach (2000). Därmed har Telenor, liksom Telia, med avseende på de finansiella riskerna en riskhantering som DeLoach (2000) karaktäriserar som Traditionell riskhantering. Anmärkningsvärt är att ansvaret för de traditionellt försäkringsbara riskerna har delegerats till affärsområdesnivå, vilka i sin tur införskaffar försäkringar från externa försäkringsbolag. Denna typ av outsourcing är en indikation på att företaget har frångått den strikt traditionella riskhanteringen, beträffande hanteringen av dessa risker.

På affärsområdesnivå, där riskansvaret åligger affärsområdeschefen, har Telenor en återkommande och proaktiv riskhantering. Riskhanteringen har en

processdriven karaktär som inkluderar affärsrisker. Riskhantering är därmed inte enbart kostnadsfokuserad, utan de ser även på risker som möjligher, vilka kan skapa värde för företaget. Företaget har därmed, liksom Telia, uppnått ett Business Risk Management perspektiv.

Telenor har delvis en integrerad riskhantering på affärsområdesnivå, då strategi och processer årligen länkas samman. Företaget försöker även sammankoppla individer med teknologi för att underlätta samt förbättra den processdrivna riskhanteringen. Företaget aggregerar även riskerna från projektnivå upp till affärsområdesnivå, där även riskers korrelationer beaktas. Det sker dock ingen aggregering av risker till koncernnivå. Riskhanteringen inom affärsområdena börjar därmed närma sig ett Enterprise-Wide perspektiv. Utifrån ett helhetsperspektiv positionerar vi Telenors riskhantering mellan Business Risk Management och Enterprise-Wide Risk Management, men dock med mer dragning åt det första. Vi menar att den främsta orsaken till det är att affärsområdenas risker inte aggregeras till koncernnivå, samt att korrelationerna därmed heller inte beaktas på denna nivå. Vidare har företaget inte i tillräcklig utsträckning integrerat riskhanteringen med övrig styrning, varför den inte erhåller de proaktiva och aktiva inslagen som bidrar till en effektiv riskhantering. Därmed är Telenors riskhantering inte fullställdig i förhållande till Enterprise-Wide Risk Management.

intervjuats. Det är dock möjligt att analysera och positionera företagets övergripande riskhanteringsambition. Hur deras riskhantering fungerar i praktiken skiljer sig troligtvis avsevärt.

Inom Sonera hanteras de traditionella finansiella respektive försäkringsbara riskerna på en central nivå, skild från övriga riskhantering. Dessa centrala funktioner hanterar riskerna på ett fragmenterat sätt, vilket innebär att varje risk hanteras separat. Hanteringen av de traditionella riskerna är fokuserad på att reducera de negativa konsekvenser som dessa risker kan medföra, vilket enligt DeLoach (2000) innebär en kostnadsbaserad riskhantering. Med avseende på de traditionella riskerna har Sonera följaktligen en riskhantering som enligt DeLoach (2000) skulle karakteriseras som Traditionell riskhantering.

Ett generellt riskansvar har delegerats till företagets olika affärsområden. Företagets riskperspektiv har breddats, vilket innebär att affärsrisker inkluderas i riskhanteringen. Det finns en uttalad ambition att beakta riskernas positiva sida för att skapa möjligheter till ökade intäkter. Det visar på att Sonera har ambitionen att tillämpa en, enligt DeLoach (2000), värdebaserad riskhantering. Vi anser att Sonera härigenom uppfyller kriterierna för Business Risk Management.

Den kontinuerliga riskhanteringen är initialt proaktiv, och då den är integrerad med övrig styrning sammankopplas strategi och process på ett önskvärt sätt. Ambitionen är att aggregera de olika riskanalyserna inom varje affärsområde till koncernnivå. Vidare är ambitionen att beakta riskers korrelationer både på

affärsområdesnivå och koncernnivå. Utifrån ett helhetsperspektiv har Sonera i dagsläget ambitionen att tillämpa ett Enterprise-Wide Risk Management perspektiv. Det är tydligt då risker aggregeras upp till koncernnivå samt att dess korrelationer beaktas. Vidare har företaget integrerat riskhanteringen med övrig styrning.

Vi avser med figur 5:1 visuellt förtydliga fallföretagens respektive referensföretags riskhanterings position i förhållande till de olika utvecklingsfaser vilka har identifierats i riskhanteringslitteraturen. Positioneringarna i figuren grundar sig inte på matematiska beräkningar, varför de är approximativt placerade.

Figur 5:1 Positionering av de undersökta företagen i förhållande till riskhanteringen olika utvecklingsfaser (egen bearbetning)

Vär de ska pa nd e Traditionell riskhantering Business Risk Management Enterprise-Wide Risk Management Finansiella Operationell Management

Risk Management perspektiv Telenor

Telia

Sonera

Avslutningsvis vill vi frambringa kritik mot DeLoachs (2000) riskhanteringsmodell, då vi menar att den saknar vissa relevanta inslag av lärande och kunskapsspridning. Detta trots att riskhanteringsmodellen omfattar ett lärandeperspektiv, då författaren menar att det skapas en lärprocess som resultat av en återkommande riskhanteringsprocess. Vi menar att spridningen av kunskaper och erfarenheter inom riskhantering inte enbart behöver ske i samband med själva riskhanteringsprocessen. Vi anser därför att en organisation på ett mer aktivt sätt bör sprida riskhanteringskunskap för att öka riskmedvetenheten inom organisationen, och därmed påverka effektiviteten av företagets riskhantering.