Den upplevda riskhanteringen på företagen varierar enligt de intervjuade respondenterna. R5 berättar att den inte känner till någon riskhanteringsprocess alls. R5 känner inte till någon form av riskhantering som företaget gör och hävdar att den i sin roll inte kommer i kontakt med den typen av frågor. Vid en första anblick kring begreppet riskhantering och den pågående processen inom företaget säger R2 och R4 att de inte känner till någon specifik riskhanteringsprocess. Däremot anser R2 att ett sätt för att hantera risker är att använda sig av specifikt utformade rutinbeskrivningar i det dagliga arbetet. Rutinbeskrivningarna används för att säkerhetsställa att alla medarbetare har samma kunskap och tillvägagångssätt i arbetsprocessen. Vidare påstår R4 att det inte finns en generell riskhanteringsprocess som företaget utgår ifrån. Det är snarare beroende på vilken typ av risk och i vilken kontext som den uppstår förklarar R4. R1 instämmer i att det inte finns någon specifik utformad mall kring hur riskhanteringen utförs inom företaget. Samtidigt säger R1 att de infört en princip som kallas för “fyra ögon” principen. Principens innebörd är att en enskild medarbetare inte ska kunna godkänna sin egen faktura. En form av säkerhetstänk eftersom det i många fall rör sig om väldigt mycket pengar förklarar R1. R3 menar i sin tur att det finns olika system för vissa typer riskhantering inom företaget. Exempel på detta kan vara backup-planer för robotarna som används eller riskhanteringssystem som finns inom IT-avdelningen. Vidare säger R3 att riskerna inte är något som de kan komma ifrån utan snarare något de måste förhålla sig till.
Vi bestämde ganska tidigt att även om vi digitaliserar och automatiserar så måste vi ha ”människor” som kan rycka in om det blir fel i systemen. Det går inte att digitalisera bort riskerna.
(Respondent 3)
R6 och R7 berättar att de har tydliga riktlinjer kring hur de ska förhålla sig till olika typer av risker. Exempel på riskområden det finns riktlinjer inom är GDPR, dataskydd, sekretess, insiderinformation och penningtvätt. R6 anser att dokumenten är användarvänliga och enkla att läsa igenom ifall det finns osäkerhet vid hanteringen av ett specifikt fall.
39
Både R1, R2 och R7 har nämnt att de vid identifiering av en risk kontaktar antingen en chef, överordnad eller IT-ansvarig. R1 förklarar att det enbart har som rutin att varje medarbetare som jobbar “på golvet” tar kontakt med närmsta chef. R7 nämner att kontakt med överordnad sker för att få mer vägledning kring hur en risk ska hanteras. I de fall de tidigare nämnda riktlinjerna kring riskhantering varit otydliga eller otillräckliga. R3 och R4 nämner att kontakten med en IT-ansvarig är vanligt förekommande vid en identifiering av en operativ risk. R4 förklarar att om en risk identifieras inom ett system tas kontakt med systemleverantören. Ett problem finns dock när företaget själva har möjlighet att ändra saker i systemet, då kan det vara svårt att höra av sig till systemleverantören menar R4. Eftersom problemet är skapat av företaget själva, i det fallet säger R4 att de löser de risken internt med hjälp av IT-ansvarig.
Riskhanteringen gällande bristande kunskap i det dagliga arbetet varierar enligt de olika respondenterna. R1, R2 och R4 menar att efter en första introduktion till något förväntas det att du som medarbetare har tillräcklig kunskap. Med detta påstår respondenterna att det inte utförs någon ytterligare utbildning inom samma område utan då förlitar sig företaget på att du besitter den kunskap som krävs. R4 förklarar som tidigare nämnt arbete inom systemrelaterade uppgifter som en process där du måste utöva för att lära. R1 säger att efter den introducerande utbildningen kring dagliga arbetsuppgifter får du som anställd förlita dig på processbeskrivningar alternativt fråga en annan medarbetare. R3 berättar att nya arbetsprocesser tvingar medarbetare till en bredare kunskap en tidigare. En större kunskap kring system i det dagliga arbetet behövs. Inom företagen skapas också fler arbetsuppgifter inom support både till interna och externa parter med tanke på ökad användning med integrerande system. Dessa supportuppgifter för flera av medarbetarna har skapats för att få ett så aktivt flöde som möjligt menar R3. R6 och R7 nämner kontinuerlig kompetensutveckling inom företaget som en form av riskhantering, både inom säkerhetstänk men även inom arbetsuppgifter i det dagliga arbetet.
Kopplat till risker genomför vi årliga utbildningar som är obligatoriska för samtliga anställda, vilket ska uppdatera kunskapen i hur vi använder våra system på ett säkert sätt. Kunskapen till själva systemet får man med tiden men vi erbjuds också upplärning av systemen
40
Vidare menar R6 och R7 att riskhanteringen kring deras system sköts av IT-avdelningen. Som tidigare nämnt känner sig båda respondenterna sig trygga i användandet av system och nämner inga specifika risker kopplade kring systemanvändning. R6 nämner att en anledning till detta är att deras system genomgår långtgående kvalitetssäkringar och olika typer av tester för att säkerhetsställa att de upplever de krav som finns. R7 tillägger dock att vid införandet av nytt system eller en ny digital lösning finns det möjlighet att risker kring effektivitet eller kvalitet på arbetet som utförs. Anledningen till detta är enligt R7 att kunskapen tar tid att utveckla hos varje medarbetare vid nya digitala lösningar. R4 säger i sin tur att ett ökat användande av system har ställt större krav på kontroll och säkerhetsställande för företag. Då redovisning till stor del består av flera samverkande system finns det en ökad risk för att något blir fel. Arbetet har troligtvis i slutändan blivit mer effektivt än att arbeta med papper och penna, men samtidigt skapas en större kravbild i riskhanteringen kring systemen enligt R4.
R4 berättar att deras system är tillräckliga och bidrar till mindre risker än tidigare. Det tas inte fram system som ger större risker och försvårar jobbet, det skulle bara vara dumt anser R4. Samtidigt menar R4 att riskerna vid jobb inom integrerade system är svåra att komma undan från. Digitaliseringen har samtidigt gjort det enklare att hantera många av riskerna med hjälp av den nya tekniken. R2 upplever inte deras system som otillräckliga. Systemen testas flertalet gånger genom IT-avdelningen och om en risk identifieras kommer den att elimineras innan användandet av ett nytt system i det dagliga arbetet. I de fall risken inte går att eliminera skapas medvetenhet om risken hos medarbetarna för att kunna undvika att risken påverkar företaget negativt. R2 nämner exempelvis att tillägg i systemen eller ny teknik används som en lösning för ett system som kan uppfattas om otillräckligt. R1 instämmer att ansvaret för säkerhetsrisker inom deras system ligger hos IT-avdelningen.
Det är mer placerat på IT, men jag vet att de har kontinuerliga testscenarion, till exempel om vi skulle bli hackade, eller sådana frågor, det testar dem kontinuerligt för. Påstådda scenarion, hur de hanterar det och hur lång tid. Det mäts hela tiden. Så att man är förberedd ifall det skulle hända
41
Flera av respondenterna tycker att digitaliseringen haft en påverkan på deras förhållningssätt och hantering av de operativa riskerna. R1 nämner att allt arbete som utförs registreras i systemet. Möjligheten att gå tillbaka och se vad som är gjort finns därmed, likt en loggbok. Detta kan underlätta i felsökningen för att kunna identifiera vad eller vem som ligger bakom att felet uppstått menar R1. R3 instämmer i detta men beskriver det som att systemen bidrar till att det finns fler kontrollpunkter inom arbetsprocessen. R2 anser att digitaliseringens framfart skapat ett större säkerhetstänk och ett mer omfattande arbete kring hanteringen av risk inom företaget. R3 säger att risker inte går att undvika men anser samtidigt att arbetet kring hanteringen av risker inte förändrats med tanke på digitaliseringen. Det är snarare lika mycket tid som måste läggas ner men på andra områden än tidigare säger R3. Digitaliseringens påverkan på hanteringen av risker är enligt R4 att den dels hjälper till att identifiera risker, dels bidrar den med nya risker med tanke på det mer frekventa användandet av system.
Digitaliseringen ställer andra krav på att vi har koll på att systemen samverkar. Kanske just att vi har en annan organisation än vad vi hade haft om vi inte haft system.
(Respondent 4)
R6 hävdar att digitaliseringen bidragit till ett större fokus kring hantering av risker. Policys, styrdokument och rutiner är exempel på områden som digitaliseringen tvingat fram en uppdatering kring menar R6. Samtidigt understryker R6 att IT-avdelningen hanterar risker kopplade till systemen, R6 förutsätter i sitt dagliga arbete att systemet uppfyller de krav som krävs. R7 säger som flera av de andra respondenterna att hantering av risker blivit mer aktuellt med tanke på digitaliseringen inom branschen. R7 berättar att användandet av system i det dagliga arbetet har bidragit till fler typer av risker som företaget måste förhålla sig till.