Enten du er leder i en stor eller liten bedrift står du overfor en rekke risikoer som må håndteres daglig. Det kan være risikoer knyttet til hvitvasking, korrupsjon, kompromitteringer av personopplysninger, cyberangrep, med mer.
For at du skal nå dine mål må du håndtere disse risikoene på en god måte. Og for at risiko skal kunne håndteres på en god måte må alle ansatte ha en forståelse for hvordan de bidrar gjennom sine holdninger og adferd.
Hvordan kan vi endre ansattes adferd slik at de blir vår fremste barriere mot uønskede hendelser, og ikke en sårbarhet?
Det er mange bedrifter som jobber systematisk med risikohåndtering, men som opplever det som krevende å endre de ansattes holdninger og adferd. Når uønskede hendelser rammer bedriften er det fort gjort å bli frustrert – over ikke å ha gjort nok, eller å ha prioritert feil. Og når røyken har lagt seg er det mange som erkjenner at bedre prosesser og mer effektive tiltak skulle vært på plass.
Nøkkelen til atferdsendring
Årsakene til manglende risikohåndtering er ofte mange og sammensatte. Det kan være alt fra manglende ledelsessystemer, kompetanse og kapasitet, og manglende holdninger og adferd. De ansattes forståelse av risikobildet og deres årvåkenhet kan være både den største sårbarheten og den sterkeste barrieren mot at uønskede hendelser rammer oss. Jo bedre holdninger og atferd, jo mindre sannsynlighet for at en uønsket hendelse skal inntreffe.
I BDO har vi gjort oss erfaringer med virksomheter som har jobbet for å forbedre de ansattes holdninger og adferd for å håndtere risiko. Typiske tiltak er økt ledelsesfokus, utarbeidelse av krav og retningslinjer, samt ulike opplærings- og bevisstgjøringsaktiviteter. Alle disse tiltakene er viktige.
Men hva kjennetegner de virksomheter som lykkes best med å skape varig adferdsendring når det kommer til risikohåndtering?
Ledere er rollemodeller
Ledere som går foran som et godt eksempel lykkes bedre med risikohåndteringen. Dette er ledere som forstår hvordan de gjennom sin egen holdning og adferd kan påvirke hele organisasjonen. Vi mener at det er viktig med åpenhet om avvik og forbedringspunkter. Vi kan alle bli bedre på dette, og bedrifter bør vokte seg mot en kultur der feil og avvik blir dysset ned.
Risikoforståelse i hele organisasjonen
Bedriftene som lykkes med risikohåndtering evner å skape oppmerksomhet om risikobildet som bedriften står overfor. Hvilke farer og trusler er det virksomheten og de ansatte står overfor? Hvilke konsekvenser kan det få for bedriften og de ansatte dersom en av de identifiserte farene/truslene inntreffer? Det er først når de ansatte har fått en forståelse for dette at de innser hvorfor risikohåndtering er nødvendig og en naturlig del av sitt ansvar.
Kompetansebygging gjennom repetisjoner
God adferd og årvåkenhet er gjerne et resultat av bevisstgjøring og god opplæring. Mange bedrifter opplever dette som ressurskrevende med varierende effekt. Fokuset blir ofte på selve tiltaket, og ikke like mye på effekten av tiltaket. Det er også vår oppfatning at mange opplærings- og bevisstgjøringstiltak ikke gir varige adferdsendringer. Vi tror grunnen til dette er måten opplæringen og bevisstgjøringstiltakene gjennomføres på.
Her kan man høste god erfaring fra toppidretten. Hvordan ble våre beste idrettsutøvere så gode? Trening for å bli best i en idrett handler om å repetere ulike ferdigheter om og om igjen. Helt til det skjer automatisk og naturlig. Hvis vi overfører dette til vår arbeidshverdag handler det om å trene og repetere konkrete enkeltoppgaver for å håndtere risiko. Det daglige arbeidet for informasjonssikkerhet og personvern, anti-hvitvasking og anti-korrupsjon må brytes ned i helt konkrete operasjoner, som de ansatte og de ulike styrende funksjonene i bedriften hele tiden øver på.
Forståelse av konsekvenser, bevissthet rundt eget ansvar og kontinuerlig trening på konkrete atferdstiltak, vil på sikt gjøre bedriftens ansatte til en robust barriere mot uønskede hendelser. For systemer, regler og strategier fungerer ofte dårlig i møte med menneskelige feil og manglende risikoforståelse (eller bare uvitenhet).
Av Dagfinn Buset og Nadya K. Andersen