beslutningsrelationer og handlinger, der påvirkes som resultat af processerne. Altså en case-baseret tilgang. Det forekommer mere frugtbart for praksis end afsøgning af kvantitativt orienterede beviser, der som det fremgår af ovenstående er ret tvetydige og hvori de kausale sammenhænge er vanskelige at skille ud. COSO’s egen anbefaling om at vurdere konceptuel effektivitet gennem ”afkrydsning” af de 8 determinanters tilstedeværelse i virksomhedens risikostyringsstrukturer, synes lige så ufrugtbar, hvilket også indikeres af (Lundqvist, 2014) og (Florio & Leoni, 2017)’s arbejde, jf. ovenfor. (Meidell &
Kaarbøe, 2017) brugte i deres arbejde netop den konkrete case til at undersøge processerne for påvirkning af organisationens beslutningsprocesser, dog med fokus på hvordan virksomhedens ERM-funktion påvirkede de organisatoriske processer relateret til selve risikostyringsarbejdet. De fandt, at ERM-funktionens indflydelse forandredes over tid, først overfor topledelsen for at ”sælge” behovet for nye risikostyrings-teknologier, og derpå horisontalt i organisationen for at få andre på samme niveau til at udnytte de indsamlede risikoinformationer i deres beslutningstagen. (Mikes, 2016) illustrerer i 2 case-studier, hvordan brugen af åbne, men målrettede risikokonversationer i forhold til specifikke organisatoriske målsætninger, leder til forbedringer i risikoresponser eller ligefrem til ændrede beslutninger.
Med overskriften til dette afsnit har jeg antydet en tvivl om relevansen i at søge kvantitativ evidens for ERM’s effektivitet. Jeg forstår den rationelle stræben, der ligger i forsøgene, men reelt forsøger man at etablere generaliseret eller ufuldstændig generisk dokumentation for noget, der kun kan dokumenteres ved at se processuelt på beslutningssammenhænge på det specifikke organisatoriske plan og i relation til organisationsspecifikke målsætninger. Man kan sige, at den positivistiske stræben efter utvetydig evidens lever i bedste velgående, også hvor det reelt ikke er muligt. I sidste ende er det ikke et spørgsmål om måling og kvantitativ evidens, men et spørgsmål om hvordan involverede aktører interagerer i de organisatoriske processer og hvor vidt interaktionen leder til handling på et informeret grundlag.
Ralph Stacey rammer problematikken med at præstere statistisk evidens for ledelsesteknologiers effektivitet godt ind. Han peger på, som jeg også til dels har gjort ovenfor, at evidens kun kan præsteres gennem et stort antal cases over lang tid og kun hvis den efterstræbte kausalitet antager ”ægte” linearitet og samtidig bygger på repetition. Men da disse kriterier ikke optræder i det organisatoriske liv, er
rationalitet og som grundlag for ”salgsarbejdet”, for som Nils Brunsson siger, ”The absence of rationality does not reduce our hope that rationality can be achieved.” (Brunsson, 2006, p.13). Men trods det rationelle håb, røres der ikke ved det grundlæggende problem, nemlig at spørgsmålet om konceptuel effekt kun kan anskues i forhold til den specifikke og lokale kontekst.
beslutningsrelationer og handlinger, der påvirkes som resultat af processerne. Altså en case-baseret tilgang. Det forekommer mere frugtbart for praksis end afsøgning af kvantitativt orienterede beviser, der som det fremgår af ovenstående er ret tvetydige og hvori de kausale sammenhænge er vanskelige at skille ud. COSO’s egen anbefaling om at vurdere konceptuel effektivitet gennem ”afkrydsning” af de 8 determinanters tilstedeværelse i virksomhedens risikostyringsstrukturer, synes lige så ufrugtbar, hvilket også indikeres af (Lundqvist, 2014) og (Florio & Leoni, 2017)’s arbejde, jf. ovenfor. (Meidell &
Kaarbøe, 2017) brugte i deres arbejde netop den konkrete case til at undersøge processerne for påvirkning af organisationens beslutningsprocesser, dog med fokus på hvordan virksomhedens ERM-funktion påvirkede de organisatoriske processer relateret til selve risikostyringsarbejdet. De fandt, at ERM-funktionens indflydelse forandredes over tid, først overfor topledelsen for at ”sælge” behovet for nye risikostyrings-teknologier, og derpå horisontalt i organisationen for at få andre på samme niveau til at udnytte de indsamlede risikoinformationer i deres beslutningstagen. (Mikes, 2016) illustrerer i 2 case-studier, hvordan brugen af åbne, men målrettede risikokonversationer i forhold til specifikke organisatoriske målsætninger, leder til forbedringer i risikoresponser eller ligefrem til ændrede beslutninger.
Med overskriften til dette afsnit har jeg antydet en tvivl om relevansen i at søge kvantitativ evidens for ERM’s effektivitet. Jeg forstår den rationelle stræben, der ligger i forsøgene, men reelt forsøger man at etablere generaliseret eller ufuldstændig generisk dokumentation for noget, der kun kan dokumenteres ved at se processuelt på beslutningssammenhænge på det specifikke organisatoriske plan og i relation til organisationsspecifikke målsætninger. Man kan sige, at den positivistiske stræben efter utvetydig evidens lever i bedste velgående, også hvor det reelt ikke er muligt. I sidste ende er det ikke et spørgsmål om måling og kvantitativ evidens, men et spørgsmål om hvordan involverede aktører interagerer i de organisatoriske processer og hvor vidt interaktionen leder til handling på et informeret grundlag.
Ralph Stacey rammer problematikken med at præstere statistisk evidens for ledelsesteknologiers effektivitet godt ind. Han peger på, som jeg også til dels har gjort ovenfor, at evidens kun kan præsteres gennem et stort antal cases over lang tid og kun hvis den efterstræbte kausalitet antager ”ægte” linearitet og samtidig bygger på repetition. Men da disse kriterier ikke optræder i det organisatoriske liv, er
rationalitet og som grundlag for ”salgsarbejdet”, for som Nils Brunsson siger, ”The absence of rationality does not reduce our hope that rationality can be achieved.” (Brunsson, 2006, p.13). Men trods det rationelle håb, røres der ikke ved det grundlæggende problem, nemlig at spørgsmålet om konceptuel effekt kun kan anskues i forhold til den specifikke og lokale kontekst.
Kritik, eftertænksomhed og forbedringsforslag
Det er nok uundgåeligt, at introduktionen af et nyt ledelseskoncept, hvis advokater markedsfører konceptet med lovende perspektiver for virksomhedens præstationer, også mødes af skeptikere og kritikere. Sådan har diskussionerne bølget om Business Process Re-Engineering, Balanced Scorecard, Lean, TQM og andre ledelsesteknologier. ERM er ikke nogen undtagelse i den henseende. I praksis kører diskussionerne om ERM i to sæt af strømninger. For det første en diskussion mellem folk, der er relativt praksisnære i relation til at afsøge metoder til forbedring af virksomhedernes evne til at præstere, og på den anden side folk, der er optaget af og kritiske overfor de samfundsmæssige implikationer af moderne risikotænkning. Den første strømning er praksisnær, og involverer primært folk, der kan ses som eftertænksomme forbedringsagenter. Det er folk, der som regel har en grundlæggende konstruktiv indstilling til ERM-paradigmet, men som også er opmærksomme på indbyggede udfordringer og konceptuelle forbedringsområder. Blandt forbedringsagenterne ses der som tidligere nævnt et tydeligt indholdsmæssigt tidsskel før og efter finanskrisen 2008/09. I de seneste 8 – 9 år har der således været en øget forskningsmæssig aktivitet, der dels har undersøgt forskellige problemstillinger og dels identificeret konkrete forbedringselementer.
Fra det praksisnære perspektiv har (Bromiley et al., 2015) i en nylig review-artikel gjort status over ERM-konceptet og finder, at der er generel konsensus om, hvad der udgør ERM. De peger på 3 nøgleelementer eller dimensioner: 1) håndtering af virksomhedens risici som en portefølje af risici, 2) integrationen af risikostyring i virksomhedens strategiske processer og beslutninger, og 3) opfattelsen af risiko som to-sidet, altså indeholdende såvel en tabs- som en gevinst-mulighed. De peger mere specifikt på behovet for forskning i værdien af ERM, på udfordringer relateret til aggregeringstanken (portefølje), betydningen af subjektivitet og bias i risikoopfattelser hos risk managers og ledere (tab/mulighed), implementeringsprocesser og ikke mindst, forhold af betydning for integrationen i virksomhedens strategiske processer. Jeg ser nedenfor nærmere på, hvad den senere litteratur har at sige om disse 3
principielt udgør et helt centralt argument for den helhedsorienterede tanke, får det begrænset opmærksomhed i litteraturen. Det kan muligvis skyldes, at selve ideen afspejler et teknisk-økonomisk udgangspunkt, hvori risikoopfattelsen er rationaliseret og homogeniseret. (Bromiley et al., 2015) er selv inde på dette spor, og finder ideen om aggregering problematisk, fordi den implicit forudsætter, at risici er homogene størrelser, der ikke varierer og forandrer sig over tid. Hvis lederes forståelse af risiko ignorerer dette forhold, vil aggregering i sig selv kunne føre til fejlagtige responser. I forlængelse af dette har (Bromiley & Rau, 2016) argumenteret for, at virksomhederne bør være mere selektive og begrænse aktiviteten til strategiske risici i stedet for slavisk at følge ERM-konceptets anbefalinger om at identificere, analysere, prioritere og mitigere alle risici som en portefølje. I deres optik er portefølje- eller aggregeringstanken kontraproduktiv, fordi den forudsætter, at alle risici kan håndteres under et, selv om risikoobjekter er forskellige. (Schiller & Prpich, 2014) anfører i en tilsvarende kritik, at konceptet bygger på den rationelle, men upraktiske forudsætning, at de mange forskelligartede risici en virksomhed møder kan håndteres ensartet. (Lee & Green, 2015) kritiserer, at tolkningen af ”enterprise risk” typisk lægges på aggregering af en række individuelle risici, hvormed man i deres optik mister
”interconnectivity”, altså fokus på komplekse sammenhænge og interagerende påvirkninger.
Integrationen i de strategiske processer
Som den anden dimension lægger ERM-paradigmet eksplicit en afgørende vægt på ledelsens rolle og koblingen til organisationens strategiske processer. Det er derfor ikke overraskende, at flere forskere har beskæftiget sig med de udfordringer, det indebærer. (Scheytt, Soin, Sahlin-Andersson, & Power, 2006) peger på, at organisatorisk kapacitet til at håndtere og respondere på forskellige typer af usikkerhed er langt mere komplekst end blot at anvende de formelle teknikker korrekt. Kapacitet bestemmes i deres optik af praksisser, der øger den ledelsesmæssige opmærksomhed, responderer på forskellige værdier og koordinerer handlinger. (Mikes, 2009) finder, at ERM advokeres som et strategisk ledelseskontrolsystem på linje med Balanced Scorecard. Hun finder endvidere, at penetrationen af ERM-tankesættet i organisationen afhænger af lederskab og politiske evner hos risk managers. Hun afdækker to typer af kulturer, hvor den ene ”ERM by the numbers” begrænser risikohåndteringen til finansielle og kvantificerbare risici, mens den anden type, ”holistic ERM”, inddrages i strategiske processer og opretholder en skepsis overfor kvantificering. Det er i sidstnævnte centralt, at topledelsen involveres aktivt, hvilket Mikes ser som afgørende for at udløse det strategiske potentiale. Risk
kontrolpraksis”, er det endnu uklart, om organisationer vil få fordele af at adoptere det. (Beasley, Branson, & Pagach, 2015) finder, at organisationer, der investerer i processer til indsamling af risiko-information og har dedikerede diskussioner om risiko-informationen på topledelsesniveau, også får forbedret den strategiske værdi af ERM. De finder også, at intensiv uddannelse af topledere i ERM’s ideologi og praksis har stor betydning for ERM-aktiviteternes ”modenhed”. (Ballou & Heitger, 2005) peger på udfordringen med at opnå reelt sponsorskab fra topledelsen, og ser omfanget af især COSO’s rammeværk som potentielt begrænsende for virksomheder at implementere, specielt for mindre og mellemstore virksomheder. (Lee & Green, 2015) advokerer for, at der antages et ”systems thinking”-perspektiv i ERM (COSO), fordi system-tænkningen efter deres opfattelse vil lede til et helhedsorienteret syn. Som nævnt i forrige afsnit, fandt (Meidell & Kaarbøe, 2017) i et case-studie, at virksomhedens ERM-funktion overfor topledelsen primært advokerede for at ”sælge” behovet for nye risikostyrings-teknologier, og horisontalt i organisationen for at få andre på samme niveau til at udnytte de indsamlede risikoinformationer. (Bromiley & Rau, 2016) observerer, at ledere ofte ender med at gøre risikostyring til en massiv papir-eksercits, fordi de stirrer sig blinde på alle de ulykker, der kan ramme dem. (E. Aven & Aven, 2015) finder, at ERM-konceptets kobling til opfyldelsen af operationaliserede og relativt kortsigtede målsætninger kan være problematisk, fordi sådanne mål kan være suboptimerende i forhold til organisationens overordnede vision og dermed principielle strategiske målsætninger. (Viscelli, Hermanson, & Beasley, 2017) finder, på baggrund af interviews med såkaldte ERM-champions, at den intenderede kobling mellem ERM og strategiske processer er meget begrænset.
Forfatterne afdækker følgende årsager: kulturelle barrierer og implementeringsforberedelser, den ledelsesmæssige organisering af ERM-arbejdet, og at styringen af væsentlige risici i sig selv leder til en begrænsning af koblingen mellem strategi og ERM. (Miller, 2009) kritiserer, at moderne risikostyring primært fokuserer på beslutningstagen, hvor der også burde fokuseres på handling, fordi organisationer også responderer på risiko gennem deres handlinger. Han kritiserer også, at det i for høj grad forudsættes, at risiko reflekterer en given sandsynlighedsfordeling, og peger på, at verden er kompleks og derfor ofte umulig at kvantificere. Han udfordrer endvidere, at megen moderne risikostyringsforskning anskuer organisationer som om de er entydige beslutningstagere. (Kirkpatrick, 2009) peger på, at en central årsag til, at mange virksomheder blev ramt af finanskrisen, var mangelfuld kobling mellem virksomhedernes risikostyringsaktiviteter og corporate governance procedurer.
principielt udgør et helt centralt argument for den helhedsorienterede tanke, får det begrænset opmærksomhed i litteraturen. Det kan muligvis skyldes, at selve ideen afspejler et teknisk-økonomisk udgangspunkt, hvori risikoopfattelsen er rationaliseret og homogeniseret. (Bromiley et al., 2015) er selv inde på dette spor, og finder ideen om aggregering problematisk, fordi den implicit forudsætter, at risici er homogene størrelser, der ikke varierer og forandrer sig over tid. Hvis lederes forståelse af risiko ignorerer dette forhold, vil aggregering i sig selv kunne føre til fejlagtige responser. I forlængelse af dette har (Bromiley & Rau, 2016) argumenteret for, at virksomhederne bør være mere selektive og begrænse aktiviteten til strategiske risici i stedet for slavisk at følge ERM-konceptets anbefalinger om at identificere, analysere, prioritere og mitigere alle risici som en portefølje. I deres optik er portefølje- eller aggregeringstanken kontraproduktiv, fordi den forudsætter, at alle risici kan håndteres under et, selv om risikoobjekter er forskellige. (Schiller & Prpich, 2014) anfører i en tilsvarende kritik, at konceptet bygger på den rationelle, men upraktiske forudsætning, at de mange forskelligartede risici en virksomhed møder kan håndteres ensartet. (Lee & Green, 2015) kritiserer, at tolkningen af ”enterprise risk” typisk lægges på aggregering af en række individuelle risici, hvormed man i deres optik mister
”interconnectivity”, altså fokus på komplekse sammenhænge og interagerende påvirkninger.
Integrationen i de strategiske processer
Som den anden dimension lægger ERM-paradigmet eksplicit en afgørende vægt på ledelsens rolle og koblingen til organisationens strategiske processer. Det er derfor ikke overraskende, at flere forskere har beskæftiget sig med de udfordringer, det indebærer. (Scheytt, Soin, Sahlin-Andersson, & Power, 2006) peger på, at organisatorisk kapacitet til at håndtere og respondere på forskellige typer af usikkerhed er langt mere komplekst end blot at anvende de formelle teknikker korrekt. Kapacitet bestemmes i deres optik af praksisser, der øger den ledelsesmæssige opmærksomhed, responderer på forskellige værdier og koordinerer handlinger. (Mikes, 2009) finder, at ERM advokeres som et strategisk ledelseskontrolsystem på linje med Balanced Scorecard. Hun finder endvidere, at penetrationen af ERM-tankesættet i organisationen afhænger af lederskab og politiske evner hos risk managers. Hun afdækker to typer af kulturer, hvor den ene ”ERM by the numbers” begrænser risikohåndteringen til finansielle og kvantificerbare risici, mens den anden type, ”holistic ERM”, inddrages i strategiske processer og opretholder en skepsis overfor kvantificering. Det er i sidstnævnte centralt, at topledelsen involveres aktivt, hvilket Mikes ser som afgørende for at udløse det strategiske potentiale. Risk
kontrolpraksis”, er det endnu uklart, om organisationer vil få fordele af at adoptere det. (Beasley, Branson, & Pagach, 2015) finder, at organisationer, der investerer i processer til indsamling af risiko-information og har dedikerede diskussioner om risiko-informationen på topledelsesniveau, også får forbedret den strategiske værdi af ERM. De finder også, at intensiv uddannelse af topledere i ERM’s ideologi og praksis har stor betydning for ERM-aktiviteternes ”modenhed”. (Ballou & Heitger, 2005) peger på udfordringen med at opnå reelt sponsorskab fra topledelsen, og ser omfanget af især COSO’s rammeværk som potentielt begrænsende for virksomheder at implementere, specielt for mindre og mellemstore virksomheder. (Lee & Green, 2015) advokerer for, at der antages et ”systems thinking”-perspektiv i ERM (COSO), fordi system-tænkningen efter deres opfattelse vil lede til et helhedsorienteret syn. Som nævnt i forrige afsnit, fandt (Meidell & Kaarbøe, 2017) i et case-studie, at virksomhedens ERM-funktion overfor topledelsen primært advokerede for at ”sælge” behovet for nye risikostyrings-teknologier, og horisontalt i organisationen for at få andre på samme niveau til at udnytte de indsamlede risikoinformationer. (Bromiley & Rau, 2016) observerer, at ledere ofte ender med at gøre risikostyring til en massiv papir-eksercits, fordi de stirrer sig blinde på alle de ulykker, der kan ramme dem. (E. Aven & Aven, 2015) finder, at ERM-konceptets kobling til opfyldelsen af operationaliserede og relativt kortsigtede målsætninger kan være problematisk, fordi sådanne mål kan være suboptimerende i forhold til organisationens overordnede vision og dermed principielle strategiske målsætninger. (Viscelli, Hermanson, & Beasley, 2017) finder, på baggrund af interviews med såkaldte ERM-champions, at den intenderede kobling mellem ERM og strategiske processer er meget begrænset.
Forfatterne afdækker følgende årsager: kulturelle barrierer og implementeringsforberedelser, den ledelsesmæssige organisering af ERM-arbejdet, og at styringen af væsentlige risici i sig selv leder til en begrænsning af koblingen mellem strategi og ERM. (Miller, 2009) kritiserer, at moderne risikostyring primært fokuserer på beslutningstagen, hvor der også burde fokuseres på handling, fordi organisationer også responderer på risiko gennem deres handlinger. Han kritiserer også, at det i for høj grad forudsættes, at risiko reflekterer en given sandsynlighedsfordeling, og peger på, at verden er kompleks og derfor ofte umulig at kvantificere. Han udfordrer endvidere, at megen moderne risikostyringsforskning anskuer organisationer som om de er entydige beslutningstagere. (Kirkpatrick, 2009) peger på, at en central årsag til, at mange virksomheder blev ramt af finanskrisen, var mangelfuld kobling mellem virksomhedernes risikostyringsaktiviteter og corporate governance procedurer.
forhold, hvor det specielt er konflikter mellem det rationelle og det irrationelle, der er kernen. (Holt, 2004) kritiserede tidligt, at usikkerhed og risiko i moderne risikostyring er orienteret om rationelt baserede kalkulationer, hvormed mange risikoaspekter efterlades uantastede. Holt kalder det rationelle, kalkulatoriske aspekt ”tamt”, i den betydning, at det tiltrækker lineære og planlægningsorienterede løsninger, og derved udelukker fantasien i udforskningen af kaotiske og uforudsigelige sammenhænge.
(Williamson, 2007) kritiserer specifikt COSO’s 2004 rammeværk, og peger på, at COSO’s tabs-orienterede definition af risiko leder opmærksomheden væk fra afsøgningen af muligheder og dermed ignorerer udforskningen af usikkerheder, der ligger udenfor dets rationelle system-perspektiv. (Gephart Jr., van Maanen, & Oberlechner, 2009) er inde på samme spor, og bemærker ligeledes, at opfattelsen af risiko som to-sidet har flyttet sig til en en-sidet tabsorienteret opfattelse af risiko. (Paape & Speklé, 2012) fandt ikke evidens for, at anvendelsen af COSO’s rammeværk leder til forbedret udbytte af virksomhedernes ERM-aktivitet, og peger specifikt på, at COSO’s teknokratiske og mekanistiske paradigme formentlig er misvisende som grundlag for god risikostyring. (Schiller & Prpich, 2014) peger på, at ERM som koncept bygger på uhensigtsmæssige eller dårligt underbyggede forudsætninger.
Herunder det forhold, at risici skal reduceres til rationaliserede størrelser udtrykt som sandsynligheder og konsekvens. I lighed med (Lundqvist, 2014) finder de også, at ERM-konceptet ikke er sensitivt over for forskelle i organisatorisk kontekst. (Blaskovich & Taylor, 2011) peger på, at måden ERM implementeres på har stor betydning for aktørernes evne til at frembringe meningsfuld information for beslutningstagen. De finder specifikt, at bias og subjektive risikoopfattelser især blandt de centrale aktører i risikovurderinger (risk managers), har stor betydning for, hvilke risici der prioriteres. Det leder f.eks. til, at finansielle risici får større opmærksomhed, hvis aktørerne har økonomisk-finansiel baggrund. De finder, at grupper med tværfunktionel baggrund giver en mere nuanceret tilgang i risikovurderinger.
Begrebet ”risiko-appetit”, der i COSO kan forstås som den residuale risikoeksponering, en organisation ønsker at udsætte sig for, når den har vurderet og mitigeret sine risici, kan også anskues i forhold til risikoopfattelse. Begrebet kritiseres af blandt andet (Bromiley et al., 2015) for sin uklarhed. Michael Power finder, at risiko-appetit kan være et fundamentalt uanvendeligt begreb, fordi det bygger på en opfattelse af risikoeksponering som en definitiv og afgrænsningsbar størrelse, der rationelt kan fastlægges af topledelsen (Power, 2009). (T. Aven, 2013) anerkender også debatten om begrebets
Man kan på ovenstående baggrund konstatere, at den praksisnære litteratur kredser omkring flere grundlæggende problematikker i konceptet, der på hver sin måde, direkte eller indirekte, har forbindelse til et af de tre grundlæggende aspekter, der blev præsenteret af (Bromiley et al., 2015). Men på samme tid stilles der ikke grundlæggende spørgsmål til selve det iboende konceptuelle rationale. Men det gør der til gengæld blandt forfattere, der er kritiske til de samfundsmæssige implikationer af moderne risikotænkning og til konceptets teoretiske fundament.
Et samfundskritisk aspekt
Fra et overvejende socioøkonomisk udgangspunkt har Michael Power gennem en årrække været en markant kritiker af de samfundsmæssige og politiske udviklinger, der har påvirket regulatorisk tænkning i retning af såkaldt risikobaserede styringsregimer. Med referencer til Becks tese om risikosamfundet (Beck, 1992) problematiserer han under overskriften ”Audit Society” modernitetens tendens til at ville håndtere risiko gennem ”kontrol af kontrollen”(Power, 1997b), (Power, 1997a). Han henviser hermed til fremvæksten af egenkontrol-systemer, hvor organisationen (kontrolobjektet) kontrollerer sig selv på baggrund af et auditeret, valideret og godkendt ledelsessystem. Det leder i Powers optik til, at
”compliance” til systemet bliver mere centralt end boniteten af de processer, der er systemets genstand.
Hans pointe er således, at efterlevelse af systemkrav risikerer at være vigtigere end at indsamle og agere på informationer og indsigter, der har betydning for beslutningstagen. Power betegner i senere kritik den moderne risikostyring som risikostyring af alting og ingenting (Power, 2004), (Power, 2009). I dette umiddelbare paradoks mellem alt og intet ligger der dels en kritik af tendensen til at applicere risikobaseret tænkning på stort set alt, og dels at samme tænkning sammen med koncepternes indbyggede effekt på ansvarliggørelse ikke leder til reel udforskning af usikkerhed og risici. Power ser det, han kalder ”organized uncertainty” (Power, 2007), altså den allestedsnærværende tendens til rationalisering og strukturering af usikkerhed i form af risikostyring, som kontraproduktiv i forhold til organisationers beslutningsprocesser, og beklager at disse tendenser udkonkurrerer værdifuld professionel vurderingsevne (”judgment”). I Powers optik er den moderne risiko-organisering således ikke befordrende for god risikohåndtering. Powers kritik af det iboende ansvarliggørelses-perspektiv er også berørt af andre. (Tekathen & Dechow, 2013) finder på baggrund af et case-studie, at ERM som praktiseret ikke leder til en gennemgående forståelse af virksomhedens aktiviteter, men snarere fremmer
forhold, hvor det specielt er konflikter mellem det rationelle og det irrationelle, der er kernen. (Holt, 2004) kritiserede tidligt, at usikkerhed og risiko i moderne risikostyring er orienteret om rationelt baserede kalkulationer, hvormed mange risikoaspekter efterlades uantastede. Holt kalder det rationelle, kalkulatoriske aspekt ”tamt”, i den betydning, at det tiltrækker lineære og planlægningsorienterede løsninger, og derved udelukker fantasien i udforskningen af kaotiske og uforudsigelige sammenhænge.
(Williamson, 2007) kritiserer specifikt COSO’s 2004 rammeværk, og peger på, at COSO’s tabs-orienterede definition af risiko leder opmærksomheden væk fra afsøgningen af muligheder og dermed ignorerer udforskningen af usikkerheder, der ligger udenfor dets rationelle system-perspektiv. (Gephart Jr., van Maanen, & Oberlechner, 2009) er inde på samme spor, og bemærker ligeledes, at opfattelsen af risiko som to-sidet har flyttet sig til en en-sidet tabsorienteret opfattelse af risiko. (Paape & Speklé, 2012) fandt ikke evidens for, at anvendelsen af COSO’s rammeværk leder til forbedret udbytte af virksomhedernes ERM-aktivitet, og peger specifikt på, at COSO’s teknokratiske og mekanistiske paradigme formentlig er misvisende som grundlag for god risikostyring. (Schiller & Prpich, 2014) peger på, at ERM som koncept bygger på uhensigtsmæssige eller dårligt underbyggede forudsætninger.
Herunder det forhold, at risici skal reduceres til rationaliserede størrelser udtrykt som sandsynligheder og konsekvens. I lighed med (Lundqvist, 2014) finder de også, at ERM-konceptet ikke er sensitivt over for forskelle i organisatorisk kontekst. (Blaskovich & Taylor, 2011) peger på, at måden ERM implementeres på har stor betydning for aktørernes evne til at frembringe meningsfuld information for beslutningstagen. De finder specifikt, at bias og subjektive risikoopfattelser især blandt de centrale aktører i risikovurderinger (risk managers), har stor betydning for, hvilke risici der prioriteres. Det leder f.eks. til, at finansielle risici får større opmærksomhed, hvis aktørerne har økonomisk-finansiel baggrund. De finder, at grupper med tværfunktionel baggrund giver en mere nuanceret tilgang i risikovurderinger.
Begrebet ”risiko-appetit”, der i COSO kan forstås som den residuale risikoeksponering, en organisation ønsker at udsætte sig for, når den har vurderet og mitigeret sine risici, kan også anskues i forhold til risikoopfattelse. Begrebet kritiseres af blandt andet (Bromiley et al., 2015) for sin uklarhed. Michael Power finder, at risiko-appetit kan være et fundamentalt uanvendeligt begreb, fordi det bygger på en opfattelse af risikoeksponering som en definitiv og afgrænsningsbar størrelse, der rationelt kan fastlægges af topledelsen (Power, 2009). (T. Aven, 2013) anerkender også debatten om begrebets
Man kan på ovenstående baggrund konstatere, at den praksisnære litteratur kredser omkring flere grundlæggende problematikker i konceptet, der på hver sin måde, direkte eller indirekte, har forbindelse til et af de tre grundlæggende aspekter, der blev præsenteret af (Bromiley et al., 2015). Men på samme tid stilles der ikke grundlæggende spørgsmål til selve det iboende konceptuelle rationale. Men det gør der til gengæld blandt forfattere, der er kritiske til de samfundsmæssige implikationer af moderne risikotænkning og til konceptets teoretiske fundament.
Et samfundskritisk aspekt
Fra et overvejende socioøkonomisk udgangspunkt har Michael Power gennem en årrække været en markant kritiker af de samfundsmæssige og politiske udviklinger, der har påvirket regulatorisk tænkning i retning af såkaldt risikobaserede styringsregimer. Med referencer til Becks tese om risikosamfundet (Beck, 1992) problematiserer han under overskriften ”Audit Society” modernitetens tendens til at ville håndtere risiko gennem ”kontrol af kontrollen”(Power, 1997b), (Power, 1997a). Han henviser hermed til fremvæksten af egenkontrol-systemer, hvor organisationen (kontrolobjektet) kontrollerer sig selv på baggrund af et auditeret, valideret og godkendt ledelsessystem. Det leder i Powers optik til, at
”compliance” til systemet bliver mere centralt end boniteten af de processer, der er systemets genstand.
Hans pointe er således, at efterlevelse af systemkrav risikerer at være vigtigere end at indsamle og agere på informationer og indsigter, der har betydning for beslutningstagen. Power betegner i senere kritik den moderne risikostyring som risikostyring af alting og ingenting (Power, 2004), (Power, 2009). I dette umiddelbare paradoks mellem alt og intet ligger der dels en kritik af tendensen til at applicere risikobaseret tænkning på stort set alt, og dels at samme tænkning sammen med koncepternes indbyggede effekt på ansvarliggørelse ikke leder til reel udforskning af usikkerhed og risici. Power ser det, han kalder ”organized uncertainty” (Power, 2007), altså den allestedsnærværende tendens til rationalisering og strukturering af usikkerhed i form af risikostyring, som kontraproduktiv i forhold til organisationers beslutningsprocesser, og beklager at disse tendenser udkonkurrerer værdifuld professionel vurderingsevne (”judgment”). I Powers optik er den moderne risiko-organisering således ikke befordrende for god risikohåndtering. Powers kritik af det iboende ansvarliggørelses-perspektiv er også berørt af andre. (Tekathen & Dechow, 2013) finder på baggrund af et case-studie, at ERM som praktiseret ikke leder til en gennemgående forståelse af virksomhedens aktiviteter, men snarere fremmer
Den mere overordnede kritik, der er rejst af Michael Power og andre, jf. ovenfor, synes at samle sig omkring aspekter, der indeholder paradoksale træk. For det første kan man se henvisningen til compliance og ansvarliggørelse som en paradoksal motivation, når det holdes op mod risikostyringens officielle sigte om målopfyldelse og værdiskabelse. For det andet stilles der spørgsmålstegn ved, om tankesættets iboende rationelle orientering er befordrende for at udforske usikkerhed og uforudsigelighed, fordi det afspejler en oplevelse af verden som statisk, og hvor fremtiden kan konstrueres og planlægges, selv om vi ved, at verden er dynamisk og kompleks. Paradokset mellem statik og dynamik har således betydning for målet om strategisk kobling og integration, der jf.
(Bromiley et al., 2015) er et centralt grundelement i ERM-paradigmet. Det udfordrer som det tredje opfattelsen af, hvad strategisk ledelse er, og dermed også det ledelsesmæssige og organisatoriske tankesæt. Jeg ser nedenfor nærmere på, hvad litteraturen har at sige om disse forhold.
Andre rationaler end det officielle
Flere forskere hæfter sig ved, i lighed med bidragene fra mit eget arbejde i artiklerne i kapitel 4 og 5, at motiv-forskelle mellem den helhedsorienterede risikostyrings officielle sigte på værdiskabelse og virksomheders reelle bagvedliggende drivkræfter til at implementere ERM, kan have betydning for risikostyringens anvendelighed. I den sammenhæng noterede (Mackay & Sweeting, 2000) allerede meget tidligt på baggrund af 6 konkrete cases, at den centrale drivkraft for lederes engagement i helhedsorienteret risikostyring er frygten for medieeksponering af for dårlig risikohåndtering. De foregriber hermed (Power, Scheytt, Soin, & Sahlin, 2009)’s påpegning af omdømme-risici (”reputational risks”) som en organiserende faktor i organisationers adoptering af risikostyringskoncepter. (Huber & Scheytt, 2013) er spørgende til, hvordan risikostyring har kunnet fastholde sin vigtighed, trods det forhold, at det viste sine svagheder i forbindelse med finanskrisen. De tager for givet, at risikostyring som koncept ikke fungerer, men undrer sig over, at ideen trods dette langt fra er død. De argumenterer for, at risikodiskursen (og teknologierne) i sig selv skaber en magtbase for beslutningstagere, fordi de kan italesætte risiko som undtagelser, og på den baggrund bestemme hvilke risici, der er vigtige. I det perspektiv bliver den magtbase som ”retten” til at definere risiko langt vigtigere end effektiviteten af risikostyrings-konceptet. Andre forfattere peger på, at målet om at være ”compliant” til omverdenens regulatoriske og moralske forventninger er blevet vigtigere end
konversationer om risiko i forhold til strategiske valg. De argumenterer også for, at fordi risikostyring – som følge af den tabsorienterede vinkel – er meget anderledes end strategisk ledelse, må virksomheder skabe en separat funktion, der samler strategi og den eksternt relaterede risikostyring under et. De finder, at virksomheder, der havde etableret en sådan funktion, samtidig var de virksomheder, der klarede finanskrisen bedst, mens virksomheder, der håndterede risikostyring fra et compliance-perspektiv, også var dem, der fejlede. (Lundqvist, 2015) foreslår, at corporate governance-dagsordenen med sit indbyggede compliance-perspektiv, ofte er bestemmende for beslutninger om at implementere ERM. (Arena, Arnaboldi, & Azzone, 2010) fandt i en sammenlignende analyse af 3 cases, at ERM typisk implementeres på måder, der afviger fra den formelle konceptualisering, og at praksis er forskellig fra virksomhed til virksomhed. Forskellighederne tilskrives forskelle i organisationernes risikostyrings-rationaler (drivkræfter), der er påvirket af opfattelserne hos de risikostyringseksperter, der er centrale for ERM-processen og af de grundlæggende ideologier i de teknologier, virksomheden bringer i anvendelse, herunder om disse er kvantitativt eller kvalitativt orienteret.
En foreløbig opsummering
Fra ovenstående gennemgang af den senere litteratur står det klart, at virksomhedernes motivationer for at adoptere ERM som ledelseskoncept er meget forskellige, og at de ofte afviger fra det formelle konceptuelle formål. Det har konsekvenser for, om og hvordan organisationerne arbejder med at søge indsigt i fremtiden. Den organisatoriske opfattelse af usikkerhed og risiko fremtræder ligeledes variable, og sådanne forskelle har betydning for, hvordan (og om) tankesættet integreres i strategiprocesser og strategisk ledelse. Det fremgår, at meget af den ”forbedrende” forskning i praksis er ret metodepræget eller teknisk orienteret. Der er dog yderligere aspekter, som kun berøres sporadisk i litteraturen, og det er de ”dybere” organisatoriske betydninger af den helhedsorienterede ideologi. Hvis man som jeg ser risiko som primært socialt konstrueret, er de sociale – eller rettere de processer, der udvikler sig i organisationen og mellem organisatoriske aktører, ret relevante. Jeg ser nedenfor nærmere på de bidrag, der kan fremdrages.
Organisatoriske processer og ERM’s normative karakter
En bekymring, der tegner sig i litteraturen er, hvordan man kan få risikostyringsprocesserne bragt væk fra tabeller og regneark og over i et udforskende perspektiv. Der kan i den sammenhæng spores en øget opmærksomhed på vigtigheden af risiko-konversationer (”risk talks”), et forhold som (Holt, 2004)
Den mere overordnede kritik, der er rejst af Michael Power og andre, jf. ovenfor, synes at samle sig omkring aspekter, der indeholder paradoksale træk. For det første kan man se henvisningen til compliance og ansvarliggørelse som en paradoksal motivation, når det holdes op mod risikostyringens officielle sigte om målopfyldelse og værdiskabelse. For det andet stilles der spørgsmålstegn ved, om tankesættets iboende rationelle orientering er befordrende for at udforske usikkerhed og uforudsigelighed, fordi det afspejler en oplevelse af verden som statisk, og hvor fremtiden kan konstrueres og planlægges, selv om vi ved, at verden er dynamisk og kompleks. Paradokset mellem statik og dynamik har således betydning for målet om strategisk kobling og integration, der jf.
(Bromiley et al., 2015) er et centralt grundelement i ERM-paradigmet. Det udfordrer som det tredje opfattelsen af, hvad strategisk ledelse er, og dermed også det ledelsesmæssige og organisatoriske tankesæt. Jeg ser nedenfor nærmere på, hvad litteraturen har at sige om disse forhold.
Andre rationaler end det officielle
Flere forskere hæfter sig ved, i lighed med bidragene fra mit eget arbejde i artiklerne i kapitel 4 og 5, at motiv-forskelle mellem den helhedsorienterede risikostyrings officielle sigte på værdiskabelse og virksomheders reelle bagvedliggende drivkræfter til at implementere ERM, kan have betydning for risikostyringens anvendelighed. I den sammenhæng noterede (Mackay & Sweeting, 2000) allerede meget tidligt på baggrund af 6 konkrete cases, at den centrale drivkraft for lederes engagement i helhedsorienteret risikostyring er frygten for medieeksponering af for dårlig risikohåndtering. De foregriber hermed (Power, Scheytt, Soin, & Sahlin, 2009)’s påpegning af omdømme-risici (”reputational risks”) som en organiserende faktor i organisationers adoptering af risikostyringskoncepter. (Huber & Scheytt, 2013) er spørgende til, hvordan risikostyring har kunnet fastholde sin vigtighed, trods det forhold, at det viste sine svagheder i forbindelse med finanskrisen. De tager for givet, at risikostyring som koncept ikke fungerer, men undrer sig over, at ideen trods dette langt fra er død. De argumenterer for, at risikodiskursen (og teknologierne) i sig selv skaber en magtbase for beslutningstagere, fordi de kan italesætte risiko som undtagelser, og på den baggrund bestemme hvilke risici, der er vigtige. I det perspektiv bliver den magtbase som ”retten” til at definere risiko langt vigtigere end effektiviteten af risikostyrings-konceptet. Andre forfattere peger på, at målet om at være ”compliant” til omverdenens regulatoriske og moralske forventninger er blevet vigtigere end
konversationer om risiko i forhold til strategiske valg. De argumenterer også for, at fordi risikostyring – som følge af den tabsorienterede vinkel – er meget anderledes end strategisk ledelse, må virksomheder skabe en separat funktion, der samler strategi og den eksternt relaterede risikostyring under et. De finder, at virksomheder, der havde etableret en sådan funktion, samtidig var de virksomheder, der klarede finanskrisen bedst, mens virksomheder, der håndterede risikostyring fra et compliance-perspektiv, også var dem, der fejlede. (Lundqvist, 2015) foreslår, at corporate governance-dagsordenen med sit indbyggede compliance-perspektiv, ofte er bestemmende for beslutninger om at implementere ERM. (Arena, Arnaboldi, & Azzone, 2010) fandt i en sammenlignende analyse af 3 cases, at ERM typisk implementeres på måder, der afviger fra den formelle konceptualisering, og at praksis er forskellig fra virksomhed til virksomhed. Forskellighederne tilskrives forskelle i organisationernes risikostyrings-rationaler (drivkræfter), der er påvirket af opfattelserne hos de risikostyringseksperter, der er centrale for ERM-processen og af de grundlæggende ideologier i de teknologier, virksomheden bringer i anvendelse, herunder om disse er kvantitativt eller kvalitativt orienteret.
En foreløbig opsummering
Fra ovenstående gennemgang af den senere litteratur står det klart, at virksomhedernes motivationer for at adoptere ERM som ledelseskoncept er meget forskellige, og at de ofte afviger fra det formelle konceptuelle formål. Det har konsekvenser for, om og hvordan organisationerne arbejder med at søge indsigt i fremtiden. Den organisatoriske opfattelse af usikkerhed og risiko fremtræder ligeledes variable, og sådanne forskelle har betydning for, hvordan (og om) tankesættet integreres i strategiprocesser og strategisk ledelse. Det fremgår, at meget af den ”forbedrende” forskning i praksis er ret metodepræget eller teknisk orienteret. Der er dog yderligere aspekter, som kun berøres sporadisk i litteraturen, og det er de ”dybere” organisatoriske betydninger af den helhedsorienterede ideologi. Hvis man som jeg ser risiko som primært socialt konstrueret, er de sociale – eller rettere de processer, der udvikler sig i organisationen og mellem organisatoriske aktører, ret relevante. Jeg ser nedenfor nærmere på de bidrag, der kan fremdrages.
Organisatoriske processer og ERM’s normative karakter
En bekymring, der tegner sig i litteraturen er, hvordan man kan få risikostyringsprocesserne bragt væk fra tabeller og regneark og over i et udforskende perspektiv. Der kan i den sammenhæng spores en øget opmærksomhed på vigtigheden af risiko-konversationer (”risk talks”), et forhold som (Holt, 2004)