Thomas Andersson,

VD, Business Assurance Norden, Intertek

Thomas Andersson har drygt tio års erfarenhet från revision och certifiering av ledningssystem, både i Sverige och globalt, bland annat som marknads- och försäljningschef på DNVGL. Sedan 2013 arbetar han på Intertek, där han var VD för verksamheten i Tyskland, Österrike och Schweiz innan han 2014 tog över ansvaret för Business Assurance-verksamheten i Norden. Thomas sitter dessutom i branschorganisationen Swetics styrelse där han är ordförande för den tekniska kommittén för systemcertifiering.

I det större perspektivet kommer vi alla på något sätt att behöva förhålla oss till de övergripande trender World Economic Forum målar upp i sin Global Risks Report 2017: ett allt större gap mellan rika och fattiga, klimatförändringar, ökad polarisering av samhället, ökat IT-beroende och en åldrande befolkning.

Närmare vår svenska vardag kan det handla om en hackerattack som slår ut en nätbutik, ett längre strömavbrott, att flera nyckelpersoner lämnar företaget samtidigt eller att någon skadas när de använder en av företagets produkter.

 

En utmaning för många organisationer

 

Intertek Certification där jag är VD arbetar med revision och certifiering inom bland annat kvalitet och miljö. Mina medarbetare möter ofta företag och organisationer som brottas med hur de ska hantera de här frågorna. Att vi ser brister i riskhanteringen hos de organisationer vi reviderar är faktiskt snarare regel än undantag. Många är duktiga på att identifiera och värdera hot och risker, men även hos stora, mogna företag saknas ofta processer för hur de risker man identifierat ska åtgärdas och följas upp. Slutresultatet av riskhanteringen ska ju inte vara en lista på möjliga risker utan en motståndskraftig organisation som är proaktiv, ser samband och mönster och agerar i tid.

En stor utmaning är att hitta rätt nivå i riskhanteringsarbetet

En stor utmaning är att hitta rätt nivå i riskhanteringsarbetet, att vara systematisk och fokusera på det som är relevant utan att fastna i detaljer. Här finns inspiration och stöd i ISO:s ledningssystemstandarder. 2015 publicerades ISO 31000, en standard helt inriktad på riskhantering. Förutom i den finns mycket att hämta i till exempel ISO 27001 om informationssäkerhet och ISO 22301 om kontiniutet.

 

Ännu vassare med certifiering

 

De här standarderna ger principer och ramverk för riskhanteringen och beskriver på ett handfast sätt hur en riskhanteringsprocess kan utformas. Bland annat ges en modell för det som kallas Business Impact Analysis, eller konsekvensanalys, ett verktyg för att säkerställa att organisationen fokuserar på rätt risker. Det vill säga de risker som har störst påverkan på verksamheten. Att arbeta efter standarder ger strukturer och arbetssätt som hjälper organisationen att lyfta blicken och få en helhetsbild över hela verksamheten på ett område där det annars är lätt att bli kvar på detaljnivå.

En certifiering mot någon eller flera av dessa standarder vässar riskhanteringen ytterligare.

En certifiering mot någon eller flera av dessa standarder vässar riskhanteringen ytterligare. Utomstående revisorer utvärderar regelbundet organisationens riskhanteringsprocesser på djupet. Genom de frågor de ställer, de observationer de gör och de avvikelser och förbättringsområden de identifierar blir revisionen ett viktigt verktyg i riskhanteringsarbetet. Dessutom ger certifikatet ett oberoende kvitto på att organisationen tar riskhantering på allvar.

 

Risker blir möjligheter

 

Riskhantering handlar inte bara om att förhindra, begränsa eller hantera skada. Gör man rätt bidrar riskhanteringen i stället på ett konkret sätt till att fånga upp möjligheter och hitta nya vägar ut ur en kris. De företag som kontinuerligt analyserar sin omvärld och utvecklar och ställer om sin verksamhet i enlighet med den omvärlden är de lyckade exemplen. Klarar man inte det hamnar man i samma klubb som Kodak och Facit i stället för i sällskap med Apple och Volvo.