Återpublicerat inlägg, framförallt utifrån dess generella och fortsatta relevans.
Det där med riskhantering, det borde vi snacka mer om och framförallt utmana.
Området risk, hantering av osäkerheter eller kallar det vad du vill förtjänar sannerligen en hel del utmaningar av sina inneboende försanthållanden. Jag, Björn, blir för varje projekt jag är involverad i och för varje revision jag genomför mindre övertygad om att den sedvanliga tillämpningen av dedikerade risklistor, riskworkshops, risk-managers och riskbilder är den vettiga vägen framåt.
Det blir alltsomoftast ett utanpåverk som lever ett eget liv. I bästa fall hanterar man frågan så att den inte blir verksamhetshämmande, i värsta fall tar man in någon som mig och lägger utöver mitt arvode hundratals, ibland tusentals, interna timmar på att hitta på händelser, hitta på teoretiska konsekvenser och slutligen gissa sannolikheten för att misären utifrån ganska risiga beskrivningar ska inträffa.
Därefter gör man ofta inget, ofta för att man redan var nöjd med det man har gjort och därför riggar man sin beskrivning på ett sådant sätt att allt verkar vara fantastiskt, frid och fröjd.
Ledningen bryr sig inte heller, enligt mig ofta (inte alltid) på goda grunder. De ledningsgrupper och företagsledare jag träffar och som faktiskt bryr sig, de bryr sig på riktigt men låter sällan risklistan eller metoden guida dem (förutom när det vankas revision). Förmodligen för att de vet eller befarar att listan är ett utanpåverk med marginell nytta som beslutsunderlag.
Ovanstående gäller en hel uppsjö områden: informationssäkerhet, arbetsmiljö, miljö, kvalitet medicinteknik och inte minst även militär operationsplanering. Det sistnämnda området hade jag kunnat ge otaliga exempel kring olika metoder som tillämpas för att det föredragna handlingsalternativet ska ges företräde framför andra.
Hur hamnade vi här? Vad är problemet?
Marinus de Pooter har nyligen lagt upp ett sammandrag från en föreläsning på temat och jag tror att han är något på spåren.
Vi hamnade här på grund av att sådana som jag gillar att ta betalt, konsulterna har skapat en bild över att det här svårt, konstigt och lite otillgängligt. Till sitt understöd har det därefter utvecklats standarder som underblåser denna bild och ger den legitimitet och tyngd, detta genom att etablera sig själva som ramverk vilka ska följas.
Marinus de Pooter framför en alternativ metod. En metod vi faktiskt kan hitta stöd för i ISO-standarderna och där vi backar tillbaka till våra intressenter och deras relevanta krav. Och vilka osäkerheter vi behöver hantera för att inte hamna i en situation där de här kraven (vilka rimligen är i linje med verksamhetens målsättningar) inte kommer tillgodoses i tillräcklig utsträckning för att vi ska nå våra mål.
Kort sagt borde vi oftare ställa oss frågan:
– Vad behöver vi göra för att lösa ut det här kravet/målet?
Först därefter bör vi ställa oss frågorna vad som kan hindra oss respektive öka våra möjligheter att nå dit.
Tipstack och inspirationstack till Mats Karlsson Landré och hans OT-nyhetsbrev.