Samsvarsstyring – En sentral del av risiko- og barrierestyring?

Stadig flere bedrifter ser nytten av og behovet for en systematisk tilnærming til regelverket som en sentral del av sin risiko- og barrierestyring. Herunder øket bruk av internasjonale standarder. De siste ti årene har vi sett en betydelig økning i arbeidstittel «Compliance Manager» o.l. Dette forteller at «noe er på gang». Vi håper og tror at antallet vil øke betydelig de neste årene – så kanskje 2020 tallet blir «Samsvarsstyringens tiår».

Vi deler noe tanker og erfaringer i dette blogginnlegget.

Et lite tilbakeblikk

Risiko- og barrierestyring er for tiden et sentralt tema i næringslivet. Det å sikre at man har et akseptabelt risikonivå på selskapets prosesser blir stadig viktigere både i et forretningsmessig og i et helse-miljø og sikkerhetsmessig perspektiv.

Risikotenkning har alltid vært en naturlig del av all forretningsdrift, men krav og forventninger fra ulike interessepartier presser frem behov for stadig bedre konsepter og metoder for å systematisere analyser og iverksette resultater av disse. Et lite historisk tilbakeblikk viser noe av denne utviklingen:

1990 tallet – Tenkningen gikk fra organisatorisk- til prosessorientering av styringssystemer

2000 tallet – Begrepet «Målstyring» ble svært sentralt – Mål, delmål og KPI’er fant sin plass

2010 tallet – Risiko- og barrierestyring gjorde for alvor sitt inntog innen olje- og gassektoren

2020 tallet –?

I hele denne perioden har risikoanalyser etter «bow-tie» prinsippet vært benyttet og resultatene har vært gode i mange sektorer. Hva vil så kunne være det nye fokuset utover i 2020 tallet? Vi mener det bør være øket annerkjennelse av den kompetansen og erfaringen som er akkumulert i regelverket og at man i økende grad drar nytte av dette i forretningsdriften – gjennom en styrt samsvarsprosess.

Utfordringer ved risikoanalyser

Risikoanalyser har sine sterke sider ved at man setter søkelys på kritiske prosesser og identifiserer tiltak (barrierer) for å sikre at prosessen utføres med et akseptabelt risikonivå. Slike barrierer er enten av teknisk, organisatorisk eller operasjonell karakter. Målet er å redusere sannsynlighet for eller konsekvensene av en uønsket hendelse. De mest brukte metodene er basert på «Bow tie principle». Et springende punkt i slike analyser er å holde orden i begrepene «hendelse» – «konsekvens» og «årsak», som for et gitt scenario lett kan bytte plass avhengig av øynene som ser. Resultatet av en analyse er ofte en oversikt/rapport som viser resultatene angitt i en form for risikomatrise.

Her er det to forhold som kan gi utfordringer;

  • Gjennomføring av analysene krever fasilitering av kompetent personell. Dette er kostbar kompetanse som få har i egne rekker og som ofte må leies inn. Da ofte til en betydelig kostnad.
  • Selskapers viktigste verktøy for risikostyring er et godt styringssystem og medarbeidernes etterlevelse av dette. Et avgjørende element for å dra nytte av gjennomførte risikovurderinger er å få iverksatt resultatene i styringssystemet og tekniske løsninger. Dette kan være oversiktlig og gjennomførbart på store og lett synlige tiltak, men betydelig mer utfordrende for alle de mindre tiltakene, som samlet sett utgjør et stort potensial. En risikoanalyse i rapportform vil også over tid miste sin aktualitet.

Risikoanalyser- og barrierestyring er i dag helt selvfølgelige og sentrale verktøy i mange bransjer. Det kreves imidlertid høy kompetanse og betydelige ressurser for å iverksette resultater samt vedlikeholde og oppdatere disse over tid.

For mange selskaper der både marginer og ressurstilgang er begrenset, vil risiko- og barrierestyring i utstrakt form være krevende og kanskje ikke gjennomførbart til et nivå som gir ønsket effekt. Spørsmålet er da om det kan være andre løsninger som kan bidra i samme retning og som kan gjennomføres til en akseptabel kostnad.

Samsvarsstyring som et element i risiko- og barrierestyring

Som nevnt innledningsvis er det forunderlig at regelverket ikke i større grad trekkes inn i debatten om risiko- og barrierestyring. Vi vil her gjøre nettopp det, og håper på at andre også vil følge opp.

Grovt kan vi dele regelverket inn i to hovedgrupper:

  • Myndighetskrav
  • Nasjonale og internasjonale standarder utarbeidet av næringslivet selv i samarbeid med ISO, API, NEK og andre standardiseringsorganisasjoner.

For begge gruppene over legges det årlig ned betydelige ressurser på å utarbeide nytt regelverk samt revisjon av eksisterende. Regelverket er omfattende og for mange komplekst, og sees ofte på som forstyrrende ekstra-arbeid å måtte forholde seg til. Dette kan nok være på grunn av form og språk i seg selv, men også tilgjengelighet og mangel på metoder og verktøy for å håndtere det på en tilfredsstillende måte.

Ser vi bort fra form, språk og tilgjengelighet og tenker gjennom hvilken informasjon som egentlig distribueres gjennom regelverket bør vi, etter vår mening, anerkjenne dette som en verdifull kilde til oppdatert kunnskap og kompetanse fra hele samfunnet. Dette er erfaring og kunnskap man kan benytte seg av nærmest gratis i egen virksomhet etter behov.

I dagens teknologiske virkelighet er regelverket tilgjengelig i digitalt format. Det finnes også ulike konsepter og verktøy for å innarbeide relevante krav i eget styringssystem og egne tekniske løsninger, samt følge dette opp over tid.

Alt ligger derfor nå til rette for å gi begrepet «Samsvarsstyring» en sentral plass innen risiko- og barrierestyring.

Klar til å sette i gang?

Ta kontakt med oss – få uforpliktende tilbud.