Hvorfor undgår de fleste organisationer kvantitativ risikovurdering?

Ingen ERM-proces, der er effektiv til at hjælpe en virksomhed med at forstå trusler og muligheder for at nå målene, vil blot udarbejde en liste over risici. Selv om det kan være tilstrækkeligt for en tilsynsmyndighed, betyder det absolut intet for at hjælpe ledelsen med at drive organisationen bedre.

Efter identifikation tager virksomhederne så det vigtige skridt at vurdere risici for at forstå, hvilke risici de skal prioritere. Hvordan vil man trods alt vide, at virksomheden fokuserer på de rigtige risici og muligheder?

Overordnet set er der to metoder til vurdering af risici – kvalitative og kvantitative.

Kvalitativ vurdering anvender beskrivende elementer til at rangordne en bestemt risiko, normalt i form af en skala fra 1-5 eller høj, middel eller lav, mens kvantitativ vurdering anvender hårde tal som f.eks. en dollarvirkning eller en anden måleenhed.

Kvalitative metoder er langt den mest anvendte, men som mange tænkere inden for risikostyring hævder, er den behæftet med skævheder og giver kun et statisk billede af risikoen og er derfor ikke brugbar til beslutningstagning. Kvantitative metoder anses for at være mere objektive og giver en bedre forståelse af, hvordan risici påvirker organisationen, men de kræver et vist niveau af dataanalyse og modelleringskapacitet, som mange organisationer simpelthen ikke har.

Dette er dog ikke den primære årsag til, at mange organisationer undgår kvantitative risikovurderingsmetoder.

Det er en udbredt opfattelse, at kun udvalgte brancher, som f.eks. talbaserede finansielle tjenesteydelser og fremstillingsvirksomheder, er udstyret til at drage fordel af kvantitativ risikovurdering.

Banker har et skatkammer af metrikker at trække data fra, såsom misligholdelsesprocent for lån, renteindtægter, reserveprocenter og meget mere. Dernæst har fremstillingsindustrien en række målinger, som de bruger til at forstå ydeevne og effektivitet, herunder gennemløb, kapacitetsudnyttelse, indberetningspligtige sundheds- og sikkerhedshændelser og meget mere.

Selv om finansielle virksomheder har den største erfaring med kvantitativ vurdering, er sandheden, at enhver organisation, uanset branche eller sektor, vil have data, som de kan bruge …

Medmindre du er strengt papirbaseret (det håber jeg inderligt, at du ikke er i denne tid), vil enhver organisation i enhver sektor og branche have tal. Dette kan omfatte tal omkring finansielle resultater (fundraising i tilfælde af en nonprofitorganisation), medarbejderfastholdelse og -omsætning og kundeservicemålinger (f.eks. opkald pr. uge eller det, der er kendt som Net Promoter Score).

Hvis de anvendes og kommunikeres korrekt, kan disse tal fortælle en mere robust, handlingsorienteret historie om risici end nogen kvalitativ 1-5 eller lav-/mellem-høj rangordning.

Lad mig uddybe…

I en typisk, kvalitativ risikovurdering bliver ledere og forretningsenhedsledere bedt om at rangordne virkningen og sandsynligheden af en risiko. Med disse statiske scoringer i hånden kan der udvikles et varmekort, som ifølge COSO ganske enkelt er “…en grafisk repræsentation af sandsynligheden og virkningen af en eller flere risici.”

Problemet med varmekort og andre lignende grafiske repræsentationer er, at de antager, at risici findes ét sted på en graf. Dette kan være misvisende og endda farligt i et vist omfang, da virkningerne kan ændre sig afhængigt af sandsynligheden for en begivenhed.

Det ultimative mål med at kvantificere risici er at forstå sandsynligheden for succes…

I sin seneste bog Decide to Succeed: Hvorfor og hvordan man anvender effektiv beslutningsrisikostyring, forklarer Hans Læssøe:

Sigtet med risikostyring af en beslutning er at forbedre resultatet, og derfor skal dit fokus ikke være fokuseret på selve usikkerheden, risikoen eller muligheden – men på præstationsparameteret for din beslutning/dit projekt.

Som jeg uddyber i dette indlæg og gentager ofte, skal risikofagfolk kommunikere i et sprog, som beslutningstagere kan forstå og værdsætte. Derfor skal målingen af risici foretages på en måde, der har betydning for ledere. Når data anvendes korrekt og i den rette kontekst, kan de understøtte denne proces.

Sådan bør det groft sagt fungere….

Din organisation har et mål (f.eks. at øge omsætningen) og forskellige mål for at nå dette mål (f.eks. at udvikle nye produkter, omlægge eksisterende produkter til et nyt marked).

Du som risikofaglig person kan i koordination med relevante interessenter udvikle scenarier omkring disse mål. Som jeg forklarer i et tidligere indlæg om væsentlige spørgsmål til effektiv scenarieplanlægning, er formålet på højt niveau at sikre, at målene og målsætningerne er de rigtige.

Risici kan derefter identificeres omkring disse scenarier. Alle relevante data kan bruges til at udvikle modeller eller Monte Carlo-simuleringer, der derefter kan bestemme sandsynligheden for, at et bestemt mål bliver opfyldt.

Her er et eksempel fra Hans’ bog, der giver nogle konkrete tal om sandsynligheden for at opfylde specifikke mål for et projekt:

Fra dette diagram kan vi se, at der er 57% chance for, at et projekt bliver afsluttet inden for den ønskede tidsramme, og 82% chance for, at projektet kommer inden for acceptable budgetmål. Lederne kan bruge disse oplysninger til at afgøre, om projektet skal fortsætte som det er, ændres eller opgives.

Men hvordan kan jeg få data?

For at modeller og simuleringer kan fungere, skal du dog have data, hvilket bringer os tilbage til kernen i dagens emne.

Som jeg sagde tidligere, vil alle organisationer have data. Men selv uden direkte tal som f.eks. omsætning eller kundetilfredshed er det muligt at tildele numeriske værdier til en række immaterielle værdier, herunder omdømme. Andre eksempler på immaterielle værdier ud over omdømme omfatter ledelseseffektivitet, forskningsproduktivitet, politisk usikkerhed – listen er uendelig.

Bogen (…og den tilhørende arbejdsbog) How to Measure Anything: Finding the Value of “Intangibles” in Business af Douglas Hubbard giver værktøjer og metoder, som organisationer kan bruge til at sætte tal på en række forskellige målinger.

Som hans bog forklarer, er formålet med at måle og analysere til beslutningstagning dog ikke at producere et perfekt resultat, men at reducere usikkerheden, så ledere kan træffe den bedst mulige beslutning.

Selv om det ville være klogt ikke at kaste sig ud i modellering, bliver kvantitative metoder i stigende grad mere og mere væsentlige, især i takt med at verden fortsætter med at bevæge sig mod mere og mere automatisering, og samfundet har mindre tolerance over for problemer eller fejltrin.

Hvordan overvinder din organisation dataudfordringen for at vurdere risici til ledelsesmæssig beslutningstagning?