Risikostyring på avveie

23. juni 2014

Risikostyring kan være et effektivt virkemiddel for å hindre at bedrifter kaster bort tid og ressurser på å kontrollere bagateller. Ivrige avviksjegere kan imidlertid føre risikostyringen på avveie.

En kronikk av rektor Tom Colbjørsen i Dagens Næringsliv 23. juni 2014.

Norsk Regnskapsstiftelse (NRS) har gått gjennom regelverket for bokføring og regnskap. Rapporten konkluderer med at 40 regler kan forenkles, noe som vil spare norske bedrifter for ni milliarder kroner årlig (DN 19. juni).

Regnskapsreglene er ikke de eneste som har vokst seg unødig detaljerte og kompliserte. Regelverk har en iboende tendens til å legge på seg. Det skjer når overtredelser håndteres, ikke ved å spørre om konsekvensene er så bagatellmessige at de kan ignoreres, men ved å tette hullene med nye bestemmelser og rapporteringskrav. Da blir resultatet flere regler som kan brytes, ytterligere kontroller må iverksettes, og nye avvik må tettes igjen.

Sluttresultatet blir et regelverk som er så detaljert at kostnadene med å etterleve det overstiger alvorligheten i de problemer som kunne oppstått dersom reglene ikke fantes. Arbeidstidsbestemmelsene i arbeidsmiljøloven er det mest kjente eksemplet på et slikt regelvelde.

Risikostyring er verktøy som kan hindre fremveksten av overdimensjonerte regelverk. Som navnet tilsier gjør dette verktøyet det mulig å forholde seg forskjellig til ulike hendelser, avhengig av hvilken risiko de medfører. Risikoen avhenger både av sannsynligheten for at ulike hendelser inntreffer, og av hvor alvorlige konsekvenser de har.

Regler er mest relevant for å forebygge hendelser med høy risiko. Eksempelvis kan strenge regler være nødvendig for å forhindre skader på helse, miljø og sikkerhet. Der konsekvensene er bagatellmessige, eller der sannsynligheten for at de skal inntreffe er minimale, er regler ofte overflødige. Et kuriøst eksempel er at det en gang eksisterte en forskrift om bruk av skurtreskere på Svalbard.

Det er ikke bare det offentlige som kan skape regelvelde. Bedriftene er etterhvert blitt ganske gode på å gjøre den jobben selv. Det kan føre til at regel- og kontrollsystemene i bedriftene blir mer rigide enn risikostyringen skulle tilsi.

Bedriftenes internkontroll har ekspandert. Staben av interne revisorer, advokater og «compliance officers» har økt. Flere er involvert i å kontrollere avvik fra interne reglementer, retningslinjer, «veiledere» og rutiner. Legger vi til offentlige tilsyn, eksterne interessegrupper, og sosiale og tradisjonelle medier, blir resultatet en formidabel hær av avviksjegere som har utforming og kontroll av regler som viktigste karrierevei. Avviksbransjen er i vekst.

Samtidig fører kravene til transparens til at bedriftenes omdømmetap ved å bryte regler har økt. Et regelbrudd kan i seg selv true omdømmet, selv om det ikke har alvorlige konsekvenser. Det skyldes at bedriftens regelverk har stor symbolsk kraft. Det viser ikke bare hva bedriften ser på som akseptabelt å foreta seg, men også hvilke verdier den står for. Ved å ha eget regelverk om etikk, antimobbing, integrering av innvandrere og vilje til å ivareta klimaet, viser bedriftene at de ønsker å være en del av samfunnet. Reglene bygger en sosial kontrakt med omverdenen, og gir bedriftene legitimitet. Motstykket er at brudd på reglene kan bli betraktet som svik, og dermed underminere tillitsforholdet mellom bedrift og omverden.

For bedriftens ledelse kan en naturlig respons på kravet om «compliance» være å forsterke regelverket ytterligere, og da ved å lage nye rutiner og retningslinjer for å hindre at allerede foreliggende regelverk brytes. Samtidig kan det oppstå et internt klima preget av nulltoleranse for regelbrudd. På noen områder, der konsekvensene av feil er store, og spesielt der liv og helse er truet, kan en slik nulltoleranse være nødvendig. Imidlertid kan nulltoleransen sette seg i hele bedriftens kultur. Tid og penger kan bli brukt på å forebygge rene bagateller.

Skal risikostyring kunne motvirke et slikt regelvelde, må den sikres tilstrekkelig forankring i bedriften.

Risikostyring innebærer at bedriften aksepterer at bagatellmessige og/eller sjeldne feil kan inntreffe. Styret bør være den instansen som fastsetter risikonivået, og som er villig til å fronte konsekvensene av sin beslutning. Bedriftens styre har normalt lavere risikoaversjon enn ledelsen. Det er lettere for et styre å måtte gå av, enn for en daglig leder å miste jobben. Dersom risikoansvaret ene og alene legges til ledelsen kan den fristes til å beskytte seg ved å etablere omstendelige prosedyrer og rapporteringsrutiner rundt risikostyringen. Når kritikken kommer kan ledelsen da henvise til at alle prosedyrer og rutiner er fulgt. Da er imidlertid ledelsen tilbake i regelstyringens logikk, og lite er vunnet.

Du kan også se alle nyheter her.