Examensarbete
Riskhantering i en svensk
förvaltningsmyndighet
- en kvalitativ fallstudie på Myndighet X
Författare:
Andreas Bergström – 940309 ab223re@student.lnu.se
Christoffer Walfridson - 930402 cv222ej@student.lnu.se
Förord
Denna studie är ett examensarbete från Controllerfördjupningen på Civilekonomprogrammet vid Linnéuniversitetet i Växjö. Studien behandlar riskhanteringen i den svenska förvaltningsmyndigheten Myndighet X. Vi vill framförallt rikta ett stort tack till Myndighet X och alla respondenter som har medverkat och bidragit med information till denna studie. Det är tack vare er medverkan och ert stora intresse som genomförandet av denna studie har varit
möjlig.
Vi skulle även vilja rikta ett tack till vår handledare Pia Nylinder för din vägledning under studiens gång.
Slutligen skulle vi vilja tacka vår examinator Elin Funck, Fredrik Karlsson och alla opponenter som har bidragit med värdefulla synpunkter och konstruktiv kritik som
har varit till stor hjälp. Tack!
______________________ ______________________ Andreas Bergström Christoffer Walfridson
Sammanfattning
Examensarbete, Civilekonomprogrammet, Controllerfördjupningen på Ekonomihögskolan i Växjö, Kurskod: 4FE18E, VT 2019
Författare: Andreas Bergström och Christoffer Walfridson Handledare: Pia Nylinder
Examinator: Elin Funck
Titel: Riskhantering i en svensk förvaltningsmyndighet - en kvalitativ fallstudie på
Myndighet X
Bakgrund: Riskhantering har blivit en viktig aktivitet i offentliga såväl som privata
organisationer. Svenska förvaltningsmyndigheter ställs inför allt högre krav att effektivisera sina verksamheter samtidigt som de har ett samhällsansvar för att skydda verksamheten från allvarliga störningar som kan ha en påverkan på landets funktionalitet och befolkningens välbefinnande. Vikten av att samordna riskhanteringsarbetet har därför fått en stor betydelse för att effektivt kunna hantera riskexponeringen. Myndighet X är en förvaltningsmyndighet som genomgår ett förändringsarbete för att samordna sitt riskhanteringsarbete från att tidigare ha hanterat risker som en frikopplad aktivitet. Det finns en avsaknad i tidigare forskning specifikt hur en svensk förvaltningsmyndighet kan gå tillväga för att samordna sitt riskhanteringsarbete.
Syfte: Syftet med studien är skapa en förståelse för hur en svensk
förvaltningsmyndighet kan samordna sin riskhantering. För att klargöra detta ska studien kartlägga Myndighet X syn på risk och deras riskhanteringsarbete. Vidare ska studien identifiera och analysera vilka svårigheter Myndighet X upplever i samordningen av sin riskhantering och därefter ge förslag på hur dessa svårigheter kan hanteras.
Metodval: Denna studie är en kvalitativ fallstudie på Myndighet X. Det empiriska
materialet har samlats in genom semi-strukturerade intervjuer med ett snöbollsurval för att komma i kontakt med respondenter som har den kompetens som krävs för att kunna bidra till att studiens syfte uppfylls.
Slutsats: Myndighet X gör risk- och möjlighetsanalyser enligt ISO-standarder i sina
respektive processer där sedan de mest väsentliga riskerna filtreras upp till verksamhetsplaneringen där generaldirektören använder denna information för att göra den övergripande riskanalysen enligt förordningen om intern styrning och kontroll. Denna riskanalys används sedan som beslutsunderlag för styrningen mot strategiska mål. Studiens resultat illustreras i en modell som är en utveckling av Myndighet X nuvarande riskhanteringsarbete och inkluderar förslag hur svårigheter i samordningen av riskhanteringsarbetet kan hanteras.
Nyckelord: Risk, Enterprise Risk Management, Svensk förvaltningsmyndighet,
Abstract
Master thesis, Programme of Master of Science in Business and Economics School of Business and Economics at Linnaeus University in Växjö, Sweden. Controller, 4FE18E, Spring of 2019.
Authors: Andreas Bergström and Christoffer Walfridson Tutor: Pia Nylinder
Examiner: Elin Funck
Title: Risk Management in a Swedish management authority - a qualitative case
study on Myndighet X
Background: Risk Management has become an important activity in public as well as
private organizations. Swedish management authorities are faced with ever-increasing demands to streamline their operations while at the same time having a social responsibility to protect the business from serious disruptions that can affect the country's functionality and well-being. The importance of integrating the risk management activities has a great importance in order to effectively manage and control the risk exposure. Myndighet X is a management authority that is undergoing a change process to integrate its risk management work from previously have managed risks as a decoupled activity. There is a lack of previous research specifically how a Swedish management authority can proceed to integrate its risk management work.
Purpose: The purpose of this study is to create an understanding of how a Swedish
management authority can integrate its risk management activities. To clarify this, the study will map the Myndighet X's view of risk and their current risk management work. Furthermore, the study will identify and analyze which difficulties Myndighet X are experiencing in the integration of its risk management work and then give suggestions on how these difficulties can be managed.
Method: This study is a qualitative case study on Myndighet X. The empirical material
has been collected through semi-structured interviews with a snowball selection to get in touch with respondents who have the skills required to be able to contribute to fulfil the purpose of the study.
Conclusion: Myndighet X makes risk- and opportunity analysis according to ISO
standards in their different business processes, where the most significant risks are filtered up to the business planning, where the director general uses this information to make the overall risk analysis according to the regulation on internal governance and control. The results of the study are illustrated in a model that is a development of Myndighet X's current risk management work that includes proposals on how difficulties when integrating the risk management work can be managed.
Keywords: Risk, Enterprise Risk Management, Swedish management authority,
Innehåll
1 Inledning _________________________________________________________ 1
1.1 Introduktion till studien __________________________________________ 1 1.2 Bakgrund _____________________________________________________ 1 1.3 Problemdiskussion ______________________________________________ 5 1.4 Problemformulering _____________________________________________ 9 1.5 Syfte _________________________________________________________ 9 1.6 Studiens fortsatta disposition _____________________________________ 10
2 Metod ___________________________________________________________ 11
2.1 Val av organisation ____________________________________________ 11 2.2 Forskningsdesign: En kvalitativ enfallsstudie ________________________ 11 2.3 Metod för insamling av teoretisk referensram ________________________ 13 2.4 Metod för insamling av empiriskt material __________________________ 13
2.4.1 Kvalitativa intervjuer _______________________________________ 13 2.4.2 Val av intervjupersoner _____________________________________ 14 2.4.3 Sekundärdata _____________________________________________ 16
2.5 Metod för bearbetning och analysering av empiriskt material ___________ 16 2.6 Kvalitetskriterier ______________________________________________ 17 2.7 Etiskt tillvägagångssätt _________________________________________ 19 2.8 Sammanfattning av metodkapitlet _________________________________ 20
3 Teoretisk referensram _____________________________________________ 21
3.1 Vad är risk? __________________________________________________ 21 3.2 Vad finns det för olika risker? ____________________________________ 22
3.2.1 Interna och externa risker ____________________________________ 23 3.2.2 Strategiska risker __________________________________________ 24 3.2.3 Finansiella risker __________________________________________ 25 3.2.4 Operationella risker ________________________________________ 25
3.3 Riskhantering _________________________________________________ 26
3.3.1 Riskhanterings utveckling ____________________________________ 26 3.3.2 Enterprise risk management __________________________________ 27
3.4 Riskhantering i offentliga verksamheter ____________________________ 28
3.4.1 Syftet med riskhantering i en offentlig verksamhet _________________ 28 3.4.2 Krav på att myndigheter måste hantera risk _____________________ 29 3.4.3 Praxis för riskhantering i en samhällsviktig organisation ___________ 31
3.8 Konceptuell modell ____________________________________________ 39
4 Empiri __________________________________________________________ 41
4.1 Om Myndighet X ______________________________________________ 41
4.1.1 Organisationsstruktur _______________________________________ 41 4.1.2 Processkarta ______________________________________________ 43
4.2 Vilka krav ställs på Myndighet X riskhantering? _____________________ 43
4.2.1 Varför har Myndighet X implementerat ISO-standarder i
riskhanteringsarbetet? ___________________________________________ 44
4.3 Vilka risker exponeras Myndighet X mot? __________________________ 45 4.4 Riskhanteringsprocessen ________________________________________ 47
4.4.1 Riskidentifiering ___________________________________________ 47 4.4.2 Utvärdering och hantering av risk _____________________________ 49 4.4.3 Riskuppföljning ____________________________________________ 51
4.5 Samordning och kommunikation av riskanalyser inom myndigheten ______ 52 4.6 Empirisk kartläggning __________________________________________ 54
5 Analys ___________________________________________________________ 56
5.1 Analysens utgångspunkt ________________________________________ 56 5.2 Strategiska mål ________________________________________________ 57 5.3 Myndighet X syn på risk ________________________________________ 57 5.4 Vad exponeras Myndighet X mot för risker? ________________________ 59 5.5 Riskhanteringsprocessen ________________________________________ 62
5.5.1 Riskidentifiering ___________________________________________ 62 5.5.2 Utvärdering och behandling av risk ____________________________ 63 5.5.3 Riskuppföljning och riskindikatorer ____________________________ 64
5.6 Samordning av riskanalyserna ____________________________________ 67 5.7 Sammanfattning av analysen i en modell ___________________________ 68
5.7.1 Reflektioner av modellen ____________________________________ 71
6 Slutsats __________________________________________________________ 73
6.1 Reflektioner och kritik mot studien ________________________________ 75 6.2 Förslag på vidare forskning ______________________________________ 77
7 Referenser _______________________________________________________ 78 8 Bilagor ___________________________________________________________ I
1 Inledning
Kapitlet inleds med en introduktion till studien. Vidare presenteras begreppen risk, riskhantering och riskhanteringens syfte i en offentlig verksamhet för läsaren. Bakgrunden ligger till grund för problemdiskussionen som belyser vikten av en samordnad riskhantering i en offentlig organisation. Slutligen utmynnar kapitlet i studiens problemformulering, syfte och fortsatta disposition.
1.1 Introduktion till studien
Denna studie behandlar riskhanteringen på den svenska förvaltningsmyndigheten Myndighet X som arbetar på uppdrag av regeringen. Myndigheten har ett brett ansvarsområde som delas in i tre fokusområden: samhällsplanering, byggande och
boende där respektive fokusområde styrs genom långsiktiga strategiska mål.
Regeringen ställer krav på Myndighet X att göra riskanalyser enligt förordningen
(2007:603) om intern styrning och kontroll. Förordningen definierar inte hur
riskanalyserna ska göras vilket är anledningen till att Myndighet X har gjort risk- och möjlighetsanalyser parallellt för att hantera regeringens ökade krav på effektivitet. Dessa har varit två frikopplade aktiviteter i organisationen vilket är anledningen till att Myndighet X upplevt ett problem och nu arbetar mot en samordnad riskhantering. Myndighet X menar att förändringsarbetet går åt rätt håll men upplever fortfarande vissa svårigheter i samordningen av sin riskhantering1. Med anledning av detta har Myndighet X efterfrågat ett utomstående perspektiv för att kunna erhålla rekommendationer hur svårigheterna med riskhanteringen kan hanteras vilket är skälet till att denna studie genomförts.
1.2 Bakgrund
Olve och Magnusson 2017; Rogachev 2008). En del organisationer är dock mer benägna att ta risker än andra organisationer i syfte att uppnå högre ekonomisk vinning (Wildavsky & Dake, 1990). Till exempel har privata företag långsiktig lönsamhet som mål och är därför mer riskbenägna än offentliga verksamheter som istället strävar efter att producera välfärd och hushålla med statens pengar (Nilsson & Olve, 2018). Risk kan även definieras med fokus enbart ur ett negativt perspektiv då det anses vara utfallet av en framtida händelse som kan resultera i att organisationen upplever en ekonomisk förlust (Rogachev 2008; Atheran 1970; Segal 2011). Därför anses risk vara komplext och kan skapa osäkerhet, skada verksamheten och medföra att strategiska mål inte uppnås (Rogachev 2008; van Daelen & Van der Elst 2010). Osäkerhet anses dock vara ett bredare begrepp då risk kan upplevas som en osäkerhet vid en händelse som inte är förutbestämd (Arwinge, Olve & Magnusson 2017; Rogachev 2008; Atheran 1970; Segal 2011). Skillnaden mellan risk och osäkerhet kan förklaras i att risk är något konkret medan osäkerhet är något ogripbart (Nilsson & Olve, 2018). Risk kan även upplevas som en osäkerhet om det uppstår tvivel om utfallet och risken inte kan uppfattas eller mätas (Knight 2006; Crowe & Horn 1967).
Organisationer kan utsättas för många olika typer av risker. Interna och externa risker är den övergripande kategoriseringen av risker (Nilsson & Olve, 2018). Externa risker är händelser som sker utanför organisationen och kan vara svåra att hantera medan interna risker sker inom organisationen och går att förebygga (Kaplan & Mikes, 2012). Risker som påverkar en organisation kan ha sitt ursprung i både externa och interna risker. Dessa risker kan vara av strategisk, finansiell eller operativ karaktär (IRM, 2002). Strategiska risker har en påverkan på organisationers strategiska mål och kan försvåra att dessa uppnås (Segal, 2011). Dessa kan inkludera risker kring forskning och utveckling samt förändringar i kundbehov (IRM, 2002). Vidare kan finansiell risk exemplifieras som oförmågan att finansiera verksamheten eller ränteförändringar (Hampton 2014; IRM 2002). Operativa risker kan störa verksamheten i form av avbrott vilket kan orsakas av företagskulturen eller otillräcklig kompetens (Segal 2011; IRM 2002).
2018). Till exempel har banker som strategi att utfärda banklån mot ränta och accepterar då en kreditrisk (Kaplan & Mikes, 2012). Samtidigt kan risker medföra att organisationer inte uppnår sina strategiska mål (Smith & Fischbacher, 2009). Strategin är en organisations handlingsplan som beskriver hur de ska uppnå de övergripande målen vilket innebär att verksamhetsstyrningens huvudsakliga uppgift är att implementera strategin (Anthony, Govindarajan, Hartmann, Kraus & Nilsson 2014; Andersson & Funck 2017). I organisationers strategiska arbete har därför riskhanteringen blivit ett viktigt verktyg då riskhanteringen ska ge underlag till beslutsfattandet i verksamhetsstyrningen (Ritchie & Brindley 2007; Rogachev 2008). I takt med att komplexiteten och förändringstakten i organisationers omgivning ökat har riskhanteringen fått en allt större betydelse (Frigo, 2011). Flera företagsskandaler runt sekelskiftet har bidragit till det ökade fokuset på riskhantering (Arwinge, Olve & Magnusson 2017; Smith & Fischbacher 2009; Power 2004). En av de mest uppmärksammade företagsskandalerna var när det snabbväxande energiföretaget Enron gick i konkurs år 2001 till följd av bristfällig riskhantering vilket resulterade i att betydande värden förlorades i en av USA:s största konkurser någonsin (Nilsson & Olve, 2018).
organisationen (Hoyt & Liebenberg, 2011). Relevansen med att en organisation måste ha en förståelse kring risk är att risker då kan identifieras och hanteras i ett tidigt skede innan effekterna av riskerna har upplevts (Nilsson & Olve, 2018).
För att kunna använda riskhanteringen effektivt har samordning av risker fått en betydande roll i utformningen av Enterprise Risk Management (ERM) som kan användas för att integrera riskhanteringen i hela organisationen och säkerställa att målen uppnås (Arwinge, Olve & Magnusson, 2017). ERM definieras av ISO (2018) som “coordinated activities to direct and control an organization with regard to risk” där syftet med ERM är att det ska vara kopplat till strategin och genomföras i hela organisationen. ERM tar hänsyn till både hot och möjligheter och för att den ska vara värdeskapande behöver riskhanteringen därför kopplas till den övergripande strategin där målet med riskhanteringen är att den ska bidra till att verksamhetens mål uppnås (Frigo 2011; Louisot & Ketcham 2014). Fördelen med att samla alla risker på samma ställe är att kritiska risker lättare kan urskiljas och utvärderas (Arwinge, Olve & Magnusson, 2017). ERM gör att organisationer får en mer övergripande helhetsbild i riskhanteringen vilket anses förbättra organisationens prestation (Gordon, Loeb & Tseng, 2009). För att riskhanteringen ska vara effektiv och systematisk behöver medarbetarna vara involverade i arbetet och på så sätt skapas ett gemensamt ansvarstagande i organisationen. Involverade medarbetare gör att risker kan fångas upp i ett initialt skede och inte när organisationen redan upplevt effekterna av riskerna. ERM omfattar även samordning mellan de ansvariga i riskhanteringen, vilket ökar förståelsen och förmågan att kontrollera hur olika risker utvecklas efter hand (Nilsson & Olve, 2018).
kvalitet och det sekundära målet kostnadseffektivitet (Merchant & Van der Stede 2017; Nilsson & Olve 2018).
1.3 Problemdiskussion
Med krav från Myndighetsförordningen (2007:515) ska alla myndigheter arbeta med att effektivisera verksamheten och hushålla med statens medel (Sveriges Riksdag, 2018a). Således ska myndigheter ta hänsyn till svenska skattebetalare genom att arbeta kostnadseffektivt för att de ska få avkastning på sina skattepengar (Durst, Lindvall & Bruns, 2018). Vidare menar Newlove-Eriksson, Giacomello och Eriksson (2018) att kraven på att myndigheter ska effektivisera sina verksamheter har ökat på senare år. Att pressen på myndigheter har ökat illustrerades i Transportstyrelsens IT-skandal. I syfte att effektivisera verksamheten outsourcades informationssäkerhetssystemet till en extern leverantör (ibid). Transportstyrelsens generaldirektör beslutade då att frångå riktlinjer och lagar kopplade till myndighetens informationssäkerhet. Denna bristfälliga riskhantering resulterade i en politisk kris år 2017 när det avslöjades att Transportstyrelsen läckt ut sekretess och hemligstämplad information (Newlove-Eriksson, Giacomello & Eriksson 2018; Transportstyrelsen 2017; Näringsdepartementet 2018). I detta fallet medförde den ökade pressen på effektivitet att kostnadseffektivitet prioriterades framför den svenska befolkningens säkerhet (Newlove-Eriksson, Giacomello & Eriksson, 2018).
För att effektivisera och skydda verksamheten har riskhantering blivit ett viktigt verktyg i offentliga verksamheter (MSB 2018; Ritchie & Brindley 2007). Riskhanteringen måste vara samordnad för att kunna vara effektiv och förbättra verksamheten. En icke samordnad riskhantering resulterar i kostsamt dubbelarbete och försämrar möjligheterna att övervaka risker (Nilsson & Olve, 2018). Vikten av att samordna riskhanteringsarbetet belystes i IT-skandalen i Transportstyrelsen då den bland annat orsakades av att riskhanteringsarbetet inte var tillräckligt samordnat (Näringsdepartementet, 2018). Att inte samordna riskhanteringen får konsekvenserna att förståelsen för risk minskar (Hoyt & Liebenberg 2011; Frigo 2011). En försämrad förståelse för risk inom organisationer förhindrar identifieringen av risker i ett tidigt skede vilket gör att risker upptäcks först när effekterna av riskerna påverkat organisationen (Nilsson & Olve, 2018).
Svenska myndigheter exponeras mot hot och risker som finns i samhället vilka anses kunna påverka myndigheter att nå sina strategiska mål (MSB, 2011). Riskerna kan störa och försämra verksamhetens prestation vilket belyser vikten av att hantera dessa för att kunna effektivisera verksamheten (Segal 2011; Ritchie & Brindley 2007; Kaplan & Mikes 2016). Till skillnad mot i den privata sektorn är riskhanterings uppgift i offentliga organisationer att stabilisera verksamheten istället för att kunna använda risker för att utnyttja ekonomiska möjligheter (Thompson & Rizova, 2015). Offentliga verksamheter är samhällsviktiga vilket innebär att riskhanteringen ska genomföras med hänsyn till landets funktionalitet, befolkningens hälsa och för att säkerställa att grundläggande värderingar upprätthålls. Därför är syftet med riskhanteringen att proaktivt åtgärda risker för att motverka allvarliga störningar som kan ha en påverkan på detta (MSB, 2018). Genom att stabilisera verksamheten kan samhällsviktiga organisationer producera välfärd vilket skapar värde för de svenska medborgarna (Thompson & Rizova 2015; Nilsson & Olve 2018).
Fletcher och Abbas (2017) menar dock att det är svårare för offentliga organisationer att samordna sin riskhantering än vad det är för privata företag. Det beror på att det är svårare att hantera risker i ett långsiktigt perspektiv på grund av politiska förändringar. Dessa förändringar kan försvåra riskhanteringen genom att en ny regering kan ha en annorlunda åsikt om vad som skapar värde för samhället (ibid). Riskhanteringen kan därför bli svårare att samordna och riskerar att bli en frikopplad funktion som inte är integrerad med organisationens verksamhetsstyrning (Nilsson & Olve, 2018). Att hantera risker som en frikopplad funktion från verksamhetsstyrningen definieras som ett siloperspektiv vilket anses vara ett ineffektivt tillvägagångssätt för att uppnå strategiska mål (Mikes 2009; Frigo 2011). Detta är problemet som Myndighet X har upplevt. För att säkerställa att Myndighet X uppfyller kraven i
myndighetsförordningen (2007:515) har de en skyldighet att göra riskanalyser enligt förordningen (2007:603) om intern styrning och kontroll (Sveriges Riksdag, 2018b).
Parallellt med dessa riskanalyser har Myndighet X även gjort risk- och möjlighetsanalyser på grund av en ökad kravbild att effektivisera och skydda verksamheten2. Dessa aktiviteter har liknats som två frikopplade aktiviteter i organisationen3 vilket Mikes (2009) beskriver som riskhantering ur ett siloperspektiv.
Detta har varit Myndighet X problem vilket är anledningen till att de genomgår en förändring för att samordna sitt riskhanteringsarbete4.
Ämnesområdet riskhantering har sedan sekelskiftet fått ett allt större fokus vilket kan vara anledningen till att det sedan tidigare finns en hel del forskning om hur en samordnad riskhantering implementeras i olika typer av verksamheter (Arwinge, Olve & Magnusson 2017; Smith & Fischbacher 2009; Power 2004). Framförallt finns det flertalet studier i privata företag som har krav på sig att hantera risker. Rogachev (2008) och Eckles, Hoyt & Miller (2014) behandlar i sina studier hur samordnad riskhantering implementeras i läkemedelsföretag respektive försäkringsbolag. I dessa studier framkommer det att syftet med att implementera en samordnad riskhantering är för att kunna ta vara på ekonomiska möjligheter för att maximera lönsamheten och för att förhindra skada på verksamheten. Dessa studier skiljer sig från vår studie då förutsättningarna och målet med att implementera en samordnad riskhantering är annorlunda än i offentliga organisationer där istället riskhanteringen ska stabilisera verksamheten för att ta landets funktionalitet och befolkningens välbefinnande i beaktning (MSB, 2018).
Det finns även tidigare forskning i offentliga verksamheter. Fletcher & Abbas (2017) och Collier & Woods (2011) har studerat hur samordnad riskhantering har implementerats i myndigheter. I Fletcher och Abbas (2017) studie diskuteras hur en amerikansk myndighet kan skapa värde genom att samordna sin riskhantering. Collier och Woods (2011) jämför hur myndigheter arbetar med riskhantering i Storbritannien och Australien. I studien kommer författarna (2011) fram till att det är stora skillnader mellan länderna hur myndigheter tillämpar riskhantering och vilka motiv det finns för att hantera risk. Eftersom vår studie behandlar riskhanteringen i en svensk förvaltningsmyndighet styrker detta att Fletcher och Abbas (2017) studie skiljer sig från vår studie då det är svårt att jämföra myndigheter i olika länder eftersom förutsättningarna är annorlunda. Det finns en avsaknad av studier som behandlar hur svenska myndigheter arbetar i sin riskhantering. En anledning som skulle kunna förklara avsaknaden av studier på hur svenska förvaltningsmyndigheter samordnar sin riskhantering kan vara att hotbilden mot svenska myndigheter har ökat på senare år,
framförallt kopplat till informationssäkerheten5. Att svenska myndigheter har blivit mindre transparenta på grund av den ökade hotbilden kan vara en förklaring till att få forskare fått möjligheten att studera hur svenska förvaltningsmyndigheter arbetar i sin riskhantering.
Ovanstående diskussion beskriver vikten av en samordnad riskhantering i en svensk förvaltningsmyndighet. Tidigare studier på myndigheter går inte att tillämpa på en svensk förvaltningsmyndighet på grund av de stora skillnaderna i hur riskhantering tillämpas av myndigheter då det finns unika förutsättningar mellan olika länder (Collier & Woods, 2011). Tidigare studier i privata organisationer kan inte appliceras på en svensk förvaltningsmyndighet då riskhanteringen har en annan roll och andra förutsättningar i privata företag än i offentliga verksamheter. I offentliga organisationer ska riskhanteringen motverka allvarliga störningar på verksamheten som kan en påverkan på Sveriges funktionalitet och befolkningens välbefinnande snarare än att använda riskhanteringen för att nyttja ekonomiska möjligheter (Nilsson & Olve 2018; MSB 2018). Det finns i dagsläget en hel del litteratur om hur riskhantering kan tillämpas rent teoretiskt men det finns få exempel på hur riskhanteringen behandlas i organisationsspecifika miljöer (Bhimani, 2009). Genom att undersöka hur Myndighet X går tillväga för att samordna sin riskhantering från att tidigare ha hanterat risk ur ett siloperspektiv ska denna studie identifiera och analysera de svårigheter som Myndighet X upplever och ge förslag på hur dessa kan hanteras i en modell. Denna modell ämnar därför att vara generaliserbar på andra svenska förvaltningsmyndigheter med hänsyn till att cirka 70 svenska förvaltningsmyndigheter har krav på sig att göra riskanalyser enligt förordningen (2007:603) om intern styrning
och kontroll och att det finns en otydlighet i hur denna förordning ska tolkas (Sveriges
Riksdag 2018b; Utvecklingsstrateg 2019; Ekonomistyrningsverket 2019b). Modellen ska kunna bidra med kunskap och förståelse hur en svensk förvaltningsmyndighet kan strukturera en samordnad riskhantering vilket kompletterar ämnesområdet riskhantering samt adderar ett bidrag till avsaknaden hur svenska förvaltningsmyndigheter samordnar sin riskhantering. Detta utmynnar därför i följande problemformulering:
1.4 Problemformulering
Hur går Myndighet X tillväga för att samordna sin riskhantering från att tidigare hanterat risk ur ett siloperspektiv?
1.5 Syfte
1.6 Studiens fortsatta disposition
Figur 1 - Studiens fortsatta disposition
Metod
•I detta kapitel motiveras inledningsvis valet av organisation och den forskningsdesign som har använts för att uppfylla studiens syfte. Vidare beskrivs tillvägagångssättet för insamlingen och bearbetningen av materialet till den teoretiska referensramen och det empiriska materialet. Avslutningsvis i kapitlet beskrivs vilka kvalitetskriterier som använts och de forskningsetiska tillvägagångssätten som har beaktats genom studien.
Teori
•Kapitlet omfattar den teoretiska referensramen som utgår från studiens syfte och som ska användas för att analysera det empiriska materialet. Inledningsvis beskrivs begreppet risk och vad det finns för olika typer av risker. Vidare skildras utvecklingen av begreppet riskhantering, ERM och syftet med riskhantering i offentlig
verksamhet. Avslutningsvis redogörs för riskhanteringsprocessen och andra delar som anses relevanta för en samordnad riskhantering.
Empiri
•Detta kapitel innehåller sammanställningen av det empiriska material som har samlats in för att uppfylla studiens syfte. Inledningsvis beskrivs Myndighet X och deras organisation följt av de krav de har på sig och hur dessa hanteras. Vidare belyser kapitlet vilka risker som Myndighet X exponeras mot. Med utgångspunkt i riskexponeringen illustreras därefter hur Myndighet X hanterar sin riskexponering och hur detta sedan samordnas inom organisationen.
Analys
•I kapitlet presenteras analysen av det empiriska materialet som utgår från den teoretiska referensramen för att identifiera och analysera hur Myndighet X kan gå tillväga för att hantera de svårigheter de har i samordningen av riskhanteringsarbetet. Slutligen utmynnar kapitlet i en modell på hur detta kan hanteras.
Slutsats
2 Metod
I detta kapitel motiveras inledningsvis valet av organisation och den forskningsdesign som har använts för att uppfylla studiens syfte. Vidare beskrivs tillvägagångssättet för insamlingen och bearbetningen av materialet till den teoretiska referensramen och det empiriska materialet. Avslutningsvis i kapitlet beskrivs vilka kvalitetskriterier som använts och de forskningsetiska tillvägagångssätten som har beaktats genom studien.
2.1 Val av organisation
Studien grundar sig i vårt intresse att behandla ämnesområdet riskhantering då vi ansåg att det är ett aktuellt och relevant område att studera som har växt fram och fått en stor uppmärksamhet sedan sekelskiftet (Power, 2004). Valet att genomföra studien i en svensk förvaltningsmyndighet ansågs intressant då riskhantering i myndigheter har fått en stor medial uppmärksamhet på senare år bland annat genom flera skandaler kopplade till bristfällig riskhantering (Newlove-Eriksson, Giacomello & Eriksson, 2018). Efter en initial undersökning ansåg vi att det finns en avsaknad av studier gjorda i svenska myndigheter vilket var anledningen till att vi försökte få kontakt med en myndighet med geografisk närhet till Linnéuniversitetet. Ett annat viktigt kriterium var att myndigheten skulle ha en tillräckligt etablerad riskhantering för att vi skulle kunna undersöka den. Efter initial kontakt med Myndighet X som ansågs uppfylla våra kriterier identifierade vi att de hade upplevt svårigheter med sin riskhantering och genomgår en förändring mot att samordna sitt riskhanteringsarbete. Detta ansågs som en intressant infallsvinkel till denna studie, vilket gjorde att valet föll på att undersöka hur Myndighet X samordnar sin riskhantering från att tidigare ha hanterat risker ur ett siloperspektiv.
2.2 Forskningsdesign: En kvalitativ enfallsstudie
förståelsen och visa upp hela bilden av Myndighet X situation (Holme & Solvang 1997; Jacobsen 2002). Denna situation anses som komplex då riskhanteringsarbetet omfattar flera olika delar av organisationen och är en viktig aktivitet då Myndighet X har allt högre krav på sig att effektivisera och skydda verksamheten med hänsyn till att motverka allvarliga störningar som kan påverka samhällets funktionalitet och välbefinnande. Således stärks argumentet att använda fallstudie som forskningsdesign då det anses vara lämpligt för att kunna bibehålla helheten i komplicerade situationer i olika organisations- och ledningsprocesser (Yin, 2007). Även Scapens (1990) menar att fallstudier är ett lämpligt val av forskningsdesign för att skapa förståelse för hur ekonomistyrning, dess funktioner och processer fungerar i praktiken. Avsikten med studien är att besvara hur Myndighet X går tillväga för att samordna sin riskhantering från att tidigare hanterat risk ur ett siloperspektiv samt hur de kan hantera svårigheterna som upplevs i förändringsarbetet mot en samordnad riskhantering. Detta stärker valet av fallstudie som forskningsdesign då Jensen och Sandström (2016) menar att fallstudier är det vanligaste tillvägagångssättet i problemformuleringar som består av hur- och varförfrågor.
2.3 Metod för insamling av teoretisk referensram
Insamlingen av material till den teoretiska referensramen har utgått från att uppfylla studiens syfte och svara på studiens problemformulering. För att finna relevant material har vi använt oss av Linnéuniversitetets universitetsbibliotek och dess databas
OneSearch samt Business Source Premier och Google Scholar. I den teoretiska
referensramen har grundböcker undvikits i största mån och är baserad på litteratur på avancerad nivå samt vetenskapliga artiklar för att öka studiens trovärdighet. Nyckelord som har använts i sökningarna har varit bland annat: Risk, Risk Management,
Riskhantering, Enterprise Risk Management, Riskhantering i myndigheter, Riskhanteringsprocess, Government risk management, Public-sector risk management, Effective risk management, Samhällsviktig verksamhet.
2.4 Metod för insamling av empiriskt material
Studiens syfte har legat till grund för insamlandet av det empiriska materialet. Med utgångspunkt att applicera en kvalitativ enfallsstudie som forskningsdesign har vi använt oss av intervjuer samt sekundärdata i form av dokument och årsredovisningar som empiriska källor. Intervjuer har utgjort den främsta delen av det empiriska materialet vilket Yin (2007) menar är den viktigaste informationskällan vid fallstudier. För att stärka studiens trovärdighet har användandet av flera empiriska källor eftersträvats. Genom att använda oss av sekundärdata som stöd till intervjuerna har vi fått ytterligare ett perspektiv som varit till hjälp för att undvika att intervjuerna tolkats felaktigt (Jensen & Sandström, 2016).
2.4.1 Kvalitativa intervjuer
olika intervjuguider (bilaga 1-3) för att anpassas efter respektive respondents kunskapsområde. Intervjuguiderna har strukturerats efter ämnesområdets olika delar och respondentens roll i riskhanteringsarbetet för att kunna besvara studiens problemformulering. Frågorna i intervjuguiden täcker information om
intervjupersonen, Myndighet X, riskbegreppet, riskhanteringen kopplad till verksamhetsstyrningen, riskhanteringsprocessen och förordningarna. Detta har gjorts
för att undvika att intervjuerna tappar fokus från ämnesområdet (Bryman och Bell, 2017). Jacobsen (2002) menar dock att en förstrukturerad intervju inte innebär en sluten intervju. Under intervjuerna har vi utgått från intervjuguiden och respondenterna har fått svara fritt. Vid eventuella funderingar har vi ställt följdfrågor som inte inkluderats i intervjuguiden. Då vi valde att genomföra semistrukturerade intervjuer med utgångspunkt i en intervjuguide var fysiska intervjuer att föredra då Jacobsen (2002) menar att denna typ av intervju är att föredra för att underlätta att samtalet blir mer naturligt med möjlighet att ställa följdfrågor. Med anledning av att det inte fanns möjlighet att genomföra alla intervjuer i fysisk form så tillämpades även två telefonintervjuer.
2.4.2 Val av intervjupersoner
Initial kontakt togs med Myndighet X via ett mail till personalavdelningen. Personalavdelningen såg sedan till att vi fick kontakt med rätt person som har agerat som en handledare under insamlingen av det empiriska materialet. Denna metod för att få tag på rätt personer kallas för ett snöbollsurval (Bryman & Bell, 2017). Med utgångspunkt i studiens syfte ansågs det relevant att bestämma vilka kriterier respondenterna skulle uppfylla för att kunna bidra med relevant information. För att erhålla helheten i Myndighet X riskhanteringsarbete var målet att intervjua respondenter med arbetsroller kopplade till ett ansvar i riskhanteringsprocessen genom hela organisationen. För att säkerställa detta var avsikten att genomföra intervjuer med anställda som anses ha nyckelroller i det dagliga riskhanteringsarbetet då Yin (2007) menar att nyckelinformanter anses avgörande för hur lyckad en fallstudie blir. Vi ansåg det även relevant att respondenterna behövde besitta tillräckligt med erfarenhet och kunskap för att besvara våra frågor och därigenom bidra till studien. För att förstå problemet med samordningen av Myndighet X riskhantering var det viktigt att intervjua minst en anställd som arbetat aktivt med förordningen (2007:603) om intern
styrning och kontroll för att kunna erhålla en bild av dess påverkan sedan den infördes
relevansen att intervjua anställda som arbetar med dessa riskanalyser och samordningen av dem. För att besvara hur Myndighet X går tillväga för att samordna sin riskhantering från att tidigare hanterat risk ur ett siloperspektiv ansågs det väsentligt att förstå helheten i implementeringen av ett samordnat riskhanteringsarbete. För att förstå kopplingen mellan riskhanteringen och det strategiska arbetet ansågs det viktigt att intervjua någon anställd i ledningen med kunskap om implementeringen av Myndighet X strategi. Med utgångspunkt i ovanstående kriterier bokade vår handledare in intervjuer med olika anställda som uppfyllde dessa kriterier.
Genom att intervjua Utvecklingsstrateg erhölls en bred överblick över organisationen samt hur riskhanteringsarbetet kopplas till strategin och verksamhetsstyrningen. Vidare gav intervjun med Enhetschef för informationshantering och administrativ stöd en djupare förståelse om Myndighet X problem med samordningen då respondenten arbetat med riskanalyser kopplat till förordningen (2007:603) om intern styrning och
kontroll sedan den blev ett krav för myndigheten. Det innebar att respondenten även
kunde definiera problemet med samordningen när Myndighet X senare även började genomföra risk- och möjlighetsanalyser. Samordnare miljö och kvalitet, Samordnare
arbetsmiljö samt Samordnare informationssäkerhet har aktiva roller i samordningen
av dessa riskanalyser som genomförs i Myndighet X processer. Det gav studien en djupare förståelse kring riskhanteringsprocessen och hur riskanalyserna sedan samordnas upp i organisationen. Säkerhetschef har det övergripande ansvaret för Myndighet X riskanalyser. Med respondentens erfarenhet från både risk- och möjlighetsanalyser och riskanalyser kopplat till förordningen (2007:603) om intern
styrning och kontroll kunde vi erhålla relationen mellan dessa och få en djupare
förståelse för problemet med samordningen. Marknadskontroll A och
Marknadskontroll B arbetar som processledare, vilket bidrog med förståelse för hur
Tabell 1 - Sammanställning av intervjuerna
2.4.3 Sekundärdata
Som komplement till intervjuerna har flera sekundärkällor använts för att öka trovärdigheten av studien (Yin, 2007). En sekundärkälla är enligt Björklund (2014) innehållet i all form av tryckt litteratur. Myndighet X hänvisade inför den inledande intervjun till sin årsredovisning och till EA-boken som innehåller bland annat information om förordningar och allmänna råd till myndigheter (Ekonomistyrningsverket, 2019a). Detta gav oss möjligheten att skapa förståelse om myndighetens förutsättningar och deras krav att genomföra riskanalyser på direktiv från regeringen. Under insamlingen av det empiriska materialet tog vi del av interna dokument som inkluderade Myndighet X nya riktlinjer i sin riskhantering, vilket kunde användas för att öka förståelsen för riskhanteringsprocessen och arbetet med samordningen av riskhanteringsarbetet. Dessa sekundärkällor var således till stöd i förberedelserna inför intervjuerna och som stöd för att tolka det empiriska materialet som erhölls från intervjuerna.
2.5 Metod för bearbetning och analysering av empiriskt material
data som samlades in (Bryman & Bell, 2017). Efter respektive intervju diskuterade vi våra enskilda intryck och anteckningar som skrevs under intervjuernas gång. Detta gjorde vi med syftet att komplettera transkriberingen med våra intryck från intervjuerna. Vi ansåg att det var nödvändigt för att stärka att vi tolkat informationen på samma sätt. Kvale och Brinkmann (2014) menar att det finns problem med att transkribera då skriftligt material inte motsvarar helhetsupplevelsen som erhålls från en intervju vilket stärker relevansen i att vi bearbetade och tolkade intervjuerna direkt efter dessa genomfördes.
Efter varje intervju transkriberades och analyserades materialet löpande kort därpå. Vi ansåg att den löpande analysen av det insamlade materialet gav oss bättre förutsättningar att kunna reflektera över intervjuernas innehåll. Detta styrks av Jensen och Sandström (2016) som menar att det är viktigt att analysera under studiens gång och inte endast i slutskedet. Därför användes Myndighet X årsredovisning och EA-boken inledningsvis för att skapa en förståelse inför intervjuerna. Dessa kunde även användas för att bekräfta att vi tolkat det empiriska materialet på rätt sätt, då det var mycket data som samlades in och att det till en början var svårt att se en helhet. Vidare användes sekundärkällorna som stöd till intervjuerna i olika skeden av insamlingsprocessen för att öka förståelsen när det empiriska materialet analyserades. Att basera en studie på flera informationskällor styrks av Yin (2007) då det gör att slutsatsen blir starkare. Exempelvis användes Myndighet X nya riktlinjer där figurer inkluderades som stöd för att bekräfta att det som sagts under intervjuerna kring hur risk ska värderas uppfattades på rätt sätt vilket ansågs underlätta analysen. Genom att analysen av det empiriska materialet utgick och strukturerades efter den teoretiska referensramen ansågs det till vår fördel då vi kunde upptäcka skillnader mellan empirin och teorin när vi försökte identifiera de svårigheter Myndighet X har i samordningen av sitt riskhanteringsarbete för att kunna komma med förslag hur dessa kan hanteras. Genom att strukturera analysen efter den teoretiska referensramen kunde vi skapa en tydligare helhetsbild av det empiriska materialet (Bryman & Bell, 2017).
2.6 Kvalitetskriterier
För att säkerställa kvaliteten på en empirisk samhällsvetenskaplig studie som en fallstudie är tillämpas fyra kriterier. Dessa kriterier är begreppsvaliditet, intern
att begreppsvaliditet är ett mått som ska säkerställa att studien speglar hur den verkliga situationen ser ut vilket kan kopplas till hur tillförlitlig studien är. För att stärka studiens validitet har flera empiriska källor använts och respondenterna som deltagit i studien har fått kontrollera att den information som har delgivits är korrekt.
Intern validitet definieras av Bryman och Bell (2017) som ett mått vilket beskriver om
2.7 Etiskt tillvägagångssätt
I denna studie har Vetenskapsrådets (2019) forskningsetiska principer beaktats. I en vetenskaplig studie måste forskarna ta hänsyn till flera etiska aspekter. Det gäller att hitta en balans mellan studiens bidrag till samhället och skyddandet av de individer som deltagit i studien (Patel & Davidsson, 2011). Med hänsyn till detta har Vetenskapsrådet (2019) utformat flera forskningsetiska principer. Principerna avser att vid en konflikt mellan forskare och undersökningsdeltagare utge normer för hur en god avvägning bör ske mellan individskyddskravet och forskningskravet. Principerna utgör vägledning och syftet är att ge forskaren en grund för att reflektera över sitt ansvarstagande. Individskyddskravet består av fyra allmänna huvudkrav på forskningen. Dessa är informationsskyddskravet, samtyckeskravet, konfidentialitetskravet och nyttjandekravet (Vetenskapsrådet, 2019). Under studiens
process har vi förhållit sig till dessa etiska principer för att studiens deltagare inte ska komma till skada (Bryman & Bell, 2017).
Vi har tagit hänsyn till Informationsskyddskravet och Samtyckeskravet genom att informera respondenterna om studiens syfte, att det är frivilligt att delta och att deltagarna kan avbryta sin medverkan när som helst. Detta har gjorts genom att vi beskrivit studiens process och informerat respondenterna under intervjutillfällena att de uppgifter som lämnas enbart kommer att användas i forskningssyfte.
Konfidentialitets- och Anonymitetskravet har upprätthållits genom att alla deltagare i
studien har varit anonyma vid namn. På grund av begäran om anonymitet till en viss grad har inte myndighetens och respondenternas namn delgivits i denna studie. Därav har förvaltningsmyndigheten benämnts som Myndighet X och respondenterna efter deras befattning i studien.
lyfter Bryman och Bell (2017) även upp principen falska förespeglingar. Denna princip innebär att forskaren beskriver något som den inte är och därför ger vilseledande information. För att säkerställa att vi inte givit falska förespeglingar har vi följt Vetenskapsrådets (2019) rekommendationer och låtit respondenterna ta del av det empiriska materialet som samlats in för att klargöra att det uppfattats korrekt. Utöver detta har respondenterna informerats vart de kan ta del av studien när den har publicerats.
2.8 Sammanfattning av metodkapitlet
Detta kapitel sammanfattas i figur 2 för att läsaren ska få en övergripande bild för de metodval som vi har gjort i denna studie.
3 Teoretisk referensram
Kapitlet omfattar den teoretiska referensramen som utgår från studiens syfte och som ska användas för att analysera det empiriska materialet. Inledningsvis beskrivs begreppet risk och vad det finns för olika typer av risker. Vidare skildras utvecklingen av begreppet riskhantering, ERM och syftet med riskhantering i offentlig verksamhet. Avslutningsvis redogörs för riskhanteringsprocessen och andra delar som anses relevanta för en samordnad riskhantering.
3.1 Vad är risk?
Risk har blivit ett allmänt förekommande begrepp och det mesta idag associeras med risk på något sätt. Detta kan illustreras av framkomsten av publicerat material som sedan mitten av 1990-talet och framåt har ökat explosionsartat. Risk har blivit något att hantera och organisera sig efter (Power, 2007). Den ökade uppmärksamheten kring begreppet risk kan resultera i konsekvenser som mer riskfyllda marknader snarare än mindre riskfyllda. Historiskt har begreppet risk präglats av olika tidsepoker. Från skrock på antiken, regleringar under kristendomens begynnelse, rationalitet under renässansen, upplysningstiden som orsakats från världskrigen och den stora depressionen, tills där vi är idag. Uppfattningen om risk har under historien alltid speglat vad samhället handlar om (Bernstein, 1995).
“Risk is the effects of uncertainty on objectives”
(ISO, 2018).
Risk anses vara en framtida händelse som det råder osäkerhet för utfallet (Aven & Renn 2009; Atheran 1970; ISO 2018). Det betyder inte att risk enbart är negativt som det traditionellt har ansetts vara utan risk kan vara både positivt och negativt. Vidare menar Segal (2011) att en negativ risk även kan vändas till en positiv effekt och hänvisar till Friedrich Nietzsche kända citat: ”What does not kill us makes us
stronger”(Segal, 2011 s. 20). Ett exempel på detta är en attack från en utomstående
kan påverka organisationen negativt i framtiden. Det kan minska sannolikheten att organisationen når sina mål (van Daelen & Van der Elst, 2010). En positiv risk anses vara kopplad till en organisations strategi och möjligheten att tjäna pengar (Arwinge, Olve & Magnusson, 2017). Framförallt från ett finansiellt perspektiv ses risk ofta som en möjlighet och kan definieras som avvikelsen av det beräknade utfallet (Power 2007; Segal 2011). Den positiva sidan är att det kan resultera i högre avkastning, genererade intäkter och ökat kapital (Nilsson & Olve 2018; Power 2007; Segal 2011). Den negativa sidan med finansiell risk är att det även kan resultera i ekonomisk förlust och högre kapitalkostnad (Segal, 2011).
Inställningen och riskbenägenheten kan variera mellan olika organisationer (Arwinge, Olve & Magnusson, 2017). En del organisationer är mer riskbenägna och accepterar risker i större utsträckning i syfte att uppnå ekonomiska fördelar än andra organisationer (Wildavsky & Dake, 1990). Privata företag har långsiktig lönsamhet som mål och har därför större riskaptit än offentliga verksamheter som är ovilliga att ta risker i den operativa verksamheten. Istället är målet i offentliga verksamheten att producera välfärd och hushålla med statens medel snarare än att maximera lönsamheten på lång sikt (Nilsson & Olve, 2018).
3.2 Vad finns det för olika risker?
För att underlätta och effektivisera hanterandet av risker är det viktigt att organisationer förstår skillnaden och kan kategorisera risker (Nilsson & Olve 2018; Kaplan & Mikes 2012). En organisation kan exponeras mot flera olika typer av risker som primärt kan kategoriseras i interna och externa risker (Arwinge, Olve & Magnusson 2017; Nilsson & Olve 2018). Kaplan och Mikes (2012) har ett annat synsätt och använder sig av ytterligare en övergripande riskkategori vilket är
strategiska risker och menar att interna risker även kan klassificeras som hanterbara risker. När riskerna har kategoriserats i interna och externa risker kan dessa delas upp
riskkategori som besitter kunskap och erfarenhet för hur den typen av risker bör hanteras på bästa sätt (Hampton, 2014).
3.2.1 Interna och externa risker
Kaplan och Mikes (2012) skiljer på interna och externa risker och menar att interna risker är hanterbara medan externa risker ofta är svårare att hantera. Organisationer har ofta bra koll på hur de ska hantera sina interna risker genom exempelvis rapportering och regler (Arwinge, Olve & Magnusson 2017; Razzaq, Thaheem, Maqsoom & Gabriel 2018). Interna risker kan vara bristande rutiner, operationella processer eller felaktiga handlingar av de anställda. Dessa interna risker bör organisationer sträva efter att eliminera då de inte bidrar till strategiska fördelar för organisationen utan enbart kan skada verksamheten. Det är inte optimalt att eliminera eller undvika alla dessa risker eftersom kostnaden för det blir för hög. Därför bör organisationer acceptera de risker som inte anses orsaka tillräckligt stor skada på organisationen (Kaplan & Mikes, 2012). Kostnaden får inte överstiga nyttan av åtgärden (Ekonomistyrningsverket, 2019a). För att motverka och hantera de interna riskerna bör organisationer utforma tydliga mål och värderingar. Det ökar medarbetarnas förståelse för organisationens värderingar och mål och hjälper dem att agera i organisationens intresse. Även tydliga riktlinjer och en stark organisationskultur bidrar till förståelse för vad som inte är accepterat beteende även om det inte säkerställer det. För att ytterligare motverka felaktigt agerande av medarbetarna bör chefer föregå med gott exempel och interna kontrollsystem upprättas (Kaplan & Mikes, 2012).
Händelser som sker utanför organisationen men ändå påverkar organisationen anses svåra att kontrollera och påverka. Detta kan definieras som externa risker och kan exempelvis vara politiska förändringar eller regleringar, naturkatastrofer eller konjunktursvängningar (Kaplan & Mikes, 2012). Politiska förändringar är en risk som är utmärkande för organisationer i den offentliga sektorn. Medborgarna definieras indirekt som ägarna av offentliga organisationer och väljer representanter till riksdagen. Riksdagen som styr landet kan ändras vart fjärde år, vilket innebär att denna förändring kan ha en stor påverkan på offentliga organisationer (Nilsson & Olve, 2018).
Internationella organisationer anses vara mer utsatta för externa risker eftersom de även påverkas av den globala ekonomin, politiken och dess regleringar (Razzaq et al. 2018). För att försöka motverka konsekvenserna av externa risker bör organisationer sträva efter att identifiera dessa risker i ett tidigt stadie och analysera eventuella konsekvenser för att begränsa dess påverkan på organisationen (Kaplan & Mikes, 2012). Organisationer bör göra omvärldsanalyser och arbeta proaktivt för att dämpa de externa riskernas påverkan på verksamheten (Nilsson & Olve, 2018). De kan exempelvis planera sitt agerande om en viss situation skulle uppstå, försäkra verksamheten eller investera för att undvika höga kostnader i framtiden. För att hantera oförutsedda händelser som exempelvis naturkatastrofer kan organisationer ha sina verksamheter på olika geografiska platser för att säkerställa att inte hela verksamheten påverkas av sådan händelse (Kaplan & Mikes, 2012).
3.2.2 Strategiska risker
Strategin är organisationers övergripande plan för att uppnå sina uppsatta mål. Strategiska risker uppstår om organisationer misslyckas med strategiformulerandet eller implementerandet av strategin (Arwinge, Olve & Magnusson 2017; Hampton 2014). Därför är det viktigt att utforma en genomtänkt strategi som implementeras på ett framgångsrikt sätt där hela organisationen arbetar mot strategin i det dagliga arbetet. Konsekvenserna av att misslyckas med det strategiska arbetet kan göra att organisationer går med ekonomisk förlust. Strategiska risker kan även uppstå genom undermåligt beslutsfattande, felaktig resursallokering eller att organisationer inte lyckas anpassa sig mot de förändringar som sker i omvärlden (Hampton 2014; Segal 2011).
3.2.3 Finansiella risker
Finansiella risker kan vara både möjligheter och hot och kan definieras som avvikelsen från det förväntade utfallet (Damodaran 2007; Segal 2011). Det är den finansiella riskexponering som organisationer är utsatta för eller själva utsätter sig för som är de finansiella riskerna. Vissa organisationer som till exempel försäkringsbolag och banker har som strategi att acceptera finansiella risker som försäkringsrisker och
kreditrisker i syfte att generera intäkter och högre avkastning (Arwinge, Olve &
Magnusson, 2017). Hampton (2014) menar att finansiella risker är oförmågan att finansiera verksamheten och kan uppstå på grund av flera orsaker som exempelvis kassaflödesproblem, räntehöjningar, förändrade återbetalningsvillkor eller ett lågt startkapital. Finansiella risker kan även uppstå av förändringar i den externa kapitalmarknaden som påverkar organisationens finansiella situation (Segal, 2011).
3.2.4 Operationella risker
Figur 3 - Sammanställning av risker som illustrerar att finansiella, strategiska och operationella risker kan orsakas av både interna och externa risker.
(Egen illustration, inspirerad av IRM 2002).
3.3 Riskhantering
3.3.1 Riskhanterings utveckling
Sedan sekelskiftet har fokuset på riskhantering ökat kraftigt till följd av att komplexiteten och förändringstakten i organisationers omgivning ökat (Frigo 2011; Power 2004; Smith & Fischbacher 2009). Det ökade fokuset på riskhantering kan även förklaras av flera företagsskandaler runt den tidpunkten där den mest uppmärksammade skandalen var när det snabbväxande energiföretaget Enron gick i konkurs år 2001 till följd av bristfällig riskhantering. Konkursen fick stor uppståndelse då betydande värden förlorades i en av de största amerikanska konkurserna i historien (Nilsson & Olve 2018; Power 2004).
Genom historien har synen på riskhantering förändrats. Innan risk kunde mätas så ansågs riskhantering vara något som låg utanför människans kontroll (Spira & Page, 2003). Organisationer har behövt anpassa sin riskhantering för att kunna hantera dess omgivning och villkor. En utveckling där organisationer ställs inför allt mer komplexa förändringar i omgivningen har skapat hinder där många organisationer har haft bristande förmåga att hantera förändringarna (Smith & Fischbacher, 2009). Traditionell riskhantering förknippas med en icke samordnad hantering av risker. Istället har riskhanteringen genomförts ur ett siloperspektiv vilket innebär att riskhanteringen isolerats i olika delar av organisationen som en frikopplad funktion som inte är integrerad med organisationens övergripande verksamhetsstyrning. Detta anses vara ett ineffektivt tillvägagångssätt för verksamheten som försämrar den interna riskkommunikationen. Riskhanteringen behöver därför vara samordnad vilket betyder att riskhanteringsarbetet integreras i hela organisationen där medarbetarna med nyckelroller i riskhanteringen samarbetar och riskhanteringsfunktionerna samspelar med varandra (Nilsson & Olve, 2018). Genom att inte samordna riskerna förlorar organisationer möjligheten att kunna erhålla en helhetsbild (Frigo, 2011). Det får konsekvenserna att organisationer gör ett kostsamt dubbelarbete och att förståelsen för risk minskar (Nilsson & Olve 2018; Hoyt & Liebenberg 2011). Den minskade riskförståelsen försvårar för organisationer att identifiera risker i ett initialt skede vilket gör att en risk kan ha påverkat organisationen redan innan den har upptäckts (Nilsson & Olve, 2018).
3.3.2 Enterprise risk management
Vikten av samordning av riskhanteringen har fått en väsentlig roll i utformningen av
Enterprise Risk Management (ERM) som används för att integrera riskhanteringen
genom hela organisationen och bidra till att mål uppnås (Louisot & Ketcham 2014; Arwinge, Olve & Magnusson 2017). ERM definieras som “coordinated activities to
direct and control an organization with regard to risk” (ISO, 2018). För att
övergripande strategin där målet är att riskhanteringen ska vara en aktivitet som medverkar till att organisationens mål uppnås (Frigo, 2011). ERM sammankopplar riskhanteringen mot strategiska mål genom att ta hänsyn till både hot och möjligheter (Louisot & Ketcham, 2014).
”Kopplingen mellan en organisations syfte, strategival, risk och strategiskt genomförande”
(Arwinge, Olve & Magnusson, 2017).
Genom att samordna riskerna med hjälp av ERM kan organisationer således samla alla risker på samma ställe vilket gör att kritiska risker kan urskiljas och utvärderas i ett tidigare skede (Arwinge, Olve & Magnusson, 2017). ERM skapar en övergripande helhetsbild i riskhanteringen vilket gör att organisationer kan kontrollera risker vilket anses kunna förbättra organisationen (Gordon, Loeb & Tseng 2009; Rogachev 2008). En förutsättning för att den samordnade riskhanteringen ska kunna ske systematiskt inom organisationen är att de anställda är delaktiga i arbetet vilket gör att de blir mer ansvarstagande. Genom att skapa ett allmänt ansvarstagande kan risker identifieras i ett tidigare skede vilket ökar förståelsen och kontrollen över hur risker utvecklas över tid (Nilsson & Olve, 2018).
3.4 Riskhantering i offentliga verksamheter
3.4.1 Syftet med riskhantering i en offentlig verksamhetverksamheten (Eckles, Hoyt & Miller 2014; Rogachev 2008). Offentliga verksamheter definieras som samhällsviktiga då riskhanteringen är en viktig aktivitet som behöver genomföras med hänsyn till landets funktionalitet, befolkningens hälsa och för att säkerställa att grundläggande värderingar upprätthålls. Riskhanteringen ses därför som en aktivitet där samhällsviktiga organisationer proaktivt ska åtgärda risker som kan skapa allvarliga störningar på funktionaliteten och välbefinnandet i landet (MSB, 2018). Värde skapas för samhället med hänsyn till svenska skattebetalare genom att samhällsviktiga organisationer tar risker i beaktning på ett kostnadseffektivt sätt för att få avkastning på sina skattepengar (MSB 2018; Durst, Lindvall & Bruns 2018). Genom en konsekvent riskhantering ska samhällsviktiga organisationer skapa sig de förutsättningar som krävs för att skydda verksamheten. För att riskhanteringen ska kunna ske systematiskt bör därför riskhanteringen samordnas i det dagliga arbetet för att kunna användas som beslutsunderlag (MSB, 2018).
3.4.2 Krav på att myndigheter måste hantera risk
Alla myndigheter har samma förutsättningar då det är regeringen som beslutar vilket ansvar myndigheterna har och hur mycket likvida medel som allokeras till respektive myndighet. Regeringen beslutar även vem som får chefsansvaret i myndigheter där det finns en myndighetschef för varje myndighet (Regeringskansliet 2017; Sveriges Riksdag 2019a). Myndighetsförordningen (2007:515) gäller alla förvaltningsmyndigheter under regeringen (Sveriges Riksdag, 2019a).
Myndighetsförordningen (2007:515)
(Sveriges Riksdag, 2018a).
Förordningen (2007:603) om intern styrning och kontroll
Sverige varav 71 har som krav att följa internrevisionsförordningen. Bland dessa 71 förvaltningsmyndigheter finns bland annat olika svenska universitet, Försäkringskassan, Transportstyrelsen, Tullverket, Trafikverket och Försvarsmakten (SCB 2019; Ekonomistyrningsverket 2019b).
2 § hänvisar till att myndigheter ska inkludera den interna styrningen i den allmänna
verksamhetsstyrningen. Det ska göras för att säkerställa att den interna miljön har rätt förutsättningar för att uppnå verksamhetens mål (Ekonomistyrningsverket, 2019a).
(Sveriges Riksdag, 2018b).
3§ Myndigheter måste genomföra en riskanalys för att kunna säkerställa den interna
miljön. Riskanalysen ska göras för att väsentliga risker ska upptäckas och åtgärdas (Ekonomistyrningsverket, 2019a).
3.4.3 Praxis för riskhantering i en samhällsviktig organisation
Myndigheten för samhällsberedskap (MSB, 2018) har utfärdat praxis för vad som bör inkluderas i processen för riskhantering i en samhällsviktig organisation.
Verksamheten ska utforma beskrivningar för ansvar och rollfördelningen i riskhanteringsarbetet.
Det ska finnas tillräckligt med resurser för att kunna hantera risker enligt lagkrav.
Riskhanteringen ska inkluderas och implementeras i det strategiska arbetet. Exempel på detta kan vara att riskhanteringen är en del i verksamhetens ledningsprocesser och att riskhanteringen är en regelbunden punkt på ledningsagendan.
Riskhanteringen ska inkluderas i verksamhetens dagliga arbete.
Verksamheten ska ha bestämt vad de har för riskacceptans vilket ligger till grund till hur risk ska bedömas.
Risker och sårbarheter ska regelbundet bedömas. Bedömningarna ska innehålla:
Identifiering och prioritering av dessa risker.
Undersöka riskers sannolikhet och vad dessa får för konsekvenser om de inträffar.
Värdera risken i förhållande till organisationens mål.
Skapa en plan för hur riskerna ska åtgärdas.
Riskerna ska följas upp efter att en åtgärd har gjorts.
Syftet med riskhanteringen är att skapa en fullständig bild för vilka externa/interna risker som är kopplade till verksamheten. Riskhanteringen kan utföras med bland annat
förordningen (2007:603) om intern styrning och kontroll eller ERM (MSB, 2018).
3.5 Riskhanteringsprocessen
2017) är de fyra vanligaste delarna i riskhanteringsprocessen riskidentifiering,
riskutvärdering, riskhantering och riskuppföljning.
Figur 4 - Riskhanteringsprocessen
(Egen illustration).
3.5.1 Riskidentifiering
Arwinge, Olve och Magnusson (2017) beskriver att det inledande steget i riskhanteringsprocessen är att identifiera risker. För att kunna göra detta behöver organisationer skapa en tydlig plan för vad riskhanteringen ska användas till för att kunna skapa en medvetenhet om vad som krävs. För att kunna planera hur riskhanteringen ska ske behöver organisationer ta hänsyn till fyra olika parametrar:
Hur mycket risk som organisationen är beredda att ta.
Skapa ett gemensamt fokus på riskhantering i organisationen. Sätta en gräns för hur mycket risk som är finansiellt accepterat. Undersöka vilken risktolerans som kan godtas (ibid).
skapa en riskmedveten organisation diskuteras av Bonham (2008) som menar att riskhanteringen då blir mer synlig för de anställda vilket kommer att skapa ett större engagemang och ansvar i riskhanteringsarbetet (ibid). Det finns flera tillvägagångssätt att identifiera risk. Detta kan göras genom att analysera intern data, interna aktiviteter och riskindikatorer. Utöver detta anses makroanalyser och intern kommunikation som värdefulla för att hjälpa organisationer att identifiera risk (Arwinge, Olve & Magnusson, 2017). Att strukturera risker och sedan dela in dessa i orsaksanalyser och konsekvensanalyser hjälper organisationer i identifierandet av orsaken till att risken uppstår (Jansson & Nilsson, 2009).
3.5.2 Riskutvärdering
När organisationer har identifierat de riskerna som de är exponerade mot är viktigt att jämföra riskerna med varandra för att besluta vilka risker som ska prioriteras och det ska läggas störst fokus på (Bonham, 2008). Det inledande steget i utvärderingen av risker är att rangordna riskerna med utgångspunkt i vad de har för sannolikhet att inträffa och beakta vad riskerna skulle få för konsekvenser. Det är viktigt att utvärdera riskerna på ett konsekvent och objektivt sätt för att alla risker ska värderas på samma sätt (Rébula de Oliveira et al. 2017; Bonham 2008). Problem kan uppstå vid värdering av risk om det finns olika anställda som arbetar med utvärderingen och har olika syn på risk. För att undvika detta är det viktigt att riskhanteringsprocessen är noggrant dokumenterad, utvärderad och kommunicerad internt till de anställda som är delaktiga i riskhanteringsarbetet (Bonham, 2008).
