Riskhantering i projektbaserade organisationer: En jämförelse av svenska teknikkonsultföretag

(1)

Riskhantering i projektbaserade organisationer

- En jämförelse av svenska teknikkonsultföretag

Magisteruppsats 15 hp

Företagsekonomiska Institutionen Uppsala universitet

Vårterminen 2018

Datum för inlämning: 2018-06-01

Jacob Dahl

Handledare:

Leon Caesarius

(2)

1

Sammandrag

Titel

Inledning

Syfte

Frågeställning Teori

Metod

Analys &

Slutsats

Nyckelord

Riskhantering i projektbaserade organisationer - En jämförelse av svenska teknikkonsultföretag

På 2000-talet har behovet av, och intresset för, riskhantering ökat.

Riskerna ökar i projekt och inhyrda konsulter blir vanligare i teknik- branschen. Riskhanteringen blir unik i varje enskilt projekt, varför nya utmaningar kommer med varje nytt projekt. Det gör att det blir viktigt för teknikkonsulter att kunna hantera risker på ett effektivt sätt.

Syftet med denna studie är att jämföra hur riskhantering skiljer sig mellan projektbaserade teknikkonsultföretag baserat på deras definition av risk.

Hur skiljer sig riskhanteringen mellan stora teknikkonsultföretag?

Risk kan definieras som positiv och negativ eller som enbart negativ.

Utifrån tidigare studier har organisationens definition av risk, ledningens involvering i riskhantering och organisationens integrering av riskhantering identifierats som variabler för studiens analytiska ramverk.

Denna kvalitativa studie är uppbyggd på semistrukturerade intervjuer med fyra personer från ledningsgrupper i teknikkonsultföretag för att jämföra likheter och skillnader i deras arbete.

Hur en organisation definierar risk är inte avgörande för hur

organisationens riskhantering ser ut. Inte heller påverkar det arbetet med hot och möjligheter. Att en organisation har en genomtänkt definition av risk hänger däremot nära samman med att organisationen har en

genomtänkt riskhantering.

Riskhantering, enterprise risk management, projekt, teknikkonsultföretag, definition av risk

(3)

2

Innehållsförteckning

Innehållsförteckning ... 2

1. Inledning ... 4

1.1 Problematisering ... 4

1.2 Syfte och frågeställning ... 6

1.3 Avgränsning... 6

1.4 Disposition ... 6

2. Teori ... 7

2.1 Tidigare forskning ... 7

2.1.1 ISO 31000 ... 7

2.1.2 Kritik mot ISO 31000 ... 8

2.2 Enterprise Risk Management (ERM) ... 8

2.2.1 Kritik mot ERM ... 9

2.3 Begreppet risk ... 9

2.4 Ledningens involvering i riskhantering ... 10

2.5 Integrering av riskhantering ... 11

2.6 Analytiskt ramverk ... 12

2.6.1 Kritik mot det analytiska ramverket ... 14

3. Metod ... 14

3.1 Kvalitativ studie ... 14

3.2 Komparativ multipel studie ... 14

3.3 Semistrukturerade intervjuer ... 15

3.3.1 Förstudie ... 16

3.4 Urval ... 16

3.4.1 Företagsledare, Företaget ... 18

3.4.2 Avdelningschef, Företaget ... 18

3.4.3 Projektutvecklingschef, Rejlers AB: Helena Adriansson ... 18

3.4.4 Regionschef BA Business, ÅF-Infrastructure AB: Krister Persson ... 18

3.5 Transkriberade intervjuer ... 19

3.6 Operationalisering ... 20

3.7 Forskningsetik ... 20

3.8 Metodkritik ... 21

(4)

3

4. Resultat ... 22

4.1 Organisationens definition av risk ... 22

4.1.1 Företaget ... 22

4.1.2 Rejlers ... 23

4.1.3 ÅF-Infrastructure ... 24

4.2.2 Rejlers ... 26

4.3 Organisationens integrering av riskhantering ... 28

4.3.2 Rejlers ... 29

5. Analys ... 31

5.1 Organisationens definition av risk ... 31

5.3 Organisationens integrering av riskhantering ... 34

6. Slutsats ... 36

6.1 Förslag till framtida forskning ... 37

7. Referenser ... 38

8. Bilagor ... 42

8.1 Bilaga 1: Intervjuguide ... 42

8.2 Bilaga 2: Mail till organisationer ... 43

(5)

4

1. Inledning

Finanskrisen 2007-2008 har satt stora spår i affärsvärlden. Det har bland annat gett

organisationer en påminnelse om att oförutsedda risker kan ha förödande konsekvenser. Det har i sin tur lett till att organisationers riskhantering blivit mer uppmärksammat och en ökad efterfrågan av enterprise risk management (ERM) (Kaplan & Mikes, 2016:8). Eftersom riskhantering inte kommer naturligt för människor (Kaplan & Mikes, 2016:8) samtidigt som vi ofta överskattar vår egen förmåga (Kahneman, 2011:45) kan organisationer behöva hjälp att definiera och strukturera sin riskhantering. Ramverk och standarder är en väg för

organisationer att tillämpa verktyg för att effektivare hantera risk (Arwinge et al., 2017:83).

Regler kan hjälpa organisationer till en viss nivå men kan leda till byråkratisk stelhet samtidigt som reglerna riskerar att endast följas på ytan som ett slags “ögontjäneri”, varför ökade regleringar inte kan ses som en lösning utan behöver följas av marknadens krav på resurseffektivitet (Arwinge et al., 2017:44–45). Riskhantering har kritiserats för att ske för avskilt från den övriga verksamheten, där riskhantering har skett i egna silos, åtskilt från strategi och beslutsfattande (Gorzen-Mitka, 2013). Målet med ERM är att organisationer ska ha ett mer holistiskt förhållningssätt till risk, där risk blir en integrerad del av verksamheten (Liebenberg & Hoyt, 2003:38–39; Al-Amri & Davydov, 2016; Sobel & Reding, 2012:21).

1.1 Problematisering

20 % av de europeiska organisationerna tillämpar ingen standard i sin riskhantering medan de två mest utbredda riskhanteringsstandarderna, som båda är frivilliga, tillämpas av 29 %

respektive 25 % av de europeiska organisationerna (O’Rourke, 2017:4; Ferma, 2012:4). Dessa standarder syftar till att hjälpa organisationer att systematisera sin riskhantering för att

effektivare hantera risk (Rådmark, 2009). De två mest utbredda standarderna har olika

definitioner av begreppet risk (COSO, 2004; SS-ISO, 2018) och begreppet definieras olika av olika forskare, något som leder till olika riskhantering i olika organisationer (Toscha 2012;

Arwinge et al., 2017; Bharaty & McShane, 2015).

Bromiley et al. (2015:269) poängterar att en djupare förståelse behövs av ledningens definition av risk. Om definitionen inte förtydligas kan det leda till missförstånd och frustration. Hur organisationer definierar, och därmed ser på, risk förändrar vilka risker organisationen är benägna att ta. Enligt Kahneman (2011:337) tar organisationer som har en

(6)

5

holistisk syn på risk större risker, då riskerna i ett område vägs upp inom andra områden. Att bedöma risker separat leder till högre riskaversion, vilket i slutändan kommer kosta

organisationen pengar på grund av utebliven vinst.

Enligt contingency-teoretiska argument finns det ingen allmängiltig ”best practice” vid riskhantering. Istället handlar det om att anpassa riskhanteringen efter den egna

organisationens behov. Generella principer och ramverk kan vara till hjälp i utformandet av specifika riktlinjer, men de behöver anpassas utifrån den enskilda organisationens situation för att till fullo bidra till effektivare riskhantering. Riskhantering behöver integreras i

organisationens övriga beslut och handlingar för att ha störst effekt (Arwinge et al., 2017:86).

För att tydligare få in riskhantering i ett tidigare skede i organisationerna krävs att processerna inom riskhantering beaktar organisationens strategi för att ledningen skall utgå från

organisationens riskaptit och uppnå dess strategi (Power, 2004; Chenhall & Langfield-Smith, 2007). Vidare menar Arwinge et al. (2017), Bhimani (2009) och Nilsson et al. (2010) att det existerar ett gap beträffande studier som redogör för hur riskhantering kan praktiseras som styrverktyg. Om en organisation kan implementera ERM i sin strategi och marknadssituation kan de optimera balansen mellan risk och kontroll (Curtis & Carey, 2012). Riskhantering och riskidentifiering kräver goda kunskaper om både organisationen och omvärlden, allra helst när riskhantering ska integreras med organisationens strategi (Culp, 2002).

Andelen teknikkonsulter som anlitas i samhällsbyggnad och industri har ökat kraftigt de senaste tio åren (Svenska Teknik & Designföretagen, 2009:8; Svenska Teknik &

Designföretagen, 2018:12–19). Det trots att risker generellt är vanligare i projekt eftersom projekt innefattar nya situationer (Olson & Wu, 2017:161) och det är svårt för inhyrda konsulter att arbeta holistiskt och integrera riskhanteringen (Bharaty & McShane, 2015:45).

Teknikkonsulter är ingenjörer som hyrs in till projekt för att fylla en kunskapslucka (Bessant

& Rush, 1995) och integrera ny kunskap i en organisation (MacDougall & Hurst, 2005). Då konsulter ständigt blir bedömda av marknaden (Matusik & Hill, 1998) samt jobbar i olika projekt i olika delar av samma bransch ses de som individer som besitter hög branschkunskap och expertisnivå (MacDougall & Hurst, 2005). Utmaningen blir att integrera arbetet i

organisationen så att kunskapen inte fastnar hos konsulterna utan överförs till den beställande organisationen.

(7)

6

1.2 Syfte och frågeställning

Eftersom teknikkonsulter arbetar i projekt och denna arbetsform innehåller fler risker än verksamhetsbaserat arbete är syftet med denna studie att jämföra hur riskhantering skiljer sig mellan projektbaserade teknikkonsultföretag baserat på deras definition av risk. Det leder till frågan: Hur skiljer sig riskhanteringen mellan stora teknikkonsultföretag?

1.3 Avgränsning

Denna studie kommer att jämföra riskhanteringen i tre teknikkonsultföretag. Fokus är på organisationer som arbetar i projekt och innefattar svenska teknikkonsultföretag med mellan 1 000 och 5 000 anställda. De största aktörerna i branschen har både högre omsättning och fler anställda. De valda organisationerna klassas ändå som stora organisationer enligt

Europeiska kommissionens (u.å.) definition av en stor organisation. I teknikkonsultbranschen betraktas de däremot som medelstora organisationer. De små och de stora aktörerna i

branschen innefattas alltså inte i denna studie.

1.4 Disposition

Denna uppsats inleds med en problematiserande bakgrund där ett empiriskt och teoretiskt gap har identifierats. I teorin förtydligas vilken tidigare forskning som har gjorts samt vad andra studier lyfter upp som viktiga faktorer vid riskhantering. Dessa ställs sedan samman i denna uppsats analytiska ramverk som ligger till grund för utformandet av intervjuguide och analys.

Metoddelen redogör för de val som har gjorts vid utformning av denna studie och hur studien möter kraven på tillförlitlighet och äkthet. De fyra respondenterna presenteras kort för att ge en bakgrund, till dem och deras sammanhang. I resultatet presenteras det som framkom under de fyra intervjuerna. Först presenteras hur organisationerna definierade begreppet risk, sedan redogörs för ledningens involvering i riskhantering innan organisationens förmåga att

integrera riskhanteringen i övrigt verksamhet presenteras. Dessa svar analyseras sedan utifrån det analytiska ramverket genom att jämföra likheter och skillnader mellan organisationernas riskhantering. I slutsatsen sammanfattas resultat och analys innan tips på vidare forskning ges.

(8)

7

2. Teori

2.1 Tidigare forskning

Kaplan och Mikes (2016) lyfter fram att riskhantering har haft för stort fokus på kvantitativa aspekter och belyser därför vikten av de kvalitativa aspekterna. De menar att kvantitativa riskhanteringsmodeller har misslyckats både under finanskrisen och under mer sentida volatila perioder. Riskhantering bör ses mer som konst (art) än vetenskap (science). De kvantitativa måtten ska inte tas bort men behöver kombineras med kvalitativa mått för att öka reliabiliteten och effektiviteten. Riskhantering kommer att vara subjektiv och det går inte att skapa objektiv riskhantering. Kaplan och Mikes poängterar att både kvantitativa och

kvalitativa angripssätt behöver ges utrymme för en övergripande förståelse för en organisations risker.

1996 använde sig Gly Holton av begreppet ERM och beskrev det som optimering av risktagningsprocessen (Bromiley et al., 2015:267). Inom akademiska kretsar dröjde det ytterligare cirka fem år innan begreppet dök upp. 2001 beskrev Dickinson (2001) ERM som

“systematic and integrated approach of the management of the total risks a company faces”.

Vidare förutspådde han att ERMs roll inom strategisk planering skulle växa de följande åren.

Det råder dock fortfarande bristande akademisk forskning inom området kopplat till management och ERM beskrivs befinna sig i sin barndom. Tidigare artiklar rörande ERM återfinns främst i allmän företagspress eller inom akademiska artiklar rörande redovisning eller finansiering (Bromiley et al., 2015; Bharathy & McShane, 2015; Arwinge et al., 2017).

De som stöder ERM belyser vikten av att integrera riskhanteringen och se på risker mer holistiskt (Bromiley et al., 2015; Arwinge et al., 2017).

2.1.1 ISO 31000

I och med ISO 31000:s inträde 2009 blev det den dominerande riskhanteringsstandarden bland ISO:s standarder (Purdy, 2010:882). När ISO 9001 och ISO 14001 uppdaterades 2015 anpassades deras riskhanteringsavsnitt utifrån ISO 31000. I februari 2018 kom en uppdaterad version av standarden ut. Den uppdaterade versionen har stora likheter med 2009-års upplaga men beskrivs som mer koncis. Standarden poängterar att risk både kan vara något positivt och negativt, varför risk behöver hanteras och inte bara ignoreras eller minimeras (Rydell, 2017).

Nya ISO 31000:2018 är stringentare än den tidigare upplagan. Terminologin har förtydligats (Rydstedt, 2018; SIS, 2018), samtidigt som den uppdaterade standarden lägger större vikt vid

(9)

8

ledningens involvering (Rydstedt, 2018; SS-ISO, 2018:iv; SIS, 2018) och integrering av riskhanteringen (SS-ISO, 2018:iv; SIS, 2018). Ett holistiskt synsätt där riskhanteringen

integreras i alla delar av organisationen är nödvändigt för att organisationer ska kunna hantera risk effektivare (SS-ISO, 2018:v).

2.1.2 Kritik mot ISO 31000

Leitch (2010) kritiserar den första upplagan av ISO-standarden för att ha tagit fram en riskdefinition som enligt honom skiljer sig från den allmänna synen på risk. Han menar att standardskaparna vid fler än ett tillfälle använder nya definitioner av redan existerande begrepp och att vissa diffusa begrepp förklaras med hjälp av andra diffusa ord, varför oklarheten kvarstår även efter att de definierats.

Det generella regelverket är för idealistiskt och uppmaningar som att ha kommunikation i alla steg och en kontinuerlig översyn är inte rimligt, även om målet är positivt, enligt Leitch (2010). Han avrundar med att säga att ISO 31000 är för otydligt, leder till ologiska beslut, är omöjligt att rätta sig efter och saknar matematisk tillämpning, vilket gör att det kan säga väldigt lite om sannolikhet, data och modeller.

2.2 Enterprise Risk Management (ERM)

Begreppet enterprise risk management (ERM) skiljer sig från definitionen av traditionell riskhantering som beskrivs som silo-baserat, där risker hanteras separat, genom att ERM är holistiskt och integrerat i övrig verksamhet. ERM beskrivs kortfattat som fullständig och sammanhängande hantering av risk. De forskare som ser risk som enbart negativ anser att risk ska begränsas, medan de som ser risk som potentiellt värdeskapande anser att risktagande bör hållas på rätt nivå kopplat till organisationens riskaptit (Bromiley et al., 2015). ERM beskrivs också som den process där organisationer identifierar, mäter, hanterar och förtydligar de viktigaste värdeskapande riskerna för ägarna (Segal, 2011:24). I samband med att COSO- ramverket kom 2004 listade Harvard Business Review ERM som en av tjugo “breakthrough ideas for 2004”. De skrev att med ett ramverk för riskhantering skulle organisationer

systematiskt kunna bedöma faror på flera fronter. Delvis implementerad ERM riskerar att begränsa en organisation. Endast 11 % av de amerikanska organisationerna arbetade fullt ut med ERM, vilket gjorde att organisationen mål motarbetades. Om en organisation tillämpar ERM fullt ut ger det däremot organisationen ökad trygghet och flexibilitet. Buchanan påpekar

(10)

9

att det inte rör sig om en försäkring eller enbart om finansiell kontroll utan något

organisationsövergripande som påverkar både vd:s arbete och organisationens varumärke (Khurana, 2004). Bharathy och McShane (2015:38–40) poängterar att ERM lämpar sig bäst i kombination med ett systematiskt riskhanteringsramverk.

2.2.1 Kritik mot ERM

Även om Al-Amris och Davydovs (2016:79) egna studie pekar på att ERM har en positiv effekt på operationell risk lyfter de fram att det finns tvetydigheter kring huruvida ERM faktiskt är värdeskapande. Två andra nordamerikanska studier visar på resultat där ERM är värdeskapande (Nocco & Stulz, 2006; Hoyt & Liebenberg, 2011) men inte alla studier visar att ERM resulterar i ökat värde för organisationen (Lin et al., 2012). Effektiviteten kring ERM är ifrågasatt och ett tydligt exempel är Countrywide Mortgage som 2007 prisades för sitt ERM-arbete för att följande år gå i konkurs (Bromiley et al., 2015). Tidigare forskning har saknat praktisk tillämpning av ledningen inom ERM och fått kritik för att vara fylld av statistik och främst anpassad för aktiemarknaden (Bromiley et al., 2015:268). Tidigare forskning visar inte på några konsekventa resultat utan är motstridig på många områden.

Enligt Bromiley et al. (2015:269) behöver management-forskning kring ERM utformas annorlunda än redovisnings- och finansforskning, eftersom management anpassar sig mer efter de specifika organisationerna.

2.3 Begreppet risk

1921 kom första upplagan av Frank Knights bok Risk, Uncertainty, and profit där Knight som en av de första särskilde på begreppen osäkerhet och risk. Knight (1957:19–20) definierade risk som en mätbar osäkerhet och påpekade att det rådde stora skillnader mellan de båda begreppen. I vardagligt tal är begreppen synonyma och inom akademisk forskning ger forskare olika syn på orden. Många artiklar om risk börjar därför med att tydliggöra

författarens syn på risk, ofta i relation till osäkerhet. Arwinge et al. (2017:9, 29) beskriver, i linje med Knight, osäkerhet som ett bredare begrepp än risk. Sannolikheten att en risk inträffar kan beräknas medan osäkerhet är det vi inte kan beräkna. Segal (2011:18–19) lyfter upp tre delar av risk. Risk är osäkerhet, risk inkluderar volatilitet, d.v.s. kan vara både positiv och negativ, och risk är avvikelsen från det förväntade. Lalonde och Boiral (2012:279) menar att risk inte är något direkt observerbart och att det därför finns olika definitioner av risk.

Bhimani (2009:3) är inne på samma spår när han skriver att risk är en social konstruktion. De

(11)

10

två stora riskhanteringsramverken COSO och ISO 31000 använder sig av olika definitioner av begreppet. COSO beskriver risk som en händelse som kan ha negativa effekter för en

organisation att nå uppsatta mål (COSO, 2004:2) medan ISO 31000 beskriver risk som

“osäkerhetens effekt på mål” och ramverket baseras på att risk både kan vara något positivt och negativt (SS-ISO, 2018:1). Toscha (2012:34) presenterar en definition av risk som påminner om COSO:s definition när han beskriver risk som ”allt som kan hota

organisationens måluppfyllelse”. I de fall då en organisation definierar risk som en negativ effekt, vilket Toscha skriver är det vanligaste, åtföljs begreppet av begreppet möjligheter, som då innefattar de positiva effekterna. Andersen och Schrøder (2011:127) särskiljer olika

risktyper och skriver att risker som ingår i traditionell riskhantering, såsom faror och finansiella risker, mestadels har en nedsida medan operationella och strategiska risker både har en upp- och en nedsida. Shapira (1995:43–45) lyfter också att risktagande både kan vara positivt och negativt men att personer i ledningsgrupper beskriver risk i negativa termer. 80 % respektive 95 % i två olika undersökningar fastslog att personer i chefspositioner betraktade risk enbart som något negativt. Vilken syn en individ har hänger nära samman med den syn som kommuniceras från organisationen där individen arbetar. Det gör att möjligheten att påverka medarbetares riskhantering kan gå via ett centralt kommunicerat beslut där ledningen för en organisation får ett stort ansvar (Wendestam, 2008:12).

2.4 Ledningens involvering i riskhantering

Lalonde och Boiral (2012) anser att organisationer idag behöver hantera ökad diversifikation och komplexitet. Till sin hjälp kan organisationer tillämpa riskhanteringsramverk. Genom att följa en vägledande standard finns det utrymme för organisationer att anpassa ramverket till den egna verksamheten, samtidigt som det riskerar att leda till ytligt implementerade ramverk.

Om ramverk eller standarder endast används mekaniskt och rutinmässigt blir riskhanteringen frikopplad från den övriga verksamheten och de tappar sitt syfte. Om en organisation ska arbeta enligt en standard räcker det inte att följa de allmänna direktiven, organisationen måste levandegöra riskhanteringen i organisationens arbete. Författarna lyfter fram att det är av stor vikt att ledningen är med och påverkar beslut, samtidigt som de också involverar andra i beslutsprocessen. Choo och Goh (2015:371–381) identifierar fyra kritiska faktorer för att lyckas implementera ERM, där en av faktorerna är ledarskapsinitiativ. Den handlar om integrering av riskhantering i organisationens praxis och processer samtidigt som det berör ledningens involvering vid riskhantering. Vidare menar de att ledningen kan hjälpa en

(12)

11

organisation att skapa en riskhanteringskultur som sprids till alla nivåer av organisationen. I deras studie nämns detta som en av framgångsfaktorerna. När ledningen effektivt hanterar risk med hjälp av ERM kan ERM ses som en värdeskapande aktivitet. Även Toscha (2012:29) lyfter upp ledningens involvering som en viktig punkt för att lyckas med riskhantering. De behöver bidra med stöd, vilja och engagemang för att riskhanteringen ska utvecklas. Om ledningen inte involveras kommer färre resurser och mindre uppmärksamhet ges till organisationens rishantering.

Enligt Bharaty och McShane (2015) är det naturligt att projektbaserade organisationer inte integrerar riskhanteringen i samma utsträckning. Det leder till att ledningens involvering ändras, men inte nödvändigtvis att den minskar. Ett exempel kan vara att ledningen är med och tar fram en struktur som hjälper projektarbetare att arbeta mer enligt ERM snarare än enligt traditionell riskhantering, som är separerad från strategiska beslut.

2.5 Integrering av riskhantering

Flertalet studier och organisationer påtalar vikten av en integrerad riskhantering (Purdy, 2010;

Arwinge et al., 2017; Lalonde & Boiral, 2012). I praktiken är det en av de svåraste bitarna för många organisationer, delvis eftersom den upplevs som en påtvingad pålaga som är

frikopplad från övrig verksamhet (Arwinge et al., 2017:149). Efter finanskrisen har standarder, forskare och organisationer alla poängterat vikten av att sammankoppla

riskhantering och strategi (Arwinge et al., 2017; Purdy, 2010; Frigo & Andersson, 2011). Att integrera riskhanteringen i övrig verksamhet och i strategiska beslut leder till ökad flexibilitet och trygghet för organisationen. När riskhantering är separerad från övrig verksamhet upplevs den lätt meningslös och som en börda. Det blir då en byråkratisk process som i bästa fall ger en falsk trygghet och i värsta fall hämmar organisationen från att faktiskt hantera risker.

Riskhantering kan falla i de båda dikena, att vara för diffus eller att vara för omfattande (Arwinge et al., 2017:149–153). Checklistor, tydliga roller, tydligt riskägarskap och nära sammankopplad med strategiarbetet är några sätt att öka integreringen men även dessa sätt behöver göras utifrån rätt perspektiv för att inte bli “ögontjäneri” (Arwinge et al., 2017).

Gjerdrum och Peter (2011) lyfter upp behovet av att skapa en iterativ process, där

kommunikation och konsultation är nödvändigt för att engagera intressenter i riskprocessen.

Organisationer behöver länka samman nyckelrisker och riskhantering med organisationens

(13)

12

andra strategiska beslut på ett tydligare sätt än vad riskhantering traditionellt har gjort.

Strategin för riskhanteringen bör vara integrerad i organisationens övriga processer, anpassas efter sammanhanget, vara strukturerad, stödja ständiga förbättringar samt skapa och skydda värden (SS-ISO, 2018). Riskhanteringen behöver kopplas samman med organisationens strategi så att risken ses över redan i samband med att nya projekt inleds och inte som ett andra steg efter att ett projekt redan lanserats. Att enbart arbeta enligt ett ramverk kommer inte per automatik leda till bättre riskhantering, det krävs att organisationen har anpassat sitt arbete till en fungerande riskhanteringsstruktur för att det ska leda till goda resultat (Lalonde

& Boiral, 2012:292).

Teknikkonsultföretags perspektiv på riskhantering är inte välutvecklat i akademiska artiklar.

Att arbeta med integrering av risk kan vara utom räckhåll för inhyrda konsulter, varför de fortfarande ofta arbetar silobaserat. Bharathy och McShane (2015) menar dock att de kan öka integreringen även om riskhanteringen inte integreras fullt ut.

2.6 Analytiskt ramverk

Figur 2.1 Det analytiska ramverket.

Utifrån den teori som har lyfts fram har organisationens definition av risk, ledningens

involvering i riskhantering och organisationens integrering av riskhantering identifierats som nyckelfaktorer för att en organisation ska lyckas i sin riskhantering. I projekt blir integrering en extra utsatt och därmed viktig del, då den inhyrda organisationen ska ge verktyg till den

(14)

13

beställande organisationen att upprätthålla en god riskhantering även efter att projektet stängts.

En organisations inställning till risk påverkar hur de kommer att arbeta med riskhantering. En delvariabel i en organisations inställning är dess definition av risk. För att underlätta

kommunikationen med olika intressenter behöver organisationer ha en samlad bild av vad de menar när det använder ordet risk (Toscha, 2012). Organisationer som endast ser risk som något negativt kommer att arbeta med riskminimering, att förebygga risk och att ta avstånd från situationer där risker finns. Organisationer som ser risk som både hot och möjligheter kommer att försöka hantera risk så att de kan vara exponerade mot risk i den utsträckning som är i nivå med deras riskaptit. Enligt Kahneman (2011) och Toscha (2012) är det nödvändigt för organisationer att ta risker för att utvecklas.

Då riskhanteringen ska vara holistisk behöver riskhantering vara förankrat från högsta nivå.

Kommunikation behövs i alla led och på alla nivåer (SS-ISO, 2018:7). Arwinge et al.

(2017:163, 199) menar att ledningen behöver sträva efter att riskhanteringen inkluderas i beslutsprocesser på olika nivåer och att arbetet sker både “top-down” och “bottom-up”. Alla intressenter har därför en påverkande roll vid riskhantering och dess integrering i

organisationers olika verksamhet, men ledningen har ett synnerligen stort ansvar och de behöver involveras i det arbete som sker (SS-ISO, 2018:4-8; SIS, 2018).

Som ett exempel på vikten av integrering lyfter ISO 31000 fram 10 principer, ett ramverk och en riskhanteringsprocess som hjälp för organisationer att hantera risk på ett “effektivt,

verkningsfullt och konsekvent sätt”. De tio principerna beskrivs som “de viktigaste

kriterierna för framgång” (SIS-ISO, 2018:iv). Bland principerna poängteras integreringen som en viktig del. Integreringen återkommer i ramverket och nämns återigen i

processförloppet. För att en standard ska vara värdeskapande och värdeskyddande för organisationen krävs att den hjälper organisationen att integrera riskhanteringen med övriga strategiska val (Bromiley et al., 2015; SS-ISO, 2018).

Med hjälp av det analytiska ramverket ämnar denna studie jämföra organisationers definition av risk och hur den påverkar deras riskhantering. Definitionen av risk ses som en påverkande faktor. För att identifiera hur riskhanteringen varierar kommer ledningens involvering och

(15)

14

organisationens integrering av riskhanteringen undersökas. De två variablerna kommer representera en organisations riskhantering.

2.6.1 Kritik mot det analytiska ramverket

Via det analytiska ramverket kommer tre variabler att analyseras. De tre variablerna har identifierats som signifikanta för en organisations riskhantering. Hur organisationer definierar risk kommer vara den åtskiljande faktorn. Även om organisationerna har valts utifrån dess liknande karaktär finns det fler faktorer än organisationernas definition av risk som skiljer organisationerna åt. Att tillskriva påverkan endast till hur organisationerna definierar ordet risk är därför inte heltäckande. Hur en organisation arbetar med riskhantering påverkas av flera faktorer. Detta analytiska ramverk blir därför begränsande och kommer således endast studera delar av en organisations riskhantering. Hur organisationer arbetar med riskhantering är synligt på fler sätt än via ledningens involvering och organisationens förmåga att integrera riskhanteringen. Dessa två variabler är bara två delar av en holistisk riskhantering.

3. Metod

3.1 Kvalitativ studie

Då syftet med studien är att jämföra hur definitionen av begreppet risk påverkar hur

teknikkonsultföretag hanterar risk är studien genomförd som en kvalitativ studie. Kvalitativa studier syftar till att beskriva, förklara och tolka verkligheten (Ahrne & Svensson, 2015:8–

10). Den kvalitativa ansatsen gör det lättare att gå på djupet kring ett ämne, i detta fall riskhantering. Riskhantering bygger på organisationers agerande och för att få en djupare förståelse för personer i ledningens upplevelse av riskhantering har intervjuer genomförts. Det har varit viktigare att fånga anställda i ledningsuppdrags egna ord kring organisationens agerande snarare än siffror som mäter utförandet av riskhantering, varför en kvalitativ studie valts (Bryman & Bell, 2013). En kvalitativ studie kan vidare ge arbetet en ökad trovärdighet och tillförlitlighet då den tittar på processer i specifika fall (Hultén et al., 2007:68).

3.2 Komparativ multipel studie

Studien är en komparativ studie som jämför riskhantering i tre medelstora

teknikkonsultföretag. Fokus i studien är att skapa en så kallad “thick description”, där djupet

(16)

15

prioriteras högre än bredden. Komparativa, företagsekonomiska studier som kombineras med en kvalitativ forskningsstrategi klassificeras enligt Bryman och Bell (2013:92–93) som

multipla fallstudier. I denna studie utgör tre jämnstora organisationer grunden för jämförelsen, tillsammans speglar de en variation i branschen. Personer i ledningsgrupper på olika nivåer har intervjuats i de tre organisationerna. En av organisationerna definierar risk som ett begrepp innehållandes både en upp- och en nedsida och de andra två organisationerna ser endast en potentiell nedsida med risk.

Genom att ställa organisationernas agerande mot andra organisationer kan en ontologisk och pedagogisk autenticitet skapas där de deltagande teknikkonsultföretagen kan se sitt agerande i ljuset av två andra organisationer i liknande situation. Genom att jämföra organisationernas bild och tillvägagångssätt nås kraven på katalytisk och taktisk autenticitet, som handlar om att deltagande organisationer ska få hjälp att förändra sin situation (Bryman & Bell, 2013).

3.3 Semistrukturerade intervjuer

Resultatet är uppbyggt på semistrukturerade intervjuer. Genom att genomföra intervjuer med möjlighet att ändra om i ordningen och följa upp med följdfrågor har intervjuerna kunnat anpassas till de specifika situationerna för att ge bättre förutsättningar för de intervjuade att förmedla sina upplevelser. Intervjuerna har utgått från en intervjuguide (Bilaga 1) som har fungerat som röd tråd vid intervjuerna. I de fall det har ansetts passande har frågorna ställts i den ordning som anges i intervjuguiden, för att underlätta jämförelsen mellan olika fall (Bryman & Bell, 2013:480). De öppna frågorna har dock lett till att uppföljningsfrågor har ställts vilket har resulterat i att de olika intervjuerna har tagit olika banor. Genom att ge plats för “grand tours” och “mini tours” har de intervjuade fått chansen att själva dela det som de har ansett vara av intresse (Bryman & Bell, 2013:477). Utifrån det har sedan intervjun byggts på. Vissa frågor har därför blivit överflödiga, då respondenten har svarat på dem utan att frågor har behövt ställas medan andra frågor har behövt ställas för att förtydliga hur arbetet har gått tillväga. Vid flertalet tillfällen har följdfrågor ställts utifrån de svar som

respondenterna har avlagt. Intervjuerna har skett på respondenternas kontor. Att befinna sig i den fysiska kontext där respondenterna arbetar har valts för att tydligare knyta an intervjuerna till den roll och den organisation som de intervjuade representerar (Bryman & Bell,

2013:476).

(17)

16

Frågorna i intervjun har anpassats till att innehålla ett vardagligt språkbruk där fackspråk i möjligaste mån har undvikits. Då respondenterna själva har använt sig av fackuttryck har dessa inkluderats i senare delar av intervjun för att förtydliga vad som refereras till, men för att bibehålla en enhetlighet under intervjun har språkbruket fortsatt hållits avskalat. Vidare har öppna frågor ställts för att den intervjuade inte skulle ledas in på ett specifikt svar utan ges utrymme att dela sina tankar (Bryman & Bell, 2013:482–486).

Denna studie har en konstruktionistisk ontologisk ståndpunkt där det förutsätts att de sociala företeelser som går att observera är företeelser som sociala aktörer har skapat. Dessa sociala företeelser är under konstant revidering (Bryman & Bell, 2013:43), varför det blir intressant att jämföra ledningsgrupper i olika organisationer för att fånga likheter och skillnader i organisationernas agerande. Med anledning av detta är det viktigt att styrka trovärdigheten i det som presenteras i denna studie. Detta görs genom att följa den praxis som råder inom företagsekonomiska studier kring hur intervjuer utformas och hur uppsatser disponeras. Det innebär också att respondenterna har delgivits en redogörelse av den intervju de har deltagit i, för att de ska kunna reagera på studiens återgivning av intervjuerna (Bryman & Bell,

2013:402–403).

3.3.1 Förstudie

En telefonintervju gjordes med Bengt Rydstedt, som har varit inblandad i utvecklandet av riskhanteringsstandarden ISO 31000, på SIS, som är den svenska organisation som varit med i utvecklandet av standarden. Då intervjuns syfte var att få ökad kunskap om riskhantering i ett tidigt skede valdes en telefonintervju eftersom de är snabbare, billigare och enklare att

genomföra. I en telefonintervju påverkas informanten mindre av frågeställaren, då sociala faktorer som frågeställarens ålder, samhällsklass och etnicitet inte uppenbaras. Dessa faktorer påverkar därmed inte den intervjuade i sina svar (Bryman & Bell, 2013:219–221). En

telefonintervju med en informant bedömdes därför vara ett passande första steg för studien.

Denna intervju bidrog till att identifiera projektbaserade organisationer som organisationer där integrering av riskhantering är en utmaning.

3.4 Urval

De organisationer som har jämförts är svenska teknikkonsultföretag som arbetar i stora delar av landet, inom flera olika områden. Organisationerna som har valts har identifierats med

(18)

17

hjälp av egen research samt tips från andra. Informanten bidrog med att lyfta problem för projektbaserade organisationer att integrera riskhantering. Med den bakgrunden och den teori som fanns, som pekade i samma riktning, valdes teknikkonsultföretag som målgrupp för studien.

För att kunna göra en representativ komparation identifierades teknikkonsultföretag med mellan 1 000 och 3 000 anställda via en sökning i Business Retriever. De tre organisationerna är aktiva i grenar av vad som i svensk näringsgrensindelning [SNI] definieras som “teknisk konsultverksamhet” (Statistiska Centralbyrån, u.å.). Ett introduktionsmail (Bilaga 2)

skickades till tio av de identifierade organisationerna. Mailet gick ut till särskilt identifierade personer i de fall lämpliga personer kunde identifieras via organisationernas hemsida. I annat fall gick mailet till organisationernas informationsmail. Sex av de kontaktade

organisationerna svarade på förfrågan och fyra av dem hade möjlighet att med kort varsel ställa upp för intervjuer. Vidare kontakt fördes därför med respektive organisation för att identifiera personer inom organisationen och kontakten fördes sedan direkt med de individerna, för att säkerställa deras lämplighet för deltagande i studien. Tre av dessa identifierade organisationerna bedömdes ha presenterat representanter som föll inom ramen för studien, intervjuer bokades därefter in med dem. Två av respondenterna kom från en och samma organisation, de andra två kom från två skilda organisationer.

En av dessa organisationer var Rejlers AB. Rejlers är ”en nordisk koncern som erbjuder kvalificerade tekniska konsulttjänster till kunder inom områdena: Energy, Buildings, Industry, Telecom and Infrastructure” (Rejlers, u.å.). Koncernen Rejlers AB hade vid slutet av 2016 1 939 anställda och en nettoomsättning på 2 339 Mkr (Retriever, u.å.a). Vid utgången av 2017 hade Rejlers 1 921 anställda och en nettoomsättning på 2 470 Mkr (Rejlers, 2018:11).

En annan organisation som har valt att ställa upp i studien är ÅF-Infrastructure. ÅF-

Infrastructure är en organisation aktivt inom byggnader (installation), samhällsbyggnad och projektledning, som, enligt dem själva, “är Skandinaviens effektivaste partner inom

infrastrukturplanering och erbjuder tekniska lösningar för framtidens hållbara samhälle” (ÅF, u.å.). ÅF-Infrastructure hade vid 2016 års slut 2 256 anställda och en nettoomsättning på 2 864 Mkr (Retriever, u.å.b). I ÅF:s årsredovisning för 2017 rapporterades 3 499 personer som genomsnittligt årsanställda och nettoomsättningen under samma år uppgick till 4 616 Mkr

(19)

18

(ÅF, 2018:46). Av dessa är, enligt vår respondent på ÅF-Infrastructure, ca 1 700 anställda på BA Buildings, som är den sektion i ÅF-Infrastructure där vår respondent arbetar.

Det tredje teknikkonsultföretag är i liknande storlek som de två andra organisationerna.

Utifrån konkurrensskäl har de uttryckt en önskan om att få vara anonyma. I den

organisationen har en person ur företagsledningen intervjuats samt en person som arbetar i en lägre chefsposition i organisationen. Organisationen kommer att benämnas som Företaget och de två respondenterna kommer benämnas som Företagsledaren och Avdelningschefen.

3.4.1 Företagsledare, Företaget

Respondenten är med i ledningsgruppen för Företaget. Företagsledaren har arbetat på Företaget sedan 2002. Tack vare sin roll i Företaget har Företagsledaren god insyn i organisationens övergripande verksamhet och arbete med riskhantering.

3.4.2 Avdelningschef, Företaget

Respondenten jobbar som avdelningschef för brand & risk på Företaget. Personen har arbetat på organisationen i två sejourer, först i tre år under 2000-talet och sedan från 2013 till idag.

När Avdelningschefen återvände 2013 var det till rollen som avdelningschef. Som

avdelningschef har personen en god insyn i hur Företagets projekt arbetar med riskhantering.

3.4.3 Projektutvecklingschef, Rejlers AB: Helena Adriansson

Helena har intervjuats utifrån sin roll som projektutvecklingschef på Rejlers. Hon har i uppgift att utveckla både projektkompetensen och Rejlers projektmodell och samtidigt vara ett stöd till uppdragsledare och projektchefer. Hon är dessutom med i ledningsgruppen för Rejlers Sverige (Rejlers, 2016).

3.4.4 Regionschef BA Business, ÅF-Infrastructure AB: Krister Persson

Krister sitter sedan januari som regionschef för Region Nord på ÅF-Infrastructure (ÅF, 2017).

Krister sitter med i ledningsgruppen för BA Buildings. Han har också en roll som

sektionschef på en elavdelning på ÅF-Infrastructure. I sin roll som regionschef övervakar han organisationens arbete i olika projekt.

(20)

19

I tabell 3.1 åskådliggörs vilka respondenter som deltagit i studien, vad de har för roll samt vilken organisation de är verksamma i. I tabellen framgår också att respektive intervju har skett på respondenternas arbetsplats och i tabellen framgår även längden på intervjuerna.

Tabell 3.1. Respondenterna

3.5 Transkriberade intervjuer

Genom att spela in intervjuerna har ett större fokus hos intervjuaren kunnat ägnas åt att lyssna och visa intresse för respondentens svar, istället för att ägna fokus åt att notera svar på frågor och längre utläggningar. Det leder till ökad lyhördhet och flexibilitet, för att om nödvändigt frångå intervjuguiden vid intressanta utläggningar (Bryman & Bell, 2013:482–491). Enstaka anteckningar har gjorts under intervjuerna, för att försäkra att vissa centrala delar har fångats upp. Kort efter intervjuerna har en transkribering av intervjun skett. Denna transkribering har legat till grund för det resultat som finns angivet i denna studie, vilket har ökat

noggrannheten. Transkriberingen har även hjälpt till att fånga upp alla delar av intervjuerna och resultatet är inte beroende av intervjuarens minne. Återblickar på de transkriberade intervjuerna har ständigt gjorts vid nedtecknande av både resultat och analys. Efter att intervjuerna har transkriberats har de även färgkodats. Att markera delar av respondenternas svar i tre olika färger har underlättat att relatera citat till de tre olika variabler som

analysramverket bygger på.

Respondent Titel Företag Intervjumetod Tid

Företagsledaren Vice-VD Företaget

Intervju på respondentens

arbetsplats

ca 1,5 h

Avdelningschefen Avdelningschef

Brand & Risk Företaget

arbetsplats

ca 1 h

Helena Adriansson Projekt-

utvecklingschef Rejlers

arbetsplats

ca 1 h

Krister Persson Regionschef BA Buildings

ÅF- Infrastructure

arbetsplats

ca 30 min

(21)

20

3.6 Operationalisering

Frågorna (Bilaga 1) som har ställts under intervjuerna har tagits fram utifrån den teori som ligger till grund för studien. De tre variabler som utgör det analytiska ramverket är

huvudområden för de frågor som har ställts. I Bilaga 1 finns en detaljerad sammanställning kring vilken teori som format de respektive frågorna, i figur 3.1 ses en sammanställning av detta. Genom att offentliggöra intervjuguiden och bygga frågorna på tidigare forskning har författarens egna värderingar minimerats. Författaren har agerat i god tro och har försökt medvetandegöra sig kring sina personliga värderingar, för att kunna parera dem i uppenbara situationer. Inga tidigare relationer finns till någon av organisationerna och inget arvode har utbetalts från någon av organisationerna för att få denna uppsats genomförd.

Tabell 3.2. Operationaliseringstabell

3.7 Forskningsetik

Vid genomförande av intervjuer är det viktigt att de intervjuade försäkras om en respektabel behandling. De intervjuade har i förväg fått veta huvudämnet i studien som intervjun ska vara en del av och har därigenom fått information kring vad intervjun kommer att handla om. Det har bedömts fördelaktigt att intervjuobjekten har kunnat gå in i intervjuerna med viss klarhet kring vad de förväntas prata om. Det gör att de intervjuade har kunnat tänka igenom hur processen för organisationens riskhanteringsarbete ser ut och därigenom kunnat redogöra för det förlopp de upplever att organisation går igenom.

(22)

21

I början av varje intervju har intervjuobjektet tillfrågats om personen tillåter att samtalet spelas in. De har försäkrats om att inspelningen endast kommer att användas i studiens arbete utan en dold agenda. Efter att intervjun har genomförts har respondenterna tillfrågats om det tillåter att organisationen och deras namn står med i studien. Att respondenterna omnämns vid namn och att organisationen presenteras ökar trovärdigheten för studien (Bryman & Bell, 2013). En av organisationerna har efter att de fått ta del av en sammanställning av de intervjuer de har ställt upp i gjort bedömningen att de önskar vara anonyma. Data kring organisationen har anonymiserats och varken namn på medarbetarna eller organisationen finns angivet i studien. Det gör att studiens trovärdighet minskar något då en anonym organisation inkluderas. En avvägning har gjorts, där bedömningen har varit att de svar som de anonyma respondenterna angivit har varit till nytta för studien, varför dessa personers svar ändå har inkluderats.

3.8 Metodkritik

Bryman och Bell (2013:405) lyfter fram vikten av att anta ett “granskande synsätt”, genom att se över redogörelsen av forskningsprocessen. Denna uppsats disposition och innehåll har setts över av författare, handledare, opponent och korrekturläsare för att säkerställa att kvalitén på redogörelsen håller tillräckligt hög nivå. Genom att ha löpande kontakt har belastningen minskat för “revisorerna”, varför de kunnat göra mer kritiska bedömningar utan att översköljas av mängden data som en kvalitativ uppsats genererar. Dessa ”revisorer” kan endast fånga upp och belysa vissa delar som behöver justeras, deras interagerande kan och bör inte ersätta ett kritiskt hållningssätt från författaren.

Intervjuerna har på förhand utgått från neutrala frågor, som inte varit ledande utan ämnat vara öppna, nyfikna frågor. Under själva intervjuerna har intervjuarens karaktär spelat in, vilket har påverkat hur frågorna har ställts. Vissa följdfrågor har därför tenderat att innehålla moment av ledande frågeformulering, då vissa analyser gjorts av vad respondenten har sagt, något som i iver har velat bekräftas genom tydligare frågor. Att intervjuerna har spelats in och

transkriberats har varit ett sätt att öka transparensen i intervjuerna, då det har fått intervjuaren att hålla sig mer objektiv i visshet om att intervjun kan lyssnas på i efterhand samtidigt som det har varit en påminnelse om att intervjun är en del i en objektiv studie.

(23)

22

Att utgå från semistrukturerade intervjuer med följdfrågor har lett till att de fyra intervjuerna har utvecklats åt olika håll. Alla respondenter har frågats huvudfrågor på de tre områden som denna studie undersöker. Däremot har vissa respondenter pratat mer om vissa områden än vad andra respondenter har gjort. Det har resulterat i att respondenternas tillvägagångssätt och arbete har varit svårare att jämföra.

Urvalet av organisationer är gjort utifrån en bedömning att de är jämnstora organisationer inom samma bransch. ÅF-Infrastructure skiljer sig åt från de andra två organisationerna genom att vara en del i en större koncern, medan de andra två organisationerna är koncerner.

ÅF-koncernen är fyra-fem gånger så stor som de andra två koncernerna. Även om ÅF- Infrastructure är i nivå med Företaget och Rejlers AB är det troligt att det påverkar organisationernas arbete. För att minska denna skillnad har frågor till ÅF:s representant begränsats till att enbart röra BA Buildings, som är det arbetsområde där respondenten är verksam och som är i liknande storlek som de andra två organisationerna.

4. Resultat

4.1 Organisationens definition av risk 4.1.1 Företaget

På Företaget ses risk ha både en upp- och en nedsida. Företagsledaren beskriver risk som ”en viss händelse, något som kan inträffa”. Organisationen har ingen enhetlig definition av ordet risk men synen är att risker kan ha ett positivt och ett negativt utfall. Utifrån sin roll där företagsledaren även är aktiv i andra branschsammanhang upplever företagsledaren att de på många områden, risk inkluderat, ligger i framkant kring hur de arbetar. Deras definition av risk relaterar till detta nytänkande. Företagsledaren menar vidare att deras organisation kan sägas vara mer riskmedvetna än delar av konkurrenterna. Däremot tror företagsledaren att de som organisation är mindre benägna att ta risker.

I samband med att Företaget ställs inför ökad digitalisering upplever företagsledaren att ett ökat förtydligande i riskhanteringsprocessen hade kunna bidra till att öka förståelsen då

”digitaliseringsdelen” är ”svår att greppa”. I övrigt arbete lyfter företagsledaren inte fram riskbegreppet som något som skulle behöva definieras tydligare. Företaget har sedan de blivit miljöcertifierade arbetat mycket inom organisationen med att förtydliga sin syn på risk till

(24)

23

medarbetarna. Då riskhanteringen blev mer heltäckande behövde medarbetarna förstå vad Företagets ledningsgrupp menade när de pratade om riskhantering. Vissa av medarbetarna såg tidigare risk som något enbart negativt, men genom att nyansera bilden av risk, och inkludera

”både plus och minus” kunde organisationen forma en mer enhetlig syn.

Företaget har, enligt avdelningschefen, tidigare använt sig av begreppet ”kvalitetskritiska moment och miljöaspekter” när de pratat om risker men börjar övergå till att använda

begreppet risk. Vid en direkt fråga hur avdelningschefen skulle beskriva begreppet risk svarar respondenten att ISO-standarderna har en bra definition av risk och citerar ISO:s definition:

“osäkerhetens effekt på mål”. Att det finns en riskhanteringsstandard som förtydligar begreppet anser avdelningschefen är bra eftersom det underlättar kommunikationen.

Standarden ger ett språk som de kan förmedla och dela med sina kunder.

Även om avdelningschefen anser att det är viktigt att kunna skilja på hot och möjligheter anses att det är bra att både positiv och negativ risk ryms i benämning av risk. Enligt

avdelningschefen behöver modern riskhantering innefatta båda dessa delar. Avdelningschefen pekar på att organisationer annars kan fastna i en syn på risk som något enbart negativt, samtidigt som det är lätt att tänka risk och börja räkna på sannolikhet och konsekvenser av ett utfall. Denna kvantitativa del av risk menar avdelningschefen är mer av ett mått på risknivå snarare än en definition av vad risk faktiskt är. “Har du inga mål så har du heller inga risker”

säger avdelningschefen och menar att de alltid kommer att stå inför risker så länge de jobbar mot nya mål.

4.1.2 Rejlers

Inom Rejlers finns en riskpolicy som förtydligar hur organisationen ska arbeta med

riskhantering. Som en del i denna policy finns ett avsnitt där organisationen definierar sin syn på begreppet risk. Deras definition beskriver risk som det negativa utfallet av en osäkerhet.

Under intervjun följs ordet risk ofta av ordet möjligheter. Enligt projektutvecklingschefen är det ”aldrig bara risker, det är ju också möjligheter”. Hon tydliggör att de på Rejlers arbetar med risker och möjligheter nära sammankopplat. Deras syn på risk som ett negativt utfall kombineras med ordet möjligheter som ses stå för det positiva utfallet. Vidare lyfter

projektutvecklingschefen fram att det i kommunikation med kunden är viktigt att visa att det

(25)

24

går att vända på en situation, att inte endast lyfta risker utan att även poängtera möjligheter.

Hon säger att risker inte är något farligt, men något som kan behöva hanteras.

Deras sätt att arbeta med risk, vilket blir en följd av deras syn på risk, bygger till stor del på egna checklistor och processer. Dessa checklistor och de processerna har utformats av en grupp som har haft ”hög erfarenhet av sälj och leverans” på Rejlers. Deras utformning är till stor del baserad på externa projekt- och säljteorier. Även om organisationen inte uttalat arbetar lean har de inom nämnd grupp läst böcker om lean management och haft det i åtanke när processer och begrepp har formats. Andra teorier, säljböcker, kurser samt organisationens och andras arbetssätt har också legat till grund för de checklistor, mallar och policys som organisationen de två senaste åren har utformat.

4.1.3 ÅF-Infrastructure

Inom ÅF-Infrastructure finns ingen uttalad definition av begreppet risk. När de arbetar med riskhantering är det främst ekonomiska och tekniska risker som behandlas. De arbetar med synen att risk är något som organisationen proaktivt ska försöka minimera. I och med att organisationen har en syn på risk som något negativt blir fokus att identifiera och minimera risker i ett tidigt skede. Redan i utformandet av anbud går därför den som skapar anbudet igenom en checklista för att bocka av vilka potentiella risker som finns. Organisationen arbetar givetvis även med att se möjligheter, men det sker delvis åtskilt från riskhanteringen.

I kommunikationen med andra organisationer upplever regionschefen inte att de stöter på problem i hur organisationen ser på risk. Han har inte stött på kunder som definierar risk märkbart annorlunda än vad han själv gör. Han upplever därför inget behov av att ytterligare öka tydligheten kring begreppet risk för att de enklare ska kunna kommunicera med de kunder de arbetar med i projekt.

4.2 Ledningens involvering i riskhantering 4.2.1 Företaget

Som en del i Företagets ledningsgrupp arbetar företagsledaren med organisationens risker på en övergripande nivå. I ledningsgruppen arbetar de bland annat med risker inom ekonomi, HR och digitalisering. Mycket av det riskhanteringsarbete som sker centralt är nära relaterat till

(26)

25

hantering av risker inom arbetsmiljöfrågor, såsom psykisk och fysisk hälsa hos medarbetarna samt en särskild whistle-blowing-brevlåda.

Hur riskhanteringen ute i organisationens projekt är formad är påverkat av både ledningen och de övriga medarbetarna. Företagsledaren säger att ”det är tydligt styrt från oss” samtidigt som

”det går åt båda håll”. Riskhanteringen tas inte fram av ledningen, precis som att ledningen inte tar fram det affärssystem som hjälper Företaget att strukturera upp sitt arbete. Däremot är det enligt företagsledaren tydligt att ledningsgruppen har varit involverad i processen, utsett arbetsgrupper och uppmuntrat de anställda att arbeta vidare med frågorna.

Ökad tydlighet i organisationens kommunikation har lett till ökad medvetenhet hos medarbetarna kring var de ska vända sig när de hanterar risk. Företagsledaren lyfter fram organisationens förmåga att fånga risker nerifrån som en styrka. Personen upplever att de har ett ”öppet tänk”, som underlättar vid riskhanteringen. Företaget har en chefsjurist som medarbetarna kan vända sig till vid dessa frågor. Det hjälper medarbetarna samtidigt som det hjälper organisationen att fånga upp risker. Att medarbetarna har olika attesträttigheter och behörighetsroller leder också till att ledningen involveras i större beslut då de stora besluten inte kan fattas av anställda eller lägre chefer utan måste tas högre upp i organisationen. På samma sätt beskrivs riskhanteringen ske stegvis, där den börjar hos konsulterna, som är längst ut i verksamheten och därmed närmast kunderna, för att sedan, vid behov, stegvis gå uppåt i organisationen till högre uppsatta chefer.

Företagsledaren lyfter fram medarbetarnas rapportering till närmaste chef i flera situationer, de anställda har dels många ramverk att falla tillbaka på och i nya situationer som uppstår ska de anställda alltid vända sig till närmaste chef för att inte fatta beslut utanför sin befogenhet.

Om medarbetarna agerar inom sina befogenheter står de inte personligt ansvariga i situationer där risker tas, då kan de falla tillbaka på organisationen om risken skulle leda till ett negativt utfall.

De egna uppdragen i Företaget tas emot och fördelas ut till de olika regionerna, där

affärscheferna är de som först tar emot förfrågningarna. Beroende på uppdragens omfattning och storlek fördelas de sedan vidare till avdelningschefer eller behålls av affärschefer,

eventuellt tillsammans med projektledning. I Företagets interna bedömning om de ska ta in ett uppdrag görs även en riskbedömning för att se vilka risker som finns i arbetet. I första läget

(27)

26

bedöms vilka risker som finns i deras uppdrag. Om de accepterar och vinner uppdraget blir nästa steg att tillsammans med beställaren se över projektets risker.

Hur riskhanteringen i projekt ser ut påverkas till stor del av kunden. Avdelningschefen lyfter fram att det ”är väldigt olika hur det ser ut med styrande dokument kring riskhantering” och

”det är inte alltid våra roller är väldefinierade”. Det kan ge konsulterna ett större inflytande i arbetsprocessen. Hur principerna kring riskhantering tillämpas är däremot något som ”ligger på ledningen”.

4.2.2 Rejlers

En av svårigheterna med riskhantering är enligt projektutvecklingschefen på Rejlers att ”se till att alla verkligen [ägnar sig åt riskhantering]”. Ett sätt att få med hela organisationen i ett riskhanterande arbetssätt är att från ledningens håll visa att riskhanteringen är viktig.

Projektutvecklingschefen lyfter fram att alla gruppchefer inte automatiskt kommer att tycka att riskhanteringen är viktig och att det därför, från ledningen håll blir ”ännu viktigare att få dem att tycka att det här är viktigt, för det är otroligt viktigt att jobba med risker”. Ledningen viktigaste del i riskhanteringen blir således att visa att riskhantering är viktigt. Det gör de genom att ställa frågor om riskhantering, något som belyser att högsta ledningen månar om god riskhantering. Det ska sedan ge utslag nedåt i organisationen, så att nästa chef i ledet frågar sina underordnade, som i sin tur frågar sina underordnade tills riskhantering blir en viktig del i kulturen och hela organisationen. Rejlers har de senaste två åren arbetat mycket med att få in ”rätt frågor uppifrån” eftersom det är ledningen som styr och ytterst har störst påverkan på hur riskhanteringen utformas och prioriteras.

Hur stort ett projekt är påverkar hur omfattande riskhanteringen måste vara och hur

involverad högsta ledningen är. Vid stora uppdrag, som kräver mer än 200 timmar, behöver affärsledaren och offertansvarige för ett projekt presentera en powerpoint-redovisning, bland annat innehållandes risker, för sin chef. Om det rör större summor involveras nästa chef och vidare tills slutligen vd:n blir involverad. Den ansvarige chefen blir den som fattar beslut om riskerna ligger på en acceptabel nivå och om projektet ska genomföras eller om riskerna behöver minimeras eller projektet nekas.