UPPSALA UNIVERSITET
Företagsekonomiska Institutionen Kandidatuppsats 15 hp
Handledare: Gunilla Myreteg Datum för inlämning: 2012-01-09
Härdsmälta eller riskarbete?
En studie av ISO 31000 och dess riskhanteringsprocess
Anette Björkstrand & Sebastian Riis Höstterminen - 2011
Sammanfattning
Fokuset på riskhantering har ökat markant sedan mitten av 1990-talet till följd av
företagskollapser. Orsakerna bakom användandet av diverse riskhanteringsramverk är dock omtvistat, då vissa anser att riskhanteringsarbetet bygger på andra anledningar än att hantera risk effektivt, såsom legitimitetssökande. Det finns även farhågor att riskhanteringsarbetet riskerar att förlora fokus och leda till en ond cirkel som skapar risker snarare än behandla redan existerande. Uppsatsens syfte är att studera vilka effekter införandet av ISO 31000 får på riskhanteringsprocessen inom energibranschen. Detta gör vi genom att studera
energiföretaget E.ON Sverige AB och dess dotterbolag, och hur de använder sig av riskhanteringsramverket ISO 31000. Undersökningen skedde genom intervjuer med
riskansvariga på företaget och även genom kontroll av dokument. Vi finner att införandet av ISO 31000 inte medfört så stora förändringar i riskhanteringsprocessen. Detta kan vara hänförligt till en brist av engagemang från ledningen och svårigheten att förändra styrsystem samt ett behov av legitimitet snarare än behovet av ramverk.
Förord
Vi vill rikta ett stort tack till vår handledare Gunilla Myreteg för hennes goda råd, hjälp och vägledning under hela uppsatsens gång.
Ett stort tack går även ut till personalen på E.ON Sverige AB och dess dotterbolag för deras öppenhet och deltagande.
Vi vill även tacka de personer som hjälpt till att forma vårt arbete genom goda råd och förslag.
Anette Björkstrand Sebastian Riis
Uppsala 2012
Innehållsförteckning
1 Inledning ... 1
1.1 Problemformulering ... 2
1.2 Frågeställning ... 2
1.3 Syfte ... 2
2 Teori ... 3
2.1 Risk ... 3
2.2 Enterprise Risk Management ... 3
2.3 Kritik mot ERM ... 5
2.3.1 Legitimitet ... 5
2.4 ISO 31000:2009 ... 6
2.4.1 Implementering ... 7
2.4.2 Riskhanteringsprocessen ... 8
2.4.2.1 Kommunikation och konsultation ... 8
2.4.2.2 Etablera kontext ... 8
2.4.2.3 Riskbedömningsprocessen ... 9
2.4.2.3.1 Riskidentifiering ... 9
2.4.2.3.2 Riskanalys ... 10
2.4.2.3.3 Riskutvärdering ... 11
2.4.2.4 Riskbehandling ... 11
2.4.2.5 Övervakning och granskning ... 11
2.5 Kritik mot ISO 31000 ... 12
2.6 Teoretisk analysmodell ... 13
3 Metod ... 14
4 Empiri ... 17
4.1 E.ON Sverige AB ... 17
4.2 Implementering av ISO 31000 ... 17
4.3 Riskhanteringsprocessen ... 18
4.3.1 Kommunikation och konsultation ... 18
4.3.2 Etablera kontexten ... 20
4.3.3 Riskbedömningsprocessen ... 20
4.3.3.1 Riskidentifiering ... 20
4.3.3.2 Riskanalys ... 21
4.3.3.3 Riskutvärdering ... 21
4.3.4 Riskbehandling ... 22
4.3.5 Övervakning och granskning ... 22
4.4 Problem ... 23
5 Analys ... 25
5.1 Implementering ... 25
5.2 Riskhanteringsprocessen ... 26
5.2.1 Kommunikation och konsultation ... 26
5.2.2 Etablera kontext ... 26
5.2.3 Riskbedömningsprocessen ... 26
5.2.3.1 Riskidentifiering ... 26
5.2.3.2 Riskanalys ... 27
5.2.3.3 Riskutvärdering ... 27
5.2.4 Riskbehandling ... 27
5.2.5 Övervakning och granskning ... 28
5.3 Sammanfattning ... 28
6 Slutsats ... 30
Källor ... 31
Tryckta källor ... 31
Elektroniska källor ... 33
Intervjuer ... 33
Bilaga 1 – Intervjuguide ... 34
Bilaga 2 – Förhållande mellan principer, ramverk och riskhanteringsprocess ... 37
Figur 1. Modell för riskhanteringsprocessen 8
Figur 1. E.ONs rapporteringsstruktur 19
Tabell 1. Intervjuguide 16
1
1 Inledning
Under de senaste två decennierna har fokus på riskhantering varit stort till följd av diverse företagsskandaler såsom WorldCom och Enron (Gwilliam et al, 2008). Det ökade fokuset är även noterbart i antalet skrivna artiklar och studier gällande riskhantering som sedan mitten av 1990-talet mångdubblats (Power, 2007). Från politiskt håll har företagskrascherna lett till införandet av en mängd regleringar världen över såsom Sarbanes-Oxley Act (SOX) år 2002 på större företag listade i USA (Gwilliam et al, 2008) och diverse standarder för börsnoterade företag såsom Svensk kod för bolagsstyrning i ett försök att förebygga framtida skandaler (Svernlöv, 2008). Trots detta har den senaste globala finanskrisen exponerat i många fall undermålig riskhantering inom många organisationer och har tvingat många, även icke- vinstdrivande organisationer, att utvärdera sin riskhantering. Börsnoterade bolag är numer tvingade att tillhandahålla en bolagsstyrningsrapport innehållande en beskrivning av bolagets interna kontroll och riskhantering i samband med den finansiella rapporteringen, vilket ska säkerställas och efterföljas av styrelsen (Årsredovisningslagen, 2009, 6:6). Enterprise Risk Management (ERM) har tillkommit till följd av dessa behov, det är ett ramverk tänkt att behandla risker som en helhet (Frigo, 2011). Detta har lett till en utveckling av
riskhanteringsverktyg, däribland ramverket ISO 31000:2009 (ISO 31000). Den nya standarden ISO 31000 har som första standard utgångspunkt att vara en global standard (Baker, 2011), som är användbar för alla sorters företag, från stora multinationella företag till väldigt små firmor (ISO 31000, 2009).
Risker inom olika branscher kan få allt ifrån små till stora konsekvenser, speciellt inom energibranschen kan konsekvenserna bli ansenliga. De kan påverka hela samhället som idag är helt beroende av energi, men även sett till de potentiella miljöaspekterna. Samhället har också börjat ställa krav på riskhanteringen och rapporteringen inom energibranschen då flera energiföretag har ansetts skyldiga till diverse miljökatastrofer. Detta har lett till ökad
kommunikation mellan företag, samhälle och stat (Warhurst, 2001). Riskhantering inom energibranschen är speciellt viktigt då el inte kan lagras, utan tillräckligt med el måste
kontinuerligt produceras för att täcka samhällets behov. Det finns en viss grad av osäkerhet då en stor del av konsumtionen är beroende av t.ex. väderfaktorer och förbrukningstoppar under dygnet. Mängden producerad och förbrukad el vid ett tillfälle påverkar således priserna omedelbart och ökar risken inom energibranschen (Weron, 2000). Kostnadsmässigt kan eventuella stopp i produktionen således bli dyrt för producenten då denne, utöver övriga
2 eventuella konsekvenser, måste köpa energi på öppna marknaden för att klara av att leverera el åt sina kunder, speciellt när efterfrågan och således även priset är högt. Detta pekar på behovet av riskbedömning (Denton, et al. 2003). När en riskbedömning görs inom
energibranschen bör det utöver själva produktionen även hänsyn tas till övriga delar såsom eventuell utforskning, utvinning, transport, bearbetning, förvaring och avfallshantering, då hela processen bör ingå i riskhanteringen. Energibranschen påverkas även av den tekniska utveckling, införandet av nya säkerhetsföreskrifter, ökad riskförståelse med mera, vilka kan leda till ökade kostnader i företaget, då de måste anpassa sina processer (Hirschberg et al, 2002).
Vissa forskare påstår att riskhanteringssystem som behandlar allt bara blir en generaliserad modell som inte passar det ursprungliga syftet. De argumenterar även att användandet av ERM system snarare beror på legitimitet än praktisk användning (Power, 2009).
1.1 Problemformulering
Företag behöver bli bättre på att hantera risker, vilket kan avläsas av de många stora kriser som drabbat företag runt om i världen under de senaste decennierna. Detta har fått
långtgående konsekvenser, vilka ofta är hänförliga till en undermålig riskhantering. Trots det ökade fokuset på ERM så har många företag inte investerat i riskhantering de senaste åren, vilket vissa forskare hävdar skapar ett problem då riskhanteringen förblir outvecklad och hindrar utvecklingen (Frigo, 2011). Inte ens införandet av standarder kan ses som en garanti för att det blir någon intern förändring, då förändringar i styrsystem tenderar att vara svåra att genomföra (Burns & Scapens, 2000). Samtidigt vet vi att det kan finnas en legitimerande aspekt när det gäller företags relation till omvärlden. Detta innebär att införandet av ISO 31000 möjligtvis kan förklaras med ett behov av legitimitet snarare än intern förändring av riskhanteringen, vilket stöds av vissa forskare (Power, 2009). Är heltäckande standarder lösningen på företags bristfälliga riskhanteringar, vilka legat bakom vissa företagskollapser, eller är det bara en falsk trygghet?
1.2 Frågeställning
Vilka effekter får införandet av ISO 31000 på riskhanteringsprocessen inom energibranschen?
1.3 Syfte
Vi ska utreda vilka effekter införandet av ISO 31000 får på riskhanteringsprocessen inom energibranschen.
3
2 Teori
Detta kapitel presenterar teorin som ligger till grund för studien. Kapitlet inleds med en allmän beskrivning av risk och riskhantering samt kritik som riktats gentemot detta. Sedan beskrivs legitimitet och den påverkan denna kan ha på organisationers riskhantering.
Därefter följer en genomgång av ISO 31000 som är en ny modell vilken skiljer sig från tidigare modeller i den mån att den är utformad för att passa alla slags företag och behandla alla typer av risker. Vi går igenom implementeringsprocessen och riskhanteringsprocessen samt den kritik som uppstått mot ISO 31000.
2.1 Risk
Enligt Knight (2010) så finns det utan risk inte någon belöning, alla företag måste således i någon utsträckning utsätta sig för risk för att kunna generera avkastning. Därav bör företag använda sig av riskhantering för att maximera möjligheterna till avkastning samtidigt som de minimerar riskerna. Enligt Haimes (2009) har det under åren förekommit ett flertal olika riskdefinitioner vilket skapat förvirring och feltolkningar. Vi kommer att utgå från
definitionen som används av ISO 31000 (2009) vilken definierar risk som: ”osäkerhet och effekten av denna på uppsatta mål”. Osäkerheten avser den brist på information som är hänförlig till förståelsen och kunskapen om en händelse och dess följder. Effekt avser här avvikelsen från det förväntade målet, vilket kan vara positivt eller negativt. Mål kan bestå av alltifrån finansiella och säkerhetsrelaterade till miljömässiga och dessa kan verka på olika nivåer bl.a. strategiska, organisationstäckande eller produktmässiga. Risken i sig består av potentiella händelser och dess konsekvenser samt sannolikheten av de olika utfallen det vill säga möjlig skillnad i utfall från de ställda målen till följd av interna och externa faktorer (ISO 31000, 2009). Externa faktorer inkluderar alltifrån förändrad efterfrågan till nya konkurrenter och politiska beslut. Interna faktorer består bland annat av mänskliga- och systemfel samt produktionsavbrott, även kallat de operativa riskerna (Dickinson, 2001). Risk i sig kan ses som neutralt, varken bra eller dåligt, men är nödvändigt för att uppnå mål (Purdy, 2010).
2.2 Enterprise Risk Management
Enligt Purdy (2010) bör riskhantering oavsett vilket system som används alltid ha samma mål.
Riskhanteringen bör fungera som en grund för sunda välinformerade beslut och avgöra huruvida risken är acceptabel, samt hur företaget bör hantera risken. Enligt Zwikael & Ahn (2011) hjälper riskhantering även i mindre skala till att minska risknivåerna och öka projekts framgång.
4 Enterprise risk management (ERM) tillkom i mitten av 1990-talet till följd av ett antal
företagskollapser som åtföljdes av diverse regleringar världen över (Dickinson, 2001). Risker har gått från att hanteras individuellt, var för sig, till att i ERM behandlas som en
sammanslagen grupp. En annan stor skillnad i ERM gentemot tidigare riskhantering är synen på risk som inte längre endast en fara utan även som en möjlighet till högre avkastning. Detta bör leda till att beslutsfattandet skiftar från den traditionella strävan att enbart försäkra sig mot risker till att lyfta fram dem som vinstgivande riskmöjligheter (Frigo, 2011).
Mehr & Hedges (1963) som anses lagt grunden för den moderna riskhanteringen anger fem steg för riskhantering: identifiering, mätning, utvärdering, behandlingsmetod och kontinuerlig övervakning av resultaten. Dock tog de enbart hänsyn till det negativa med risker och ej till möjligheterna. Enligt D’Arcy (2001) hade detta sin grund i att denna tidiga form av
riskhantering främst baserade sig på försäkringsbara risker, hänförligt till den rådande situationen bland företag, då de ville försäkra sig mot existenshotande risker. Många risker som idag bör behandlas fanns ej eller var inte lika påtagliga förr, exempelvis valutarisker var ett mindre problem då företag inte i lika hög utsträckning var multinationella och därtill påverkarde valutakurserna inte många organisationer i lika stor utsträckning som idag.
Risken är en viktig del av företagsstrategin, vilket innebär att ledningen kan hantera risker genom val av strategi. Riskhantering sker vid beslutsfattande och måste således utgå uppifrån och ner (top-down). Detta kräver en väl fungerande kommunikation i båda riktningarna, uppåt för att ledningen ska kunna ta välgrundade beslut och nedåt för att eventuella risker ska kunna hanteras av personalen. Denna kommunikation förutsätter att terminologin är väl definierad.
Därför behövs en Chief Risk Officer (CRO) och en Chief Financial Officer (CFO) som ser till att medarbetarna är utbildade och förstår terminologins innebörd. Detta är viktigt för att på ett effektivt sätt kunna identifiera, kontrollera och hantera riskerna i företaget. En viktig del av riskhanteringen är även den kommunikation och informationsdelning som sker till intressenter utanför bolaget (Frigo, 2011).
För en bra bolagsstyrning krävs det att ledningen är engagerad och utvecklar väl definierade funktioner för riskövervakning, vilket även är viktigt då ledningen är ansvarig gentemot företagets intressenter (Dickinson, G. 2001). Det är även känt att implementering av komplexa system kräver ledningens engagemang (Murphy & Paté-Cornell, 1996). Frigo
5 (2011) presenterar en normativ ERM modell som ska vara direkt relaterad till
strategiprocessen, och för att skapa värde bör den vara integrerad i företagets strategi, dess planering och utförande. Riskhanteringsprocessen bör vara skräddarsydd till företagets behov och kultur, ifall detta inte sker så riskerar riskhanteringen att förlora sin roll. Det är viktigt att definiera olika ansvarsområden samt hur de förhåller sig till andra funktioner och områden inom företaget.
2.3 Kritik mot ERM
Det finns även kritik riktad mot ERM. Scheytt et. al. (2006) hänvisar i sin studie till Ciborra (2006) och Willman (2006) vilka undersökt hur nya operationella risker och biverkningar kan skapas genom försök att hantera den gamla egentliga risken. De visar på exempel där försök att hantera osäkerheten inom den finansiella marknaden skapar nya former av osäkerhet och risk. Riskhantering betraktad utifrån denna synvinkel ter sig som motsägelsefull. I slutsatsen kommer de fram till att riskkonceptet förlorar sin mening när den blir för utspridd på en mängd olika funktionella områden. Busby (2006) studerade hur regelverk ändrade utformning i samband med de säkerhetsrisker som uppkom inom järnvägsindustrin i Storbritannien.
Denna studie visar liknande effekter relaterade till försök att hantera risken. Han kommer fram till att om delvisa förklaringar på händelser blir allmänt accepterade bland de intresserade parterna kommer förklaringen att vinna legitimitet vilket kan leda till att organisatoriska reformprocesser följer denna logik, vilken höjer risken snarare än minskar den. Power (2005) påstår att riskhantering kan leda till negativa biverkningar i form av skapandet av nya riskobjekt, som operativt eller informellt blir godkända och normaliseras i den nya riskhanteringen och detta ökar utvecklingen av risken i verksamheten och leder till en ond cirkel. Detta resonemang visar att riskhanteringen utvecklats utanför dessa egentliga områden, exempelvis naturkatastrofer, miljöpåverkan och hälsa, och att fokus nu ligger på biprodukterna av riskhanteringen.
2.3.1 Legitimitet
Det finns en mängd olika definitioner av begreppet legitimitet, Suchman (1995) beskriver legitimitet som en uppfattning eller ett antagande att företags handlingar är önskvärda, ordentliga eller lämpliga sett till sociala normer, värderingar, övertygelser och definitioner.
Legitimitet används för att stärka både stabiliteten och förståelsen för aktiviteter och aktörer, det är även viktigt för att erhålla resurser då aktörer som framstår som lämpliga, passande och eftersträvansvärda har större sannolikhet att erhålla resurser. Nya aktiviteter innebär en utmaning för aktörer, de måste vinna acceptans och legitimitet, både för området generellt
6 men även för sin egen yrkesutövning (Suchman, 1995).
Inom kognitiv legitimering strävar aktören efter mål och aktiviteter vilka anses vara lämpliga, passande och eftersträvansvärda inom en större social förståelse. Kognitiv legitimitet kan erhållas genom att vända sig till och använda eller imitera framstående, accepterade och erkända modeller och standarder (Suchman, 1995). Genom att formalisera och
professionalisera procedurer kan även legitimitet erhållas genom hänvisning och koppling mellan procedurerna och utomstående auktoriteter, deras expertis och kompetens. Det går även att välja att vända sig till en publik som stödjer en genom att anskaffa certifiering som ger tillgång till just denna publik. Utöver det kan legitimitet erhållas genom att helt enkelt framhärda och på så sätt med tiden göra att en process blir tagen för given. Att standardisera nya modeller tenderar även det att öka legitimiteten genom existensen av standardiseringen i sig (Suchman, 1995).
Pragmatisk legitimitet innebär att aktören försöker uppfylla behov och krav som dess publik har. Pragmatisk legitimitet kan uppnås genom att anpassa sig till de krav som ställs på aktören av en publik. Genom att bygga ett gott rykte kan aktören utöva inflytande och framstå som legitim även i andra sammanhang genom att framhålla sitt eget eller andra nyckelpersoners goda rykte. Aktören kan även använda sig av reklam som en strategi för att påverka publikens upplevda behov och därigenom få legitimitet (Suchman, 1995).
2.4 ISO 31000:2009
ISO 31000 har ersatt vissa tidigare liknande standarder däribland AS/NZS 4360 som tillämpades i Australien och Nya Zeeland. ISO 31000 avviker från de tidigare
riskhanteringsramverken då ISO 31000 snarare koncentrerar sig på effekten av osäkerhet, i jämförelse med andra ramverk som lägger sitt fokus på händelser i samband med risk (Knight, 2010).
ISO 31000 skapades av International Organization for Standardization för att standardisera riskhanteringen och dess begrepp. Målet var att införa ett enhetligt system för att identifiera, analysera, bedöma och hantera risker och hur dessa anknyts till företaget samt dess
organisation. ISO 31000 utvecklades av experter från 28 länder som tillsammans med andra organisationer analyserade standarden och dess ordlista. Experterna ansågs besitta en bred kunskap om riskhantering och representera flera olika sektorer och branscher samt skulle
7 förmedla nationella kommittéers och organisationers åsikter. Därav fick de ta del av flera olika perspektiv, vilket betyder att den slutliga standarden inte enbart fattats av en liten elitgrupp utan att hundratals kunniga människor från hela världen vilka fick delta i utvecklingsprocessen (Purdy, 2010).
Standarden är till skillnad från många andra ISO- standarder inte certifierbar. Detta ses av vissa som positivt då det blir lättare att ta den till sig och gör det enklare att anpassa den till alla sorters organisationer samt minskar kostnaderna som certifiering medför. Detta gör dock standarden mindre normativ vilket ses som en nackdel med andra ramverk då det anses kunna leda till onödiga och kortsiktiga beslut (Baker, 2011).
Tidigare ISO standarder såsom ISO 9001:2008 (Kvalitetsledning), ISO 14001:2004 (Miljöledning) och ISO 27002:2005 (Informationssäkerhet), inkluderar en viss grad av riskhantering. ISO 31000 följer en del av de tidigare ISO-standardernas cykliska modell, då de med jämna mellanrum bör återkoppla och uppdatera riskhanteringsarbetet. Den nya standarden ISO 31000 är tänkt att fungera som ett samordnande riskhanteringsverktyg inom hela organisationen och mellan existerande standarder (ISO 31000, 2009).
2.4.1 Implementering
Vid implementering av ISO 31000 krävs enligt standarden att ledningen förbinder sig att arbeta målmedvetet och kontinuerligt för att försäkra att företagets kultur och
riskhanteringspolicy är i samspel och är väl definierad. En tidsplan och strategi för
implementeringen bör upprättas, vilka säkerställer att riskhanteringen följer lagstiftningen.
Riskhanteringspolicyn bör reflektera företagets målmedvetna strävan gentemot en fungerande riskhantering. Företagsledningen bör ta hänsyn till företagets externa och interna kontext. Den innehåller bland annat externa faktorer såsom sociala, kulturella, teknologiska, finansiella och trender. Till de interna faktorerna hör organisationsstruktur, informationssystem, interna resurser, kunskap och så vidare. Ansvar och resurser bör fördelas i organisationen på lämpliga nivåer. Integrering av riskhanteringsprocesserna bör ske i hela företaget där det är
ändamålsenligt, relevant och effektivt. Riskhanteringsprocessen bör vara integrerad i
företagets organisation, inte minst i policyskapande, strategisk planering och företagsledning.
Detta kan medföra krav på förändring av organisationskulturen och processer (Purdy, 2010).
Kontroll och uppföljning av ramverket bör ske för att säkerställa att det upprätthåller sin tänkta lämplighet. Det är viktigt att de anställda får tillräckligt med information och utbildning. Kommunikations- och rapporteringsverktyg bör implementeras för att stödja
8 ansvarsskyldighet gällande riskhanteringen. Det är även viktigt att kommunicera fördelarna av riskhanteringen till aktieägarna, varvid det bör utarbetas en plan för det (IS0 31000, 2009).
2.4.2 Riskhanteringsprocessen
Riskhanteringsprocessen innehåller enligt ISO 31000; Kommunikation och konsultation, etablera kontext, riskidentifiering, riskanalys, riskutvärdering, riskbehandling samt övervakning och granskning (se figur 1).
Figur 2- Modell för riskhanteringsprocessen. (ISO 31000, 2009)
2.4.2.1 Kommunikation och konsultation
En framgångsrik riskhantering förutsätter att kommunikations- och konsultationskanaler utvecklas i ett tidigt skede både inom företaget men även utåt mot företagets intressenter.
Detta är viktigt för att säkerställa att intressenternas behov och åsikter uppmärksammas samt att olika expertis tas till godo. Denna kommunikation och konsultation bör ske kontinuerligt och genom alla delar i riskhanteringsprocessen (ISO 31000, 2009).
2.4.2.2 Etablera kontext
Vid etablering av riskhantering behöver det tas hänsyn till interna faktorer såsom resurser, värderingar, ”know-how” och interna processer. Dessutom bör hänsyn tas till externa faktorer exempelvis makromiljön (kultur, politik), externa intressenters uppfattningar och
marknadstrender. Genom detta kan riskhanteringens mål och kriterier bestämmas (ISO 31000, 2009).
9 2.4.2.3 Riskbedömningsprocessen
Själva riskbedömningsprocessen består av riskidentifikation, riskanalys och riskutvärdering, vars mål är att ge högre förståelse för risker och riskhantering (ISO 31000, 2009).
2.4.2.3.1 Riskidentifiering
För att hantera risk så måste risken identifieras (ISO 31000, 2009), detta kan göras genom olika metoder exempelvis checklistor, brainstorming, expertgrupper (Delphi metoden) och riskworkshops (ISO 31010, 2010).
Checklistor baseras på historisk data från tidigare riskbedömningar eller misstag. Fördelen med checklistor är att de lätt kan användas av alla även om de är utformade av experter. De kan även försäkra att vanliga problem inte förbises. Till nackdelar hör att processen blir monoton och att nya risker kan försummas (ISO 31010, 2010).
Brainstorming innebär stimulerande och uppmuntrande diskussion bland experter, som har kunskaper om företaget och dess processer, för att identifiera potentiella risker. Brainstorming är användbart då organisationen ger sig in på okänd mark, där andra metoder inte är
tillgängliga eller då de strävar efter en inspirerande atmosfär med givande diskussion.
Brainstorming kan vara formellt eller informellt. Formell brainstorming innerbär att
diskussionen är förberedd med riktlinjer och förbestämda frågor. Informell brainstorming är mera fritt, saknar större struktur och är mindre styrd. Fördelar med brainstorming är att det är snabbt och enkelt, involverar viktiga intressenter, ökar kommunikationen och är användbart för att identifiera nya risker. Till nackdelar kan räknas involvering av deltagare som saknar kunskaper inom området och avsaknaden av struktur kan leda till att alla ämnen inte diskuteras och att alla potentiella risker inte identifieras. Även sociala konstruktioner kan inverka negativt på diskussionen (ISO 31010, 2010).
Delphi metoden, eller expertutlåtanden, kan lösa problemet med oidentifierade risker vid brainstorming. Då den i början använder sig av en individuell enkät som skickas ut till
enskilda experter vars svar senare skickas runt till deltagarna för att analyseras och diskuteras.
Detta sker anonymt och fortgår tills en slutsats nås. Detta är även fördelen med metoden då inpopulära åsikter kan yttras, utöver detta krävs inga fysiska sammanträddanden. Nackdelarna med metoden är att den är tidskrävande och kräver goda kunskaper bland deltagarna att uttrycka sig i skrift (ISO 31010, 2010).
Riskworkshops går ut på att i grupp diskutera olika scenarier och deras möjliga utfall.
Utgångspunkten i diskussionerna är olika ord som är tänkta att stimulera diskussionen och
10 begränsa ämnet så att rätta punkter behandlas. Detta sker främst genom att ställa sig frågan
”Vad händer om…?”. Fördelar med riskworkshops är att de snabbt och enkelt kan användas på alla aktiviteter. Nackdelen är att det krävs hög kunskap av ledaren för workshopen och hög kompetens bland deltagarna (ISO 31010, 2010).
2.4.2.3.2 Riskanalys
Riskanalys innebär att företaget analyserar konsekvenserna och sannolikheterna av de identifierade riskerna, samt analyserar effektiviteten av den nuvarande riskhanteringen.
Organisationen försöker uppskatta bredden av potentiella konsekvenser för att mäta risknivån, en högre risknivå kan kräva flera olika riskanalysmetoder. De olika riskanalysmetoderna använder sig av kvalitativa eller kvantitativa metoder beroende på det enskilda fallet. Då organisationen använder sig av kvalitativa metoder bör den se till att terminologin är väldefinierad. Risknivån sjunker då metoderna för riskhantering är bra, detta kräver en god dokumentation och välutformade uppföljningsprocesser. Innan riskanalysen börjar bör det göras en preliminär analys för att utesluta de mindre väsentliga riskerna som har liten inverkan på företaget. Hänsyn behöver tas till osäkerheten som existerar för att kunna analysera risk på ett effektivt sätt. Bedömning bör ske angående materialets pålitlighet och behovet av tillförlitlighet (ISO 31000, 2009).
För att analysera sannolikheten för en viss risk används vanligtvis tre olika metoder:
historiska erfarenheter, felträdsanalyser eller expertutlåtanden, dessa metoder går att använda enskilt eller tillsammans (ISO 31010, 2010).
Historiska erfarenheter innebär användandet av tidigare insamlad data. Med denna metod går det att avgöra sannolikheten av risker i existerande system. Detta medför begränsningar i de fall där data inte existerar (ISO 31010, 2010).
Felträdsanalys kan användas då det inte finns tillräcklig tillgång till historisk data. Då härleds sannolikheten genom en analys av systemet, aktivitet, utrustning eller organisation. Numerisk data från olika områden kombineras för att skapa den största sannolikheten för utfallet. När analysen utförs bör hänsyn tas till de slumpmässiga och strukturella fel som kan uppstå i olika delar av systemet, för detta kan simuleringstekniker krävas. Felträdsanalys ger en tydlig bild och struktur vilket gör det lätt att förstå proccecerna. Dock kan det vara svårt att bestämma sannolikheterna för de olika punkterna (ISO 31010, 2010).
11 Expertutlåtanden kan användas till att mäta sannolikheten i strukturerade och systematiska processer. De utgår ifrån all tillgänglig information och kan bl.a. använda sig av Delphi metoden (ISO 31010, 2010).
2.4.2.3.3 Riskutvärdering
Vid utvärdering av risk jämförs risknivå med de riskkriterier som framtogs vid etablerandet av kontexten, för att på så sätt få fram riskens signifikans. Genom att använda sig av information från riskanalysen är det möjligt att fatta beslut angående eventuella åtgärder gällande riskerna.
Beslut bör därefter fattas om huruvida åtgärder ska vidtas, baserat på de i kontexten angivna kriteriena, och i vilken ordning detta ska ske. Riskerna bör i detta steg även delas in i
kategorier, vanligtvis; högrisk, där eventuella konsekvenser är oacceptabla oavsett vilka möjligheter som risken medbringar; mellanrisk, där avkastningen är ungefär likvärdig med eventuella konsekvenser; låg risk, risken är försumbar (ISO 31000, 2009).
2.4.2.4 Riskbehandling
När det genomförts en riskbedömning bör det, om det bedömts rimligt, väljas en lämplig metod för att reducera risknivån och/eller den eventuella effekten av risken. Riskbehandling inkluderar allt ifrån att minska risknivån med förändrade arbetsmetoder till att försäkra sig mot risker och så vidare. Efter detta bör risken utvärderas igen för att avgöra huruvida risknivån är acceptabel (ISO 31000, 2009).
2.4.2.5 Övervakning och granskning
I riskprocessen ingår flera element som tenderar att variera över tid. Dessa måste övervakas och granskas kontinuerligt så att riskhanteringen kan anpassas vid behov och även förbättras.
Processens effektivitet bör övervakas och dokumenteras vilket tillhandahåller data till framtida riskanalyser (ISO 31010, 2010). Effektiviteten bör mätas mot indikatorer som periodvis utvärderas för dess lämplighet. Riskhanteringsplanens fortskridande bör emellanåt mäta framsteg mot och avvikelser från plan, och kontrollera ifall riskhanteringen ännu är tillämpbar (ISO 31000, 2009).
Enligt ISO 31000 (2009) finns det ett antal kännetecken för att mäta prestationsnivån gällande riskhanteringen. Kontinuerliga förbättringar kan ske genom användandet av målstyrning, utvärdering och fortlöpande anpassning av riskhanteringsprocesser. En bra indikation på att detta fungerar väl är att företaget har prestationsmål och mäter sina och individuella ledares prestationer gentemot målen. Prestationsmålen bör utvärderas och vid behov revideras minst en gång per år.
12 För full ansvarsskyldighet krävs det tillräckligt med kompetens och resurser. En effektiv övervakning av risker, förbättring av kontroller och bedrivning av effektiv kommunikation med intressenter säkerställs genom bra arbetsbeskrivningar och informationssystem.
Information om ansvarsskyldigheter och ansvarsområden bör även ingå i företagets introduktionsprogram för anställda (ISO 31000, 2009).
En indikation på att riskhantering genomsyrar hela organisationen är att det går att avläsa förekomsten av diskussioner om riskhantering i mötes- och beslutsprotokoll. Det är viktigt att kunna se användningen av riskhantering i nyckelprocesser gällande beslutsfattning då all rikshantering utgår ifrån beslutsfattande organ (ISO 31000, 2009).
För effektiv styrning krävs kontinuerlig och frekvent kommunikation med intressenter. Detta indikeras av förekomsten av kommunikation inom och utåt från organisationen angående dess riskarbete. Riskhantering bör vara integrerad i organisationens ledningsprocesser och
betraktas som nödvändig för att uppnå uppsatta mål. Detta mäts bland annat genom att undersöka bruket av termen ”osäkerhet” som vanligtvis speglas i organisationens styrdokument och policyer samt i chefers språkbruk (ISO 31000, 2009).
2.5 Kritik mot ISO 31000
För att fungera effektivt måste riskhanteringen vara integrerad i företagets olika
beslutsprocesser, något som i teorin verkar enkelt, men i praktiken är problematiskt för många företag att uppnå (Purdy, 2010). ISO 31000 beskriver inte ett specifikt ledningssystem utan är ett ramverk som bör anpassas till redan tillgängliga system, något som riskerar att cementera dåliga system (Knight, 2010).
Terminologin och dess definitioner har blivit kritiserade för att vara abstrakta och
inkonsekventa, vilket riskerar leda till ologiska beslut och gör standarden svår att följa. I vissa fall när terminologin definieras så anses vissa av definitionerna vara otydligare än de använda termerna och inga vidare förklaringar tillhandahålls. Terminologin försöker även undvika användningen av matematiska ord, data och modeller, som exempel anges ingen definition för termen ”sannolikhet”, istället varnas enbart för att ordet ofta tolkas snävt som en matematisk term. Detta har fått forskare att kräva mera exakta termer och definitioner, så att problemet med feltolkningar skulle minimeras. Vissa delar av standarden kan ses som för ambitiösa, exempelvis att ”alla” externa och interna intressenter bör medverka under hela
riskhanteringsprocessen, något som skulle vara för resurskrävande (Leitch, 2010). Vidare kritik är att ISO 31000 inte tar upp hur långt organisationer bör gå i riskbehandlingen, vilket
13 riskerar att göra riskhanteringsarbetet kostnadsineffektivt. Det finns enligt vissa även problem med avsnitt 4 (Clause 4, se bilaga 2), i ISO 31000 standarden, som behandlar implementering och utveckling av ramverket, då den anses för komplicerad och besvärlig för mindre
organisationer att använda (Purdy, 2010).
2.6 Teoretisk analysmodell
Analysmodellen som vi använder utgår ifrån att risk, såsom i ISO 31000, ses som en
nödvändighet för att uppnå mål. Vi bör kunna se en förändring i företagets syn på risker som bör bli mer samstämmig med ISO 31000. Enligt ERM teorier är riskhanteringen en viktig del av företagsstrategin då den måste utgå uppifrån och ner, och vi förväntar oss att se en
förändring i företagets årsredovisning och tillhörande styrdokument samt i beslutsfattandet.
ISO 31000 utgår från att alla är insatta i riskhanteringsarbetet och aktivt jobbar med det för att säkerställa att risker identifieras, analyseras och utvärderas. Speciellt viktigt är att
riskhanteringen är integrerad i den högsta ledningens processer och att det finns en effektiv och kontinuerlig kommunikation för att kunna uppnå en effektiv styrning. Vi bör därav kunna se förändringar i kommunikationssystemet och riskbedömningen. Införandet kan även vara hänförligt till ett behov av legitimitet, varvid vi kan komma att se mindre förändringar i riskhanteringsprocessen.
14
3 Metod
Detta kapitel beskriver vilken metod vi har valt för att genomföra vår studie. Inledningsvis presenterar vi valet av studieobjekt, därefter lägger vi fram vår forskningsansats och hur vi gått tillväga för insamlandet av empirin.
Vi har genomfört en fallstudie, då vår forskningsfråga med ISO 31000 i stort sett är
obehandlad till följd av att ISO 31000 är en relativt ny standard. Vi har studerat E.ON Sverige AB (hädanefter kallat E.ON) energiföretaget och de effekter som införandet av ISO 31000 medfört. Valet baseras på att de var ett av de få företag som började tillämpa standarden tidigt och att riskhantering spelar en stor roll inom energisektorn då den konstant utsätts för olika slag av risker.
Tidigare studier som utförts i Sverige som inkluderar ISO 31000 har utförts på Luleå Tekniska Universitet på ett av Trafikverkets projekt och diskuterade användandet av olika riskhanteringsmetoder och system inom projekt (Jonasson, K. 2011). En annan studie som utfördes av Katarina Malmkvist (2008) behandlade ett av E.ONs dotterbolag OKG AB, var i hon studerade hur riskidentifieringen sker på OKG AB samt gav förslag på hur detta kunde förbättras på bolaget.
Utifrån vårt syfte har vi genomfört en explorativ och explanativ studie, då vi studerade ett ämne där inte mycket information fanns från tidigare samt sökte jämföra med praktiken, för att se om en normativ modell fungerar som den är tänkt och för att få en djupare bild av praktiken. Då vår forskningsfråga är komplex valde vi som forskningsstrategi att genomföra en kvalitativ fallstudie. Vi har främst samlat in data i form av intervjuer vilka presenteras och sammanställs i empirin, detta för att få en djupgående bild som inte är möjlig genom en kvantitativ studie. Vårt insamlade material analyseras sedan i jämförelse med teorin.
Basen till det teoretiska ramverket, som vi använde oss av baseras på källor i form av själva standarden ISO 31000, som beskriver principerna för riskhantering i syfte att analysera de uppstådda förändringarna. Dessutom använde vi oss av källor såsom böcker och artiklar som behandlar riskhantering och ISO 31000 för att få en djupare teoretisk inblick i själva
riskhanteringen och en bredare förståelse av ämnet. Utöver detta studerade vi företagets årsredovisningar för att se hur kommunikationen utåt förändrats i företagets rapporter till följd av implementeringen av ISO 31000. Vi valde att främst koncentrera oss på själva
15 riskhanteringsprocessen men för att studera effekterna av införandet så krävdes det även att vi i mindre utsträckning inkluderade själva implementeringen då den ligger till grund för
införandet av ISO 31000. (se Clause 4 & 5 i bilaga 2; även figur 1).
ISO 31000 kan ses som något mellan teori och empiri. Vi har valt att förlägga ISO 31000 standarden i teorin då vi ämnar analysera konsekvenserna av riskhanteringsprocessen.
Resultaten kanske inte är generaliserbara på alla företag då energibranschen skiljer sig från andra branscher då den lyder under många branschspecifika regleringar och andra krav från samhälliga intressenter. Då studieobjektet var ett stort företag inom energibranschen bör resultaten främst ses som vägledande inom energibranschen. För att kunna dra generella slutsatser för andra branscher krävs det en bredare undersökning som omfattar flera anställda och branscher, detta var dock inte möjligt för oss att genomföra då studien ska genomföras inom ramen för en kandidatuppsats. Denna uppsats kan därför ses som en pilotstudie inom ämnet och som en grund för framtida forskning.
Informationsinsamlingen bestod av intervjuer som behandlade effekterna av införandet och användningen av ISO 31000 på E.ON. Frågorna som vi ställde till intervjuobjekten
behandlade främst effekten av införandet och användningen av ISO 31000 men vi har även ställt mera allmänna frågor för att få en bredare förståelse av riskhanteringen. Vi skickade även frågorna i förväg till intervjuobjekten, då frågorna var relativt komplicerade och krävde förberedelser. Detta inser vi kan få en viss förvrängande effekt, då svaren kan bli förfinade.
För att lättare kunna återge intervjuerna och inte förvanska viktig information så spelades intervjuverna in efter godkännande från respondenterna och därefter sammanställde vi dem.
Vi gjorde en sammanställning av informationen i empirin, och i analysen jämförde vi vårt teoretiska ramverk med det insamlade materialet.
Intervjuerna började med en presentation av uppsatsförfattarna och uppsatsens ämne samt beskrev varför vi valt att studera det. Detta gjordes för att skapa förtroende och få så
djupgående svar som möjligt. Innan intervjuerna påbörjades frågade vi om det var möjligt att spela in dem, något som möjligtvis kan hämma respondenternas svar. Vi klargjorde att deras intervjuer endast kommer att användas i uppsatsen, och att det inte finns ett rätt svar på frågorna utan vi ville veta deras åsikter och upplevelser. Frågorna som ställdes vid
intervjuerna finns i Bilaga 1 och de har modifierats och kompletterats under arbetets gång.
16 Under intervjuerna har följdfrågor ställts och i vissa fall har intervjuerna kompletterats i efterhand.
Namn Befattning Datum Intervjutyp Tid
Kjell Olsson Risk Officer på enheten Risk Control inom E.ON Sverige AB
2011-11-15 Personlig 70 min
Kristina Blohm Risk Manager på E.ON Elnät AB 2011-12-09 Telefon 25 min Cecilia Sjövall Risk Manager på E.ON Kärnkraft AB 2011-11-30 Telefon 25 min Elisabeth
Sandström
Risk och Internal Control Manager på OKG AB
2011-12-06 Telefon 30 min
Kurt Ericsson Risk Manager på E.ON Värme AB 2011-11-30 Brev - Tabell 1-Intervjuguide
Vi har genomfört en personlig intervju med E.ONs Risk Officer, Kjell Olsson som arbetar på enheten Risk Control, intervjun med Olsson varade i cirka 70 minuter. Intervjun gjordes innan hans föreläsning om E.ONs riskhantering på Willis i Stockholm. Intervjun behandlade tre olika områden; varför de valde att införa ISO 31000, hur de gick till väga och vad utfallet har blivit (för frågor se bilaga 1). Vi blev hänvisade till Kjell Olsson av E.ONs Chief Risk Officer då Olsson varit huvudansvarig för införandet av standarden och tillämpningen av den.
Enheten Risk Control är en knutpunkt mellan koncernledningen och dotterbolagen vilket gör att vi får en bra helhetsbild av implementeringensproccessen, riskhanteringsarbetet,
informationsflödet och företagsstrukturen. Intervjuer har även skett med Risk Managers på E.ONs dotterbolag; E.ON Elnät AB, E.ON Kärnkraft AB, OKG AB och E.ON Värme AB. Vi valde dem för att få en mer djupgående bild av effekterna av ISO 31000 i praktiken och för att få en bild av hur informationen gällande standarden och riskhanteringsproccessen förmedlats och tillämpats inom företaget. De ansvarar för riskhanteringen och förmedling av information både inom respektive bolag men även uppåt i organisationen. Dessa intervjuer behandlade främst hur införandet gått till och vad utfallet blivit (för frågor se bilaga 1). I tre fall
genomfördes telefonintervjuver och i ett fall brevintervju. Telefonintervjuerna varade i cirka 25-30 minuter, vilka spelades in och transkriberades. Valet av en brevintervju är hänförligt till intervjuobjektets vilja, vi är medvetna om att en brevintervju riskerar att frågorna blir
missuppfattade, med begränsade svar som följd. Dock ger svaren från brevintervjun en bredare inblick och i förhållande till övriga intervjuer med Risk Managers skiljer sig svaren inte så mycket från varandra, de är i linje med de andras svar och förstärker vårt resultat.
17
4 Empiri
I detta kapitel presenteras en kortfattad presentation av företaget, sedan följer en sammanfattning av våra intervjuer och utdrag från E.ONs årsredovisningar.
4.1 E.ON Sverige AB
Det nuvarande E.ON Sverige AB (E.ON), bildades år 1906 och hette då Sydsvenska Kraftaktiebolaget. Bolaget utnyttjade främst vattenkraften från Lagan, och levererade el till samhället inom området Halmstad-Malmö. De första fyra vattenkraftverken invigdes vid Lagan 1909, och kompletterades 1916 med ett koldrivet ångkraftverk i Malmö. Åren efter de båda världskrigen ökade efterfrågan på el vilket drev företagets fortsatta utveckling och expansion. Under 1960-talet ökade efterfrågan på el och nya vattenkraftverk startades samt att intresset för kärnkraft ökade då samhället ville minska beroendet av olja. Kärnkraft infördes i Sverige år 1972 då Oskarshamn 1 togs i drift. Det tyska E.ON köpte 2001 aktiemajoritet i Sydsvenska Kraftaktiebolaget och bytte då dess namn till Sydkraft. År 2004 köpte Sydkraft energibolaget Graninge och 2005 bytte dessa namn till E.ON (E.ONs Historia, 2011).
I E.ONs årsredovisning (2010) beskriver de att företaget exponeras för risker som påverkar förmågan att uppfylla de mål som finns i affärsplanen. E.ON hävdar att de bedriver sin riskhantering för att kunna hantera hot och för att kunna uppfylla sina mål. Målet med
riskhanteringen hävdas vara att koncernledningen och ledningen i dotterbolagen ska kunna ta bästa möjliga beslut baserat på informationen som riskhanteringsarbetet tillhandahåller.
4.2 Implementering av ISO 31000
Enligt Risk Officern, Kjell Olsson, så infördes Integrated Risk Management av nuvarande Chief Risk Officer (CRO) på E.ON 1998 i samband med byte av koncernchef. CROn hade besökt en konferens i USA som behandlade riskhantering, och bestämde sig för att skapa en risk management policy baserad på ERM. I och med ägarbytet var E.ON Sverige tvungna att från 2002 följa den tyska lagen KonTraG. Lagen kräver att varje tyskt börsnoterat företag har en risk management organisation som gör det möjligt att tidigt identifiera existenshotande risker. Införandet av Kontrag fungerade även som en bra orsak för dem att påminna
dotterbolagen om riskhantering då de inte brydde så mycket om det utan koncentrerade sig främst på sin egen produktion. Detta medförde att E.ON började använda moderbolaget E.ON AGs guidance standard som endast tog hänsyn till finansiella risker. Efter detta provade E.ON ett par olika modeller innan de år 2007 tog fram en processkarta som sedan visade sig till
18 stora delar vara likt förarbetena till ISO 31000. Successivt började de införa ett styrsystem som till stora delar byggde på ISO 31000 utkast. Även om andra modeller togs i hänsyn, ansågs dessa vara mer komplicerade och svårförståeliga, och till skillnad från ISO 31000 var de andra modeller heltäckande (Kjell Olsson, 2011).
Implementeringen av ISO 31000 har inte förändrat beskrivningen av riskhanteringen i större utsträckning i bolagets årsredovisningar, endast till namnet. Enligt årsredovisningarna för åren 2007 och 2008 använder sig E.ON främst av COSO ERM, som är ett annat ramverk inom riskhantering, medan de åren 2009 och 2010 använde sig av ISO 31000 som huvudsakligt riskhanteringsverktyg (E.ON Årsredovisning 2007;2008;2009;2010).
På dotterbolaget E.ON Kärnkraft har de sedan 2006, då den nuvarande Risk Managern började, använt sig av samma processer baserade på E.ONs interna riktlinjer. Samma modell används ännu, dock berättar de att de interna riktlinjerna ändrats något under tiden, men kvarstår i princip som samma. De har inte heller märkt av att någon direkt
implementeringsprocess har genomförts (Cecilia Sjövall, 2011). Även på E.ON Elnät och OKG AB har ingen implementeringsprocess eller utbildning skett (Kristina Blohm, 2011;
Elisabeth Sandström, 2011). Inte heller på E.ON Värme upplevs ISO 31000 ha medfört några stora förändringar utan snarare ett antal förfiningar (Kurt Ericsson, 2011).
4.3 Riskhanteringsprocessen
4.3.1 Kommunikation och konsultation
En ny modell presenteras i E.ONs årsredovisning (2007), där de nämner att en ny
riskhanteringsmodell och struktur ska införas från och med början av 2008. Enligt E.ONs årsredovisning (2008) så finns det på varje dotterbolag en Risk Manager som ansvarar för sammanställning och kommunikation av material mellan dotterbolaget och koncernens riskavdelning.
Risk Officern berättar att kvartalsvis görs en riskrapport på varje dotterbolag av dess Risk Manager, på större projekt sker rapportering beroende på storlek varannan månad, kvartalsvis eller halvårsvis (för rapporteringsstruktur se figur 2). Rapporten går sedan till Risk Control enheten som ifrågasätter och kommenterar riskrapporten och riskbedömningarna. Därefter gör Risk Control en ny rapport som skickas till Business Control där risken i rapporten granskas gentemot budgeten, huruvida den är medräknad eller ej. Rapporten återgår sedan till Risk Control där den sammanställs till ett rapporteringspaket som skickas till Riskstyrkommittén
19 vars ordförande är Chief Financial Officern (CFO) för genomgång. Efteråt kommuniceras rapporten till koncernledningen och är tänkt att ligga till grund för beslutsfattande.
Rapportering sker enligt Risk Officer alltid åt båda hållen, då det anses viktigt med feedback.
Rapporter skrivs även i samband med besök på anläggningar då det undersöks hur bra de skyddar sig mot eventuella olyckor och incidenter. Dessutom granskas de största skadorna som skett under året och hur dessa hanterats. Rapporterna används för att göra en
sammanställning av hela koncernens riskhantering, därav är det även viktigt att Risk Control förstår sig på verksamheten och dess risker (Kjell Olsson, 2011). Inom området kärnkraft så sker rapporteringen från OKG AB till E.ON Kärnkraft som sedan rapporterar vidare till Risk Control, dock anses återkoppling och respons på rapporterat material vara bristfällig, ibland i den mån att återkopplingen saknas helt (Elisabeth Sandström, 2011). Detta trots en vilja av att erhålla mer information, gällande bland annat utvärderingar på högre nivå. (Elisabeth
Sandström, 2011; Cecilia Sjövall 2011). På E.ON Kärnkraft anser de att kommunikationen sker tillfredställande. Rapporteringen sker kvarttalsvis enligt modellen, förrutom vid ad hoc situationer inkluderande större risker varvid rapport sker omedelbart (Cecilia Sjövall, 2011).
ISO 31000 kommuniceras främst bland den högsta ledningen, för att det anses vara ett centralt ledningssystem (Kurt Ericsson, 2011).
Figur 3- E.ONs rapporteringsstruktur (Kjell Olsson, 2011)
På E.ON rapporterar de anställda risker genom en mall i ett dataprogram. Dessa registreras sedan av Risk Manager i ett system kallat RiskPortfolio, vilket är knutet till företagets
Koncernledning
E.ON Kärnkraft
OKG AB
E.ON Värme E.ON Elnät Business Control Risk Control
Risk styrkommitté
20 Medium Term Plan (MTP) som täcker tre år (ett system där sannolikhet för en risk och dess konsekvens värderat i pengar vid utfall, och jämförs med kostnaden för riskreducerande åtgärd). Vilket Risk Managern kvartalsvis rapporterar till enheten Risk Control. Detta sker i enlighet med hur det varit tidigare (Kristina Blohm, 2011; Cecilia Sjövall 2011).
På E.ON arbetar de med något de kallar Licensed Corporate, vilket innebär kontinuerlig kommunikation med främst myndigheter men även andra intressenter för att skapa och upprätthålla förtroende vilket ses som viktigt för att t.ex. säkerställa drifttillstånd. Detta är även viktigt då ett högt förtroende gör att risken för att investeringar och projekt blir försenade minskar, då de kan bevisa att de skött sig bra och inga fel uppstått tidigare (Kjell Olsson, 2011).
4.3.2 Etablera kontexten
Enligt Risk Officern ska det vid etableradet av kontexten ställas upp tydliga mål, dessa mål ska hjälpa företaget att veta vad den strävar genetmot och vad de vill få ut av sin
riskhantering. På E.ON ställs det varje år upp nya mål för riskhanteringen, de ska vara
SMARTa (Specific, Measurable, Achievable, Relevant, Timebased). Årligen görs en riskplan som baserar sig på lagar, förordningar och riskrapporter från olika anläggningar samt på stakeholderanalyser, denna plan går sedan in i riskhanteringsprocessen. Riskplanen ligger till grund för beslutsfattande gällande risker och framtida mål. Dessutom sker årlig en utvärdering gällande alla risker, detta sker för att lära sig av tidigare misstag (Kjell Olsson, 2011).
4.3.3 Riskbedömningsprocessen 4.3.3.1 Riskidentifiering
För att identifiera risker använder sig E.ON främst av brainstorming, riskworkshops och historisk data. E.ON använder sig även av andra metoder så som checklistor eller i svårare situationer av utomstående experter (Kjell Olsson, 2011). På E.ON Kärnkraft sker
riskidentifiering i det dagliga arbetet genom uppföljningsprocesser. Vid större projekt används brainstorming och workshops. Samma processer användes redan innan ISO 31000 infördes på E.ON Kärnkraft (Cecilia Sjövall, 2011). E.ON Värme används brainstorming, workshops och experter inom respektive område (Kurt Ericsson, 2011). Även på E.ON Elnät använder de sig av brainstorming och workshops, varefter en genomgång sker tillsammans med CFO. Deras riskidentifiering har ändrats något, från att se risker som en ”antingen eller risk” till att ta hänsyn till diskreta risker och maximibelopp. Ändringarna upplevs dock inte som hänförliga till ISO 31000 (Kristina Blohm, 2011). OKG AB använder de sig av en mängd metoder såsom: händelseträdsanalys, riskworkshops i samarbete med övriga kärnkraftverk, experter,
21 checklistor som är baserade på historisk data och skyddsronder samt Reliability Centered Maintence analyser (RCM), en modell för att förebygga risker genom planering av tekniskt underhåll. Inte heller på OKG kan de se någon förändring i och med införandet av ISO 31000, däremot sker en omarbetning av nuvarande rutiner för att identifiering av risker ska kunna beaktas i olika sammanhang, detta sker dock på eget iniativ (Elisabeth Sandström, 2011).
Varje risk tilldelas en riskägare som har ansvar för att hantera risken, bedöma den, ansvara för dess uppdatring och eventuella behandling (Kjell Olsson, 2011).
E.ON har tidigare haft avvikelser i budgetutfall som främst är hänförligt till den dåliga
möjlighetsidentifiering, för att de har varit bättre på att identifiera risker än möjligheter. Detta har dock minskat i och med att de blivit bättre på att identifiera möjligheter (Kjell Olsson, 2011).
4.3.3.2 Riskanalys
Riskanalyserna sker oftast på anläggningsnivå och även på skiljda projekt som överskrider 30 miljoner kr. Riskerna delas in i kontinuerliga, vanligt förekommande, risker som ska täckas av budget och i diskreta risker som har en låg sannolikhet men väldigt stora konsekvenser.
Riskerna kvantifieras och analyseras därefter utifrån ett konfidensintervall på 90 % (Kjell Olsson, 2011). På varje kärnkraftverk lägger de anställda in risker i dataprogramet
RiskPortfolio som med hjälp av historisk data ger en viss sannolikhet och utfall på risken, med hjälp av dessa siffror görs sedan simulering och beräkning av riskerna. Detta
sammanställs sedan av Risk Managern på varje kärnkraftverk och därefter utvärderas rapporten av en riskkommitté på varje enskilt kärnkraftverk för att sedan skickas till E.ON Kärnkraft. Därefter sammanställs rapporterna av Risk Managern på E.ON Kärnkraft och därefter skickas den sammanställda rapporten till Risk Control för vidare analys. Verktygen för analys har förändrats något men i det stora hela använder de sig av samma modell som tidigare (Cecilia Sjövall, 2011). På E.ON Värme använder de sig främst av expertutlåtanden (Kurt Ericsson, 2011).
4.3.3.3 Riskutvärdering
Riskutvärdering sker enligt Ericsson (2011) genom att riskägaren ofta tillsammans med Risk Managern gör en utvärdering av troligt riskutfall (Realistic Case) som inkluderar det värsta utfallet (Worst Case) och det bästa möjliga utfallet (Best Case). E.ON använder sig främst av fördelningskurvor, sannolikheter och konsekvenser i riskutvärderingen (Kjell Olsson, 2011).
Detta stämmer även på E.ON Elnät där de utvärderar riskerna realistiskt med ”Worst Case”
tillsammans med historisk data samt antaganden om framtida händelser. Därefter bedöms ifall
22 risknivån är acceptabel från fall till fall och huruvida riskreduktion behövs. Risknivåer
baserade på penningbelopp avgör huruvida riskutvärderingen ska rapporteras uppåt i koncernen för utvärdering och godkännande (Kristina Blohm, 2011). Dock har de inte en fastslagen risknivå utan risken bedöms utifrån varje enskilt fall, då konsekvenserna kan variera stort (Kurt Ericsson, 2011).
4.3.4 Riskbehandling
På E.ON sker riskbehandling i form av transfereringar dvs. försäkrings- eller avtalslösningar, samt genom förändringar i arbetssätt och handlingsplaner. I de fall riskägaren anser risken redan vara på en acceptabel nivå sker ingen riskbehandling (Kurt Ericsson, 2011). På E.ON Elnät sker riskbehandling främst genom underhåll eller genom förbättringar av elnätet genom att exempelvis gräva ner ledningar. Varje kvartal utvärderas riskerna för att avgöra
effektiviteten av riskbehandlingen. Emellanåt genomförs också fullständiga utvärderingar, som sker på alla risker på anläggningarna och dessa rapporteras sedan vidare uppåt i hierarkin, detta kallas ”bottom-up”. Vid större förändringar på enskilda risker sker en utvärdering uppifrån ledningen för att undersöka om en risk på anläggningsnivå är hotande, detta kallas ”top-down” (Kristina Blohm, 2011). Riskbehandlingen upplevs inte ha förändrats avsevärt mycket i och med ISO 31000 (Elisabeth Sandström, 2011).
4.3.5 Övervakning och granskning
Riskerna övervakas konstant och utvärderas årligen för att förbättra riskhanteringsprocessen genom att lära sig av tidigare upplevda misstag (Kjell Olsson, 2011). Dokumentationsarbetet har på E.ON Elnät blivit mer omfattande hänförligt till uppmaningar från enheten Risk Control, vilket skett genom en omstrukturering av arbetet (Kristina Blohm, 2011).
Prestationer mäts på E.ON Kärnkraft endast mot budgetprognoser, dock har inga övergripande utvärderingar gjorts till följd av en brist på resurser. Därav vet de inte om riskhanteringsprocessen blivit bättre eller sämre. Utfallet på de större projekten upplevs ha blivit något bättre, men i allmänhet har de inte märkt någon större skillnad (Cecilia Sjövall, 2011).
Införandet av ISO 31000 sägs ha medfört en förändring i hur E.ON ser på riskdefinitionen, numera innefattas alla risker och inte bara de finansiella riskerna. Förr koncentrerade de sig på risker och dess kostnader, då det för de större riskerna handlade främst om att optimera
försäkringar men numera avsätts mer tid till mål och strategier för att uppnå dem. Det har blivit lättare att använda riskanalysen i budgetprocessen då det blivit lättare att förtydliga
23 behov och peka på risker. Riskanalyserna går även att använda till framtida investeringar i syfte att jämföra olika projekt sinsemellan (Kjell Olsson, 2011).
E.ON Värme har upplevt en ständig förbättring av sina riskhanteringsprocesser under ett antal år. Dessutom anser de att bredden i riskarbetet ökat påtagligt då riskhanteringen gått från specifika områden till att bli en naturlig del som täcker hela verksamheten (Kurt Ericsson, 2011).
OKG använder sig av interna och externa revisioner för att mäta lednings- och kvalitetssystem gentemot branschen inom Sverige och internationellt. Beslutsfattandet upplevs ha förbättrats inom hela organisationen, dock är det svårt att överblicka då det inte har skett någon
uppföljning av riskhanteringen. De har även upplevt att det skett en förbättring av dokumentationen, i och med krav från ledningen (Elisabeth Sandström, 2011).
På frågan om förbättringarna är hänförliga till användningen av ISO 31000 svarar Risk Officern:
”Ja, jag tror att det, vet inte om det beror på riskarbetet, men projekten blir bättre och bättre” (Kjell Olsson, 2011).
Med andra ord, berättar han att det är möjligt att se att projekten blivit bättre med tiden och att de håller sig bättre inom budgetramarna dock är han osäker på om utfallet beror på
riskhanteringsarbetet. Dessutom så berättar han att kvalitén på projekten har förbättrats och att olyckorna minskat. Företagets förtroende utåt har växt i och med en ökad kommunikation med myndigheter och andra intressenter, vilket möjliggör att det blivit lättare att genomföra investeringar och projekt (Kjell Olsson, 2011).
Hos E.ON Elnät sker ingen direkt utvärdering dock upplever de sig ha blivit bättre på att identifiera, sortera och ifrågasätta risker. Denna förbättring anses dock vara ett resultat av en vilja hos Risk Managern att ha ordning och reda snarare än på grund av ändringar uppifrån organisationen (Kristina Blohm, 2011).
4.4 Problem
Det största problemet med implementeringen och användningen av ISO 31000 upplevs ha varit ledningens bristande intresse. Ledningen på E.ON har varit medveten om riskernas existens men har dock haft ett svalt intresse för riskhantering. Problem har uppstått med att få uppmärksamhet och förståelse från den högsta ledningen, för att det saknas insikt för nyttan
24 av riskhanteringen, även fast allt som diskuteras av ledningen inkluderar risk (Kjell Olsson, 2011). På dotterbolagen har de inte märkt av några problem angående riskhanteringen (Cecilia Sjövall, 2011; Kurt Ericsson, 2011; Elisabeth Sandström, 2011; Kristina Blohm, 2011).
Kritiken som ISO 31000 fått för att vara för komplicerad att förstå, stämmer till en viss del, dock gäller det främst i förhållande till utomstående som inte är insatta i ämnet. Språkbruket har funnits länge och är väl känt bland riskhanterare, de personer som jobbar på E.ON med riskhantering utbildas internt i ämnet vilket är tänkt att säkerställa föreståelsen av
riskhanteringen (Kjell Olsson, 2011).
25
5 Analys
I denna del ska vi analysera vår empiri mot den teoretiska analysmodellen som vi presenterade i teorikapitlet, vilket kommer stå till grund för våra slutsatser.
5.1 Implementering
ISO 31000 är tänkt för en långsiktig och heltäckande användning, detta kan ses utifrån den konstanta rapporteringsprocessen som ISO 31000 förutsätter. E.ON har skapat en struktur som kontinuerligt ska granska och återkoppla riskhanteringsarbetet. Det som ISO 31000 medfört är att den täcker alla slags risker, nu kan en och samma standard användas på alla risker. På E.ON har de inte haft en strategi eller tidsplan för implementeringen vilket ISO 31000 rekommenderar för att säkerställa en målmedveten strävan mot en fungerande riskhantering. E.ON fann inte en implementeringsprocess vara nödvändig då de utan större problem ansåg sig kunna anpassa den existerande riskhanteringsprocessen.
Riskhanteringsprocessen påstås ha integrerats inom den högsta ledningen vilket ISO 31000 kräver för att bolagsstyrningen ska vara ändamålsenlig och effektiv. Samtidigt finner personalen att ledningen är motvillig till riskhanteringsarbetet och känner inte att ledningen förstår nyttan av arbetet. Detta är en brist då ISO 31000 kräver att ledningen förbinder sig att arbeta målmedvetet och kontinuerligt för att säkerställa samspel mellan företagets kultur och riskhanteringspolicy. Riskhanteringen utgår från beslutsfattande, vilket innebär att den måste ske från uppifrån och ner (top-down). Ledningens engagemang anses även av Frigo (2011) vara ett krav för bra bolagsstyrning. Utbildning av anställda har inte skett vid
implementeringen av ISO 31000 och de riktlinjer som företaget använder sig av har inte ändrats så mycket, vilket tyder på ett svagt intresse och bristande engagemang från ledningen.
Införandet av ISO 31000 kan bero på ett behov av legitimitet inom företaget, främst mellan koncernledningen och Risk Control för att bevisa sin existens genom att hänvisa till en yttre välkänd auktoritet, i form av ISO 31000.
Vår undersökning tyder på att E.ON bara verkar ha plockat de nödvändigaste delarna och inte lagt tid och resurser på övrigt som ingår i implementeringen av standarden. Därav är det svårt att tala om att någon fullständig implementering har skett då endast små förändringar går att se och undersökningen tyder på att delar av standarden inte följs. Avsaknaden av certifiering kan ha gjort implementeringsprocessen lidande då inga egentliga krav ställs på ett korrekt användande av standarden.
26
5.2 Riskhanteringsprocessen
5.2.1 Kommunikation och konsultation
Trots det påstådda införandet av ISO 31000 så har vi upplevt en brist i struktur och
kommunikationskanaler. Även om det på varje dotterbolag ska finnas en Risk Manager som ansvarar för att sammanställa och rapportera information till enheten Risk Control finner vi att kommunikationen mellan dem är något bristfällig då Risk Managerna inte får tillräcklig återkoppling på sitt arbete. Bristen på kommunikation gäller främst inom företaget, utåt gentemot myndigeter sker en kontinuerlig kommunikation med syfte att skapa förtroende och underlätta framtida investeringar. Utifrån årsredovisningarna kan vi se att kommunikationen gentemot aktieägare inte förändrats då ingen ny information tillkommit. Kommunikation inom företaget bör ske uppåt och nedåt då det är viktigt för att ledningen ska kunna ta välgrundade beslut men även för att riskerna på ett effektivt sätt ska kunnas hanteras av personalen (Frigo, 2011). Bristen på förändring i kommunikation ger ett intryck av
legitimitssökande inom samhället snarare än en vilja att förbättra riskhanteringsarbetet internt.
5.2.2 Etablera kontext
E.ON påstår sig ha tagit hänsyn till interna och externa faktorer och format sin
riskhanteringsprocess i likhet mede riskhanteringsmodellen som presenteras i ISO 31000. Det är inte möjligt att se några större skillnader i jämförelse med tidigare, då t.ex. dotterbolagen inte har upplevt någon förändring gällande riskhanteringen. Riskhanteringen börjar med att bestämma mål och kriterier för företaget. E.ON strävar mot en lägre risknivå och en ökad insikt i riskerna, på projekt- och anläggningsnivå upplever de sig ha märkt av förbättringar, dock går de inte att förknippa med riskhanteringsarbetet då utvärderingen av denna är bristfällig. Kopplingen mellan utvärderingen och den etablerade kontexten är otillräcklig till följd av brist på resurser och tid.
5.2.3 Riskbedömningsprocessen 5.2.3.1 Riskidentifiering
Riskhanteringsarbetet kräver att riskerna identifieras och detta görs på E.ON genom
checklistor, historisk data, brainstorming, workshops och expertutlåtanden. Dessutom tilldelas varje risk en riskägare som ansvarar för att hantera risken, dess bedömning, uppdatering och eventuella behandling. Detta följer modellen som angavs i standarden ISO 31000, dessa metoder anses vara bra och täcker väl behovet för riskidentifiering. Att dotterbolagen inte har märkt någon större skillnad i och med införandet av ISO 31000, kan möjligtvis förklaras med
27 att behovet av riskidentifiering redan tidigare varit stort. Detta till följd av myndigheternas reglering av energibranschen och de stora konsekvenser som eventuella risker kan medföra.
5.2.3.2 Riskanalys
Enligt ISO 31000 bör en djupgående riskanalys bestå av en analys av konsekvenser och sannolikheter av de identifierade riskerna och effekten av den nuvarande riskhanteringen.
E.ONs riskanalys sker genom en rad olika metoder. Bredden fås då arbetarna rapporterar funna och upplevda risker in i ett dataprogram som jämför riskerna med historisk data som ger risken en sannolikhet, varefter en simulering görs av risknivån. Ingen av de intervjuade Risk Managerna upplevde någon skillnad i arbetet jämfört med tidigare. Den upplevda bristen på förändring kan möjligtvis förklaras med behovet av att redan tidigare ha haft en väl
utarbetad riskanalys då kraven från myndigheter och andra intressenter redan tidigare varit höga.
5.2.3.3 Riskutvärdering
Vid utvärderingen av risk ska risknivåerna jämföras med kriterierna som togs fram vid etableringen av kontexten. På E.ON sker utvärdering genom indelning i troligt riskutfall som sträcker sig från värsta rimligt tänkbara (Worst Case) till bästa rimligt tänkbara (Best Case).
Dock sker ingen indelning av risk i kategorier utan varje risk bedöms för sig. Då implementeringen inte skett genom standardanvisningarna saknas det en fullt etablerad kontext i enlighet med ISO 31000. Detta skulle göra riskutvärderingen lättare då det blir möjligt att bedöma förändringarna och förenkla jämförelsen av de upplevda riskerna. Vi upplever att det finns ett behov av utvärdering men att resurserna och tiden för det saknas, då de på högre nivå inte är intresserade även om intresset för utvärdering finns på lägre nivå.
5.2.4 Riskbehandling
När en riskbedömning genomförts bör det vid behov ske en behandling av den funna risken för att i rimlig utsträckning minska risknivåerna. Detta sker på E.ON genom transfereringar dvs. försäkrings- eller avtalslösningar, och via förändringar i arbetssätt och handlingsplaner.
Dessutom väljer de i vissa fall att leva med risken och bevaka den istället då kostnaderna för riskreduktion överskrider nyttan. Dessutom så sker omvärderingar av riskbehandlingen kvartalsvis för att avgöra effektiviteten på behandlingsmetoden. Detta är förståeligt då riskerna inom energibranschen är väldigt varierande och vissa risker prioriteras. Om alla risker som når en viss nivå skulle behandlas skulle det leda till allt för höga kostnader och drabba företaget ekonomiskt i en omotiverat stor omfattning. Detta sker i enlighet med ISO 31000 som beskriver att riskhantering bör ske till den nivå som anses ekonomiskt rimligt.
