kompendie for faget international risikohåndtering aktiv
TRANSCRIPT
Kompendium for faget International
Risikohåndtering v. 2.0
Udarbejdet af Nick Bang Ohlsson 2014
Alle rettigheder, materielle såvel som immaterielle, både direkte og afledte i forhold til det nærværende
værk, forbeholdes helt og fuldt af forfatteren. Det nærværende værk må ikke gøres til genstand for udlån,
fotografisk eller anden gengivelse uanset sammenhæng uden forfatterens udtrykkelige skriftlige
godkendelse.
Indholdsfortegnelse
1. Introduktion, struktur og den videnskabsteoretiske sammenhæng. ............................................................... 1
Fakta, forklaringer og vurderinger. ..................................................................................................................... 3
Grænser for subjektiviteten. .............................................................................................................................. 6
De grundlæggende spilleregler .......................................................................................................................... 8
2. Definition af, baggrund for og afklaring af rammerne for dette fag. .............................................................. 14
Definitioner, fravalg og afgrænsninger. ............................................................................................................ 15
Risikoledelse - overordnet procesbeskrivelse. .................................................................................................. 21
3. Risk management og ISO 31000 ................................................................................................................... 26
4. De første trin i Risiko- og trusselshåndteringen ............................................................................................ 35
5. Efterretningsindhentning og – bearbejdelse ................................................................................................. 40
6. Risikohåndteringen i 12 faser ....................................................................................................................... 49
1. Dokumenter alt hvad du laver. .................................................................................................................... 50
2. Vurder området generelt. ........................................................................................................................ 51
3. Har du tilstrækkelig datakilder, til at kunne vurdere risici? ....................................................................... 53
4. Beskriv problemfeltet. .............................................................................................................................. 54
5. Skitser baggrunden .................................................................................................................................. 55
6. Vurder og analyser risikofeltet. ................................................................................................................ 58
7. Prioriter og kommenter de fundne risici ................................................................................................... 59
8. Skitsér og implementer en løsning for de problemer du kan. .................................................................... 61
9. Vær sikker på at løsningerne bliver gennemførte ..................................................................................... 62
10. Koordiner og tilse at evt. fejl eller uklarheder bliver korrigerede........................................................... 63
11. Overdrag risikofeltet eller revurder om der er kommet nye risici til. ..................................................... 64
12. Omorienter når du er sikker på at risikofeltet er fuldt og helt overdraget til en der magter det. ........... 64
Afsluttende og opsummerende........................................................................................................................ 64
9. Temaer ........................................................................................................................................................ 65
Kultur .............................................................................................................................................................. 65
Militære kapaciteter og PMC´ere ..................................................................................................................... 68
Love og regulativer .......................................................................................................................................... 70
Beredskabsplan/Contingency plan ................................................................................................................... 71
Fortrolighed, dokument- og datasikkerhed og efterretningsbilledet ................................................................. 74
Ledelsesprofil og –stil....................................................................................................................................... 76
Litteraturliste og inspiration til yderligere læsning ............................................................................................... 79
1. Introduktion, struktur og den videnskabsteoretiske sammenhæng. “In the land of the blind, the one-eyed man is King”
Desiderius Erasmus Roterodamus
Hvorfor skrive et kompendium?
Jeg overvejede længe om jeg ikke kunne have løst opgaven på en anden og nemmere måde –
eksempelvis ved at lave en almindelig læseplan med henvisning til andre bøger, artikler m.m.
Men problemet er at dette område og dermed dette fag, stadig er på pionerstadiet, hvorfor en sådan
løseplan ville have været fragmentarisk, overfladisk og usammenhængende. Når man laver en
bibliografisk analyse af ”Risikostyring”, bliver det ret hurtigt klart, at man enten må ændre i
udgangspunktet, eller oversætte det til ”Risk management”, alternativt få en meget kort liste.
Der er således flere ting der står klart bare ved en hurtig gennemgang af materialet samt et besøg på
biblioteket:
For det første er der ikke skrevet meget om emnet, og da slet ikke på dansk. For det andet er meget
af det der er skrevet, dårligt belyst rent kildemæssigt forstået, herudover er meget af det er skrevet
som ”Chain of thought”1. Eller hvis man skal være grov, kunne man være fristet til at anse en del af
det skrevne for, i nogen grad, at være skønlitteratur.
Derfor virker det naturligt, at jeg i forlængelse af det forsøger, at sammenfatte nogen af de
hovedtræk indenfor det område, som jeg fremadrettet vil beskrive indenfor risikohåndtering. Ordet i
sig selv har mange betydninger og er i praksis derfor ikke entydigt. Jeg vurderede også, at jeg i al
beskedenhed håbede på, at jeg ved dette kompendium kunne bevæge eleven hurtigere frem i den
retning jeg ønskede til fælles fordel, end hvis jeg valgte en mere konventionel retning. Hvorvidt det
er lykkedes vil jeg lade læseren om at vurdere.
Jeg har ingen ambitioner om at være hverken fejlfri eller i stand til at gennemskue sammenhænge
som ingen andre har set før. At skrive et kompendium er noget jeg gør af nød, og ikke fordi jeg har
en illusion om at være i stand til at skrive et banebrydende og nytænkende værk. Jeg må derfor på
forhånd håbe på at læseren kan kompensere for eventuelle uklarheder eller andre fejl, hvor mine
evner som forfatter ikke har slået til. Normalt vil et kompendium typisk være en samling af artikler,
som man bruger til at perspektivere – det nærværende vil dermed nærmere have karakter af en
grundbog, uden at jeg dog mener at den vil sætte standarden som en kanoniseret grundbog. Dette er
mit bud på en grundlæggende tilgang til styring af risici nationalt og internationalt, samt måske
grundstammen i den viden og de færdigheder som dem, der fremadrettet ønsker at arbejde med
området, vil tilegne sig.
Jeg vil i det næste kapitel gå nærmere ind i en definition af såvel risikohåndtering, som dets
betydning i dette fag og for de rammer og indhold, som en aktør der vil arbejde indenfor området
1 Typisk forstået som at lade et resultat fremkomme ved associering – en form for brain storming teknik.
2
skal kende, uanset om det er teoretisk/akademisk eller praktisk arbejde. Dermed vil jeg også
præcisere det område, som dette fag vil belyse, for som det vil vise sig, så dækker vi ikke al
risikostyring – men i stedet det område som jeg vurderer ikke er dækket af andre og mere
specialiserede aktører allerede.
For faktum er, at uanset sammenhængen, så er det pionerarbejde. Det betyder ud fra en positiv
betragtning, at man som aktør indenfor området har en chance og mulighed for at sætte sit eget
fingeraftryk. Ud fra et negativ perspektiv betyder det, at man i vid udstrækning selv er nødt til at
udfylde rammerne, give dem meningsfyldt indhold og sælge varen til en modtager, der ikke
nødvendigvis har nogen forudsætninger for at forholde sig til den. I forlængelse af det sidstnævnte
betyder det, at man ofte vil befinde sig i en situation, hvor man ikke alene skal redegøre for den
løsning man har valgt, men også skal kunne sælge sine egen berettigelse og videnskabelige og
faglige styrke. Dette sker ofte i konkurrence med andre faggrupper der har påtaget sig ansvaret for
risikoanalyser og risikoimødegåelse. Dette kan eksempelvis være fra en af de økonomiske
funktioner i virksomheden, der ofte har haft ansvaret for at vurdere økonomiske risici (mere om
dette i næste kapitel).
Resten af dette kapitel vil beskæftige sig med de forhold og parametre man overordnet kan styre,
for at give ens analyser og fremstillinger større vægt. En af de primære parametre i forhold til det, er
graden af sandhed og objektivitet i det skrevne. Et af de grundlæggende karakteristika for
akademisk litteratur og journalistik er det bevidste valg om at stræbe efter objektivitet og neutralitet.
Begreberne "objektiv" og "subjektiv" bruges generelt som målsætning for eller karakteristik af
historiebøger, artikler og ekspertudtalelser. Idealet er således, at det fremstillede materiale skal være
sagligt og upartisk og ikke påvirket af personlige meninger og følelser. Det er ikke kun en
akademisk øvelse, idet ens konkrete valg i praksis for det første kan afgøre om man kan sælge sine
resultater til den øvrige organisation. For det andet så vil der blive vurderet, målet og vejet om man
har gjort sit arbejde godt nok, når (ikke hvis) det går galt. Alene af den sidste grund, er der derfor et
behov for at man har korrekt dokumentation for sine analyser.
Diskussionen omkring objektivitet versus subjektivitet, var noget der tog fart i tiden efter anden
verdenskrig, idet man tidligere, måske nok tilstræbte det objektive ideal, men i øvrigt, i nogen grad,
skrev med udgangspunkt i ens akademiske habitus. Eller med andre ord så skrev en professor med
og til andre professorer og studerende forventedes ikke nødvendigvis at tage kritisk stilling til det
som deres akademiske overmænd havde skrevet, men alene lære det udenad.
Derfor kunne humanistiske og samfundsvidenskabelige bøger og andre værker også, fra tid til
anden spændes for en rent nationalistisk vogn. Såkaldt revisionistisk historie er ønsket om at ændre
opfattelsen af virkeligheden, så den bedre harmonerer med ens politiske, religiøse eller
nationalistiske mål. Blandt de mere kendte eksempler er således bestræbelserne fra forskellige
grupperinger om at benægte, eller som minimum, at sætte spørgsmålstegn ved Holocaust. Et mere
aktuelt eksempel (pr. 2013), er ønsket fra den øverste russiske ledelse om at skrive en ”mere
positiv” historie. Hvilket medfører et krav om, at alle historiebøger til brug i det russiske
3
uddannelsessystem skal fremstille fortiden i et mere positivt lys2. Det betyder i praksis blandt andet,
at man massivt og systematisk underspiller de enorme udrensninger, folkedrab og forbrydelser der
skete under Stalin.
Modpoler mellem objektiv og subjektiv formidling bliver dog som regel i dag, i de fleste
akademiske sammenhænge, opfattet som en noget forældet tankegang, idet der er mange forskere
og andre der anser at det er umuligt at skrive en ”objektiv” udredning om et emne, idet den pr.
definition altid vil være påvirket af ens egne holdninger og meninger. Denne tilgang ses ofte i
moderne historiebøger. Tanken er således, at en fremstilling er et resultat af en masse valg fra
forfatterens side, og her vil personlige erfaringer, forestillinger og holdninger nødvendigvis spille en
vigtig rolle. Derfor kan en fremstilling ikke være fuldstændig objektiv i streng forstand – dvs.
uafhængig af forfatteren.
En måde at anskue dette på er ved at skille formidlingselementerne op, eksempelvis i fakta,
forklaringer og vurderinger.
Fakta, forklaringer og vurderinger. Dette er relevant idet man skal gøre op med sig selv hvilken argumentation man bygger sin
behandling på uanset sammenhængen. Det er således blandt andet for at man kan udøve en
struktureret og saglig selvkritik.
Fakta
Hvad nu hvis fremstillingen kun indeholder beskrivende dele?
Problemet er her ikke så meget uenighed om konkrete facts, selv om historikere godt kan være
uenige om, hvornår socialismen blev indført i Rusland, eller hvornår Harald Blåtand regerede eller
om han reelt kristnede Danmark. I de fleste tilfælde er historikere og andre akademikere imidlertid
generelt enige om datering og andre faktuelle oplysninger, selv om især den tidlige historie
selvfølgelig kan give problemer på grund af mangelfuldt kildemateriale.
Mens egentlige fakta ikke nødvendigvis giver anledning til store problemer, så kommer uenigheden,
når man– i den enorme mængde af indtrufne hændelser igennem historien – skal bestemme, hvilke
hændelser og forhold, der er så vigtige, interessante og relevante, at de skal medtages som facts i
den konkrete fortælling. Begivenheder er ikke selvskrevet vigtige, og en sammenligning af
forskellige historiebøger vil vise, at historikere har truffet vidt forskellige valg. Et eksempel på dette
er behandlingen af den danske besættelseshistorie, hvor der generelt er konsensus om at vi
kæmpede sammen med de allierede, trods det faktum at den bevæbnede danske hær, flåde og
flyvevåben under dansk kommando hævdede dansk suverænitet mod de allierede indtil august
1943. Ligesom langt størsteparten af de danskere der kæmpede og også døde under gjorde det i tysk
og ikke allieret tjeneste. Pointen er at valget af fakta kan understøtte en bevægelse mod objektivitet
eller subjektivitet – afhængig af de valg man tager og de forbehold man gør sig.
2 http://www.rferl.org/content/stalin-attitudes-russia/24917742.html
4
Man kan dermed skabe en ny objektiv virkelighed ved at helt selektivt og subjektivt at inddrage de
objektive fakta der - isoleret og præsenteret korrekt - understøtter ens tese eller holdning.
I forhold til international risikohåndtering betyder det en nærliggende risiko for at man, hvis man er
ustruktureret eller ikke tager stilling til sine fakta, risikerer at opstille en superreplikator3.
En superreplikator4 er en løgn der bliver gentaget så mange gange, at den til sidst af en del af eller
hele målgruppen, bliver opfattet som en sandhed. Forudsætningen er typisk at den skal have et vist
mål af indbygget logik for at blive en superreplikator, og ikke blive opfattet som en løgn eller
usandhed. Konkret betyder det at der er en risiko for at man kan enden med at lede efter det rigtige
svar til et forkert spørgsmål, hvilket kan have enorme konsekvenser indenfor risikohåndtering
internationalt.
Forklaringer
Forklaringer spiller en afgørende rolle i de fleste akademiske fremstillinger: Hvorfor gik det, som
det gik? Historikere, journalister og samfundsforskere vil ofte have forskellige forklaringer på og
baggrundsanalyser af forskellige begivenheder. Formuleringer, ordvalg og ikke mindst fravalg kan
skabe en tendens, der er lige så kraftig som ved valg og fravalg af facts.
Blandt eksemplerne på emner der kan virke polariserede, kan nævnes de følgende eksempler:
Om socialismen har virket noget steds, eller om socialisme er det samme som kommunisme, samt i
forlængelse af det om de negative virkninger der er ved denne styreform, er udtryk for personer
eller selve styreformen. Eller for den sags skyld om de bærer sammenligning med nazisme og
fascisme?
Hvorfor dansk økonomi var på vej mod totalt sammenbrud i 1970'erne og starten af 80'erne, hvorfor
Muhammedkrisen brød ud og fik det omfang den fik, samt om den evt. nødvendighed og
langsigtede konsekvenser?
Når historikerne, journalister, politikere m.fl. har forskellige forklaringer, hænger det bl.a. sammen
med, at de kan anlægge et forskelligt tidsperspektiv i deres forklaring, at de vægter f.eks.
økonomiske og politiske forholds betydning forskelligt, at både udenlandske og indenlandske
faktorer kan tænkes at indgå som forklaringer (og man kan vælge en subjektiv vægt af de 2), at
konkrete begivenheder, handlinger og personer kan tillægges større eller mindre vægt.
Sidst men ikke mindst er samfundskompleksiteten og de mange mulige sammenhænge og
synsvinkler selvfølgelig en afgørende forklaring på uenighederne.
Derfor er der mange akademikere, der har mere end en sund skepsis i forhold til at lede efter den
endelige (objektive eller sande) forklaring på at et fænomen indtraf. Det betyder ikke, at den
3 Som eksempelvis beskrevet her: http://politiken.dk/kultur/ECE226160/lykken-er-ikke-at-have-boern/ 4 Oprindeligt formuleret af Daniel Gilbert i ”Stumbling on Happiness”
5
postmoderne og sandhedsrelativistiske metode er den rigtige, for faktum er, at uanset om man
ønsker det eller ej, så skaber ord en ny virkelighed, og dermed bliver det subjektive til det objektive.
Dette kan ses tydeligt i forhold til eksempelvis historiebøger i folkeskolen, hvor man på begrænset
plads skal beskrive historiske forhold på en komprimeret og dermed i praksis ofte subjektiv måde.
Jævnfør i øvrigt eksemplet ovenfor med Danmarks rolle under anden verdenskrig.
Et andet og i denne sammenhæng nok mere vedkommende eksempel er den måde, man analyserer
data og input på med henblik på at skabe et beslutningsgrundlag i såvel privat som offentlig regi.
Selvom man gerne vil fremstå som ambassadøren for den ultimative og objektive sandhed, der giver
den øvre ledelse det bedste udgangspunkt for en oplyst og velafklaret beslutningsproces, så er
faktum, at det ofte i den virkelige verden vil være et kompromis, der er blevet til under et stærkt
tidspres og ofte med rammer der er givet på forhånd.
Derfor bliver det ubestrideligt et subjektivt produkt med en evt. tilstræbt objektivitet.
Således er virkeligheden ofte et vanskelig sted at udøve kildekritik, samt at bruge lang tid på at lave
det akademiske forarbejde der skaber et så objektivt produkt som muligt. Det betyder ikke at man
skal opgive det, men i stedet forsøge at gøre det rutinemæssigt til en del af sin arbejdsproces.
Sagt med andre ord så er den nemmeste måde at formulere det på at:
Forhold dig altid kritisk og konstruktivt-skeptisk til alt hvad du hører og læser. Overvej HVEM der
prøver at fortælle dig HVAD, byggende på HVILKEN type kilder, bearbejdet i hvilken FORM og
med hvilket FORMÅL. Og i forlængelse af det i en praktisk sammenhæng så insister på at stille de
kritiske og ubehagelige spørgsmål – også til myndighederne og dets ledere - og hold fast i dem
indtil du har fået et fyldestgørende svar.
I en praksisnær virkelighed er denne proces, ikke noget man bruger tid på at dokumentere, idet man
forventes at løfte opgaven uden at skulle spørge om hjælp til metoden.
I en akademisk sammenhæng bør man ALTID (som minimum ganske kortfattet), gøre rede for det
– enten i et afsnit/kapitel for sig selv. Alternativt som en løbende del af det skrevne.
Vurderinger
Mens det måske vil overraske nogle, at forskere og journalister kan være uenige om beskrivelser og
forklaringer, så er det vel mindre overraskende, at de kan være uenige, når det kommer med
vurderinger.
Man kunne retorisk stille spørgsmålet, om de ikke bare kunne undlade at give deres personlige
synspunkter og holdninger til kende. Dette i form af mere eller mindre positive/negative vurderinger
af f.eks. personer, beslutninger, begivenheder, lande, systemer og ideologier og i form af mere eller
mindre optimistiske/pessimistiske syn på udviklingen?
6
Selv hvis man forsøgte at rense sine fremstillinger for ethvert tegn på personlige vurderinger, så vil
det dog alligevel ikke kunne forhindre det personlige element. Der er ofte en konsensus om, at ”de
fleste” ville synes, at det var mærkværdigt, hvis historikerne havde et "klinisk neutralt" forhold til
fænomener som heksebrændinger, nazisme, diktatur, helbredsødelæggende børnearbejde,
kommunisme5, undertrykkelse af menneskerettigheder, folkemord, terrorisme. Men allerede der
bliver grænset udvisket idet terrorisme eksempelvis opfattes forskelligt af forskellige personer – jf.
konflikten i Mellemøsten eller vores forhold til Kina.
Konklusionen er altså, at enhver fremstilling i én eller anden udstrækning er farvet af forfatteren –
også selv om han/hun efter bedste evne forsøger at være saglig, upartisk, redelig m.v. – og at vi som
læsere kritisk må holde os dette for øje. Man skal også knivskarpt gøre sig klart, at selvom man selv
mener selv mener at man skriver den etisk forsvarlige og politisk korrekte
forklaring/fortælling/redegørelse, så gør det den ikke til en sand!
I en praksisnær virkelighed betyder det også at man bliver nødt til at gøre sig klart, at der ikke altid
er plads til den objektive sandhed, som man selv ser den i en stor organisation. Der bliver man nødt
til at vurdere, hvor langt man kan tilstræbe en objektiv vurdering. Dette ud fra devisen at det kun er
riddere og tåber, der kæmper for en tabt sag, eller endnu mere præcist kæmper en kamp, man ikke
er sikker på at vinde. Derfor bør den tilstræbt objektive behandling af data og formidlingen af dem
og ens vurderinger altid uden undtagelse være en rationel og oplyst afvejning af mange faktorer,
herunder hvad man er i stand til at forsvare og hvad man kan lave indenfor de givne rammer.
Det kritiske bliver dermed, at man tager konkret og rationelt stilling til i hvor høj grad man anser at
ens produkt beskriver hele sandheden. Eller sagt med andre ord at man forsøger at give sin
redegørelse en fejlmargen: eksempelvis at der er omkring 20 % chance, for at man tager fejl.
Jævnfør i øvrigt PESTLE modellen som beskrevet ovenfor. Dét vil i sagens natur altid være en
subjektiv vurdering, men det er kritisk og i denne sammenhæng kan det redde liv at man ikke
forsøger at fremstille sig selv og sit produkt som ufejlbarligt således at den øvre ledelse tager en
beslutning som din analyse ikke kan bære!6
Grænser for subjektiviteten.
Der er som beskrevet grænser for objektiviteten, men er der også grænser for subjektiviteten? Eller
bliver konklusionen nu, at alle fremstillinger/skildringer er lige subjektive og altså lige
gode/gyldige/rigtige/rimelige?
Man bevæger sig, hvis man ikke udøver selvkritik og stringens over i værdirelativisme, som der
måske har en værdi rent filosofisk og teoretisk, men som der i bedste fald er værdiløs i
virkeligheden. I værste fald når vi taler risikostyring internationalt, kan det medføre
handlingslammelse, og dermed tab af de værdier man søger at sikre. Alt er ikke lige godt og
værdifuldt, ligesom alle risici ikke har samme tyngde i risikostyring.
5 Lige netop dette har nogle akademikere og journalister haft et noget ambivalent forhold til hvad angår kildekritisk og objektivt tilgang til emnet – i al fald historisk. 6 Men lad være med at forsøge at sætte specifikke et cifrede % op – det giver ingen mening. Det handler om en generel fornemmelse og kritisk holdning til eget arbejde.
7
Spørger vi akademikere eller journalister, vil de ofte give udtryk for, at de netop (efter deres egen
mening) ikke har digtet frit, men tværtimod har bygget på det foreliggende materiale. Eksempelvis
kan de have anvendt den historisk-materialekritiske eller hermeneutiske metode i deres
undersøgelsesproces. Det brugte kildemateriale, og den historiske metode kan derfor sætte
grundlæggende grænser for subjektiviteten. De kan yderligere slå på, at det færdige produkt ikke
alene bygger på andre akademikeres resultater, men også eventuelt er indgået i en fagdiskussion, og
har været underkastet kritik af andre akademikere/journalister. Netop denne gensidige kritiske
ransagelse blandt akademikere udgør en grænse for og en vigtig kontrolforanstaltning mod den rene
subjektivitet. Det er, hvad man kalder ”Peer Review”, og er akademisk typisk et af de
grundlæggende krav, til en sober fremstilling der kan overleve gennemgang, eksempelvis af
Udvalgene vedrørende Videnskabelig Uredelighed (UVVU) der behandler sager om uredelighed i
forskning.
Hertil kommer yderligere for bl.a. lærebøgernes vedkommende, at nogen skal producere, købe, læse
og anvende bøgerne, og heri kan der ligge en ekstra kontrolforanstaltning og relevanthedsgaranti –
et slags kvalitetsstempel, MEN også en potentiel fejlkilde. Hvis ikke produktet i betydelig grad
afspejler forestillingerne om virkeligheden og historien (hvad angår facts, forklaringer og
vurderinger) i den sammenhæng/virksomhed, den er produceret i og til – og dermed altså alligevel i
betydelig grad er uafhængig af den person, der har produceret den – så vil den ikke blive brugt.
Dette gælder også i virksomheder.
Det er netop disse grænser for subjektiviteten – hvoraf mange i sig selv er dybt subjektive, der mere
eller mindre objektivt adskiller en materialekritisk fremstillinger fra f.eks. diktaturstaters styrede
propagandaversioner, hvor akademikernes hænder har været styret og bundet af magthavernes
interesser.
Det er også disse krav til en materialekritisk forskning, der (i al fald teoretisk) adskiller dens
fremstillinger fra eksempelvis de frit digtede historiske romaner og fra de beskrivelser af
historieforløbet, der er bestillingsarbejder betalt af ideologiske tænketanke, politiske partier,
organisationer og virksomheder.
Eller sagt ganske kort: Pas på ikke at drage for bastante eller vidtrækkende konklusioner ud fra
begrænset empiri og viden. Gør dig dine forudsætninger klar, og byg dine konklusioner på hvad du
ved og ikke hvad du tror.
I dette fag som i den virkelighed den enkelte studerende skal operere i fremadrettet, er det kritisk, at
man evner at skelner, mellem hvad man tror og fornemmer, og hvad man kan argumentere for. Det
er også kritisk, at man skelner skarpt mellem, hvad der kan lade sig gøre indenfor det muliges kunst,
hvilket er en hel legitim, rationel og fornuftig handlingsparameter, og hvad man ved derudover
udgør virkeligheden.
Dette er ikke mindre kritisk idet man i en praktisk virkelighed, typisk ikke vil have den samme
mulighed for Peer Review, som man vil i en akademisk sammenhæng. Tværtimod forventes det
typisk, at man leverer et færdigt produkt, som der kan danne beslutningsgrundlag for andre tiltag og
8
indsatser. Man vil med andre ord ikke nødvendigvis have tid eller mulighed for at rette evt. fejl og
fejlslutninger, i det materiale man producerer i det daglige arbejde med risikohåndtering,
medmindre dem man skriver til, eller interessenter generelt finder en fejl, i det man har lavet.
Derfor sætter det særlige krav til stringens, disciplin og metodevalg når man laver opgaver i en
virkelighedsnær kontekst.
De grundlæggende spilleregler
I forlængelse af alt det ovenstående og opsummerende kan man udlede nogle grundlæggende
spilleregler. Mange af dem gælder i dette fag såvel som i andre, mens nogen af dem er specifikke
for dette fag. De gælder naturligvis også når man bevæger sig fra det akademisk-teoretiske og over
til det praktiske og konkrete.
Udvis rettidig omhu. Forstået som at man skal gøre sig alle de forberedelser, og tage alle de valg
som man indenfor de givne rammer og retningslinjer kan gøre for at undgå at virksomheder,
organisationen eller en selv bliver ramt af et tab eller problem, som man kunne have undgået ved at
møde og løse problemet eller udfordringen. Herunder hvis det er nødvendigt indenfor
organisationens egne rammer at stille spørgsmålstegn til rammer og retningslinjer, hvis disse står i
vejen for håndteringen af risici. Husk at kontrollere for stave- og slåfejl hver gang, det er muligt, at
indholdet er vigtigere end formen. Men der er ingen der tager indholdet alvorligt hvis det ser ud
som om det er lavet på en eftermiddag – uanset hvor meget arbejde du har lagt i det.
Dovenskab belønnes altid i den sidste ende og i forhold til international risikohåndtering, så er
belønningen kontant og ekstrem svær at håndtere når det er gået galt. Specielt hvis man ikke har
forberedt sig godt nok. Få feedback fra og dialog med andre i forhold til indholdet og konklusioner.
Vær konstruktivt-kritisk. Lad være med at acceptere fakta hvis du ikke anser dem for reelt at
være fakta. Overvej altid hvilke konsekvenser organisationens og dine valg medfører i forhold til
produktet, dine anbefalinger og virkeligheden. Accepter ikke andres meninger hvis du ikke mener,
at de har sammenhængende argumenter for dem – det faktum at man kan tale længe og bruge
mange fremmedord, betyder ikke nødvendigvis, at man aner hvad man taler om.
Overvej hvordan du udtrykker din skepsis eller kritik. Der er ofte en tid og sted til alting, men husk
på at det ikke betyder, at man skal udskyde sine forbehold. Nogen gange bortfalder muligheden for
at sætte spørgsmål ved beslutninger eller beslutningsgrundlag, hvis man ikke udtrykker sine
forbehold, når emnet er på bane. Husk på at der er forskel på en akademisk diskussion, hvor vejen
ofte er lige så vigtig som målet, og en praktisk hvor midlerne som regel er helt underordnet målet.
Udled og brug den kultur, herunder for dialog og kritiske spørgsmål, der eksisterer i den
organisation, du opererer indenfor. Det nytter ikke, at du mener, at du har fundet sandheden hvis der
ikke er nogen der gider høre på dig, eller du finder ud af det uger, måneder eller år efter der blev
truffet en beslutning, der byggede på den oprindelige konklusion.
Accepter hvis der bliver lagt en retning eller formuleret en risikopolitik af ledelsen, men vær sikker
på at du har været med til at sætte dit fingeraftryk på den i den udstrækning det er muligt.
9
Gør dig dine kilder klart. Find ud af hvad dine kilder reelt giver udtryk for, og pas på ikke at være
skeptiske overfor dem alle fordi du har et andet udgangspunkt. Man kan ikke fylde et glas der
allerede er fyldt, og hvis du på forhånd har lagt dig fast på en konklusion, så vil du uvægerligt
udvælge de kilder, der har samme grundholdning som dig.
Pas på ikke at bruge argumenter du selv har stillet op som argumenter for andre af dine egne
argumenter, også selvom du synes at det hele passer sammen og giver fint mening. Dette kaldes et
cirkulært argument og er rent retorisk ikke bare værdiløst, men trækker fra den samlede objektive
værdi af det skrevne. Det ligger i øvrigt tæt på en superreplikator som beskrevet ovenfor
Udvis selvkritik. Lad være med at tro at du har fundet den objektive sandhed, eller at emnet er
uddebatteret, fordi du har brugt lang tid på at analysere og debattere det. Ikke alene ændrer
virkeligheden sig dynamisk, men måden vi tolker og forholder os til den ændres også over tid.
Derudover er der altid muligheden for, at du grundlæggende har overset, eller måske bevidst eller
ubevidst har fortrængt et eller flere grundlæggende forhold – du må være både forberedt på og
forvente en kritisk diskussion af dit produkt. Brug den diskussion konstruktivt til at forbedre
produktet i stedet for at tage det som et personligt angreb på dig selv. Lad være med at udvise den
grundlæggende fejl at tro at din høje intelligens og brede videnspulje gør dig ufejlbarlig – husk på at
selv en der ikke magter at formulere sig så godt som dig selv eller konstruere lige så gode
argumenter, godt kan have ret.
”Kill your Darlings7” gælder specielt her: der er en helt naturlig tendens til, at man bliver knyttet til
et produkt, jo længere tid man bruger på at udarbejde det. Når vi taler om risikoledelse, så kan
forudfattede meninger og indspiste sandheder (Darlings), betales med en dyr pris og med risiko for
dels at gentage mig selv og dels virke teatralsk i værste fald med tab af menneskeliv.
Brug kildehenvisninger korrekt. For det første er det vigtigt, at du afklarer hvilket, publikum du
skriver til, samt i hvilket format du skriver.
I en akademisk sammenhæng vil man typisk forvente en kildehenvisning, hvis du refererer til eller
bygger på noget, der vil ligge udenfor din umiddelbare erfaringshorisont. I tvivlstilfælde forventes
en henvisning. Man kan med andre ord ikke trække en akademisk kanin op af hatten og bygge
videre på det. Det vil blive opfattet som et cirkulært argument og dermed akademisk uredeligt.
I en praktisk sammenhæng vil man i en virksomhed typisk have en lidt anden tilgang, hvor man
typisk vil bruge det for at sikre sammenhæng med love, regulativer, interne regler/rammer samt for
at underbygge en pointe. Det er de færreste bestyrelser eller ledelsesgrupper, der har lyst til eller for
den sags skyld måske forudsætninger for at få en lang akademisk udredning. Her vil det typisk have
karakter af et så kortfattet som muligt beslutningsgrundlag, der skal give ledelsen de nødvendige –
og KUN de nødvendige – forudsætninger for at træffe en oplyst beslutning på et korrekt grundlag.
7 Oprindeligt fra William Faulkner, men er siden brugt i alle sammenhænge om nødvendigheden af at fokusere på det overordnede behov og dermed den større sammenhæng, og i forlængelse af det fjerne det der ikke understøtter det.
10
Helt lavpraktisk betyder det også, at der vil være en markant forskel på, hvordan man konkret
bruger og skriver kildehenvisninger. Udover henvisninger til nødvendige eksterne ressourcer, vil
henvisninger i en virksomhedssammenhæng ofte være kommentarer til det skrevne.
I modsætning til dette vil akademiske henvisninger ofte være til stede dels for at demonstrere en
reel akademisk baggrund for et postulat, og dels for at andre akademikere kan verificere indholdet
via Peer Review.
I forhold til det akademiske vil der ofte være mange forskellige tilgangsvinkler i relation til den
konkrete måde at opstille kildehenvisninger på. Det følgende er taget fra Aalborg universitets
hjemmeside8, men er udtryk for almindelig praksis:
”Hver gang, I citerer eller skriver en passage med inspiration fra noget, I har læst et andet sted, skal
I lave en kildehenvisning – uanset om det er fra en bog, en avis, et magasin, en hjemmeside og så
videre. HVER gang, I skriver om noget ud fra noget andet, skal der være en kildehenvisning. Det
gælder også, hvis det, I henviser til, er noget, I selv har skrevet, fx i et tidligere projekt.
Formålet med kildehenvisningerne er:
At kreditere de personer, som står bag de anvendte værker.
At dokumentere, at I har videnskabeligt belæg for jeres arbejde.
At gøre det muligt for læseren at skaffe værkerne og undersøge, om han/hun ville være
kommet frem til de samme konklusioner, som jer, ud fra det samme grundlag.
Kildehenvisningerne er derfor en stor del af et videnskabeligt projektarbejde. Kildehenvisningerne
skal være korte og ensartede, og de skal placeres alle de steder, det er nødvendigt. Der er forskellige
måder, hvorpå man kan lave en kildehenvisning. Det vigtigste er, at I vælger én måde, og gør det
sådan konsekvent.
Én måde, man kan lave en kildehenvisning på, er sådan her:
(Rienecker og Jørgensen, 2001, s. 192)
Her står forfatternes efternavne, det år bogen udkom, og den side I har læst på.
I kan også vælge at skrive det således:
[Rienecker & Jørgensen, 2001:192].
Ved værker af to forfattere nævnes begge ved alle henvisninger. Hvis der er mere end to forfattere,
skrives sædvanligvis kun den første forfatters efternavn efterfulgt af et. al. (forkortelse for det
8 http://www.studiehaandbog.huminf.aau.dk/kildehenvisninger-citater-litteraturliste/kildehenvisninger/
11
latinske et al, som betyder ”med flere”) i de løbende henvisninger i teksten, men i litteraturlisten
skal alle forfattere nævnes (se nedenstående).
Ved links til hjemmesider kan I vælge at skrive (link 1) eller [Link 1], og derefter i litteraturlisten
sætte det fulde link ind, således at læseren kan finde ud af, hvor I har læst det.
Hvis der flere gange i træk henvises til samme kilde (det vil sige uden henvisning til andre kilder i
mellemtiden), kan I nøjes med at skrive kildehenvisningen første gang og derefter blot Ibid.
(forkortelse for det latinske ibidem, som betyder ”sammesteds”). Husk i så fald stadig at ændre
sidetallet, såfremt dette ændrer sig.
Uanset om der er tale om en bog, en artikel eller et link, er det altid forfatterne af den pågældende
tekst, der henvises til – og således ikke redaktøren af det værk, som teksten eventuelt er en del af.
Ved værker uden forfatterangivelse anvendes titlen på forfatternavnets plads, fx: (Studieordningen,
§ 15, nr. 6).
Det er virkelig vigtigt, at jeres kildehenvisninger er fuldstændig korrekte. For at gøre det lettere for
jer selv, er det en god idé at skrive dem ned med det samme, sådan at I ikke lige pludselig ikke kan
finde det sted, I skal henvise til. I kan også vælge at bruge RefWorks, som er et værktøj til at samle
og administrere referencer og lave kildehenvisninger. Alternativt har Microsoft Word også
mulighed for at oprette en 'bibliografi'.
Du kan finde flere informationer om korrekt brug af kildehenvisninger og citater på websitet
Stopplagiat.nu”.
Man kan også finde mere om emnet her9:
Kulturministeriets vejledende retningslinjer for god citatskik.
Stern, Linda (2007): What every student should know about avoiding plagiarism
Uanset hvad er det vigtigt at være konsekvent og entydig i sin brug af kilder – og ikke mindst
ydmyg. Derudover skal man huske at sætte alle brugte kilder ind i en litteraturliste til sidst.
Brug det givne format og rammer og overhold tidsfrister. Det er uanset sammenhængen kritisk,
at man er i stand til, at forstå de rammer man får udstukket til sit arbejde. Udover at det viser
manglende forberedelse og struktur, så vil det medføre at ens resultater mere vanskeligt bliver
kommunikeret til målgruppen og modtageren. Eller sagt med andre ord vil man have markant
sværere ved at sælge sine pointer og få accepteret sine konklusioner af modtagerne.
I en akademisk sammenhæng betyder det, at man skal sørge for at overholde formalia som
linjeafstand, maksimale antal sider, generelt layout og alle andre kommunikerede forhold. I en
9 Taget fra: http://www.sdu.dk/information_til/studerende_ved_sdu/vejledning/studieteknik/akademisk_redelighed
12
praktisk sammenhæng betyder det, at man skal overholde mere uformelle formalia som eksempelvis
at kommunikere igennem de rigtige kommunikationskanaler, overholde indgåede aftale, herunder
om fortrolighed, samt løse opgaven på den måde man har aftalt med opdragsgiveren.
Det er fint at være kreativ i løsningen af opgaven, men ikke i forhold til leveringen af det færdige
produkt.
Bemærk i den forbindelse at det er meget anbefalelsesværdigt i såvel akademisk som en praktisk
kontekst, at man bruger nogen af de redskaber, som man sædvanligvis anvender i projektstyring.
Som eksempel på disse kan nævnes GanttProject, men hvilken software eller platform man bruger,
er underordnet – resultatet er det eneste, der betyder noget. Det ovennævnte program bygger i
udgangspunktet på et Gannt diagram10, som man i princippet godt kan udfylde i hånden, men et
elektronisk er på alle måder mere fleksibelt og smart.
Man kan også anvende Excel til styring af det projekt som
udarbejdelsen af en analyse af risici, og følgende
imødegåelse er.
Det vigtige uanset platformen er, at man starter bagfra med
afleveringstidspunktet og derefter afklarer, hvor lang tid man
har til de enkelte faser/opgaver. Derved finder man ud af
hvor lang tid man kan tillade sig at allokere til analyser o.l.
Derudover angiver man hvem man skal tale med eller indhente viden fra. Bemærk at der er vinduer
for hvornår og hvordan man kan indhente data far forskellige kilder – det skal man inkorporere i sin
projektplan. Formålet er at man bliver helt færdig med alle delopgaverne, og vel at mærke på en
måde der ligger i tråd med den overordnede plan. Derudover at man sikrer, at alle aktører bliver
aktiveret på det rette tidspunkt.
Den største forhindring for en god plan er ofte illusionen om eksistensen af en perfekt plan.
Hvilket i denne sammenhæng også gælder en opgave, uanset om det er i akademisk eller en praktisk
sammenhæng. Det handler med andre ord om at lave, den bedste løsning man kan nå indenfor de
givne rammer herunder i forhold til den givne tid. At levere en 100 % korrekt løsning betyder intet,
hvis den ikke har overholdt tidsrammerne. Sørg for at levere det aftalte og planlagte og læg det
derefter fra dig i stedet for at sub-optimere på det.
Skriv til den rette modtager. Grunden til at det er vigtigt at skrive til den rette modtager er at
forskellige modtagere afkoder forskelligt materiale forskelligt. Det gør ikke nogen modtager bedre
eller dårligere end andre, eller har noget med modtagerens intelligens eller uddannelsesniveau at
gøre. Det betyder at det alene er op til forfatteren at sørge for at man ved valg af ord, henvisninger
og layout rammer sit publikum – sin læser – således at de ikke alene kan, men også har lyst til at
læse det skrevne, og dermed afkoder det med den intention som afsenderen/forfatteren har skrevet
det.
10 For mere om dette er der mængder på nettet, start eksempelvis her: http://en.wikipedia.org/wiki/Gantt_chart
13
Det lyder banalt, men faktum er desværre at man ofte ser såvel akademiske som praktiske rapporter,
der enten skyder over eller under i forhold til målgruppen. Ofte vil man have en givet modtager i en
organisation, hvilket betyder, at det så er (forholdsvist) nemt at finde ud af hvordan man skriver til
dem/den. Udfordringen er, at man derved kan stirre sig blind på netop denne specifikke modtager
og derved måske glemme de øvrige interessenter, som der enten kan have en direkte eller afledt
interesse i det man producerer.
Der findes mange fremstillinger, der beskriver dette. Nogle er mere præcise end andre. At gå i
dybden med dette emne her vil række ud over dette kompendium. Men i virkeligheden er det heller
ikke svært til en vis grad at sætte sig ind i sin modtagers baggrund og tankegange. Men den
grundlæggende forudsætning er, at man laver en indsats og tænker tanken.
Jeg vil dog i et senere kapitel kort beskrive Interessentanalysen, der er et banalt, men nogen gange
effektivt redskab til også at afklare hvem der er ens modtager(e).
Tese + Antitese = Syntese. Uanset om det er en akademisk eller praktisk sammenhæng, kan man
være tilbøjelig til at løbe stærkt, men i cirkler. Alle har en viden, men en del af problemet er, at
mennesker der besidder en stor viden og intelligens, ofte kan blive besnæret til at tro at de ved alt.
Det er en meget naturlig og menneskelig reaktion, men den er desværre ødelæggende, hvis man skal
have afdækket et helt område uden bias. Det gælder specielt, hvis det er et ukendt område hvor,
aktørerne kan være fristet til at falde tilbage på eksisterende viden og i nogen grad holdninger.
Det er vigtigt at udfordre ens viden og holdninger. Udover en generel accept af at man ikke ved
alting, så kan man konkret gøre denne proces tydeligere ved at bruge formlen Tese + Antitese =
Syntese. Det kan enten være teori mod teori, teori mod data, data mod interview eller alle andre
kombinationer af saglige og lødige modsatrettede kræfter.
Det handler banalt nok om, at når man har afklaret, hvilken retning ens data og analyser viser,
forsøger at finde data, teorier eller personer, der står i modstrid til dette. For det første tvinger det en
til at argumentere mere i dybden for ens standpunkt. For det andet i forhold til risikostyring så er det
en mulighed for at finde nogen af de områder, man ellers ville have overset.
For det tredje og afsluttende så gør det, at man i en akademisk sammenhæng løfter hele ens opgave,
og får mulighed for at føre den akademiske diskussion i ens produkt på et langt højere og mere
interessant plan.
Undskyldningen er ikke accepteret. Jeg ønsker ikke at virke unødigt dramatisk eller teatralsk, men
faktum er, at arbejdet med risici kræver sin mand eller kvinde. Det er ofte svært, og med en presset
tidsramme i et område hvor fejl typisk har en stor konsekvens. Af den grund alene er man nødt til at
ramme plet hver gang, uanset om man føler, at det er urimeligt og uretfærdigt. Det betyder, at man
må gøre op med sig selv, om man kan levere varen, og hvis ikke om man skal træde til side.
Derudover medfører det, at man skal lave sig nogle klare ansvarsfraskrivelser. Det betyder ikke at
man kan frasige sig sit ansvar. I stedet er det bydende nødvendigt, at man i tvivlstilfælde og i
grænseområder, ved en klar udmelding og ved dialog med sin organisation/virksomhed eller i en
14
undervisningssituation sin lærer, at sørge for at få placeret ansvaret et sted hvor ingen er i tvivl.
Alternativt skal man utvetydigt på anden måde få afklaret eventuelle uklare områder. Husk at det
som tidligere beskrevet er et pionerområde, hvorfor man må forvente, at i selv må sætte de rammer,
som den øvrige organisation enten ikke nødvendigvis magter eller ønsker.
Afsluttende er det vigtigt for mig at gentage, at det ovenstående ikke betyder at man kan smide
teorier, modeller og rammer væk for i stedet i fri empirisk leg at finde frem til resultater og
konklusioner. Dette således ved brug af sin sunde fornuft og dialog med dem som man mener, kan
give en kvalificeret modspil. Det er vigtigt at overholde de basale videnskabelige og akademiske
spilleregler hvis man vil tages alvorligt af modtagerne (specielt i et område der er polemisk rent
videnskabeligt og akademisk).
Jeg vil også pointere, at det ikke er taget med som en form for metodisk minekursus, men fordi det i
forhold til at agere som sikkerheds- og risikoaktør er kritisk, at man fremstår sober, afklaret og
kompetent.
Derfor forventer man, at en der håndterer risici, også er i stand til at kommunikere deres resultater
klart og entydigt. Risikohåndtering, såvel nationalt som internationalt, indeholder dermed flere
discipliner hvoraf blandt andet ledelse, projektledelse og en generel velfungerende evne til at
forholde sig metodisk til et emne kan nævnes.
Sagt noget forsimplet og kontant på jævnt og tydeligt dansk, så undskylder en eventuel mangel på
forstand, personlig format og forberedelse aldrig mangel på argumenter og resultater.
Sørg for at bruge det mest enkle værktøj der kan løse en given problemstilling, jo mere kompliceret
jo større risiko for ukendte momenter der kan medføre at din tidsplan skrider. Det betyder ikke at
man kan bruge Maslovs hammer11, forstået som at man kun har ét værktøj eller tankegang som man
forsøger at tilpasse virkeligheden til – altså at man kun i overført betydning har en hammer i sin
værktøjskasse.
2. Definition af, baggrund for og afklaring af rammerne for dette fag. “If I have seen further it is by standing on the shoulders of giants.”
Isaac Newton
Som allerede tidligere beskrevet så er dette fag karakteriseret ved at være en ny tilgang. Betyder det,
at alt skal genopfindes og intet bygger på noget kendt? Det er et retorisk spørgsmål, og svaret er
naturligvis klart nej. Risikohåndtering har eksisteret, siden mennesket blev civiliseret, og har været
håndteret i et væld af sammenhænge siden da af meget forskellige faggrupper. Og deri ligger
baggrunden for dette fag. Præcis som selve Katastrofe- og risikomanageruddannelsen baner en ny
11 Er her: http://books.google.dk/books?id=3_40fK8PW6QC&printsec=frontcover&redir_esc=y#v=onepage&q&f=false Maslov er typisk mere kendt for sin model omkring behovsopfyldelse, kendt som Maslovs behovspyramide. Den vil jeg gerne have mig frabedt brugen af på dette fag, da jeg opfatter den som værende for banal til at kunne appliceres i praksis.
15
vej overordnet, så er det målet at dette fag i en meget mindre og mere beskeden målestok, skal
skabe sin egen niche på sine egne betingelser.
Det betyder ikke at jeg vil bestræbe mig på at genopfinde den dybe tallerken, eller lade som om jeg
har fundet de vises sten, men snarere at jeg vil bestræbe mig på at via dette fag skabe en
sammenhængende platform, hvor den studerende får et stabilt grundlag at arbejde videre ud fra.
Denne platform skal dels gøre eleven i stand til, at orientere sig i hele feltet omkring risikostyring,
således at de kan placere sig selv, og jf. det ovenstående i kap. 1 vide hvornår andre faggrupper bør
overvejes at komme i spil. Og dels skal den give den studerende både konkrete og brugbare værktøj
til at skabe en reel ændring i virkeligheden, samt en teoretisk ramme så man kan indgå i en dialog
med det øvrige felt af aktører indenfor området. Min ambition er således, at den enkelte studerende
skal bygge videre, på den eksisterende viden man har indhentet på studiet, samt sende den
studerende videre med tilstrækkelig ballast til fremadrettet at udbygge sin viden, sine værktøjer og
sine kompetencer. Målet er i sidste ende at man som Risikomanager skal kunne bevare det store
overblik og kunne skabe en sammenhængende indsats for at håndtere det samlede felt af risici.
Herunder at bruge eksterne partnere, eksperter, myndigheder og aktører rettidigt og korrekt –
herunder at kunne stille dem de rigtige spørgsmål og krav.
Fordelen ved at være i et pionerområde er, at man selv kan være med til at præge det, bagsiden er,
at man er nødt til at være med til at præge det for at være en del af det. Man kan derfor ikke regne
med, at mulighederne kommer til en – man er selv nødt til at skabe sine muligheder, herunder gøre
en fokuseret indsats for at skabe kontakter. I det følgende vil jeg således både søge at definere
hvilket område vi vil arbejde indenfor, men i lige så høj grad definere hvad vi vil overlade til andre.
Det er også her vigtigt at kritisk forholde sig til, hvad det betyder for dig som modtager – ikke bare
som læser, men som en der er, eller skal være aktør indenfor området. Vær også klart opmærksom
på at dette er min fortolkning af virkeligheden: forhold dig derfor kritisk til alt hvad jeg skriver og
forsøg at holde det op mod virkeligheden, som du bliver konfronteret med den. Vær fleksibel og
åben for input uanset hvor det kommer fra - hvis det er velargumenteret og meningsfyldt. Vær
kritisk-konstruktiv hvis det ikke er, men overvej om det er en kamp/diskussion der er værd at
kæmpe: får du noget ud af det, og hvad er i givet fald omkostningerne?
Det kan tit være svært præcist at vide hvilke områder der er kritiske og som man ikke kan bøje af
på, contra dem der ikke er så vigtige og som man kan ofre for at virke fleksibel og
imødekommende. Derfor kan det anbefales at reflektere over det og nedfælde dem til eget brug
således at man agerer rationelt, på det rigtige tidspunkt og i den rette kontekst.
Definitioner, fravalg og afgrænsninger. Wikipedia12 definerer Risk management således:
“Risk management is the identification, assessment, and prioritization of risks (defined in ISO
31000 as the effect of uncertainty on objectives, whether positive or negative) followed by
coordinated and economical application of resources to minimize, monitor, and control the
12 http://en.wikipedia.org/wiki/Risk_management
16
probability and/or impact of unfortunate events[1] or to maximize the realization of opportunities.
Risks can come from uncertainty in financial markets, threats from project failures (at any phase in
design, development, production, or sustainment life-cycles), legal liabilities, credit risk, accidents,
natural causes and disasters as well as deliberate attack from an adversary, or events of uncertain or
unpredictable root-cause.”
Man kan ud fra det udlede såvel almene som specifikke forhold. Generelt vil de fleste være enige
om, at risikohåndtering indledningsvist handler om identificering, vurdering og prioritering af risici.
Uenighederne begynder, når man skal søge at lægge et konkret og praktisk indhold ned i de meget
luftige begreber. Der findes således en mængde modeller til risikoidentificering og den
efterfølgende behandling af det indhentede datamateriale.
Jeg vil gå nærmere ind i den konkrete analyse senere, og vil derfor her i forhold til den første del af
risikohåndteringen nøjes med at trække et par eksempler frem, nemlig ROS- og FERMA-modellen.
ROS modellen13 er en grundlæggende del af pensum for Katastrofe- og risikomanager, hvorfor jeg
af den grund alene ikke vil forklare den nærmere14.
FERMA15 er en europæisk sammenslutning af sikkerheds-
og risikohåndteringsvirksomheder, foreninger og aktører
generelt, der via en fælles platform søger at påvirke
politikere og andre beslutningstagere. FERMA har også
skabt en sammenhængende model, hvoraf den danske
version findes her (del af modellen er til højre):
http://www.ferma.eu/wp-content/uploads/2011/11/a-risk-
management-standard-danish-version.pdf
Værdien af at kende FERMA er, at den er klart mere
internationalt orienteret end den i øvrigt udmærkede ROS-
model, hvorfor man i en international sammenhæng vil
have svært ved at bruge en dansk model, i samarbejde
med folk der bruger en international model. Det betyder
også at, selvom den vågne studerende kan undre sig over, at man skal bruge tid på at gøre sig
bekendt med et værktøj, når man allerede har ét i værktøjskassen, der udfylder rollen, så handler det
om i en international arbejdssituation, at kunne snakke samme sprog, som dem man skal samarbejde
med. Derfor vil FERMA modellen være den vi arbejder med i dette fag. Lad mig i den forbindelse
tillade mig at slå fast én gang for alle, at jeg anser at:
I den praktiske virkelighed og i særdeleshed på dette fag, så har teorier kun og alene en værdi
hvis man via dem kan skabe en konkret positiv forandring i virkeligheden, eller fastholde et
positivt Status Quo. Teorier der eksisterer alene for sin egen skyld er ikke kun tidsspilde men
derudover også tidsrøvere.
13 Kan eksempelvis findes her: http://brs.dk/planlaegning/helhed/planlaegningsgrundlag/rosmodellen/Pages/ROS-modellen.aspx 14 Derfor forventer jeg at alle studerende kender og kan anvende den – alternativt kommunikerer med mig. 15 http://www.ferma.eu/
17
Det siger jeg ikke for at provokere eller sætte spørgsmålstegn ved nogen eller noget i
almindelighed, men alene fordi man ikke har tid til overflødige analyser og sofistiske diskussioner,
når man skal levere et konkret produkt indenfor risikohåndteringen. Herudover vil modtageren i en
praksis sammenhæng hellere se gode resultater end en genial brug af teorier.
Man vil i en praktisk kontekst således ofte opleve, at mange ledere ikke bruger nogen teorier og
eventuelt bruger dem, de anvender forkert. Det er der mange grunde til, hvoraf en er problemet med
tidsforskydning af appliceringen af teorier. Det opstår ved, at ledere naturligt følger en karrierevej
igennem systemet hvor man i praksis sjældent ser øvre ledere tage tid til kurser, efter- og
videreuddannelse. Det betyder ofte for de øverste ledere, at de i praksis ofte i vid udstrækning
bruger de teorier og værktøjer, de lærte, da de selv var på universitetet/handelsskolen, hvilket kan
være 20-40 år siden. Det kan derfor være en udfordring at vælge en meget teoretisk tilgang i forhold
til en løsning af en opgave, specielt i et pionerområde, idet ens modtagere potentielt kan være
strukturelt skeptiske og dermed imod fra starten.
Det der altid er vigtigst er resultater: mærkbare, målbare og konkrete. Derfor skal man anvende de
teorier, der kan skabe dem, og ikke mere. En vigtig pointe er dog, at forskellige mennesker har det
bedre med forskellige teorier: find dem der virker for dig, tilpas dem så de virker bedst for dig og
brug dem til at skabe og præsentere, de bedste resultater du kan frembringe.
Uanset modellen så er det primære i denne kontekst i første omgang at kunne forstå tankegangen.
Pointen ved at bruge en model i risikohåndtering - og begge modeller kan bruges også internationalt
hvis man kender dem – er at, man derved kan systematisere sin indledende jagt på de primære
risikodrivere. At man med andre ord tvinger sig selv til at tage den lange og ikke den nemme vej.
Når man har identificeret risici via en mere eller mindre systematisk proces, så kan man systematisk
og struktureret begynde at analysere og prioritere dem. Når dette arbejde er gennemført i sine
indledende Iterationer16, så kan man begynde det egentlige arbejde med at behandle de eksisterende
risici således at man kan fjerne dem eller minimere enten deres konsekvens eller sandsynlighed.
For studerende der er bekendte med ROS-modellen, så er der nok ikke så meget nyt i dette. Det nye
i forhold til at håndtere internationale risici er blandt andet, at man skal forholde sig til
internationale forhold og rammer. Derudover skal man forholde sig til internationale aktører samt
internationale og udenlandske nationale love og rammer. Endeligt skal man forholde sig til at
arbejde i eller samarbejde en international virksomhed med. I sagens natur er det umuligt at give en
indsigt i alle internationale forhold og rammer. Men overordnet kan det slås fast at man udenfor
Danmark ofte ser en mere gammeldags og hierarkisk opbygget organisation, hvor der er mindre
grad af medinddragelse og dialog end i Danmark.
Derfor er en del af arbejdet i dette fag at give de studerende et værktøj, således at de kan kombinere
deres eksisterende viden og værktøj med nye tanker og værktøj således at de primært kan indgå i
16 Iterationer er her forstået som værende afsluttede gennemgange af et givent materiale. Man kunne også kalde det faser, men den bedste måde at anskue det på er snarere at det er finpudsninger og fejlfindinger af en behandling af og stillingtagen til en given datamængde.
18
danske nationale virksomheders, organisationer og institutioners risikostyrings beredskab
internationalt og i anden omgang at de på sigt er rustet til at blive en del af internationale aktørers
krise- og risikostyringsberedskab.
Den anden del af definitionen fra Wikipedia handler således om at styre ressourcer, økonomi og
andre faktorer for at afværge og reducere følgerne af risikofaktorer eller at maksimere udbyttet i en
risikopræget situation eller miljø. Dette ligger således i naturlig forlængelse dels af det ovenstående
og dels af det overordnede mål med såvel ROS- som FERMA-modellerne.
Det næste i denne definition er området hvor vi vil begynde at skelne og fravælge som beskrevet i
kapitel 1 og ovenfor.
Målet med dette fag er således ikke at gøre de studerende til ”Jack of all trades and master of none”,
men snarere at tegne hele billedet med henblik på at man struktureret og med overblik, kan være
med til både at løfte opgaven, samt uddelegere dele til andre afdelinger der er bedre rustet.
Eksempelvis vil man i definitioner som den fra Wikipedia af Riskmanagement, ofte finde at den
økonomiske risiko vil være fremherskende, hvilket ikke er mærkeligt. For det første er alle private
virksomheder direkte drevet af (og offentlige indirekte via deres budgetter), bestræbelserne på at
maksimere indtægter og minimere udgifter OG risici. Dette er særligt tydeligt i bankverdenen hvor
risiko udmøntes i kroner og ører i forhold til udlåns- og indlånsrente samt mulighederne for
eventuelt at få kapital (lån).
Med en (pr. 2013) stadig verserende international konjunkturkrise startet af blandt andet en dårlig
risikovurdering fra banker og ejendoms kreditinstitutioner, så er det ikke mærkeligt, at det er dette
aspekt, der har den periodevist største bevågenhed indenfor risikostyring. Det medfører naturligt
også, at det er Virksomhedernes økonomiske og financielle afdelinger, der håndterer denne type
risici. Til deres rådighed har de mange specialiserede værktøjer der kan analyserer en given
porteføljes risiko og dermed hvordan man kan belåne den og med hvilken værdi man kan indskrive
den i regnskabet17.
Det er også det økonomiske, der er drivkræften bag og omdrejningspunktet for en af de få danske
bøger om risikostyring, der er skrevet; nemlig Peter Lynggaards ”Risikoledelse og risikostyring”18.
Han definerer området således: ”Det overordnede formål med risikoledelse er at understøtte alle
former for beslutninger, så styringen forbedres, og så der bliver større transparens omkring
sandsynligheden for at nå de opstillede mål. De mål der tænkes på, kan være strategimål,
budgetmål, driftsmål, sikkerhedsmål, miljømål osv.”19
Han lægger også vægt på, at Performance-orienteret risikoledelse tager udgangspunkt i de konkrete
strategier, hvor risici bliver vurderet ud fra den tyngde de udgør i forhold til de konkrete strategiske
mål. Altså ikke specielt langt fra det vi hidtil har vendt. Men som mange andre publikationer så er
17 Eksempelvist SAS 18 Lynggaard, Peter; 2011, her refereret til bogen som et samlet værk 19 Lynggaard, Peter; 2011, S. 15
19
fokus og frem for alt de praktiske metoder og værktøjer rettet mod de økonomiske forhold og
specielt i forhold til finansbranchen. Det er ikke som sådant forkert, da dette typisk er en central del
af risikohåndteringen i mange sammenhæng. Her vil vi dog vælge en lidt anden vinkel på området.
Det burde være klart, at den almindelige studerende på dette studie ikke forventes at have sådanne
færdigheder, der stiller dem i stand til at indgå på lige linje med økonomer, der har en specialiseret
uddannelse bag sig. Men til gengæld har de studerende på Katastrofe- og risikomanageruddannelsen
nogle andre værdifulde kompetencer og referencerammer, som der kan bidrage positivt i andre
sammenhænge.
Derfor vil dette være det første store område, som vi vil fravælge i forhold til emnet dækket i dette
fag. Vi vil med andre ord ikke gå ind i den økonomiske risikovurdering hverken nationalt eller
internationalt. Men det betyder ikke, at den studerende ikke skal forholde sig til, at det eksisterer
samt, at det formodentligt i mange virksomheder vil være med denne baggrund, mange af dem der
beskæftiger sig med risiko, er blevet en del af organisationen. Derudover kan økonomiske risici,
godt være en del af det risikofelt vi afdækker, men det vil ikke have karakter af den tilbundsgående
gennemgang, som eksempelvis banker (forhåbentligt) gennemgår i forhold til deres engagementer.
Eller sagt med andre ord: man skal vide, at det er der og at det er vigtigt således, at man dels med
saglige argumenter i forhold til shareholders/stakeholders kan fraskrive sig ansvaret, men samtidigt
slå fast at der er en anden, der skal være risikoejer på det20.
Det næste store område vi vil fravælge, handler om produkter og deres markedsværdi og
produktlivscyklus. Det er helt givet, at de fleste private virksomheder lever af at lave produkter –
uanset om det er materielle som biler eller mere immaterielle som software eller en transportydelse.
I den forbindelse er det et kendt faktum, at de fleste varer følger en generel udvikling, der ofte
illustreres med en såkaldt PLC-kurve:
Ganske kortfattet handler det om, at de fleste
produkter vil gennemløbe flere faser, fra de
bliver introduceret til de evt. bliver taget af
markedet igen. Indledningsvis vil man således
opleve et stigende salg med nyhedsværdi og
introduktion og markedsføring. Herefter en
stagnering når produktet når en modningsfase,
hvor den bare generer en fast indtægt (en såkaldt
Cashcow). Endelig en fase hvor salget langsomt
falder i en nedgangsfase.
Man kan evt. genintroducere varen i en
relanceringsfase.
20 Risikoejer/Riskowner er her forstået som den person der indenfor et defineret område er ansvarlig for identificering, vurdering og styring af indsatsen omkring og mod risici. Typisk ved hjælp af saglig, kompetent og frem for alt struktureret analyse og vidererapportering til de korrekte instanser/aktører/personer.
20
Uanset hvad så er pointen, at dette også vil blive opfattet som en reel risiko i en virksomhed – for
mange private virksomheder måske den største. Og dermed også noget man er nødt til at forholde
sig til. Det gælder i øvrigt uanset, om det er en privat/offentlig virksomhed eller for den sags skyld
en velgørende forening. En offentlig/velgørende organisation eller virksomhed vil således forventes
at give maksimal velfærd/nødhjælp eller opmærksomhed for de laveste mulige omkostninger.
Det illustrerer meget godt, at begrebet risiko ofte vil blive opfattet meget bredt og dermed have
mange faggrupper, der kæmper om det samme område. Men dette vil vi også fravælge.
På dette fag vil vi overordnet set altså ikke beskæftige os med den økonomiske risikostyring – ikke
fordi den er uvigtig, eller ikke fylder noget i de forskellige virksomheder og aktører, der beskæftiger
sig med risikostyring i forskellige sammenhænge og brancher. Det er kritisk at forstå at mange –
måske op til 90 % - af de Riskmanagers der sidder på stillingerne i de forskellige virksomheder er
økonomer. Deres udgangspunkt er således en økonomisk kalkule og i princippet i vid udstrækning
et forsikringsspørgsmål. De benytter sig typisk af forsikringsmæglere som eksempelvis Willis21, der
beregner forskellige risici og anbefaler en forsikring ud fra det. Dette fag og kompendium søger at
stille de eventuelt kommende riskmanagers i stand til selv at tage styringen i denne proces, men det
er et opgør med den eksisterende praksis med alle de udfordringer og problemer der ligger i det.
Et tredje område vi ikke direkte vil behandle for sig selv, er informationssikkerhed. Emnet er
ganske enkelt så stort og omfattende, at det er et område i sig selv. Derfor er det naturligvis også
vigtigt, at vide at det eksisterer således, at man som en del af sit arbejde kan samarbejde med
organisationens eksperter indenfor området. Den danske stat opererer således pt. under ISO 27000
standarden22, mens private virksomheder enten opstiller deres egne standarder, eller formulerer det
vagt. Dette område er i det 21. århundrede kritisk at have styr på, men er samtidigt så komplekst, at
det kræver eksperter. I denne sammenhæng vil indgangsvinklen derfor være at man skal sikre sig, at
der er en politik for informationssikkerhed, samt i en international sammenhæng sikre sig at der er
kompetente aktører der tager sig af det. Herudover vil vi overordnet gå ISO standarden igennem,
således at dem studerende har et overordnet værktøj til at gå i dialog med aktørerne indenfor IT
sikkerhed. Hvis man er usikker på virksomhedens IT sikkerhed, anbefales det som en af de første
opgaver at man peger det ud for ledelsen, og anbefaler, at man adresserer det via relevante
organisationer og personer internt i organisationen. Når det er sagt vil der være elementer af
Informationssikkerhed der naturligt vil være en del af arbejdet. Pointen her som i meget andet af
dette fags pensum er, at stille den studerende i stand til at stille sig kritisk til området, og herudover
stille dem i stand til at stille dem i stand til at stille de korrekte og kritiske spørgsmål til de relevante
– herunder eventuelt aktører fra egen organisation.
En anden risikotilgang er i forhold til fysisk sikkerhed: for såvel virksomhed som dets ansatte, og
her begynder vi at bevæge os ind i det område, som vil blive behandlet på dette fag. I den
forbindelse er det dog også vigtigt at lave nogle forbehold. Selvom fysisk sikkerhed afgjort vil være
en del af pensum, så vil vi ikke gå ind i en nærmere analyse af de taktiske forbehold og tanker, der
21 http://website.willis.dk/ 22 http://www.digst.dk/Arkitektur-og-standarder/Styring-af-informationssikkerhed-efter-ISO-27001/ISO-27000-serien
21
skal være til stede for eksempelvis at udføre perimetersikkerhed eller personsikkerhed. Dette er ofte
opgaver, der vil blive varetaget af specialuddannede politifolk, soldater og eventuelt private
sikkerhedsaktører.
Det er dog vigtigt, at man kan samarbejde med og stille krav til disse. Derfor vil vinklen snarere
være at man skal være i stand til at afdække evt. risici samt sparre og være i dialog med
sikkerhedsaktørerne, således at man kan bevare overblikket og sikre den overordnede håndtering af
risici.
Endeligt kan man diskutere den nationale vs. Den internationale vinkel. Det burde være klart , at der
er forskellige love og instanser, der varetager og regulerer risikohåndtering internationalt. Det er
meget tydeligt, hvis vi taler finansbranchen, hvor der er stigende krav til både metodik og
dokumentation. Det samme gælder bestyrelses- og ledelsesansvar.
Af denne grund og med udgangspunkt i studiet som det ser ud i dag, vil vinklen derfor være
at dette valgfag skal sætte den studerende i stand til med udgangspunkt i en dansk eller dansk
baseret virksomhed, forening, organisation eller instans, at kunne vejlede, rådgive og være
med til at styre arbejdet omkring håndtering af risici med undtagelse af primært
financielle/økonomiske, salgsorienterede og delvist IT baserede risici både i Danmark og ved
operationer, forretninger eller udsendelse af medarbejdere i en international sammenhæng.
En definition kunne i forlængelse af det således være at man som studerende ved afslutning af dette
fag, på sigt skal have forudsætningerne og rammer til, at være i stand til at indgå i en international
virksomhed eller organisation udenfor Danmarks grænser. Dette under forudsætning af at man ved
at udbygge sin viden, kontakter og formelle akkreditiver tilpasser sig de krav der dynamisk skifter i
den transnationale risikostyring.
Som det efterhånden er skrevet nogen gange, er det bedre at ved at afskære noget23, sikre at man har
styr på det resterende. Der er også rigeligt at tage fat på og ikke mindst at kunne håndtere i praksis.
Den samme tilgang kan det anbefales at man anvender når man sidder i funktionen, uanset
organisationen. I den sammenhæng vil det være kritisk at man ikke bare slipper en given risiko,
men sørger for at få den placeret i andre og kapable hænder.
Risikoledelse - overordnet procesbeskrivelse.
Der er mange forskellige tilgange til og beskrivelser af risikoledelse og riskmanagement, men der er
mange elementer der også går igen. I det ovenstående har jeg forsøgt at afgrænse nogle
hovedstrømninger. I det følgende vil jeg i forlængelse af det forsøge at skitsere helt overordnet
hvordan tilgange i denne sammenhæng vil være.
23 Eller mere præcist: allokere ansvaret et andet og relevant sted – i dette tilfælde ved at sige at det er urealistisk at påstå at jeg kan ruste de studerende til efter end valgfag at kunne indgå i eb hvilken som helst virksomheds risk management afdeling et hvilket som helst sted i verdenen.
22
Som det kan ses af de forskellige illustrationer24, så vil man ofte vælge en forholdsvis konventionel
tilgang, hvor man starter med at tilegne sig data, herefter vurderer data, implementerer sin løsning
og herefter, vurderer i hvor høj grad ens løsning har adresseret de udfordringer der eksisterer.
Som det også kan ses er der forskellige måder at beskrive emnet, men det kan også ses at de i vid
udstrækning ligner hinanden. Det handler således i høj grad om, hvordan man tolker det og i
hvilken sammenhæng man placerer det, der afgør i hvor høj grad ens produkt vil matche det
problem man skal afværge. Det er kritisk at forstå, at arbejdet med risici er dynamisk og en
kontinuert proces, hvor man fortløbende skal tilpasse sine løsninger.
Grundlæggende kan man dog sige, at der er nogle fællestræk. Uanset om risikostyringen er national
eller international, kan den som udgangspunkt hævdes, at kunne karakteriseres således25:
1) Det er en fortløbende handling eller gruppe af handlinger, der skal være i overensstemmelse med
virksomhedens/organisationens/interessenternes overordnede formål, og dermed med den øvre
ledelses forståelse, støtte og feedback.
2) Det har til formål at karakterisere, identificere og kontrollere risici. Hvis man ikke kan
kontrollere så i det mindste advisere, således at ledelsen har et rimeligt råderum for at kunne vælge
korrigerende eller undvigende handlinger, så virksomheden og organisationen ikke bliver ramt med
fuld styrke af en given risiko.
3) Den skal sikre at man i vid udstrækning fra ledelsen og interessenternes side i en rimelig og
indenfor nærmere bestemte angivne rammer26, er i stand til, at sikre at virksomheden eller
organisationens mål bliver opfyldt. Samtidigt skal den sikre, at der ikke opstår uforudsete forhold,
der vil virke uforholdsmæssigt indgribende på den daglige drift eller medføre uacceptable27 tab eller
skader på personer, organisationens værdier eller organisationens ry og rygte28.
24 Som man kan finde mange steder på nettet og i bøger. Eksempelvis som denne: http://strikingprojectmanagement.com/qualitative-risk-analysis/ 25 Med inspiration fra Peter Lynggard, 2011, S. 16.ff. 26 Kan både være strafferetslige, privatretslige eller ikke-retslige (eksempelvis i medierne). 27 Som nærmere defineret enten af organisationen selv eller hvis den er undergivet offentligt tilsyn, af disses regler. 28 Hvilket i en overordnet sammenhæng kan være dets brand. Nogen virksomheder lever af deres Brand; det folk associerer virksomheden med, både positivt og negativt.
23
4) Endeligt skal risikostyringen sikre, at man erkender problemerne, i tilstrækkelig tid til at kunne
identificere, vurdere, handle og om nødvendigt korrigere sin indsats. Herunder at man fra ledelsens
side har tid og mulighed for at få de rette løsnings- og styringsmidler i spil.
Bemærk hvordan dette ligner den såkaldte PDCA-model,
der ofte bruges i sammenhæng med projektstyring29. Det
vigtige i den sammenhæng er at forstå, at man bruger
disse modeller til kontinuerte forbedringer. Det kan være
en udfordring, hvis man skal levere et afsluttet produkt på
et givet tidspunkt, hvor man ikke har mulighed for at
tilpasse løsningen fortløbende. Derfor skal man også
tænke ind i sin løsning, hvordan man sikrer, at man ikke
har lavet en løsning, der falder fra hinanden, når man
slipper den. En blandt mange forudsætninger for at dette
virker i praksis, er derfor, at man enten skal være med til
eller rådgive om, at man skal etablere strukturer, procedurer og en organisation der magter at
arbejde med risici.
Derfor skal den studerede lære arten og kilder af relevante risici, og ting der påvirker
organisationer. Herudover hvordan risikoen reelt har indflydelse på og sammenhæng med
eksempelvis Finans, HR, Logistik, Drift, IT etc. I forvaltningen af eksterne og interne interessenter,
investorer og aktører. Dette vil i sagens natur ikke være noget der kan forklares uddybende her, men
vil være op til den studerende efterfølgende at tilegne sig tilstrækkelig viden indenfor i den
udstrækning det er meningsfyldt for den studerende i forbindelse med studie og kommende arbejde.
De skal have uddybet forskellige værktøjer og teknikker, herunder betydningen af den kulturelle,
sociologiske og samfundsøkonomiske kontekst. Således også forstå hvordan folk tager beslutninger,
og i forlængelse af det kritisk kunne anvende sin viden og færdigheder i praktiske organisatoriske
udfordringer.
De skal således også have beskrevet de færdigheder, der kræves for at kunne kommunikere effektivt
med andre risiko-relaterede discipliner og aktører.
Jeg vil komme med mit bud i de kommende kapitler, men i forlængelse af det ovenstående, kan jeg
ganske kort skitsere den tilgangsvinkel jeg i det følgende vil anvende her:
1. Dokumentér alt hvad du laver. Hvis det går galt, kan det være kritisk at du viser
hvordan du nåede frem til dine konklusioner. I en juridisk sammenhæng er det en del
af risikohåndteringen, at sørge for at virksomheden ikke hjemfalder et unødigt
juridisk eller ikke-juridisk ansvar, uanset om det er en erstatning, eller at man bliver
hængt ud på forsiden af medierne
2. Vurder området generelt. Hvad er din opgave, og hvem laver du den for? Hvad
ligger der i din opgave, og har du reelt forstået den? Hvad er de historiske,
29 Også kendt som Deming circle/cycle/wheel eller Shewhart cycle.
24
infrastrukturelle, socioøkonomiske, samfundsmæssige og organisatoriske
forudsætninger og begrænsninger for opgaven som givet?
3. Har du tilstrækkelig datakilder, til at kunne vurdere risici? Er det en engangsopgave,
eller afsluttet område du skal beskæftige dig med, eller skal du fortløbende stå for
risikohåndteringen i en afdeling. Kan du kontinuerligt forbedre, den måde du
håndterer information og viden på således, at du bedre kan håndtere risici?
4. Beskriv problemfeltet. Hvis du ikke har fået en egentlig problemformulering, så må
du selv og gerne i dialog med interessenterne formulere den. Tag kontakt med
relevante eksterne organisationer for at få afklaret området.
5. Skitser baggrunden. En passende historisk, geografisk eller organisatorisk rids af det
der skal behandles – sæt stolperne så organisationen ved hvor de er henne. Det
vigtige her er relevans – alt det relevante skal med men kun det relevante.
6. Vurder og analyser risikofeltet. Ved brug af alle de relevante og til rådighed stående
midler og datakilder skal du finde HELE problemfeltet – eller den del af det som tid
og ressourcer levner mulighed for.
7. Prioriter og kommenter de fundne risici. Find en måde der i så høj grad som muligt
adresserer de problemer, du har fundet. Vurder om det er tilstrækkeligt, eller om der
er områder, som du har brug for ekspertbistand til. Hvis der er områder, der kræver
yderligere indsats for at blive afklarede og eventuelt via eksterne organisationer,
personer eller virksomheder, så gør det. Alternativt så meld klart ud til
organisationen at der er områder, der kræver en yderligere behandling.
8. Skitser og implementer en løsning for de problemer du kan. Find de nødvendige
samarbejdspartnere, hvis løsningen rækker ud over din evner, ressourcer,
kompetenceområde, hvad du har hjemmel/ret til osv.
9. Vær sikker på at løsningerne bliver gennemførte, og lav en plan der håndterer, de
risici du ikke kan fjerne. Mål, test og rapporter på sikkerhed og risici. Vurder
sikkerhedsniveauet og forsøg langs forskellige vektorer – med forskellige
tilgangsvinkler, at sikre at tingene forholder sig, som du har planlagt, eller regner
med.
10. Koordiner og tilse at evt. fejl eller uklarheder bliver korrigerede – og husk at test det.
Opfølgningen rapporteres til ledelsen.
11. Overdrag risikofeltet eller revurder om der er kommet nye risici til. Som beskrevet
tidligere så er risikohåndtering ikke en statisk størrelse. Derfor er det kritisk at man
forbliver i bevægelser eller sikrer en ansvarsoverdragelse så ændringer af
eksisterende risici eller nye der kommer til, ikke ændrer det sikkerhedsmæssige
landskab i en negativ retning.
12. Omorienter når du er sikker på at risikofeltet er fuldt og helt overdraget til en der
magter det.
En del af opgaven er således eksempelvis at tage stilling til, hvilke samarbejdspartnere der er
relevante for at kunne vurdere risici, i forhold til eksempelvis at sende medarbejdere eller starte et
projekt i et land der ikke har samme struktur eller orden som Danmark. En del af disse aktører vil vi
25
drøfte, men for en stor dels vedkommende er udfordringen, at man som aktør indenfor sikkerhed
bliver tvunget til at vurdere, hvem der reelt er de relevante samarbejdspartnere.
Det er i den forbindelse kritisk at huske på, at etablerede danske handlingsmønstre ikke
nødvendigvis fungerer, når man bare kommer lidt udenfor de danske grænser. Korruption er for
eksempel normen snarere end undtagelsen i mange lande, herunder også syd- og østeuropæiske.
Hvis vi tager dette eksempel, så udgør det en risiko for den internationalt engagerede virksomhed.
For det første så er der risikoen for, at man ikke kan lave forretninger i det land man ønsker, hvis
man ikke bøjer sig for det traditionsbundne krav om ekstrabetaling. Det kan i parentes bemærkes at
Danmark, af den toneangivende institution Transparency International, opfattes som et af de mindst
korrupte lande30. Det skal fremhæves at netop et studie af denne institutions hjemmeside er en af de
basale og grundlæggende kilder når man skal vurdere en operation eller forretningsmuligheds
risikopotentiale i udlandet.
Dette kan eksempelvis i et land som Italien, være i form af at visse forhandlingspartnere kan kræve,
at man bruger en særlig konsulentvirksomhed i forhold til implementeringen og indkørslen af et
givent produkt eller tjenesteydelse. Dette kan ofte være i området 3 - 12 % af købssummen for
hovedproduktet. Det viser sig i disse tilfælde ofte, at konsulentvirksomheden har
indkøberen/forhandlingspartneren som direkte ejer eller som eneste ejer. Vælger man ikke at følge
opfordringen, vil konsekvensen formodentlig være at en anden får ordren31.
Som nogle danske virksomheder har oplevet32, så er der mange risici i dette: for det første er der
risikoen for, at man ikke får ordren – men dette har vi jf. det ovenstående valgt at fravælge at
behandle i denne sammenhæng.
For det andet så kan man komme i lommen på korrupte embedsmænd eller kriminelle
organisationer, og derved risikere at blive tvunget til yderligere lovbrud. Visse steder – eksempelvis
Kina – bruger man stadig den teknik der var almindelig under den kolde krig i forbindelse med
hvervning af agenter og informanter, nemlig Honningfælden33. Metoden går således ud på at lokke
offeret som man gerne vil hverve eller vende til sin sag, ind i en kompromitterende situation
(eksempelvis ved at filme sex og true med at offentliggøre filmene), hvorefter man afpresser dem
for penge eller tvinger dem til fremadrettet at samarbejde med egne aktører mod deres egen
organisation. Normalt vil målet være udlevering af data. At betale korruptionspenge kan således
skabe en situation hvor man er nødt til at betale mere for at ikke få offentliggjort at man betalte til at
starte med.
30 http://www.transparency.org/cpi2012/results 31 http://issuu.com/transparencyinternational/docs/cpi_2012_report?e=2496456/2010281 32 http://www.novonordisk.com/press/news/news.asp?sShowNewsItemGUID=e5c2578f-e26b-4d2a-942f-ca7f4929d0aa&sShowLanguageCode=en-GB 33 For en overfladisk og overordnet skitse af hvervemetoder og sammenhæng, se Wikipedia: http://en.wikipedia.org/wiki/Clandestine_HUMINT_asset_recruiting#Recruitment
26
For det tredje risikerer man naturligvis at blive opdaget hvilke udover risikoen for bøder vil
medføre tab af ens brands værdi34. Dette kan i sig selv på sigt betyde et markant større tab end såvel
selve den betalte korruption, i kraft af tab af salg og/eller en vanskeligere forhandlingsposition i
forhold til eksempelvis offentlige myndigheder. For nogen organisationer vil
Endelig viser det manglende overskud og overblik fra virksomhedens retning i forhold til
evaluering og håndtering ikke kun af pressen, men i mindst lige så høj grad fra den del af
organisationen der burde håndtere risici.
3. Risk management og ISO 31000 Jeg har indtil videre i store træk forsøgt at undgå brugen af ordet Risk Management. Det har jeg idet
ordet har et konkret indhold og ikke er en almen frase. Der har i mange år været mange der har
givet forskellige bud på, og disse bud har langt fra været entydige.
Som jeg beskrev i indledningen så er en af grundene til at jeg valgte at skrive dette kompendium,
det faktum at jeg ikke fandt at der var andre bøger der fuldt dækkede dette område. Eller og i
forlængelse af det, at jeg mente at der var et hul i forhold til hvad der eksisterede og hvad jeg mente
der var behov for.
Men risikostyring er ikke nyt eller for den sags skyld styret af nye værktøjer. Den grundlæggende
tanke om at veje sandsynlighed og konsekvens for en given risikovektor, op mod potentialet for
gevinst eller større skade er urgammel. I princippet er det tankegang af denne type der driver os på
arbejdet hver dag idet konsekvensen ikke ved er at gøre det er større end den kumulerede risiko for
skade, irritation og kedsomhed.
For at skabe en større form for entydighed og en mere klar international konsensus omkring
risikostyring har ISO organisationen stået for et udviklingsarbejde der i november 2009
kulminerede i den nye branche standard ISO 31000:2009. Formålet med denne er udover at skabe
en ensartet tilgang, i høj grad også at skabe en ensartet forståelse af terminologien omkring
risikostyring.
Overordnet skelner standarden mellem Risk Management og Risk Assessment:
” Risk management includes the application of logical and systematic methods for
• communicating and consulting throughout this process;
• establishing the context for identifying, analysing, evaluating, treating risk associated with
any activity, process, function or product
• monitoring and reviewing risks
• reporting and recording the results appropriately.
34 http://www.economist.com/node/10853611
27
Risk assessment is that part of risk management which provides a structured process that
identifies how objectives may be affected, and analyses the risk in term of consequences and
their probabilities before deciding on whether further treatment is required .
Risk assessment attempts to answer the following fundamental questions :
• what can happen and why (by risk identification)?
• what are the consequences?
• what is the probability of their future occurrence?
• are there any factors that mitigate the consequence of the risk or that reduce the
probability of the risk?
Is the level of risk tolerable or acceptable and does it require further treatment? This standard is
intended to reflect current good practices in selection and utilization of risk assessment
techniques, and does not refer to new or evolving concepts which have not reached a satisfactory
level of professional consensus .”35
Som det kan ses, opfattes Risk assesment som en underordnet og integreret del af Risk
Management, det er den samme tilgangsvinkel som vi bruger senere i 12 trins modellen.
Tilgangen er generisk dvs. at det ikke er ment som en værktøj der detaljeret skal anvise konkrete
måder at gå til emnet på, men i stedet skal give inspiration til den overordnede tankegang36. Derfor
har den også som målgruppe en bred vifte af såvel stake- som shareholders37, ligesom den også
henvender sig til professionelle og alle andre der beskæftiger sig med området. Dette inkluderer
såvel topledelsen, som den operative ledelse af en virksomhed, projektledere og specialister
indenfor risikohåndteringsorganisationen i virksomheder/organisationer, alle der er ansat for at sikre
ens ensartet tilgang herunder auditors38, Studerende og uafhængige konsulenter for nu at nævne de
fleste.
Før jeg går ind i selve standarden vil jeg tage et skridt tilbage og kort skitsere baggrunden for ISO
organisationen og dens grundlag, ligesom jeg også kort vil beskrive bevægelsen mod ensretning
efter første verdenskrig.
For nu at starte bagfra kan man postulere at den spæde begyndelse til behovet for standardisering,
som så meget andet var krig. En del af problemet var at der fandtes et væld af forskellige
35 Iso 31000:2009, s. 6 36 This standard does not deal specifically with safety. It is a generic risk management standard and any references to
safety are purely of an informative nature . Guidance on the introduction of safety aspects into IEC standards is laid down
in ISO/IEC Guide 51. (Iso 31000:2009, s. 7) 37 Shareholders her forstået i den almindelige terminologi, dvs. som ejerne af virksomheden/organisationen/processen, dette også afledt dvs. aktieejere m.m. Stakeholders forstået som dem der har interesse i eller fokus på virksomheden. 38 Ansatte i certificeringsvirksomheder, kontakt til hvilken i Danmark kan etableres via Dansk Standard: http://www.ds.dk/da/
28
målesystemer og værdier ligesom der også fandtes forskellige måder at opmåle på. Derudover
fandtes der forskellige rutiner, værktøj og tilgangsvinkler i produktionen af alle maskiner, våben o.l.
Derfor indførte man det metriske system, med udgangspunkt i franskmændene der indfasede det i
1799. Efterhånden er der andre måleenheder end kun længdemål der er kommet til, og den er derfor
blevet udvidet i en grad hvor den er blevet til et omfattende system kaldet SI-systemet. Et system
der indeholder blandt andet rummål, tidsmål og flademål.
Dette var en bevægelse der som beskrevet har været i gang over 200 år, men det fik særligt fokus
under anden verdenskrig hvor det blev en kritisk faktor dels at en given genstand kunne samles med
komponenter lavet af underleverandører. Herudover at man kunne med skib kunne fragte
komponenter mellem de allierede med det formål at kunne samle det endelige produkt i et andet
land. Det gav specielt mening hvor der var et begrænset antal specialiserede komponenter der var en
del af et tungt slutprodukt – eksempelvis i en kampvogn.
Dette medførte at man var nødt til at producere delkomponenter med specifikke mål og små
tolerancer og i øvrigt brugte de samme procedurer for at samle det endelige produkt.
Sagt med andre ord så var målet at man skulle gøre det på samme måde hver gang – ISO kommer
ikke bare af forkortelsen International Standardization Organization, men også af det græske ISOS
forstået som det samme. Man har siden 1945 begyndt at indføre et væld af ISO standarder for et
væld af ting, herunder processer og teoretiske rammer.
Når en virksomhed bliver ISO certificeret er det således for at kunder, leverandører og
samarbejdspartnere kan være sikre på at de laver det samme produkt på den samme måde hver
gang. Forudsigelighed er dermed det kritiske. Det er vigtigt at slå fast at en virksomhed godt kan
certificeres til at lave et dårligt eller inferiørt produkt.
Det er med andre ord IKKE kvaliteten af et produkt eller proces som en ISO standard garanterer.
ISO standarden 31000:2009 afløste en tidligere australsk/New zealandsk standard, der var mere
praktisk orienteret, og som der de facto var industristandarden. Standarden har ikke haft som et mål
at skulle skabe baggrunden for en certificering, om end der på sigt sikkert vil være forskellige
institutioner der med udgangspunkt i standarden vil certificere de processer og mål.
Den skal derfor snarere ses som et grundlag som de forskellige organisationer, virksomheder og
ledere kan bruge som et grundlag til at bygge på. Det er også med dette in mente at jeg har
inddraget elementer fra den i 12-fase modellen som beskrevet ovenfor.
Som beskrevet i Standarden, så opererer standarden med de følgende 7 måder man grundlæggende
kan forholde sig til risici:
a) Avoiding the risk by deciding not to start or continue with the activity that gives rise to the risk;
b) Taking or increasing the risk in order to pursue an opportunity;
c) Removing the risk source;
d) Changing the likelihood;
29
e) Changing the consequences;
f) Sharing the risk with another party or parties (including contracts and risk financing); and
g) Retaining the risk by informed decision.39
Som det kan ses så er en af de vigtige pointer at man ikke nødvendigvis bør eller skal have som sit
mål at fjerne en given risiko. Man kan i den ene ende af spektret anse en risiko for en mulighed,
hvorunder man kan vælge at forøge den for dermed at udnytte en mulighed. I den anden ende fjerne
den eller dele dem med andre. Det er i sig selv delvist nyt, om end man i lang tid har talt om
risikoprofiler og risikovillighed som udtryk for at man var klar over at en risiko også kan betyde et
indtjeningspotentiale, eller hvis man arbejder med nødhjælp eller medicinsk hjælp i krigsområder at
være nødt til at acceptere at risiko i sagen natur er en del af arbejdet. For forsikringsselskaber er det
at dele en risiko intet nyt, idet reassurance hos andre forsikringsselskaber er en standardtilgang for
alle forsikringsselskaber.
For det andet så er udgangspunktet at standarden skal kunne bruges til alle typer risici:
”This International Standard can be applied to any type of risk, whatever its nature, whether
having positive or Negative consequences.”40
En vigtig detalje her er altså at en risiko ikke nødvendigvis opfattes som noget der vil have en
entydig negativ konsekvens.
Standarden søger som beskrevet også at skabe entydighed om begreberne, således eksempelvis:
Risk - effect of uncertainty on objectives.
Risk management: coordinated activities to direct and control an organization with regard to risk
risk management framework set of components that provide the foundations and organizational
arrangements for designing, implementing, monitoring, reviewing and continually improving risk
management throughout the organization
Risk management policy statement of the overall intentions and direction of an organization
related to risk management
Risk attitude organization's approach to assess and eventually pursue, retain, take or turn away
from risk
Risk management plan scheme within the risk management framework specifying the approach,
the management components and resources to be applied to the management of risk
Risk owner person or entity with the accountability and authority to manage a risk41
Blandt de ovenfor nævnte er der flere interessante, eksempelvis den grundlæggende idé om at risiko
er ”effekten af usikkerhed på målsætninger”. En noget luftig men alligevel grundlæggende god
beskrivelse idet den giver udtryk for den grundlæggende sandhed at risici giver uklarhed om
muligheden for at nå de mål som virksomheden sætter sig. En usikkerhed der eksempelvis for
financielle institutioner sætter krav om såvel dets soliditet, altså hvor godt de er polstret økonomisk
samt om deres udlånsprofil.
39 Iso 31000:2009, s. 19 40 Iso 31000:2009, s. 1 41 Iso 31000:2009, s. 2
30
Derudover er der også en skitsering af nogen af de overordnede betragtninger og forhold til
risikohåndteringen. Således eksempelvis Risikopolitikken, der er forstået som virksomhedens vision
i forhold til risici. Det kunne eksempelvis være i form af at vælge at sige at man ikke accepterer
nogen risiko for at miste nogen medarbejdere til kriminelle organisationer. En sådan politik vil dog
åbenlyst både være for specifik samtidigt med at den er utilstrækkelig. Derfor vil man ofte vælge en
mere generisk som eksempelvis Maersk´s der slår fast at man gennem rettidig omhu skal undgå og
afværge alle de risici man kan forudse eller forhindre.
Standarden beskriver elementer af risikopolitikken således:
Accountability
The organization should ensure that there is accountability, authority and appropriate competence
for managing risk, including implementing and maintaining the risk management process and
ensuring the adequacy, effectiveness and efficiency of any controls.
Integration into organizational processes
Risk management should be embedded in all the organization's practices and processes in a way
that it is relevant, effective and efficient. The risk management process should become part of, and
not separate from, those organizational processes. In particular, risk management should be
embedded into the policy development, business and strategic planning and review, and change
management processes.
Resources
The organization should allocate appropriate resources for risk management.
Establishing internal communication and reporting mechanisms
The organization should establish internal communication and reporting mechanisms in order to
support and encourage accountability and ownership of risk.
Establishing external communication and reporting mechanisms
The organization should develop and implement a plan as to how it will communicate with external
stakeholders.42
Risikoattituden er mere en taktisk pendant til den strategiske tilgang i risikopolitikken. Det handler
således om at definere hvilke værktøj man ønsker og kan bruge.
Standarden beskriver også eksterne og interne kontekster, hvor de begge forstås som de miljøer
indenfor hvilket organisationen søger at opnå deres mål:
42 Iso 31000:2009, s. 10 ff
31
Eksterne mekanismer kan indeholde:
The cultural, social, political, legal, regulatory, financial, technological, economic, natural
and competitive environment, whether international, national, regional or local;
key drivers and trends having impact on the objectives of the organization; and relationships
with, and perceptions and values of external stakeholders
Interne mekanismer kan indeholde:
Governance, organizational structure, roles and accountabilities;
Policies, objectives, and the strategies that are in place to achieve them;
The capabilities, understood in terms of resources and knowledge (e.g. capital, time, people,
processes, systems and technologies);
information systems, information flows and decision-making processes (both formal and
informal);
relationships with, and perceptions and values of, internal stakeholders;
the organization's culture;
standards, guidelines and models adopted by the organization; and form and extent of
contractual relationships.
Dette bruges også i Risikokriterierne, der er en referenceramme mod hvilket man sammenligner de
fundne risici. Dette ligger i forlængelse af risikopolitikken og – attituden, og bygger herudover også
organisationens mål og de in- og eksterne kontekster som beskrevet ovenfor. Endelig bygger det
selvfølgeligt også på standarder, love, branchepraksis og alle andre relevante parametre.
Standarden beskæftiger sig også med risikohåndtering, defineret som den overordnede proces
kombineret af Risikoidentifikation, Risikoanalyse og Risikoevaluering.
Risikoidentifikation er processen med at finde, erkende/genkende og beskrive risici. Dette
involverer identifikationen af risikokilder, begivenheder deres årsager samt deres potentielle
konsekvenser. Dette kan indeholde historiske data, teoretiske analyser, (mere eller mindre) oplyste
holdninger/meninger og ekspertudsagn samt de eventuelle behov for stakeholders.
Risikoanalysen er den proces man bruger for at forstå typen og indholdet af risikoen samt fastslå
niveauet af truslen. Dette skaber fundamentet for Risikoevalueringen og senere beslutningerne om
risikohåndteringen og hvordan man i praksis fjerner eller forholder sig til dem.
Risikoevalueringen er den proces hvor man sammenligner resultatet af Risikoanalysen med de
rammer man har opstillet i Risikokriterierne, med henblik på at slå fast hvorvidt risikoen er
acceptabel eller man skal lave en indsats for at ændre det.
Herefter skal man under Risikobehandlingen vurdere hvorledes man forholder sig til de erkendte
risici. Dette er de 7 tilgange beskrevet på side 61 øverst i dette kompendium.
Når man har mødt og løst risici, kan man være efterladt med nogen risici der ikke er løst. Disse
betegnes som residualrisiko, og kan enten bestå af ikke-erkendte risici eller af ”retained risk”, eller
risici som man bevidst vælger at fastholde.
32
Hvis man ser bort fra det sidste omkring residualrisikoen, kan man således se hvordan det såvel
matcher FERMA modellen som 12 fase modellen.
Standarden beskriver også de overordnede parametre i forhold til den strategiske ledelse, hvilket
blandt andet involverer introduktionen af Risk Management samt at man for at sikre dets fortsatte
effektivitet, skal have en stærk og fortsat indsats og opbakning fra ledelsen af organisationen.
Herudover også en strategisk og omhyggelig planlægning for at sikre indsats og opbakning fra
resten af organisationen.
Standarden opstiller forskellige karakteristika for Risk Management:
a) Risk management creates and protects value.
b) Risk management is an integral part of all organizational processes.
c) Risk management is part of decision making.
d) Risk management explicitly addresses uncertainty.
e) Risk management is systematic, structured and timely.
f) Risk management is based on the best available information.
g) Risk management is tailored.
h) Risk management takes human and cultural factors into account.
i) Risk management is transparent and inclusive.
j) Risk management is dynamic, iterative and responsive to change.
k) Risk management facilitates continual improvement of the organization.43
De fleste er forholdsvist selvindlysende, og selvforklarende. Således handler de første om at vise sin
legitimitet og sørge for at indlejre processerne i hel den daglige drift. Det er vel ikke specielt
overraskende idet denne standard er udarbejdet af mange af de førende eksperter indefor området
internationalt – hvorfor de ser sig selv som kritiske i alle processer. Det er i øvrigt også korrekt at
håndtering af risici.
De næste 3 handler om at strukturere sine data korrekt og være systematisk i sin tilgang, hvilket
også er en del af dette kompendiums tilgangsvinkel. De næste pointer beskriver den
kontekstbaserede tilgang der er kritisk og beskrevet i 12 fase modellen. Endeligt skitseres det at
styring af risici er en i princippet uendelig og iterativ proces.
Overordnet opererer ISO standarden med den følgende generelle tilgangsvinkel og rækkefølge:
1. risk identification
2. risk analysis - consequence analysis
3. risk analysis - qualitative, semi-quantitative or quantitative probability estimation
4. risk analysis - assessing the effectiveness of any existing controls
5. risk analysis - estimation the level of risk
6. risk evaluation44.
Hvert af disse indeholder naturligvis flere elementer, men som beskrevet så anviser Standarden ikke
en autorativ og ufejlbarlig tilgangsvinkel, men skal ses som en ramme hvor man arbejder indefor og
bliver inspireret af.
43 Iso 31000:2009, s. 7-8 44 Iso 31000:2009, s. 21
33
Det ovenstående kan illustreres i den følgende model45:
Bemærk hvordan dette ikke alene ligner FERMA modellen, men også nogen af de andre modeller
skitseret tidligere i kompendiet, herunder også diverse modeller for risikostyring samt for ledelse
generelt. Det er ikke tilfældigt idet FERMA er bygget på ISO standarden.
Modellen burde med udgangspunkt i viden om FERMA46, ikke være specielt svær at forstå.
Modellen til venstre beskriver de grundlæggende ideer og principper der ligger bag overhovedet at
kunne analysere risikobilledet med denne standard. Den midterste søger at skitsere de overordnede
rammer der skal være til stede for at kunne implementere standarden, herunder Mandate and
commitment – hvilket i praksis kan tolkes som behovet for en Risikopolitik der er forankret i og har
opbakning fra den øverste ledelse. Den praktiske del er modellen længst til højre, og kan direkte
sammenlignes med FERMA.
12 fase modellen skal således opfattes som en fortolkning og en praktisk implementering af
standarden. Dette er i øvrigt helt i overensstemmelse med modellen og dermed også i
overensstemmelse med den internationale fortolkning som den ser ud pt.
Det betyder også at man kan og vil møde variationer på dette tema såvel nationalt som
internationalt. Man vil givetvist også møde aktører der forsøger at udtale sig skråsikkert og med en
autoritet som denne standard ikke i sig selv giver dem. Derfor vil der igen være behov for at
45 Iso 31000:2009, forord 46 Hvilket ikke vil blive beskrevet her idet læseren forventes at have læst gennemgangen af FERMA separat og sideløbende: http://www.ferma.eu/risk-management/standards/risk-management-standard/
34
understrege at håndtering af risici er et praktisk håndværk der kræver at man tør og kan tage stilling
til de data man finder, og også dem man ikke finder.
Den nedestående model skal illustrere den overordnede strategiske tankegang bag standarden, som
beskrevet ovenfor.
Udover tanken der har inspireret 12 fase modellen, så er det tydeligt at der også er en inspiration fra
Plan-Do-Check-Act modellen og variationerne af den.
Afsluttende kan det slås fast at standarden har samlet de overordnede tendenser der har eksisteret i
mere eller mindre strukturerede versioner i lang tid, og har kombineret dem med nyere forhold,
herunder fast lagt det i en organisatorisk større sammenhæng med større vægt og fokus i
virksomheden generelt.
Derudover lægger den op til at man arbejder struktureret med risici, idet den dog også slår fast at
man kan bruge hele spektret, herunder at lade udvalgte risici forblive uændrede eller for den sags
skyld blive større hvis det giver mening i forhold til de organisatoriske mål herunder
risikopolitikken.
35
Standarden lægger op til at man styrer risici som alle andre forhold og rammer i virksomheden,
nemlig som en faktor man kan styre og dermed skrue op og ned for i forhold til virksomhedens mål
og ressourcer. Altså en klart mere dynamisk tilgang end mange tidligere lignende modeller.
4. De første trin i Risiko- og trusselshåndteringen ”No plan of operations extends with any certainty beyond the first contact with the main hostile
force.”47
Feltmarskal Helmuth Carl Bernard Graf von Moltke
I det følgende vil jeg søge at uddybe og perspektivere, forarbejdet til og de indledende trin der er
opstillet ovenfor. Det er vigtigt at gøre sig klart, at virkeligheden sjældent lader sig tæmme, i en
grad hvor man i ro og mag kan få lov til at gennemgå dem alle. Og helt givet aldrig i den grad eller
udstrækning man gerne ville ønske – specielt hvis man arbejder med internationale
problemstillinger. Det er også vigtigt at slå fast at der sjældent vil være 2 løsninger der er ens,
selvom man kan og skal bruge den samme metodik hver gang. Derfor skal man være fleksibel uden
at være flagrende.
Det betyder, at man i alt hvad man gør, må søge at mestre det muliges kunst, og få det maksimale
ud af hvad man har til rådighed. Det betyder også, at man bliver nødt til at mestre stress-håndtering,
ellers kan det uden brug af krystalkugle nok forudses, at jobbet bliver meget tungt og
omkostningsfuldt for en selv og ens familie.
Noget af det kan man afhjælpe med struktur og erfaring, men noget af det ændrer sig aldrig, og er
noget, man må leve med. Dette gælder også for konsekvensen af de fejldispositioner, som man altid
skal gøre alt i ens magt for at undgå, men være klar over før eller siden vil ske. Lær af dem og
håndter dem mens de sker, således at ens inaktivitet, panik eller usikkerhed ikke gør ens fejl værre.
En af de ting der kan anbefales er, at man forsøger at lave en drejebog, som man kan tilpasse i takt
med at man lærer nye teknikker og udvider sin praktiske erfaring. Nogen risici og trusler er helt
væsensforskellige, fra det man har oplevet før, men vil alligevel have elementer, af noget man har
oplevet før. Det er ikke altid at snyde, når man springer over hvor gærdet er lavest, hvis man vel og
mærke kan stå inde for det man leverer, og man derudover ikke mindst leverer varen.
Det er derfor også kritisk, at man konstant holder sig ajour, med de trusler der eksisterer. Ikke kun
dem der direkte kan ramme ens egen virksomhed, men vær kreativ og prøv at forudse hvad de
afledte effekter kan være for jeres organisation, hvis en af jeres samarbejdspartenere bliver ramt af
et pludseligt og udefrakommende stød eller slag.
Det første trin i risiko- og trusselshåndteringen er at forberede sig selv og organisationen på at
arbejde med risici og trusler – både nationalt og internationalt. Det lyder banalt, men er det faktisk
langt fra.
47 Eller som den er bedre kendt på dansk: Ingen plan overlever kontakt med Fjenden.
36
Man ser ofte som beskrevet ovenfor, at man opfatter såvel risici som trusselsfeltet som værende
forholdsvist snæver. Derfor kan den første opgave være at råbe organisationen op, og vel at mærke
gøre det på en måde der ikke kobler hverken organisationen eller en selv af dialogen.
Det betyder, at man ikke alene skal kunne analysere de risici og trusler, der kan ramme
virksomheden/organisationen. Men derudover også kunne sælge selve konceptet og tanken om, at
der reelt er brug for en person, der skal håndtere området. Og vel og mærke som ikke arbejder for
organisationens finans- eller økonomiafdeling.
Det lyder måske uoverskueligt, men netop derfor er det vigtigt med struktur og stringens i ens
arbejde, og den måde man arbejder med det på.
I forhold til at vække organisationen så kan man komme ind i forskellige faser af organisationens
oplevelser med risici eller trusler. Hvis de netop har oplevet at få kidnappet en medarbejder i
udlandet, hijacket et skib af pirater eller har oplevet, at der er nogen der fysisk har angrebet deres
front-end personale (reception o.l.), så vil de i sagens natur være langt mere åbne, end hvis de aldrig
har oplevet nogen trusler.
I det tilfælde at der aldrig har været skader, problemer eller truslen derom, så må man ved
eksemplets magt søge at godtgøre, hvorfor det at arbejde systematisk med risici er at betragte som
at have en indboforsikring samt kunne ringe efter politiet. I bedste fald får man aldrig brug for
nogen af delene, men hvis eller rettere når det går galt, så er det kritisk at vide, hvad man som
minimum skal gøre og ideelt set ved forebyggelse at have reduceret risikoen så man aldrig bliver
ramt af alvorlige risici og trusler. Konkret vil mange organisationer – både private og offentlige -
skulle kunne godtgøre, hvorfor de bruger deres ressourcer som de gør. Derfor skal man af den
grund alene kunne trække nogen eksempler frem, der kan være med til både at sælge området, men
også en selv.
Normalt vil man i mange organisationer se at der er sket et skift fra en hierarkisk til en teambaseret
styring, eller at man i al fald formelt forsøger at tilstræbe det. Det kan være en udfordring indenfor
risiko- og trusselshåndtering, idet man ofte vil have brug for en bindende og gerne hurtig melding
fra den del af ledelsen, der har reel beslutningskompetence. Derfor er det vigtigt at man skaber
alliancer, både formelle og uformelle, på tværs af organisationen, og finder ud af, dels hvem der er
formelle beslutningstagere, men også hvem der er uformelle opinionsledere.
En nem model til at visualisere det er
interessentmatricen til venstre. En interessent kan
defineres som alle der har en interesse i eller er
involveret med et givent område, virksomhed elelr
organisation. En interessentanalyse kan opdeles i 4
faser: Trin 1 er at tegne landskabet op: hvem er
opgavens interessenter. En brainstorm kan skitsere
dette på minutter, og kan efterfølgende tilpasses –
tænkt bredt. Trin 2 er at få valgt de primære ud og
37
prioriteret – men præciser hvilke kriterier du vælger ud fra, typisk indflydelse og behov for
medvirken. Brug herefter modellen i trin 3 til lynhurtigt at få en idé om hvordan de primære
interessenter vil forholde sig til det, man vil have indført. Sørg for at de er tilstrækkeligt fint opdelt
til, at kunne adskille dem, der har forskellige motivationer – og gør dig klart hvad de motivationer
er. Sidste trin er at lægge en plan for, hvordan man vil håndtere de primære interessenter.
Jævnfør modellen er der 4 forskellige måde at forholde sig til interessenterne på, idet man kan
Orientere (en overfladisk envejskommunikation), Informere (en mere dybdegående men stadig
envejskommunikation), Høres (i princippet også i nogen grad envejskommunikation, men fra
interessenten til analysanden) eller Involveres (hvor man i større eller mindre grad inddrager dem
og lader interessenterne være en del af processen). Virkeligheden er sjældent så entydig, eller nem
at rubricere.
Typisk deler man det op i interne og eksterne interessenter, hvor de interne normalt er en del af
organisationen hvor de andre er udenfor. En anden måde at definere interne vs. Eksterne på er, at
sige at de interne er dem som virksomheden kan påvirke eller kontrollere direkte. Eksterne
interessenter behøver ikke at have noget direkte med området at gøre, idet de eksempelvis for en
olievirksomhed, kan være lokalbefolkning der bliver påvirket af et eventuelt olieudslip. Bemærk at
denne model kan og bør være et værktøj til at lave en lynhurtig og fokuseret brainstorm, og ikke
noget man skal spilde timer og dage på. Brug hellere tiden på at udfordre det opnåede resultat, og
forkast det hvis det viser sig du tog fejl. En god måde at bruge den på er ved at lade ledere eller
meningsdannere i virksomheden udfylde den for dig, og derefter holde det op mod hvad du selv
vurderede. Resultatet er vigtigere end processen, som man i sagens natur i praksis sjældent kan
offentliggøre i andet end en akademisk sammenhæng, men når det er sagt så husk som tidligere
nævnt dokumentering hele vejen igennem.
Man vil ofte opleve, at ikke alle er lige meget med i forhold til de mål man sætter sig samt de ting
man har brug for - herunder evt. forandringer. Som ovenfor beskrevet, så vil en grundlæggende
udfordring i arbejdet med sikkerhed og risici, være at det typisk er økonomer der er Riskmanagers.
De har derfor ikke overraskende typisk et rent økonomisk udgangspunkt ligesom de vil bruge en
økonomisk værktøjskasse. Et værktøj man kan bruge i den forbindelse til at holde fokus er Kotters48
8 forandringstrin. Den er meget brugt og ofte også misbrugt. Som så mange andre modeller kan
man spilde uanede mængder af tid på den, så den skal alene appliceres i den udstrækning at den
skaber resultater, samt at man har et klart formål med det.
Overordnet er målet med den, at sikre at man får gennemført en given ændring uden alt for mange
sværdslag eller bølgeskvulp i organisationen. Selv i meget hierarkiskes organisationer, kan passiv
modstand skabe alvorlige problemer i forhold til at gennemføre en ændring.
Når vi taler risikohåndtering kan vi helt analogt derfor bruge modellen til inspiration i forhold til
hvordan man løbende håndterer organisationen og dens dynamik. Dette kører altså parallelt til ens
48 John P. Kotter, født 1947 er en amerikansk forfatter og professor ved Harvard Business School. Primært kendt for sit arbejde omkring forandringsledelse og ikke mindst sin 8-trins model for at skabe en varig forandring.
38
egentlige arbejde med risici. Arbejdet med organisationen og dens interessenters eventuelle
modstand
1. Skab en følelse af nødvendighed/skab en brændende platform: Dette er ofte den
sværeste del af forandringsprocessen og undervurderes ofte. Dels fordi man ikke nødvendigvis
rammer de rigtige personer (jf. interessentanalysen), og dels fordi man undervurderer, hvor
svært det er at få folk til at forlade deres tryghedszone. Herudover skal man ikke tage fejl af,
eller glemme at man også kan skubbe til folks kompetence portefølje, og dermed også skabe
usikkerhed om deres arbejde eller hvad der er endnu værre, at interessenterne føler, at man
sætter spørgsmål ved deres grundlæggende kompetencer og evner. Det gør sig i øvrigt specielt
gældende hvis spørgsmålet er berettiget. At skitsere konsekvenserne ved manglende risiko- og
trusselshåndtering gerne med relevante og velvalgte eksempler er åbenlyst et af virkemidlerne,
der kan hjælpe med at sætte en forandringsproces i gang ved at etablere en følelse af
nødvendighed
2. Etabler den ledende koalition: Man skal ikke forvente, at alle top executives bakker op fra
starten, men det er essentielt, at man får nogle tunge folk med i den ledende koalition. Ellers vil
koalitionen muligvis kunne gøre fremskridt tidligt i processen, men modstand vil langsomt
kvæle alle større tiltag. Det betyder at man skal finde dem der har evner og frem for alt en
jobtitel der kan skabe en strategisk ændring, og herefter lægge en plan for hvordan man kan få
den til at ønske at lave den. Forbered en elevatortale: på 2 minutter, eller gerne mindre, skal
39
du kunne forklare hvorfor dette område er kritisk for virksomheden og gerne også for
toplederen. Det er ikke nok at have ret, hvis dine omgivelser ikke giver dig ret, eller hvis de
eneste der giver dig ret er dem som ingen hører på.
3. Vision og strategi: Skab en vision og en strategi, der kan realisere visionen. Det er vigtigt at
skabe en håndgribelig og kortfattet vision, som medarbejdere, kunder og interessenter kan
forholde sig til. Lad være med at bruge lang tid på at skabe indviklede planer - detaljerede
planer skaber sjældent begejstring, og er sværere at kommunikere. Det er nødvendigt ikke kun
at tale til folks rationelle side men også til deres følelser. Sørg for at der er sammenhæng både
med målet og med organisationen, som den ser ud nu. Gør dig helt klart at der er forskel på
Vision (overordnet strategi/Hvorfor), Mission (konkret taktik/hvordan) og målsætning (Delmål
for at nå missionen/Hvornår og med Hvilke mål), samt at det er vigtigt at alle forstår deres rolle
i forhold til alle 3. Dette gælder uanset hvor man er i organisationen og hvad ens arbejde er.
4. Kommuniker visionen: Fortæl historien ved enhver lejlighed, og specielt til de uformelle
meningsdannere. Det er vigtigt, at medlemmerne af den ledende koalition går forrest i
udbredelsen af det positive budskab. Her tænkes primært på den formelle ledelse, men det er
vigtigt, at den uformelle går med. Husk at handlinger ofte tæller mere end ord. Gør derfor som
du siger, “walk the talk”. Børnene gør ikke, som vi siger: de gør, som vi gør. Det samme gælder i
en organisation.
5. Fjern modstand mod forandringerne: Sørg for at forandre systemer og strukturer der
modvirker forandringerne. Sørg for at Opmuntre medarbejderne til at komme med ideer og til
at tage initiativ. Det er meget muligt, at man ikke kan nå helt frem til resultatet alene ved snak –
det er her den styrende koalition, og inddragelse af de uformelle ledere kommer ind i billedet.
Men overvej værdien af og omkostningerne ved at med magt tvinge en forandring igennem.
Niccolo Machiavelli beskrev det således49, ”Thi voldshandlinger må man foretage alle på én
gang, således at de ved at smages mindre vil krænke mindre; og velgerningerne bør man øve
lidt efter lidt, således at de kan smages bedre”. Med andre ord mente han, at hvis man var
nødt til at lave en smertefuld ændring (herunder evt. afskedigelser), så var det bedst at gøre det
fra starten. Dette således at man med små sejre og positiv samvirke med organisationen, på sigt
kan vende stemningen og skabe et bedre miljø. Uanset hvad er det vigtigt, at man overvejer,
hvad man gør og siger hele vejen igennem forandringsprocessen. De fleste vil helst lave
forandringer, hvis de dels føler, at de selv får noget ud af det og dels føler at de har været med i
processen. Herved er det helt analogt til den grundlæggende pædagogiske sandhed der viser at
man bedst husker det man selv har sagt, og næstbedst det man selv har været med til at
formulere – også selv om det var andre der skrev det. Man husker eksempelvis således klart
dårligst det som læreren siger ved tavlen, altså contra det man selv siger.
49 I ”Fyrsten”, s.65
40
6. Skab synlige og kortsigtede resultater: Det er essentielt, at der bliver skabt synlige og
hurtige resultater, og at de medarbejdere der medvirker til at gennemføre forbedringer i
processen, belønnes for deres indsats. Succeser skal dyrkes og kommunikeres til hele
organisationen. Sker dette ikke, eller formår man ikke at kommunikere dem tilstrækkeligt
tydeligt, så kan forandringsprocessen gå i stå efter et stykke tid. Hvis man ikke har nogen, så må
man skabe dem selv. Fokus på at opnå kortsigtede resultater har den sidegevinst, at den
hjælper med at opretholde følelsen af nødvendighed.
7. Konsolider forbedringer og fasthold forandringsforløbet: Forandringer er som
elastikker: hvis man ikke gør noget, eller taber fokus vil de før eller siden springe tilbage til
udgangspunktet eller gå i stykker. Brug den styrende koalition til at få cementeret den nye
virkelighed, og brug herudover den troværdighed og goodwill, som de hurtige resultater giver, til
at ændre systemer, strukturer og retningslinjer, der ikke passer ind i visionen. Medarbejdere,
der kan implementere visionen, bør ansættes hhv. forfremmes. Medarbejdere der ikke kan
holdningsbearbejdes eller flyttes i deres rutiner, bør om muligt, enten køres ud på et sidespor
eller helt væk. Undgå at erklære sejre for hurtigt, da det risikerer at lægge en dæmper på følelsen
af nødvendighed og dermed sætte en stopper for yderligere forandringstiltag. Her er der en
gylden middelvej, der skal findes.
8. Implementer nye procedurer i organisationens kultur: Forklar forbindelsen mellem
den ny adfærd og virksomhedens succes – hvis sammenhængen er svær at finde så arbejd på
historien. Udvikl redskaber, der kan sikre ledelsesudvikling og videreførelse af forandringen –
eller rettere sagt: anbefal at organisationen gør det.
Som beskrevet ovenfor kan denne model være en uproduktiv tidsrøver, hvis den ikke bliver brugt
stringent. En af fordelene ved den er, at den er umiddelbart forståelig og nem at forklare. Herudover
er den også nem at diskutere med ledelsen, idet det er en klassiker på næsten alle ledelseskurser og
uddannelser. Men husk at tænke praktisk og virkelighedsnært når den bruges.
5. Efterretningsindhentning og – bearbejdelse
Efterretninger er bearbejdet data. Dermed er efterretningsarbejdet i udgangspunktet fuldstændigt
analogt til helt almindeligt akademisk arbejde – og kan være ensformigt, repetitivt og kedeligt. Det
er vigtigt at slå fast, fordi der er mange der har et helt forskruet og Hollywood—baseret forhold til
arbejdet med efterretninger.
Man kan som en arbejdsdefinition anskue efterretningsarbejdet som den systematiske, strukturerede
og akademisk korrekte håndtering af data fra såvel åbne som lukkede kilder. Det betyder at arbejdet
41
med efterretninger er en del af resten af arbejdet omkring risikohåndtering og imødegåelse. Det
betyder også at det følgende er komplementært til den øvrige dataindhentning, kildekritik og
lignende. Derfor kan og bør efterretningsindhentning og bearbejdelse anskues som en integreret og
rutinemæssig del i det daglige arbejde.
Når det er sagt så adskiller det sig fra det almindlige mere eller mindre åbne arbejde med den viden
der eksisterer i og udenfor organisationen. I stedet for at tale om efterretningsbearbejdelse kunne
man således tale om arbejdet med fortrolige data, og kommunikationen af de relevante dele til de
relevante medarbejdere.
Det kan vel næppe være nogen stor overraskelse for nogen at en af grundreglerne for arbejdet med
fortrolige data og lukkede kilder er, at man ikke skal disseminere dem. Eller med andre ord at alle
aktører kun skal have det at vide der er relevant for og krævet af deres arbejde. Det der også kaldes
need-to-know basis. Det skal man tage alvorligt, for uanset om det er en konkurrerende virksomhed,
en fjendtlig nationalstat eller en kriminel organisation, så vil deres viden om – eller
efterretningsbillede af – ens egen virksomhed og organisation, være summen at de lækkede
oplysninger.
Det er med andre ord ikke nødvendigvis en stor læk eller gennemkorrupt medarbejder der åbne ens
virksomhed for udefrakommende trusler, men snarere mange små der tilsammen giver et mere eller
mindre komplet billede af det man ønsker unddraget for offentligheden og ens modstandere.
Det findes et bredt spektrum af hvordan virksomhederne forholder sig til dette. I den ene ende kan
det ses at nogle virksomheder nærmest religiøst beskytter deres know-how, persondata,
internettrafik og aftaler både fysisk og virtuelt. I den anden ses desværre ofte offentlige
virksomheder hvor dels størrelsen af opgaven er enorm og der dels måske ikke er en tradition eller
praksis for hemmeligholdelse.
I de virksomheder der laver en fokuseret indsats, ser man dog nogen gange et af
efterretningsarbejdets grundlæggende paradokser, nemlig at fortroligt data ikke må videregives til
uvedkommende. Men i sin iver for at opnå dette mål, ser man fra tid til anden et af de
grundlæggende paradokser omkring efterretningsarbejdet, nemlig at data og viden ikke kommer
i tide til de medarbejdere og ledere der skal bruge dem. Dette altså ud fra et for nidkært ønske om
fortrolighed.
42
Arbejdet med efterretninger handler altså indledningsvist om at fastsætte korrekte rammer for
Hvem der skal have Hvad at vide, Hvornår de skal have det og i Hvilken Form (herunder
eksempelvis om de skal kvittere således at man kan se hvem der har fået data udleveret).
Præcis som med Risikopolitikken er det noget man skal have den øverste ledelse ind over og
godkende, således at man efterfølgende kan fastholde praksis i hele organisationen. Derfor skal den
også være både veldokumenteret, præcis og praktisk implementerbar. Endeligt er det kritisk at man
sikrer at den reelt også bliver implementeret. Herunder at alle kender den samt overholder den.
Mangel på forståelse af vigtigheden af at overholde fortrolighedsinstrukser vil uden nogen som
helst tvivl føre til at den ikke vil blive efterlevet i praksis.
Hvis man ser på det daglige praktiske arbejde som det bliver udført i forskellige konsulent- og
rådgivningsvirksomheder – for det er typisk et område man uddelegerer og outsourcer – så er de
fleste analyser udarbejdet af tidligere soldater og politifolk. Forsvarets Efterretningstjeneste
beskriver på deres hjemmeside deres indhentningskilder således:
”Vi henter vores information gennem både ”lukkede” og åbne kilder (OSINT). De ”lukkede” kilder
er elektronisk efterretningsindhentning, fysisk indhentning (personer) samt samarbejdspartnere, som
vi har en bred vifte af.
HUMINT: Human Intelligence - indhentning gennem personkilder ved hjælp af såkaldte
føringsofficerer (eller indhentere).
SIGINT: Signal Intelligence - elektronisk indhentning af kommunikation fra satellitter og andre
jordbaserede kommunikationsformer.
Netværk (CNE): (Computer Networks Exploitation) - indhentning mod bl.a. kommunikation på
internettet, herunder open source.
OSINT: Open Source Intelligence - Brug af offentligt tilgængeligt data, f.eks. fra internettet, trykte
publikationer, radio og tv-broadcasting m.m.
Analyse: Analyse og rapportering af de indhentede informationer efter en bearbejdningsproces.
Partnersamarbejde med udenlandske efterretningstjenester har stor betydning.
Partnersamarbejdet har grundlæggende karakter af byttehandler. Man får værdifulde oplysninger,
hvis man selv er villig til at levere tilsvarende værdifulde informationer, samt udviser absolut
fortrolighed.
Uanset deres baggrund så vil analysander, typisk bygge deres viden på en kombination af åbne og
lukkede kilder, og herudover forskellige informanter. En informant kan være alt fra en helt legal
43
forretningsforbindelse, medlem af en organisation eller ministerium der handler i officiel kapacitet
og så over til helt fortrolige informanter hvis virke eventuelt ligger på kanten af loven.
Efterretningsarbejdet handler således om at evne at holde sine kilder op mod hinanden således at
man kan vurderer sandhedsværdien af en given kilde. Her bruges typisk både virksomhedens som
ens personlige netværk. Målet er at man skal kunne skelne rygter fra fakta, noget der i praksis er
markant sværere end man tror – jf. eksempelvis beskrivelsen af en Superreplikator ovenfor. Det
giver sig selv at en privatperson eller virksomhed ikke vil have samme grad af lukkede kilder og
kontakter som en efterretningstjeneste. Som beskrevet ovenfor handler det derfor om at gøre op
med sig selv hvad ens kilder reelt kan bære af konklusioner.Herefter vil virksomheden typisk
opstille en Control Risk Group – en projektgruppe der skal håndtere den givne risiko. Denne vil
typisk bestå af ad hoc elementer: konsuleneter/rådgivere, evt. deltagere fra offentlige myndigheder
(UM, PET, FE m.m.) samt deltager fra virksomheden/organisationen og evt. deres foreninger. De
vil typisk overtage hele sikkerheds- og risikoarbejdet, og ikke kun efterretningshåndteringen. Deres
arbejde bygger på mange parametre og tanker, hvoraf vi senere vil komme ind på flere.
Efterretningsarbejdet skal i den forbindelse ses som det forberedende og proaktive.
Blandt de forhold, tanker og procedure der kan nævnes, er det vigtigt at forstå at der trods ISO
31000, stadig er mange forskellige tilgangsvinkler. Det følgende er således et kort skitsering af de
forhold der typisk griber ind i eller ligger i forlængelse af efterretningsarbejdet:
Hvad er uddannelsesniveauet i virksomheden: operationelt og strategisk og hvilket miljø
eksisterer i virksomheden?
Hvordan kan vi styre de mange elementer i sikkerhedsarbejdet således at vi som
udgangspunkt ikke handler som et offer? Det er ikke alle der opfører sig som et offer der
bliver angrebet, idet held på godt og ondt også er en faktor.
Modsvarer organisationen faktisk til de operationer som man ønsker eller reelt har behov
for at udføre? Det kræver gode og gennemarbejdede argumenter at gennemføre en ændring,
hvilket skal matche risikovilligheden/risikopolitikken i virksomheden.
Kan man fastholde en risikovillighed/politik i praksis i lang nok tid til at udføre arbejdet? I
praksis er det meget fluffy og desværre sjældent hugget i sten.
44
Vær afklaret med at risikoforståelse er branchebestemt: typisk er der større forståelse af
sikkerhed i olie og gas branchen – måske fordi de er vant til faste regler og rammer. Dette
påvirker muligheden for at korrigere evt. fejl og mangler.
Generelt er det også branchebestemt hvorvidt man vil bruge penge på sikkerhedsarbejdet og
i givet fald hvor mange. Typisk er det at jo mere erfarne i området virksomheden er, jo
mere risikovillige er de.
Det er ikke alle risici der kan afværges idet man ikke kan kontrollere alting. Derfor skal
man udarbejde en beredskabsplan for de risici man ikke kan afværge.
Ubehagelige eller farlige opgaver er ikke specielt interessante for de store aktører. Det
gælder eksempelvis såvel rederier som de væbnede vagter de evt. hyrer gennem en PMC. I
forlængelse af det er det kritisk at vide der er enkelte virksomheder der gerne vil omgå
regler, samt at det når det går galt vil medføre erstatning for den primære aktør – her
rederiet.
Informanter (jf. beskrivelsen ovenfor) er typisk netværksbaserede via områdeeksperter, der
typisk er bosiddende i det givne område. Disse har typisk kontakterne og udbygger disse,
ligesom de typisk også kender begge sider. En analyse af områder med Booming ecomomy
kræver en forståelse af de lokale områder.
Det kan være svært at begå sig i områder med udbredt korruption og såkaldte ”facility
money”. Derfor har store aktører lokale agenter/små agenter – forstået som et agentur der
handler på ens vegne og ikke som en hemmelig agent. Problemer, optrin og forbrydelser,
herunder brugen af facilitymoney for at facilitere en løsning og daglig drift, bliver typisk
registreret af de store aktører, men ikke af de små.
Der findes et stort marked for beredskabsplaner MEN der er ingen der vil bruge penge på
det. Dermed eksisterer risikoen for overfald i forskellig form, hvilket skabe behov for
risikostyring, etiske regler og dokumentation. Det kræver også en kapacitetsafklaring,
herunder hvilken kapacitet man har i fht. Dokumentation. Der findes desværre masser af
virksomheder hvor man konsekvent vælger den billigste løsning. Det er vigtigt at slå fast at
det at vælge en risikoløsning typisk vil indebære at risici vil blive forøgede i en anden
retning.
Hvis man bruger bevæbnede vagter, så skal man gøre sig klart at man ofte vælger de
billigste, hvoraf mange ikke taler engelsk og kun har en grundlæggende militær uddannelse.
Derfor skal man tydeligt markere deres tilstedeværelse: varselsskud vil til søs typisk slet
45
ikke blive opdaget af dem man afgiver dem mod da de hverken kan høre skuddet eller se
opsprøjtet fra kuglenedslaget. Da de dermed ofte først opdager at de er under ild når de
bliver ramt, kræver det at man har udarbejdet en klar og tydelig eskalationsstige og sørger
for at den bliver overholdt. Herunder hvem der har kommandoen hvornår. Det er også
kritisk at sørge for dokumentation i fht. Hvem der sagde Hvad og Hvornår. Endeligt skal
man være afklaret med at vagterne ikke altid kan eller vil afvise piraterne.
Når man bruger bevæbnede vagter, så vil de altid have ret til at beskytte sig selv – uanset
hvad Kaptajnen eller en lokal chef mener, føler eller tror. De er således ikke under
kommando i almindelig militær forstand. Dette holder typisk juridisk, men langt far altid i
praksis. Heraf behovet for god dokumentation. Derfor skal man også afklare om vagterne er
bekendt med og kan anvende den aftalte SOP. Der er en enorm forskel i kvalitet, indhold og
træning af procedurer.
Generelt arbejder man ofte med 3 forskellige ydelser der jf. det ovenstående typisk krydser
ind over hinanden, nemlig: Risk reduction (det pro-aktive arbejde med at reducere risici i
det omfang det er muligt herunder at der er de økonomiske rammer til det), Risk response
(hvad går man indledningsvist når det går galt og hvad er de forskellige aktørers herunder
interne ansvar og opgaver?) og Risk Recovery (hvad gør vi efter skaden er sket for dels at
få driften i gang igen, dels håndtere det medie- og ansvarsmæssige udfald og dels for at lære
noget af det).
Overordnet taler man om efterretningskredsløbet, en sammenfattende beskrivelse der beskrives
således af Forsvarets efterretningstjeneste:
”Kredsløbet beskriver en sammenhængende arbejdsproces, som gentages løbende.
Udgangspunktet er en prioritering. Den fastsættes med udgangspunkt i tjenestens opgaver og
ressourcer samt efter drøftelse med vores kunder – både i og udenfor forsvaret. Styrende er
hensynet til Danmark og danske militære styrkers sikkerhed.
Dernæst gør vi os klart, hvad vi allerede ved, og hvad vi gerne vil vide. Det sker ved, at vi
formulerer et såkaldt efterretningsbehov – en liste over de spørgsmål, som vi gerne vil have
besvaret, og de oplysninger, som vi mangler. De er udgangspunkt for indhentningen.
Indhentningen søger at besvare de stillede spørgsmål ved at skaffe oplysninger fra kilder – det kan
være både lukkede og åbne kilder. Åbne kilder er kilder, som alle kan skaffe sig adgang til, som
f.eks. internet, aviser og andre publikationer. Lukkede kilder kræver en efterretningsmæssig indsats.
Det er adgangen til lukkede kilder, som er et særkende for den efterretningsmæssige vurdering.
Oplysninger fra både åbne og lukkede kilder skal vurderes og analyseres. Er oplysningen og/eller
46
kilden troværdig? I den forbindelse er det en styrke i analysen, at kunne sammenholde oplysninger
fra åbne og fra lukkede kilder.
I analysen tager man udgangspunkt i en forestilling om, hvordan situationen er – en såkaldt
hypotese – som man afprøver mod de oplysninger, man har. Det, som er interessant, er om der er
oplysninger, som ikke passer med ens forestilling. Så er der måske en anden hypotese, som passer
bedre på de oplysninger, man har. Dette er ikke et arbejde, som én medarbejder kan gøre alene.
Det er i høj grad et holdarbejde, hvor man afprøver sine hypoteser og analyser med sine kolleger. I
den forbindelse kan analytikeren støde på nye spørgsmål, som vedkommende ønsker besvaret, eller
oplysninger, som er mangelfulde. Så formulerer analytikeren et nyt efterretningsbehov.
Når en analyse er færdig, skal den omsættes til en rapport. I den forbindelse er det vigtigt at
videregive vurderingen så præcist som muligt. I rapporteringen skelner vi normalt skarpt mellem
oplysninger og vurdering. Vi gengiver oplysninger, så det ikke fremgår, præcist, hvorfra de
stammer. Det er nødvendigt for at beskytte kilderne og FE’s indhentningskapacitet. Af samme årsag
er FE’s rapporter normalt klassificeret. Det gælder også de rapporter, som FE modtager fra
udenlandske samarbejdspartnere.”50
Typisk opdeler man efterretningskredsløbet i 7 faser51:
1. Identifikationen af et efterretningsmæssigt problem (og definition af hvad der er et
efterretningsmæssigt problem).
2. Analyse for at afdække de primære dele af problemet, og den måde disse bør løses (herunder med
behørig respekt for de ressourcer der er til rådighed).
3. Indhentning af relevante data på baggrund af analysen af problemet (og igen en definition af
hvad der er relevant).
4. Kritisk evaluering af de indhentede data og afsenders/kilde intention/farvning af data (herunder
en stillingtagen til om man reelt er i stand til at foretage en kritisk evaluering, og hvis ikke hvilke
konsekvenser der har for resultatet).
5. En tilstrækkelig analyse af de evaluerede data og informationer, med det formål at identificere og
kunne forklare indhold, mening og sammenhæng, og i forlængelse af det være i stand til at udvikle
en hypotese og forklaring.
50 http://fe-ddis.dk/Opgaver/Efterretningstjeneste/efterretningskredsloebet/Pages/Efterretningskredsloebet.aspx 51 Frit efter den amerikanske forsker Sherman Kent, som formuleret 1949, og skrevet i Strategic intelligence for american World Policy, Princeton University Press, side 157-158.
47
6. Supplerende indhentning med det formål at kunne forkaste eller bekræfte de(n) udviklede
hypoteser. (Det kan være fra andre kilder eller at man kritisk tager fat i den samme kilde én gang til)
7. Præsentation af det efterretningsmæssige produkt (som beskrevet ovenfor er det vigtigt at gøre
sig sin modtager(e) klart, således at man skriver på en måde der kommunikerer det nødvendigt på
en måde modtageren kan og ønsker at afkode).
Det der er kritisk at forstå er at det, som tidligere beskrevet, er en repetitiv og dynamisk situation.
Ens data har således en begrænset holdbarhed: et vindue hvor de har en given sandhedsværdi,
hvorefter værdien falder. Man kan opsummerende beskrive det ovenstående i 5 faser:
Planlægning og ledelse (planning and direction), Indhentning
(collection), Bearbejdning (processing), Analyse (analysis and
production) og Formidling (dissemination)52.
FBI bruger også denne model idet de dog tilføjer et overordnet
præmis, nemlig Requirements53. Dette ligger meget analogt til den
tidligere beskrivelse af en Risikopolitik, herunder at den skal være
udarbejdet i tæt dialog med den øverste ledelse, og indeholde de
grundlæggende præmisser og mål. Med småtilpasninger så er det denne tilgangsvinkel der er
nærmest universelt brugt – i l fald i den vestlige verden, og i alle de lande der er blevet oplært af de
vestlige lande. Dette gælder også virksomhederne idet de ofte som tidligere beskrevet ansætter
tidligere nationale politifolk og soldater.
FE vurderer efter eget udsagn alle deres kilder ud fra de følgende 4 parametre:
Pålidelighed: Hvor pålidelig har kilden været tidligere? Hvor godt kender kilden til det
emne, som oplysningen drejer sig om?
Adgang: Hvor tæt har kilden været på begivenhederne? Er det kildens egne oplevelser,
eller stammer oplysningen fra andre?
Troværdighed: Kommer oplysningen fra en normalt pålidelig kilde med god adgang?
Passer den ind i analytikernes øvrige erfaringer?
52 https://www.cia.gov/kids-page/6-12th-grade/who-we-are-what-we-do/the-intelligence-cycle.html 53 http://www.fbi.gov/about-us/intelligence/intelligence-cycle
48
Sandsynlighed: Hvor sandsynligt er det, at det omtalte vil ske eller er sket? Det afhænger
både af kildens pålidelighed, kildens adgang, oplysningens troværdighed, og hvordan
oplysningerne passer med analytikerens erfaring og øvrige oplysninger.
Hvilke parametre man i en praktisk situation skal være vil afhænge af tid, muligheder, ressourcer og
rutiner. Det er derfor kritisk at man opstiller eller som minimum afklarer sine rammer. Som det
tidligere er beskrevet er man typisk udfordret af at mange virksomheder ønsker at bruge så lidt
ressourcer som muligt. Dette medfører et andet af de grundlæggende paradokser omkring såvel
efterretningsarbejdet som arbejdet med risici, nemlig at jo bedre man er til sit arbejde jo mindre
lægger omgivelserne mærke til det. I forlængelse af det vil man typisk først rektivt allokere
ressourcer når det er gået galt.
Der vil i forlængelse af arbejdet med efterretning typisk være et ønske om et letfordøjelig og
forståelig opsummering af ens resultater. I værste tilfælde alene en talmæssig en helt kortfattet
trusselvurdering. Det er godt til at slå en tone an og i bedste fald skabe opmærksomhed og forståelse
af nødvendigheden af ekstra fokus. I værste fald vil ingen rigtigt kunne forholde sig til den eller
modtagerne vil vænne sig til det og derved miste det ekstra fokus.
I Danmark opererer FE med de følgende trusselsvurderinger:
INGEN: Der er ingen indikationer på en trussel. Der er ikke erkendt kapacitet eller hensigt.
Angreb/skadevoldende aktivitet er usandsynlig.
LAV: Der er en potentiel trussel. Der er en begrænset kapacitet og/eller hensigt.
Angreb/skadevoldende aktivitet er ikke sandsynlig.
MIDDEL: Der er en generel trussel. Der er kapacitet og/eller hensigt og mulig
planlægning. Angreb/skadevoldende aktivitet er mindre sandsynlig.
HØJ Der er en erkendt trussel. Der er kapacitet, hensigt og planlægning.
Angreb/skadevoldende aktivitet er sandsynlig.
MEGET HØJ: Der er en specifik trussel. Der er kapacitet, hensigt, planlægning og mulig
iværksættelse. Angreb/skadevoldende aktivitet er meget sandsynlig.
Dette kombineres for FE´s vedkommende med en sandsynlighedsvurdering. Dette er således
fuldstændigt analogt til FERMA såvel som ROS modellerne, og dermed i praksis analogt til den
grundlæggende risikokalkule, nemlig Konsekvens x Sandsynlighed = Risikoniveau.
49
Sandsynlighedsvurderingen er for FE som følger:
Meget sandsynlig. FE forventer en given udvikling. Det er (næsten) bekræftet.
Sandsynlig. Det er mere sandsynligt, at det sker end det modsatte. Sandsynlighed omkring 75 %.
I nogen grad sandsynlig. Det er en sandsynlig mulighed, men FE har ikke grundlag for at vurdere,
om det er mere eller mindre sandsynligt. Sandsynlighed omkring 50 %.
Ikke sandsynlig. Det er mere sandsynligt, at det ikke sker end det modsatte. Sandsynlighed
omkring 25 %.
Usandsynlig. FE forventer ikke en given udvikling. Det er (næsten) ikke en mulighed.
Som det kan ses tillægges de enkelte trin en sandsynlighed på omkring 25 %, idet den sidste ligger
omkring 0 %. Dette ligger analogt til 1-5 trinnene der ligger i FERMA og ROS. Det giver sjældent
mening at anlægge en mere præcis vurdering af såvel sandsynlighed som konsekvens end 1-10 hvor
de enkelte trin således svarer til trin på 10 %. Dette da det sjældent er muligt at opstille så præcise
analyser at de kan bære en mere præcis angivelse.
Det er ikke kun i Danmark at man søger at have en let overskuelig og forståelig opsummering af
resultater og viden fra efterretningsarbejdet. USA har efter 9/11 2001 følt et behov for klarere at
vise deres borgere, hvor fokuserede de skal være. Dette i princippet også ud fra et ønske om at
staten vil skabe mindre uro og usikkerhed. Man havde i en række år en farvekode der overordnet
gav udtryk for truslen. Dette blev dog afskaffet pr. 20. april 2011, og erstattet af et simplere system
der afgiver advarsler på baggrund af konkrete risici.
Uanset hvilket system man anser giver det bedste billede, så er det at opstille et trusselscenarie og
kunne eksplicitere et trusselsniveau, en af de vigtige opgaver når man arbejder med efterretninger.
Dette også for at imødegå det første paradoks omkring efterretning som skitseret ovenfor.
6. Risikohåndteringen i 12 faser Risikohåndtering kan følge mange veje og akademiske discipliner, ligesom der i praksis også i vid
udstrækning vil være tale om at man bruger erfaring og kontakter. Det sidste må de studerende
fremadrettet arbejde med i den udstrækning at lejligheden byder sig, herunder både udbygge
kontakter og sin vidensbase. Dette både i forhold til at få et arbejde, men også at kunne løfte
arbejdet når man har fået det.
I det følgende vil jeg gøre rede for én systematisk tilgang til risikohåndtering i en ikke primært
finansorienteret virkelighed som beskrevet ovenfor. Det vil jeg gøre i 12 trin, men det er vigtigt at
50
forholde sig til at dette er mit bud. Derfor er de ikke endegyldige: brug dem indtil du– efter
afslutning af dette fag - finder noget bedre. Men vær sikker på at det du i givet fald erstatter det med
dækker hele feltet. Konkret er det den tilgangsvinkel der vil blive anvendt i dette fag, hvor vi vil
følge modellen trin for trin.
1. Dokumenter alt hvad du laver.
Man skal sørge for at dokumentere ikke bare sit eget arbejde, men sørge for at alle i interagerer
med, også gør det samme. Sørg for at få skriftlige svar fra organisationer og offentlige
myndigheder. Hvis det ikke er muligt, så skriv referat af alle vigtige samtaler mens du stadig kan,
huske indholdet, optag dem hvis det er lovligt og tilladt. Før dagbog over arbejdet og gem al
korrespondance, skitser m.m. Det skal ikke vedlægges dine fremstillinger, men skal kunne
præsenteres på forlangende og efter behov. Husk at brud på dokumentsikkerhed og IT sikkerhed
kan være en primær risiko, så opbevar det sikkert og i overensstemmelse med organisationens
politik og procedurer.
Brug ikke alene dokumentationen for at sikre dig mod juridiske udfald fra eksterne aktører, men
også fra organisatoriske problemer fra interne aktører. Hvis det går galt er det standard praksis at
man søger at finde en der har lavet en fejl, en syndebuk eller et offerlam, hvis afskedigelse eventuelt
kan berolige dem der er ude efter blod. Derfor er det vigtigt at man uden drama eller store
armbevægelser, også over for ledelsen kan dokumentere processen samt at man har udvist rettidig
omhu54.
Derudover er behovet for dokumentation også for at du, og andre der eventuelt overtager dit
arbejde, er i stand til at lære af fejlene således at man gennem en iterativ proces bliver bedre og
bedre til at møde og afvæbne risici. Som beskrevet ovenfor så er det i nogen brancher og
sammenhænge op til en selv at skrive lærebogen i hvordan man laver sit arbejde. AF den grund
alene er det vigtigt at gemme tingene.
Endeligt er det også vigtigt at huske at vi ikke taler om at gemme det nogen måneder. Efter de
nyeste revisioner af loven, så skal man teoretisk og i udgangspunktet kun gemme dokumentation til
skattevæsnet i 3 år, men i praksis gælder der masser af undtagelser der betyder at man de facto
stadig skal gemme relevante dokumenter i 5 år. De kan naturligvis godt gemmes elektronisk, så
længe man er 100 % sikker på at der ikke kan ske datatab.
Der er forskellige rammer og forskellige sammenhænge, men 5 år vil i udgangspunktet være
tommelfingerreglen for hvor lang tid man som minimum skal gemme tingene. Husk at have en
sikkerhedskopi af alt: hvis du har mange papirdokumenter, så skal du have dem scannet og den
elektroniske kopi skal ligge et andet sted.
Når man arbejder internationalt vil man i sagens natur skulle interagere med masser af lokale
rammer og regler, så an den grund alene er det vigtigt at man hellere skyder over end under målet.
Også af den grund er 5 år minimum.
54 Hvilket i en international kontekst også ofte kaldes Due Dilligence
51
Husk i øvrigt også at man rent faktisk skal kunne finde data efter behov og opfordring. Derfor
kræver det at man er rimelig stringent og klar i sin metodik i forhold til hvordan man arkiverer og
placerer sine arkiver.
2. Vurder området generelt.
Når man arbejder med risici skal man tit løbe stærkt. I den forbindelse skal man passe på at man
ikke ender med at løbe i cirkler, i sin iver efter at lave opgaven. Derfor skal man tvinge sig selv til
at gøre sit forarbejde færdigt og tage sig tid til at få gjort ens opgave entydig og klar.
Dette gælder ikke mindst hvis man også skal samarbejde med andre uanset om det er i en
akademisk eller praktisk sammenhæng. Vær helt sikker på at alle er enige om hvad i er enige om før
i går i gang med opgaven og sørg for at alle har forstået opgaven og nøjagtig hvad de skal gøre i den
forbindelse. I denne fase handler det om at få en generel føling med og forståelse af området – selve
opgaven og dermed problemformulering kommer i 4. fase.
Start med at læs din opgavetekst igennem 2 gange: hvis det er i en virksomhedsmæssig
sammenhæng, så bed hvis muligt om en skriftlig arbejdsbeskrivelse. Alternativt så få ekspliciteret
din mundtlige opgave ud med papegøje-snak:
”Når jeg hører dig sige at jeg skal sørge for at sikre virksomheden mod risici, så opfatter jeg det
som …”
Dette kan man efterfølgende selv skrive ud og forelægge ledelsen. Formålet er ikke at spalte hår,
men at man for det første ikke senere opdager at alle andre forventede at du løftede en opgave som
du ikke havde forestillet dig. For det andet at du rent faktisk ikke bare løser den opgave du har fået,
men også indenfor de rammer du har fået. Det betyder samtidigt også at du skal bruge alle
rammerne og ressourcerne der er til rådighed.
Hvem laver du opgaven for? Spørgsmålet virker måske umiddelbart lidt fjollet men det er kritisk,
at du - jf. de første kapitler - har fokus på hvem der er modtager. Men også om du forventes at
skulle interagere med andre afdelinger, virksomheder eller myndigheder. En interessentanalyse kan
måske nok placere dine modtagere, men husk at der også kan være eksterne aktører til noget af det
du skriver.
Det er nemmere i stedet for at lave et stort arbejde ud af det, snarere at have en mavefornemmelse
for det mens man skriver og arbejder – og være klar over at du formodentlig ikke rammer plet første
gang. Vær ydmyg og lær af det i stedet for at give udtryk for din i nogen sammenhængen
formodentligt forståelige frustration.
Hvad ligger der i din opgave, og har du reelt forstået den? Skil opgaven ad og find ud af hvilken
delopgaver du mener, skal udføres for at du kan levere resultatet som forventet. Brug en struktureret
tilgang, herunder eksempel ved brug af Gantt-diagram o.l. således at du er sikker på at delopgaverne
er klar når de skal være det. Spørg ind hvis du anser at noget er uklart formuleret – man ser ofte
pseudo-akademikere i virksomhederne, der vikler sig ind i fremmedord de ikke helt forstår og ender
52
med næsten at være forståelige. Men også kun næsten. Derfor spørg pænt, men vedholdende indtil
din opgave står klar.
Hvad er de historiske, infrastrukturelle, socioøkonomiske, samfundsmæssige og
organisatoriske forudsætninger og begrænsninger for opgaven som givet? Dette er ikke bare en
skrivebordsløsning der klares med et pennestrøg. I denne del begynder man overfladisk at gå ind i
de forskellige kilder for at finde ud af om det relevante materiale om emnet, men altså kun det
relevante – dækker opgaven som stillet. Husk at det handler om at finde rammer og begrænsninger
– selve beskrivelsen og analysen af den kommer under pkt. 5 længere nede.
Så det handler om at man hurtigt overordnet skal finde ud af om man skal gøre opgaven større eller
mindre for at få det tilstrækkelige og relevante med. Det kan være at man skal uddelegere dele af
området: men husk på at man ikke sylter risici, men finder en ny risikoejer. Dette således at der ikke
falder noget mellem gulvsprækkerne.
Man skal på dette tidspunkt også gøre sig klart om det er tilstrækkeligt at lave afgrænsninger, eller
om man skal bede om ekstra ressourcer eller tid.
Der er grundlæggende 2 håndtag at skrue på: enten gør man opgaven mindre eller ressourcerne
større. Man skal bare være afklaret med at 1+1 ikke nødvendigvis er lig med 2 hvis man får en
ekstra medarbejder eller kollega der ikke har værktøjer og rammer til at kunne løfte opgaven i et
1:1forhold. Her kan udfordringen i en større organisation være, at sige det diplomatisk og på en
måde der ikke bare medfører at man lukker for muligheden for ekstra ressourcer.
Tag også stilling til det samfundsmæssige: Er der særlige krav eller rammer der kan hjælpe eller
besværliggøre din opgave? Hvis ens opgave eksempelvis er at man skal lave en risikoprofil og
analyse for et NGO team der skal til Afrikas Horn55. Og hvis denne gruppe har til formål at lave en
undersøgelse i forhold til omfanget af og hvordan man kan forhindre omskæring af kvinder, så er
det helt sikkert at der er stærke samfundsmæssige kræfter i såvel Danmark som Afrika der vil
påvirke din opgaveløsning såvel som risikobilledet.
Pas på at du ikke siger ja til noget, der ikke er klart for nogen, herunder dig selv. Det er umiddelbart
det nemmeste ikke at sætte spørgsmålstegn, men herved skubber man bare problemet foran sig. Før
eller siden bliver du nødt til at tolke for at konvertere det til noget konkret.
Alternativet til det ses desværre ofte i mange sammenhænge herunder politisk, nemlig at man i
stedet forsøger at pakke sig ind i fremmedord og generelt taler så uldent at der ikke er nogen der
kan sætte en finger på det fordi det reelt er indholdsløst.
Herved kan man opstille en Superreplikator56, altså en løgn eller uklarhed der er gentaget så mange
gange og i forskellige sammenhænge at den til sidst de facto bliver sand. Et polemisk eksempel på
hvordan man kan skille vandene er eksempelvis ved – som et teoretisk eksperiment - at udpege den
danske regerings opstilling af det såkaldte Inklusionsprincip i folkeskolen, til at være en
55 Typisk defineret som regionen der indeholder landene Eritrea, Djibouti, Ethiopia og Somalia 56 Jævnfør kejserens nye klæder af H.C. Andersen…
53
Superreplikator, idet man herved søger at fremstille det som en positiv måde at inddrage alle børn i
den samme undervisning. Et andet navn for den samme proces kunne således være massive
besparelser på hele folkeskoleområdet generelt og på specialområdet i særdeleshed.
Indholdet af det ovenstående eksempel er ikke vigtigt i denne sammenhæng: det er processen der er
interessant, samt det at man grundlæggende skal passe på ikke at erstatte indhold med form.
3. Har du tilstrækkelig datakilder, til at kunne vurdere risici?
Er det en engangsopgave, eller afsluttet område du skal beskæftige dig med, eller skal du
fortløbende stå for risikohåndteringen i en afdeling. Uanset om det er det ene eller andet, så skal du
tage stilling til, hvor du får din viden.
For det første skal du være sikker på at du får tilstrækkelig data, men lige så vigtigt at de kan bære
dine konklusioner.
Alle kilder er brugbare så længe at du er afklaret med hvem der har lavet dem og hvorfor – jf. de
første kapitler. I de senere år er Wikipedia blevet udgangspunktet for stor set al datasøgning. Der er
der i udgangspunktet heller ikke noget galt i, men man skal være helt afklaret med at Wikipedia
ikke er den udelte sandhed. Tværtimod er det meget svært kildekritisk at forholde sig til den. Det
betyder at det er et godt udgangspunkt og inspiration, men altid skal tages sammen med andre
kilder.
Udfordringen indenfor dette område er, at en del af de data vi skal bruge ikke er åbne men lukkede
kilder. Vi bliver med andre ord ofte nødt til at samarbejde med andre aktører. Det kan eksempelvis
være PET, FE eller UM. Det kan allerede nu anbefales at starte en forsigtig kontakt således at man
ved hvem man skal søge kontakt med og hvordan når det er nødvendigt.
Åbne kilder gælder alt fra turistbrochurer og over til hvad man kan finde på nettet generelt.
Kilderne kan godt indeholde data og have en værdi selvom de ikke er akademiske eller for den sags
skyld objektive. Bare du tager højde for det og ikke spænder data hårdere end de kan bære.
Har du mulighed for at mærke faresignalerne i tide, eller er du nødt til at oprette
informationskanaler/kontakter for at få indblik i området? Jo længere tid du arbejder i området jo
bedre kildefokus og forståelse bør man have. Omvendt betyder det at man skal passe på ikke at
drage for bastante konklusioner hvis ens data ikke kan bære det. Lad være med at accepter mangel
på kilder: vær kreativ og vær i bevægelse mentalt og akademisk.
Har du reelt mulighed for at lave Early warning57 ? Hvis ikke så er det for det første vigtigt at afgive
en melding så ledelsen er klar over at der er potentielt uafdækkede risici. For det andet så tilpasse
dine risikovurderinger så de tager højde for at risikomomentet kan udvikle sig længere end man
kunne ønske.
57 Her forstået som at kunne afgive en faremelding i tide til at man fra ledelsen har et råderum til at imødegå den.
54
Kan du kontinuerligt forbedre, den måde du håndterer information og viden på således, at du bedre
kan håndtere risici? Hvis ikke kan du gøre noget ved det, og hvis ikke hvad medfører det for
kvaliteten og validiteten af dine vurderinger?
Dette gælder i lige så høj gad i forhold til at ajourføre dine risikovurderinger. Medmindre du skal
analysere risikoprofilen for et éngangs arrangement, så bliver du nødt til at se i øjnene at du eller en
anden skal ajourføre risikovurderingen. Dette således at den på ethvert givent tidspunkt reelt møder
risici der hvor de findes og med de midler der passer. Det er ikke alle data kilder der er dynamiske,
og dermed kan du opleve et problem i forhold til at applicere dem i en dynamisk og omskiftelig
virkelighed.
Du kan godt få andre til at hjælpe med at tilpasse elementer af din risikohåndtering. Hvis du er helt
sikker på at de kender deres opgave og de vil udføre den som du forventer. Det betyder at du skal
lave retningslinjer for dem, for af 2 mulige udfald så vil mennesker generelt jf. Murphys lov altid
vælge det værste58. Bemærk i øvrigt at selvom Murphys lov ikke skal tages alt for seriøst, så er der
noget sandt i at alt hvad der kan gå galt, vil gøre det og på det værst mulige tidspunkt.
Faktisk er Murphys lov en god indgangsvinkel i dialogen med medarbejdere der ikke normalt har
med risikohåndtering at gøre, idet den er universelt kendt.
4. Beskriv problemfeltet. Hvis du ikke har fået en egentlig problemformulering, så må du selv og gerne i dialog med
interessenterne formulere den. På dette tidspunkt skal din opgave stå klar nok til at du kan forklare
andre hvad din problemformulering er, om end ikke din løsning. Pas på ikke at finde vejen – din
løsningsmodel – før du har gjort problemet klart, for så bagefter at hægte den på som en eftertanke.
Handl i stedet for kun at tænke hvis du ser en forhindring i opgaveløsningen – og også hvis der
opstår en senere. Det er fristende at parkere det hvis du ser et problem, men vær 100 % afklaret med
at hver eneste gang du gør det, så gemmer du den til slutningen hvor du typisk er maksimalt presset
og har travlt. Derudover skal du pludseligt til at sætte dig ind i en sammenhæng igen, hvilket udover
at det også tager tid, gør at du risikerer at blive fragmenteret i din opgaveløsning.
Læg en plan for løsningen, herunder i både tid og rum. Tænk det igennem fra a til z – hvad regner
du med din konklusion bliver? Det betyder jf. de tidligere kapitler ikke at man skal finde det data
der passer med din konklusion, men tværtimod det der udfordrer den. Men ved at skrive din
konklusion først bliver du mere klar over hvordan det påvirker løsningen i tid og rum, samt hvordan
du skal udfordre dine forudfattede meninger. Afklar om du får brug for at rejse eller gå i dialog med
udenlandske aktører eller organisationer.
Pas på ikke at bide over mere end du dels kan behandle, eller at tage noget med der ikke er relevant.
I denne fase er det lige så vigtig at afgrænse som at præcisere. Husk at gøre dine fravalg og
ansvarsfraskrivelser klart. Med klart menes det at de ikke findes medmindre de er direkte og
eksplicit godkendt af foresat myndighed eller aktører med godkendt formel myndighed. Uden
58 http://www.murphys-laws.com/murphy/murphy-cops.html
55
undtagelser eller særtilfælde. Men når det er sagt, så skal man i en praktisk sammenhæng passe på
ikke at prøve at ansvarsfraskrive sig fra sine primære ansvarsområder. Udover at det er virker
useriøst, så vil det medføre at ledelsen vil sætte spørgsmålstegn ved ens evne til at håndtere og
prioritere området.
Afstem forventningerne med dem du laver opgaven for. Dette gælder både i forhold til effekt og
mål: Hvis der ikke findes en Risikopolitik59, så er det på tide at lave en der holder. Det kan være
indenfor hele spektret, det betyder således ikke at man skal lave en risikopolitik der indebærer nul
tolerance for tab. Det er ud fra et risikohåndteringsperspektiv rent metodemæssigt underordnet hvor
man sætter målestokken, bare alle er helt afklarede med hvad den er og hvad den medfører. Den
skal være enkel og applikerbar i den virkelighed du opererer i.
Når det er en international opgave, så vurdér hvem du skal tage kontakt med for at få afklaret hvilke
lokale udfordringer, regler og risici der eksisterer. Tag kontakt med relevante eksterne
organisationer for at få afklaret området – husk at det er umuligt at kende hele verden, samt at der er
fordele og ulemper ved at kende (eller tror man kender …) et givent land eller område indgående.
Som en detalje i den forbindelse skal man huske eventuel tavshedspligt samt at overholde alle
interne fortrolighedsregler. Endeligt skal man lige erindre de billeder og indtryk man sender ud i
andre organisationer med de spørgsmål og forespørgsler man laver.
5. Skitser baggrunden Det historiske kan være alt fra stammestrukturer i området man skal operere i, der stadig har
beslutningskompetencer60 til modsætningsforhold der historisk skaber risici61 som du ikke bare må
forholde dig til, men som der reelt sætter din dagsorden.
Det historiske behøver ikke at være noget du rationelt kan acceptere eller forholde dig til: men du
må acceptere at der uanset hvad man mener om det, eksisterer et historisk spændingsfelt mellem
mange etniske grupperinger i verden.
Hvis man ikke forstå den belgiske kolonihistorie, og frem for alt de stammestridigheder der altid har
eksisteret, så kan man ikke forholde sig til hvordan risikobilledet ser ud i Rwanda. Man kan pege
fingre af belgierne og mene at de ikke efterlod landet bæredygtigt, men det er ikke operationelt eller
brugbart. Din opgave er ikke at reformere verden, men at gøre at din virksomhed eller organisation
ikke bliver ramt af risici som kunne have været undgået og hvis man bliver ramt, at man så med
udgangspunkt i dine analyser og planer mindsker konsekvenserne og styrer udfaldet i den
udstrækning at det er muligt.
Det er ikke kun Ulande der har en relevant historie. Det kunne også være nutidshistorie i et Iland
der kan være relevant. Hvis man eksempelvis arbejder i en virksomhed der udvikler områder og
infrastruktur, herunder bygger veje og man får en opgave i Canada, så er det meget relevant at
59 Med Risikopolitik menes en helt kortfattet og overordnet sentens. Således analogt til Visionen. Som eksempel kan nævnes Maersk berømte om rettidig omhu, der præcis går på risikohåndtering. 60 Eksempelvis Majlis i den arabiske verden eller stammeråd i Afghanistan. 61 Eksempelvis som i modsætningerne i området omkring Azerbaijan og Nagorno-Karabakh, eller i Eksjugoslavien.
56
beskrive at der historisk set har været spændinger mellem indianere/oprindelige folk i Canada og de
engelsk/fransk talende62. Det er på samme vis væsentligt at slå fast at det faktisk har ført til væbnet
kamp i moderne tid63, og forholde sig til hvad det konkret medfører af risici for din
virksomhed/organisation.
Med andre ord så vil der også for, på overfladen fredelige lande, tit være historiske risici der skaber
en underliggende strøm ovenpå hvilket der så kommer alle de andre risici.
Det er vigtigt at slå fast at selvom jeg vil anbefale at man i hvert fald til et punkt sætter sig helt ind i
historien for det område man skal operere i, så er det ikke det man skriver i sine rapporter. Ledelsen
er ikke interesseret i din version af ”Turen går til Afghanistan”. Skriv det relevante ind og efterlad
links så ledelsen nemt og hurtigt kan tage spadestikke dybere hvis de ønsker det og har tid. Det er
dig der skal udlede det relevante og trække dine konklusioner derfra. Det er markant nemmere at
sige (eller rettere skrive), end det er at gøre. Der findes masser af vedkommende og brugbare
hjemmesider, eksempelvis CIA World factbook64 eller FN´s statistiske kontor65
Husk at denne del af analysen er deskriptiv: løsningen på risikomomenterne kommer senere. Hvis
du udleder pointer her, så vær sikker på at du får dem med i delkonklusioner og den endelige
konklusion, som visse virksomhedsledere realistisk set kun læser.
Det handler ikke om at skrive fyld, men tværtimod fjerne det der ikke er nødvendigt for en
overordnet forståelse. Pas på ikke at skrive modtagerens opmærksomhed væk med lange udredning
af noget der ikke giver en forståelse. Læg evt. noget i bilag så læseren/modtageren kan SE at du har
lavet arbejdet. Slå op i tvivlstilfælde så man ikke bliver blæst bagover af mange sider af uklar
relevans. Som beskrevet v. pkt. 1, så behold dine skitser og forarbejdet – men vær kritisk i forhold
til hvor meget du tager med i det endelige produkt og i hvilken form. Men husk at medtage NOK til
at modtageren får det fulde billede, af risikoområdet du vil skitsere.
I denne fase kan man overveje at bruge en PESTLE66 model, en omverdens model der som mange
andre i princippet kun er en struktureret, men subjektiv brainstorming:
PESTLE Analyse af:
Fokusområde:
Baseret på datamateriale fra:
Dato for Analyse:
Analyse faktorer Noter Potentiel
Indvirkning:
Implikationer og vigtighed
Tidsramme Type Styrke Sandsynlighed Usikkerhed
62 Eksempelvis som set her: http://fullcomment.nationalpost.com/2013/05/01/john-ivison-grim-report-warns-canada-vulnerable-to-an-aboriginal-insurrection/ 63 http://en.wikipedia.org/wiki/Oka_Crisis 64 https://www.cia.gov/library/publications/the-world-factbook/ 65 http://unstats.un.org/unsd/default.htm 66 Political, Economic, Social, Technological, Legal, Environmental
57
i måneder
Punkterne nedenfor
skal relateres til
resten af
virksomheden og
konkurrenterne
Omkring organisationen:
hvorledes vil faktorerne til
venstre påvirke
virksomheden eller en del af
virksomheden
H - Høj
M – Mellem
L - LAV
U - Ukendt
0-6
6-12
12- 24
24 +
Positiv: +
Negativ:–
Ukendt: ?
Stigende: >
Uændret: =
Faldende:<
Ukendt: ?
Derudover 1-10
Hvor 1har en
begrænset
effekt, og 10 er
total katastrofe
1-10
Hvor 1 er helt
usandsynligt og
10 er helt
sikkert
1 – 10
Hvor 10 er
meget
usikkert
Political
Economic
Social
Technological
Legal
Environmental
Som det kan ses så er denne markant udbygget i forhold til den simple og i vid udstrækning
værdiløse PESTLE model man normalt ser. Det er således en bestræbelse på at gå et par spadestik
dybere, men det er vigtigt at slå fast at det ikke i sig selv gør modellen mindre subjektiv. Modellen
burde være forholdsvist selvforklarende – overordnet handler det om at tage trusler eller muligheder
indenfor de 6 hovedområder, og dekomponere og analysere dem. Det gør man med udgangspunkt i
den organisation og det land man analyserer. Den potentielle indvirkning er derfor i forlængelse af
det, indvirkningen på det valgte område eller hvordan det valgte område kan påvirkede udad –
eksempelvis i forhold til det lokale miljø hvis det var en virksomhed i oliebranchen man
analyserede. Tidsrammen kan forstås på 2 grundlæggende forskellige måder: enten som i hvor lang
tid går der (tror vi) før problemet opstår. Alternativt i hvor lang tid regner vi med at problemet vil
eksistere, det er kontekst afhængigt hvad der giver mening. Det kritiske er at man selv har styr på
det. Typen og Styrken ses med udgangspunkt i analyse område og giver delvist sig selv, dog med
det forbehold at hvis man karakteriserer én af dem som ”ukendt” så betyder det at man ved at man
skal vende tilbage til feltet når man har tilegnet sig yderligere viden. Det er altså en midlertidig
udskydelse og ikke en fast rubricering. Derudover kan man vælge 2 tilgange i styrken. Enten bruger
man tilgangen stigen/uændret/faldende, hvilket således giver et fingerpeg om hvilken retning
problemet/risikoen vil gå i. Alternativt vurderer man det fra 1-10 hvor 10 vil have en katastrofal
indvirkning og 1 stort set ingen indvirkning. Herved får man et andet billedet , nemlig af hvor stort
problemet er, men ikke hvordan det udvikler sig – til gengæld kan det føres direkte ind i en
ROS/FERMA model. Derfor bruger man naturligvis en kombination. Sandsynligheden giver sig
selv, kombineret med styrken har man derved grundlaget for beregningen:
58
Konsekvens x Sandsynlighed = Risikoniveau67
Endelig er usikkerheden den faktor hvor man ud fra styrken og validiteten af ens kilder, tager
stilling til tyngden af ens analyse. Konkret forsøger man at knytte en talværdi til ens resultat – i
forhold til risikohåndtering er det af afgørende vigtighed at man overfor både interne og eksterne
interessenter, kan tage stilling til hvor sikker man er på sit resultat. En stor risiko, forstået som en
med stor styrke og sandsynlighed, kan i princippet tvinge virksomheden til at ændre praksis
grundlæggende. Noget der kan være ekstremt omkostningsfyldt og problematisk.
Det svære er ikke at beskrive eller at forstå modellen, men at bruge den i praksis. Dette kræver dels
en arbejdsmæssig indsat, dels en håndværksmæssig forståelse af de modeller man vælger at bruge
og endeligt at man kan få resten af organisationen til at acceptere ens resultater, herunder ens valg
af og brug af modeller.
Denne fase peger direkte frem mod de næste 3 faser. Når man adskiller dem er det således for det
første fordi det følger den overordnede metodik og dels fordi det skal skabe grundlaget og basis for
det fortsatte.
Man går således fra det almene til det specifikke uden at de 2 ting burde være i modstrid med
hinanden.
6. Vurder og analyser risikofeltet. Ved brug af alle de relevante og til rådighed stående midler og datakilder skal du finde HELE
problemfeltet – eller den del af det som tid og ressourcer levner mulighed for. Om muligt så beskriv
hvad du ikke har haft mulighed for at tage med. Hvis der er essentielle eller kritiske områder som
du ikke har tid eller mulighed for at inddrage skal du tage kontakt med organisationen, således at du
enten får mere tid og flere ressourcer. Alternativt at du kan overdrage de fundne problemområder til
en anden problemejer68.
Det er her at FERMA eller ROS modellen kommer ind i billedet – jeg vil ikke gå nærmere ind i en
særskilt beskrivelse af disse. Dette da de i denne kontekst må anses som værende forklaret dels ved
tidligere gennemgang på studiet, og dels for FERMAs vedkommende ved at den studerende kan
indlæse den fra nettet samt at den med forudgående viden om ROS modellen burde være
selvforklarende69. Som det bør være alle bekendt handler det i første omgang om at finde alle risici.
De foregående faser burde være et grundlag, og herudover bør man starte med en fokuseret og helt
subjektiv brainstorm, hvor man som en gruppe bør kunne finde 100 problemer på 10 minutter. Når
man har tiden til det så finder man selvfølgeligt flere, og ved internationale operationer/forretninger
bliver listen lang.
67 Hvilket ikke burde være nyt for nogen der har arbejdet med ROS eller FERMA modellen 68 Dette kunne eksempelvis som beskrevet ovenfor være i forhold til økonomiske risici, hvor Finans/økonomiafdelingen kunne være problemejer. Husk ikke at overdrage problemet til en ukendt eller uklart defineret person eller afdeling, for så er der ingen der håndterer problemet. 69 Hvis denne ansvarsfraskrivelsen ikke er i overensstemmelse med virkeligheden, så forventer underviseren at jf. de tidligere kapitler at de studerende korrigerer hans fejltagelse.
59
Det bør den også være, og faktisk så er det i denne fase hvor man går i dialog med alle nationale og
internationale aktører for at finde endnu flere end dem man selv har fantasi til. Lad i
udgangspunktet være med at blive skræmt over at der er mange – de er udgangspunktet for en
senere fokuseret dialog der bør give det egentlige resultat.
På dette tidspunkt kan man med fordel bruge Delphi-metoden70. Denne er når den kører godt nok og
styret ekstremt god til at komme spadestikket dybere. Som så mange andre metoder kan den gøres
ekstremt kompliceret af personer der gerne vil tjene penge på at sælge managementbøger og afholde
kurser.
I virkeligheden er den ekstremt enkel når man først har forstået den. Udgangspunktet er en tro på
muligheden for synergieffekt mellem eksperter, eller medarbejdere der har indsigt i et givent
område. Disse personer placeres adskilt og bliver bedt om at besvare anonyme spørgeskemaer der
bliver udleveret af den der kører undersøgelsen. Målet er at velbegavede og veltalende medlemmer
ikke dominerer de andre så de skaber en konsensus om sig selv på bekostning af innovative ideer.
Herefter samler og vurderer den, der koordinerer undersøgelsen, de anonyme spørgeskemaer og
fjerne alt der er irrelevant for undersøgelsen og sender de fremkomne input tilbage til eksperterne
hvor de bliver kommenteret. Eksperterne får med andre ord lov til at læse, forstå og kommentere på
det de andre har skrevet.
Hele processen bliver derefter gennemført igen hvorved man tvinger det samlede felt ind og tvinger
eksperterne til at argumentere for og imod de andres og egne meninger. Der er mange tilfælde hvor
metoden er mindre velegnet, blandt andet hvis området er meget fakta baseret. Derudover kan de
tvære svært at få entydige resultater med metoden. Men det er jo som sådan heller ikke målet her –
målet er i stedet at gå hele feltet afdækket og beskrevet.
Når alle risici er fundet, så beskrives hvad man ikke har dækket eller analyseret samt i forlængelse
af det hvad man gør ved det og hvem der skal være problemejer fremadrettet. På dette tidspunkt
handler det ikke om at fjerne risici men alene indhente, kategorisere og beskrive dem.
Også her handler det om at være kreativ og være åbne for utraditionelle løsninger. Husk de samme
forbehold som ovenfor vedrørende fortrolighed m.m.
7. Prioriter og kommenter de fundne risici
Dette gør man efter den kendte formel: sandsynlighed * konsekvens = Reel risiko71. I denne
sammenhæng scorer vi hhv. sandsynlighed og konsekvens fra 1-10, således at man får den reelle
risiko i området 0-100, hvilket for mange giver en intuitiv forståelse for risikoens størrelse72.
70 http://www.strategylab.dk/portal/tools/strategibanken/metoder/forecastingsmetoder/delphi/ og eksempelvis http://en.wikipedia.org/wiki/Delphi_method 71 Der er mange måder at score dette på – forstå den din organisation bruger eller foreslå en bedre. 72 Bemærk at dette IKKE kan betragtes som en procentsats, men alene som en diskret variabel – altså at den enten er 1, 2, 3 osv. I området 0-100.
60
Men man kunne i virkeligheden sætte alle mulige subjektive og arbitrære værdier ind – hvis det er
nemmere for modtagerne og det giver mere mening. Det kritiske er at alle forstår ens tilgang og kan
forholde sig til de værdier man når frem til.
Find en måde der i så høj grad som muligt adresserer de problemer, du har fundet. Det betyder også
at man skal skille det op i meningsfyldte grupper for overblikkets skyld hvis man ikke allerede har
gjort det. Men det betyder specielt at man skal finde en metode der angiver de mest retvisende tal
for hhv. sandsynlighed og konsekvens – spørg eksperter til råds hvis du er i tvivl.
Vurder således om det er tilstrækkeligt, eller om der er områder, som du har brug for ekspertbistand
til. Hvis der er områder, der kræver yderligere indsats for at blive afklarede og eventuelt via
eksterne organisationer, personer eller virksomheder, så gør det. Alternativt så meld klart ud til
organisationen at der er områder, der kræver en yderligere behandling. Forklar således hvis du er
usikker på enkelte risici i forhold til enten dets sandsynlighed eller konsekvens.
Man kan godt levere et produkt, hvor der er noget, der mangler, hvis det sker i fuld dialog, og
overensstemmelse med modtageren og opdragsgiveren og der er en plan og retning, for hvordan
man fylder de sidste huller. Vurder om du vil/skal behandle top 10/20/50/100 i forhold til
problemerne. Hvorvidt det er det ene eller andet vil typisk være med udgangspunkt i
opdragsgiverens ambitioner samt den risikoprofil som man har lavet tidligere – men lad være med
at være helt rigid i forhold til det hvis der i forbindelsen med dit arbejde, viser sig et helt
problemfelt du ikke havde opdaget eller klassificeret. Det er i sådan et tilfælde man indkalder til et
møde og vurderer om det rykker ved opgavens grundlæggende karakter herunder dets output.
Tag i første omgang hellere lidt for meget end lidt for lidt med og efterlad plads i den
projektplan/Gantt-diagram til at du kan gennemløbe et antal Iterationer/møder med modtagerne for
at få input (jf. Delphimetoden ovenfor). Dette således at du gradvist ikke bare reducerer antallet af
risici men også forøger kvaliteten og validiteten af hele undersøgelsen.
Det giver således også fint mening at kommentere nogen af de risici som man vælger fra selvom de
ikke scorer så højt at man ville tage dem med i det endelige felt. Når man har gennemført det antal
Iterationer som ens tidsramme efterlader plads og mulighed for så strukturer man den overskueligt
for såvel ens egen som modtagernes skyld.
Som tidligere beskrevet er det arbejde man laver her værdifuldt, også vedrørende de risici man ikke
vælger at tage med. De vil gøre det nemmere idet de er at betragte som et forarbejde, enten hvis
undersøgelsen bliver større eller hvis man bliver udsat for en af de risici som man ikke har set
tidligere og fravalgte i sin prioritering.
Derfor er det vigtigt at gemme alle sine forarbejder og skitser, hvilket er nemt når de er lagret
elektronisk. Husk i den forbindelse igen IT- og datasikkerhed, som der gælder i lige så høj grad for
skitser og notater som for det endelige produkt.
61
8. Skitsér og implementer en løsning for de problemer du kan. En risikohåndtering handler aldrig kun om at finde risici, men først og fremmest om at fjerne alle de
risici man kan før de sker. Dette vil typisk være ved enten at reducere sandsynligheden eller
konsekvensen, eventuelt begge dele samtidigt. Kun hvis dette ikke kan lade sig gøre vil man kigge
på enten at agere anderledes således at man ikke bliver udsat for risici, eller hvis det heller ikke kan
lade sig gøre, etablere et beredskab for at håndtere problemet hvis det opstår.
Det vigtige er således ikke bare passivt at konstatere at der er et problem, men aktivt at prøve at
fjerne det. Find de nødvendige
samarbejdspartnere, hvis
løsningen rækker ud over din
evner, ressourcer,
kompetenceområde, hvad du har
hjemmel/ret til osv. Gør det klart
hvis man ikke kan løse
problemet og i givet fald
hvorfor.
Det er i denne fase man kan
overveje at bruge en SOTWOT-
model. Den bygger på en
SWOT73, der formodentligt er
den mest misbrugte og
tidsrøvende model der bliver brugt. Hovedproblemet med en SWOT er, at den netop ikke anviser
hvordan man løser problemerne, men alene konstatere at der er der. Tusinder har spildt sin tid på
kurser hvor man ”lærer” at bruge en SWOT, hvorefter man går hjem i organisationer og spilder
endnu flere tusinder af menneskers tid med at finde alverdens Styrker (S), Svagheder(W),
Muligheder (O) og Trusler (T), for herefter i praksis ikke at bruge det til nogen verdens ting.
Herved ligner den til forveksling en dårlig styret risikohåndtering!
Den rigtige måde at bruge den til er at koble tingene sammen med henblik på at finde praktiske
strategier, således: Hvordan kan vi bruge vores styrker til at afhjælpe vores svagheder, hvordan kan
vi udnytte de muligheder hvor vi har vores styrke, Kan vi udnytte muligheder selvom vi har
svagheder indenfor området og ikke mindst hvor skal vi passe på hvor der både er trusler og vi har
en svaghed.
Man bruger den lavpraktisk altså ved at:
1) Finde hhv. styrker, svagheder, muligheder og trusler og føre dem ind i modellen.
73Strengths: characteristics of the business or project that give it an advantage over others, Weaknesses: are characteristics that place the team at a disadvantage relative to others, Opportunities: elements that the project could exploit to its advantage, Threats: elements in the environment that could cause trouble for the business or project.
SWOT Analyse af : Interne Forhold
STRENGTHS WEAKNESSES
Eksterne
forhold
OPPORTUNITIES
SO -
alternativer/strategier
WO -
alternativer/strategier
THREATS
ST -
alternativer/strategier
WT -
alternativer/strategier
62
2) Finde ud af om der for hver af de fundne er relevans indenfor de 2 områder der hhv.
er nedenfor eller til højre for dem
3) Udled en strategi for hver af de fundne, alternativt at droppe dem.
Som alle andre modeller har den alene en værdi hvis man kan udlede noget brugbart ud fra den i
praksis. Hvis dette ikke er tilfældet, så skal den droppes øjeblikkeligt.
Hvis problemet vurderes til, ikke at kunne løses, så vurder som sagt om man selv enten kan
reducere sandsynlighed eller konsekvens, således at problemet bliver mindre. I forlængelse af det
udarbejdes en risikohåndteringsplan og eventuelt opdaterer risikohåndteringspolitikken74. Skal
beredskabet tilpasses eller skal der nye leverandører/samarbejdspartnere til – og er der særlige
forhold, der gør sig gældende i forhold til det geografiske område du arbejder med?
En Risikohåndteringsplan er helt analogt til den beredskabsplan man normalt bruger i mange andre
sammenhænge og bør da også naturligt bygges sammen med denne. Når den således nævnes separat
betyder det ikke at man ikke samarbejder med eksempelvis brandberedskabet, men snarere at det er
komplementært til dette og til beredskabsplanen. Dette gælder specielt hvis vi taler international
risikohåndtering. En risikohåndteringsplan vil derved forhåbentligt være trans- og international og
dermed også skabe fælles rammer og værktøjer.
9. Vær sikker på at løsningerne bliver gennemførte Tillid er godt men kontrol er bedre, og tillid er noget man gør sig fortjent til. Det gælder specielt
indenfor dette område, hvor det er vigtigt at man har is i maven selvom der er nogen der føler sig
trådt over tæerne hvis man dobbelt kontrollerer dem.
Det er bedre at leve med at der er nogen der er fornærmede over at de føler sig overvågede, end at
skulle leve med at ledelsen er vrede over at man ikke har adresseret en risiko. I sidste ende kunne
man være fristet til at sige at det er bedre at skulle leve med at der er nogen der er vrede end at
skulle leve med at der er nogen der er døde.
Lav en plan der håndterer, de risici du ikke kan fjerne, og få den kommunikeret ud til alle relevante
interessenter. Sørg for at validerer alle kommunikationskanaler samt at alle har fået den mængde
data og de opgaver de skulle.
Mål, test og rapporter på sikkerhed og risici løbende – find eller etabler målepunkter/KPI´er der
giver dig en løbende fornemmelse af Compliance/non-compliance75. Også her skal man være
kreativ: det behøver ikke at være avanceret for at virke. Den elementære sikkerhed man bruger til
dagligt er langt bedre end den avancerede som man kun bruger ved lejlighed. Som udtryk for dette
kan man nævne sikkerhedsselen (3-punktselen), sat overfor det udstyr som en formel 1-racerkører
bruger. Der er ingen tvivl om at racerkørerens udstyr objektivt er sikrere, men i og med at man
bruger selen fordi den er nemmere, så er den i praksis sikrere for de fleste.
74 Dette skal man dog passe på med 75 Altså om alle gør som de skal.
63
Vurder sikkerhedsniveauet og forsøg langs forskellige vektorer – med forskellige tilgangsvinkler, at
sikre at tingene forholder sig, som du har planlagt, eller regner med.
Tag højde for Parkinsons lov76, nemlig at ethvert arbejde vil udvide sig indtil, at det udfylder al den
tid, der er til rådighed for dets udførelse. Altså at man altid bruger AL den tid der er til rådig hed til
at lave det man burde have lavet til at starte med.
Det gælder ikke kun i skolesammenhænge hvor den er lige så klassisk og forudsigelig, som det er
en dårlig idé, nemlig at lave sine opgaver og hjemmearbejde i sidste øjeblik. Dette gælder i mindst
lige så høj grad i organisationer, uanset om de er offentlige eller private.
Tiltag til at effektivisere vil ikke nødvendigvis gøre en forskel her da der er mange organisationer
hvor medarbejderne er endog særdeles gode til at se aktive ud uanset deres objektive arbejdspres.
Dette er ikke udtryk for at de er dovne, men snarere at det er meget menneskeligt at udfylde sin
hverdag med diverse småopgaver som der måske ikke reelt set er brug for hvis man har tid til overs.
10. Koordiner og tilse at evt. fejl eller uklarheder bliver korrigerede Dette ligger i umiddelbar forlængelse af fase 9, og kunne måske nok ligge derunder. Når jeg vælger
at skille dem ad trods alt, så er det fordi jeg har en tankegang om at fase 9 primært handler om
planlægning – altså noget pro-aktivt, mens denne fase fokuserer på udøvelsen altså noget reaktivt.
Min pointe er således at man har markant nemmere ved at håndtere noget hvis man har planlagt for
det. Denne pointe betyder altså at denne fase kræver at man planlægger den operationelle del af
kontrollen.
Husk at test det før du ruller det ud således at du er sikker på resultatet. Opfølgningen rapporteres til
ledelsen.
Tag i den forbindelse højde for Peters Princippet77, nemlig påstanden om at gode medarbejdere over
tid i større organisationer vil blive forfremmet til deres inkompetenceniveau. Dette betyder (hvis
man accepterer teorien), at der i en hvilken som helst organisation vil sidder mange ledere der
egentlig ikke er deres job voksent idet de har nået deres inkompetenceniveau: altså en stilling som
de kun lige kan bestride ved bl.a. At udnytte gode medarbejdere under dem til at levere resultater.
Sådanne ledere vil ikke kunne reorientere sig hurtigt hvis der sker noget, altså hvis en risiko bliver
realiseret. De vil også have meget svært ved at være tovholdere i forhold til at indfase nye rutiner,
herunder i forhold til risikohåndtering. Derfor vil de ofte også være skeptiske fordi de er pressede,
og i større eller mindre grad godt selv ved at de ikke magter deres ansvar. Dem skal man møde hvor
de står, jf. i øvrigt snakken omkring Kotter ovenfor.
76 Der er flere som Cyril Northcote Parkinson formulerede i sin bog fra 1958, her tænkes på den formodentligt af de fleste mest kendte lov. 77 Opkaldt efter dets ophavsmand canadieren Laurence J. Peter (1919-1990)
64
11. Overdrag risikofeltet eller revurder om der er kommet nye risici til. Som beskrevet tidligere så er risikohåndtering ikke en statisk størrelse. Derfor er det kritisk at man
forbliver i bevægelser eller sikrer en ansvarsoverdragelse så ændringer af eksisterende risici eller
nye der kommer til, ikke ændrer det sikkerhedsmæssige landskab i en negativ retning. Det er ikke
sikkert at man ender i en situation hvor det er nødvendigt eller meningsfyldt at overdrage ens ansvar
for en given risiko, det er situationsbestemt og skal kun gøres efter moden overvejelse og
forberedelse. Men hvis det skal gøres så er det på dette tidspunkt at det skal gøres – og ikke når man
analytisk og organisatorisk står midt i et vadested. Vælger man at gøre det, så skal det ske til den
rigtige og gradvist således at man er sikker på at man ikke taber bolden i overleveringen. Det skal
således også ske i fuld dialog med organisation og ledelse.
12. Omorienter når du er sikker på at risikofeltet er fuldt og helt
overdraget til en der magter det.
Dette ligger i forlængelse af fase 11, og er rimelig meget ud af landevejen uden de store
krumspring. I virkeligheden er dette måske common sense, men for at sige det så alle er på samme
agenda:
Når man anser at man er færdig med processen, så er det tegn til at man enten genstarter det
indenfor samme område, altså som en forbedrende Iteration. Alternativt at man overdrager det til en
anden Risikoejer.
Den sidste mulighed er, at man vurderer at man godt kan fastholde en rimeligt niveau af
årvågenhed, eksempelvis ved at indføre de rette procedure og SOP ‘er78, til at man kan fortsætte
som risikoejer samtidigt med at man begynder på et nyt område.
Situationen kan være meget forskellig afhængig af hvor stor en organisation man er i, hvilken type
virksomhed det drejer sig om samt hvordan verdenen ser ud på det givne tidspunkt.
Det er også klart at denne situation afhænger af hvilket geografi der er involveret i opgaven – ikke
alene forstået som hvorvidt man opererer nationalt eller internationalt, men i høj grad også hvilket
land og region man opererer i.
Afsluttende og opsummerende Dette er én måde at angribe problemstillingen på, en blandt mange forsøg på at strukturere
virkeligheden på. At lave modeller er et forsøg på at dekomponere virkeligheden således at man
nemmere kan forholde sig til den og derved lægge planer og strategier der kan skabe reelle og
positive forskelle i den virkelighed man opererer i. Det er som beskrevet ikke den eneste, og heller
ikke nødvendigvis den bedste. Men den er sammenhængende og kan bruges indtil en anden og
bedre forefindes. Der er ikke noget helligt eller uangribeligt ved den, og man kan således tilpasse
den efter idet man bare skal være sikker på at det man erstatter, skal erstattes af noget der er mindst
lige så godt.
78 Standard Operating Procedure: en fast måde at løse det samme problem på hver gang som er kendt og indøvet af alle der skal arbejde med det.
65
Det gør i udgangspunkt ingen forskel for modellen om man bruger den nationalt eller internationalt,
selvom resultatet selvfølgeligt er markant anderledes. Det er kritisk at man tager sig tid til at
gennemføre alle faserne korrekt. Hvis man ikke har tid til det, så må man melde klart ud at opgaven
ikke kan løses med de til rådighed stående midler og tid.
En model er kun så god som de data man føder ind i den og den indsats man lægger i den.
Derudover så er det ligegyldigt hvor god ens indsats er i forhold til dataindsamling og analyse, hvis
man ikke kan kommunikere den til andre.
En der er god til at styre risici, får det til at se nemt ud. Men det er et Columbus æg79, for det er ens
egne evner og kreativitet der gør at man er forberedt og kan gøre en positiv forskel. En model kan
hjælpe en med at nå sit mål, men vil aldrig kunne levere resultatet alene.
9. Temaer Det følgende er områder der er kritiske og vedkommende, men som der efter min vurdering ikke
direkte kan placeres meningsfuldt i den ovenstående model. Det betyder ikke at de skal appliceres
efterfølgende, men snarere at de dækker alle faser inklusive de første trin. Det er altså overordnede
problemfelter som man mentalt skal have i baggrunden i behandlingen af de øvrige områder, samt i
udøvelsen af sit arbejde og udfyldningen af sit ledelsesrum.
Kultur
Når jeg i denne sammenhæng taler om kultur så tales der om 2 helt adskilte, men vigtige områder,
som begge kræver at man kontinuerligt forholder sig til dem.
Det første er den kultur man selv og ens sikkerhedsområde udfolder sig i geografisk. Det burde
være indlysende at ens råderum, herunder i forhold til hvilke værktøjer og løsningsmodeller man
kan og bør anvende, er markant forskellige afhængigt af om man eksempelvis skal arbejde i
Afghanistan eller Brasilien. Begge steder har (pr. 2013) af mange årsager store sikkerhedsrisici,
som man i givet fald skal analysere hvis ens organisation skal afvikler aktiviteter der. Men kulturen
er signifikant forskellig.
Kultur i denne sammenhæng er altså af etnografisk, historisk og religiøs art.
Det andet store hovedområde er den organisatoriske kultur man opererer indenfor. Også her burde
det være selvindlysende at man ikke kan gribe tingene ad på samme vis hvis man eksempelvis
arbejder for folkekirkens nødhjælp contra Maersk. Den ene virksomhedskultur er ikke nødvendigvis
bedre end den anden, om end ansatte i Maersk muligvis vil være uenige. Men i denne sammenhæng
er det kritisk at man finde ud af hvilken kultur der eksisterer i den organisation man skal arbejde for
og med. Dette ligger udover eller snarere parallelt med de reflektioner man har haft eksempelvis i
forhold til Kotters 8-trins model samt Fase 2 i analysemodellen.
79 http://da.wikipedia.org/wiki/Columbus-%C3%A6g
66
Et lands og områdes kultur kan være mange ting, men lad mig slå fast at dette ikke skal være en
småfabulerende rejsebeskrivelse hvor man forklarer om de spændende lokale skikke, den dejlige
mad og de sjove folkedragter. Det der er interessant, er det det, der er relevant for dine muligheder
for en risikovurdering og senere en risikohåndtering.
Det er eksempelvis kritisk at forstå, at når man afholder et forretningsmøde med arabere, så vil man
ofte skulle forvente en række af møder, blandt andet drevet af at mange arabere ønsker at starte en
forhandling med at tale om ikke-relaterede forhold såsom vejret, familien, politik, filosofi og
forretning generelt. Det betyder når man opererer internationalt at man skal kende og forstå de
spilleregler som kulturen lokalt stiller op for ens arbejde. Det kunne analogt være at man skal
operere i et land hvor tingene er styret og drevet af en stamme eller stammelignende struktur. Der er
det således kritisk at man ved at det er samfundets ældste80 eller høvding.
Pas på ikke at forveksle fordomme med fakta, og pas specielt på at du ikke forveksler politisk
korrekthed med sandhed. Det er på mange måder f. eks. ikke specielt behageligt, i denne kontekst at
skulle indordne sig i en arbejdssituation under et patriarkalsk samfund hvor kvinder reelt ikke har
nogen rettigheder: men husk på at du er der for at finde og løse risici, ikke for at skabe dem ved at
føre et korstog. Parkér dine evt. politiske og religiøse holdninger før du begynder at arbejde med
risici – i særdeleshed hvis du skal arbejde med det internationalt.
Hvis du ikke kan forlige dig med det, så find et andet arbejde eller bliv politiker. Men gør det
før du skaber problemer som en anden skal løse for dig. Vis respekt også for dem, som du
ikke mener, fortjener det – og tag kun de kampe du rationel ved er kritisk nødvendige.
Det er markant nemmere at sige end at gøre, men virkeligheden er langt fra altid behagelig: men det
er den virkelighed vi skal operere i. Jeres opgave er at løse de problemer der eksisterer og altså ikke
skabe.
Det betyder ikke at man skal acceptere hvad som helst eller stiltiende lade ens organisation eller
blive en del af noget som dens kultur finder uacceptabelt. Men gør det klart på forhånd således, at i
ikke finder jer i en situation hvor alle veje fører et uacceptabelt sted hen.
Overordnet handler det altså om at forholde sig til kulturen på et overordnet plan både i forhold til
der hvor man skal operere, men også om det kan medføre nogen friktionsområder dels med den
virksomhedskultur du opererer indenfor, og dels med det lands kulturer og normer i jeres
virksomheds primære operationsbase81.
Det giver næsten sig selv at det ikke er muligt at beskrive alle verdens lande her.
Udenrigsministeriet, brancherelaterede foreninger samt de enkelte landes ambassader er et godt
udgangspunkt for en mere tilbundsgående dialog, efter man i et givent tilfælde har lavet sin
indledende research på nettet og andre steder.
80 Forstået som den de andre følger, ikke nødvendigvis den ældst m/k man kan finde i området. 81 I dette fag som udgangspunkt Danmark.
67
Virksomhedens kultur kan snyde: der er mange der tror at de kender kulturen i den virksomhed man
arbejder i, men faktum er at der ofte er et misforhold mellem den kultur man, som fra
virksomhedens side hævder, eksisterer og den man bliver nødt til at forholde sig til eksisterer i
virkeligheden.
Det opdager man i sammenhænge hvor samarbejde ikke nødvendigvis er foreneligt med en given
persons personlige udviklingsmuligheder og fremtidsønsker. Jeg har allerede kort beskrevet Peters
Princippet, hvorunder en dårlig leder holder gode medarbejdere nede for at holde sig selv oppe –
altså nærmest som en druknende person der helt irrationelt forsøger at kravle op på andre i vandet
for at holde sig oven vande.
Men det kunne også være i forhold til
vidensdeling, et moderne buzzword der helt
klart er på pladen når man spiller bullshit-
bingo82. Bullshit Bingo er et begreb hvor man,
før man skal til et kursus eller afdelingsmøde,
skriver alle de indholdsløse og overfladiske
fraser og flosker ned på et stykke papir, som
man er træt af at høre igen og igen. Når hele
pladen83 er fuld har man bingo. Hvis man er
usædvanlig selvsikker rejser man sig herefter op og råber ”Bingo!”.
Men alvorligt talt så er det vigtigt at gøre sig klart at en virksomhed og organisation har sine egne
farer og risikomomenter. Hvis man ikke kan navigere disse korrekt, så når man aldrig frem til et
sted hvor man får muligheden for at fremlægge sine analyser og resultater. Alternativt og hvad der i
praksis kan være lige så problematisk, så skal man etablere de rigtige alliancer og kanaler, således at
en anden ikke fremlægger dine resultater, eventuelt som sine egne. Det er ikke altid det er muligt
for dig at nå helt til tops med dine resultater, men før dem altid så langt op du kan, og analyser om
du kan gøre noget på sigt for at bringe dem frem for dem du gerne vil.
Du skal vurdere en given stilling før du siger ja: har du med organisationen som den ser ud og med
den virksomhedskultur der eksisterer, reelt en mulighed for på sigt at levere vare n som du gerne
vil. Hvis ikke så vurder om du vil acceptere den på det grundlag der er stillet til rådighed, om du
kan tilpasse den evt. i en ansættelsessamtale eller om du accepterer det som en springbræt til noget
andet og mere.
Det ovenstående gælder i øvrigt ikke kun i relationen til din leder/ledere. Der er også
gruppedynamiske forhold der kan gøre sig gældende, såvel nationalt som internationalt. Det betyder
at man også skal forholde sig til sine kolleger, specielt hvis der eksisterer en meget
konkurrencepræget kultur i organisationen. Selvom ens mål objektivt set burde være at reducere
risici for alle, og dermed være til alles fordel, så er det meget muligt at man kan vær i modstrid eller
82 Som eksempelvis i denne form: https://play.google.com/store/apps/details?id=dk.miracleas.appchoir.bullshitbingo&hl=da 83 Denne plade taget herfra: http://www.b.dk/kronikker/bullshit-bingo#
68
konkurrence med en anden medarbejder eller afdeling. Der er ikke mange universalløsninger, men
det første trin i processen er at erkende at der eksisterer et problemfelt. Hvordan man vælger at
håndtere det hænger meget sammen med ens temperament, holdninger, værktøjer og ikke mindst
muligheder – men husk ikke at starte en kamp du ikke er sikker på at vinde.
Opsummerende kan det altså slås fast at der i praksis i forhold til din opgaveløsning eksisterer
risikomomenter for din opgaveløsning internt såvel som eksternt, som man ikke altid nødvendigvis
gør sig klart. Men det skal man således at man helt analogt til de øvrige risici, kan vurdere om man
kan afvikle eller nedtone dem, arbejde udenom dem eller må opstille et beredskab til at håndtere
dem. Lav hjemmearbejdet i forhold til de internationale aktører og personer, få styr på etiketten så
du åbner i stedet for lukker muligheder.
Husk på at du kun har én chance til at gøre et positivt førstehåndsindtryk, samt at det ikke kun er
dig selv og din organisation som du er ambassadør for, men også din akademiske og
ledelsesmæssige kompetencer.
Derfor handler kultur om at lave sit hjemmearbejde så man kan gøre det rette på den rette tid og det
det rette sted i forhold til hvad dine omgivelser forventer. Når man opererer internationalt så kræver
dette en fokuseret indsats og planlægning.
Militære kapaciteter og PMC´ere Militære kapaciteter er pr. 2013 dækket af et andet fag på studiet, hvorfor jeg kun ganske kort vil
dække det her. Militære kapaciteter er i denne kontekst en meget bred palet der dækker alt fra
almindelige perimeter- og zonevagter (som en almindelig dansk vægter) over til PMC´ere. PMC
betyder Private Military Contractor, noget upræcist tidligere betegnet som lejesoldater. Endelig kan
man indgå i et samarbejde med nationale militære og politimæssige styrker.
Man skal ikke overraskende planlægge for brugen af dem således at man ud fra et
risikostyringsperspektiv har gjort sig klart hvad man indlader sig på ved enten at bruge dem eller
undlade at bruge dem. I mange lande er bevæbnede vagter normen og ikke undtagelsen, og her vil
det ikke bare være dumt men også uprofessionelt og farligt ikke at have dem.
Men man skal dog samtidigt gøre sig klart at det at have bevæbnede vagter også kan medføre at de
skyder nogen. Det er der ikke nødvendigvis noget umiddelbart juridisk galt i, men som en der
håndterer risici så skal man gøre sig klart at man også kan blive ramt af en dom i forhold til medier
og opinion.
Man skal også gøre sig klart at der er rigtig mange rådne æg i kurven samt at det kan være mere end
svært at finde en kompetent og seriøs aktør lokalt hvis man har brug for det. Som eksempel på dette
kan eksempelvis nævnes Executive Outcomes, en virksomhed stiftet af den pensionerede
oberstløjtnant Eeben Barlow i 1989. Virksomheden beskæftigede sig som så mange andre PMC´ere,
med alt fra eksternt sikkerhedsrådgivning og analyser over til Direct Action84.
84 Forstået som direkte militære kamphandlinger.
69
Executive Outcomes blev nedlagt i 1998, som en direkte konsekvens af Sandline-skandalen. Dette
var en affære der fandt sted i Papua Ny Guinea i 1997, hvorunder EO under kontrakt med den
engelske virksomhed Sandline International, styrede og afviklede adskillige operationer.
Disse blev kendt og offentliggjort, hvilket medførte at den lokale Premierminister blev tvunget til at
træde af samt alle operatørerne fra de forskellige PMC´ere, blev tilbageholdt og afvæbnet.
Pointen er at man skal være varsom i omgangen med PMC´ere idet deres eventuelle fejl og uheldige
dispositioner, kan og vil blive associeret med den virksomhed der har skrevet en kontrakt med dem.
Dette gælder også selvom de ikke på den konkrete mission har lavet nogen fejl. Når det er sagt, så
vil det også være en fejl ikke at tage hensyn til de lokale risici, hvis disse lægger op til en stærkere
sikkerhedstilstedeværelse.
At bruge en PMC betyder også at man skal forholde sig til hvilken man ønsker at bruge og for at
man kan gøre det, så kræver det at man reelt dels er i stand til at analysere og beskrive hvilket
behov man reelt skal have dækket, i hvor lang tid og med hvilke midler man ønsker og vil acceptere
opgaven løst. Samt dels hvilken PMC´er der i givet fald er i stand til at løse opgaven.
Blackwater (i dag Academi, og før det Xe Services LLC, Blackwater USA and Blackwater
Worldwide) var en overgang verdens største PMC, hvilket blandt andet hang sammen med at de var
den primære aktør i Irak. Her valgte man at outsource person- og varetransport, med det formål at
betale for at andre end ens egne soldater skulle risikere liv og førlighed for at lave disse umiddelbart
banale transporter.
Deres opgaveløsning medførte dog adskillige dødsfald for såvel civile irakere, irakiske
sikkerhedsstyrker samt andre PMC´ere. Uanset baggrunden eller legitimiteten af disse dødsfald set i
forhold til Blackwater, så var udgangen på det at den amerikanske regering var nødt til at sætte
stramme regler op, hvor der før reelt ikke havde været nogen.
Pointen er at man skal gøre sig klart at der kan være et negativt udfald for ens egen organisation, i
forlængelse af en eventuel løsning hvor man inddrager PMC´ere – også selvom disse overholder de
regler der er gældende på det tidspunkt.
Men det er kritisk at slå fast at det også gælder den anden vej: hvis man ikke sikrer at der er det
korrekte niveau af fysisk sikkerhed i forhold til ens opgave, så kan det blive opfattet som
skødesløshed, ligegyldighed eller at man vil spare penge på bekostning af ens medarbejderes
sikkerhed.
Det er derfor helt legitimt og acceptabelt at engagere eksterne sikkerhedsfirmaer – man skal blot
analysere situationen og vurdere om de reelt kan levere varen og i en for der er kompatibel med det
overordnede mål.
I den blødere ende af spektrummet viste det sig således at G4S trods underskrivelse af en kontrakt,
gennemgang af planen og god tid til at planlægge, ikke var i stand til at levere det antal vagter de
havde lovet. Derved skabtes en farlig situation, hvor flere risici ikke kunne blive fjernet eller være
70
dækkede jf. planen. Derfor tvang det den engelske stat ud i tvangsudskrive omkring 5000 britiske
soldater – hvilket pga. afspadsering o.l. skabte andre sikkerhedsmæssige risici i perioden efter OL i
London 2012.
Derfor kan det opsummerende siges at PMC i forskellige former og interventionsniveauer, er en
ofte nødvendig del af værktøjskassen. Men man skal gøre sig pro og contra helt klart ved at bruge
dem – herunder gøre sig klart at man ikke bruger et sværd til at udføre hjertekirurgi.
Love og regulativer Som skitseret i de ovenfor og i de foregående kapitler, så vil man i en bredere forstand og forståelse
altid være i kontakt med mange love og regler i forhold til håndteringen af risici. Dette bliver ikke
mindre komplekst når man flytter sigter højere op og taler om internationale operationer. Det er
ikke muligt i denne ramme og med de antal sider der er til rådighed, at begynde at beskrive dette
område entydigt, da der ganske enkelt er alt for meget stof at gennemgå.
Alene af den grund giver det heller ikke mening i detaljer at beskrive de områder man skal have
dækket, for der er en enorm stor forskel i mål, midler og rammer afhængigt af stedet. Derfor vil jeg
skitsere nogle områder, som man kan skabe en skabelon efter. En skabelon som man kan lægge ned
over det område og land som man opererer i.
I Danmark er arbejdsmiljø en naturlig del af arbejdet og dets institutioner. Der skal således være en
arbejdsmiljøorganisation, og arbejdstilsynet er en central medspiller for virksomhederne i arbejdet
med at lave en sikker arbejdsplads. Det gør de i overensstemmelse med arbejdsmiljøloven85, og de
regulativer der i forlængelse af det eksisterer på området.
Som en der håndterer risici, kan man således i vid udstrækning støtte sig op ad eksisterende
institutioner og love samt bruge dets kontrolinstanser86, som sparringspartnere. Dette er ikke-
eksisterende i mange andre lande og områder, herunder ikke mindst i Afrika. I et land som Nigeria
dør der hundreder hver måned af direkte eller afledte effekter fra olieindustrien. Det kan rent
juridisk måske nok accepteres, men man må som en virksomhed se i øjnene at man også kan
rammes nationalt af internationale forretningsområder hvis de ikke skønnes at leve op til de etiske
”love” som medier og meningsdannere opstiller.
På lignende vis eksisterer der i Danmark regler og rammer for arbejdets udførsel, samt for hvordan
og hvornår arbejdsgiver og arbejdstager eksempelvis må afslutte arbejdsforholdet. Disse er ikke
internationalt gældende regler, og faktisk er Danmark langt fra det land der yder den største
beskyttelse til arbejdstagere, idet Sverige og Frankrig for nu at nævne 2 eksempler udstrækker en
langt større grad af beskyttelse
I den modsatte ende af spektret er de såkaldte free trade zone (FTZ) or export processing zone
(EPZ), det nærmeste til hvilket vi i Danmark har med Frihavnen ved Østerport. I disse områder
gælder ikke alle de nationale regler, herunder i forhold til arbejdsmiljø m.m. I Danmark er ansatte
85 https://www.retsinformation.dk/Forms/r0710.aspx?id=133159 86 http://arbejdstilsynet.dk/da/
71
på FN´s lager i Frihavnen87 således underlagt andre regler end resten af det almindelige
arbejdsmarked i Danmark.
I lande som Kina er forskellen langt mere markant. Derfor kan man ende i en situation hvor man
overholder landets nationale regler, men alligevel bliver holdt ansvarlig for det man laver eller
undlader at lave i et andet land.
Det betyder også at man udover at skulle sætte sig ind i de enkelte landes nationale lovgivninger,
også skal gøre sig klart om der er nationale forskelle eller særlige regler der gælder i dele af landet.
Det er pr. 2013 tilfældet i mange lande herunder eksempelvis i Pakistan med Federally
Administered Tribal Areas (FATA), området der grænser op til Afghanistan og hvor der de facto
eksisterer Sharia Lov. Dette medfører blandt andet at kvinder i praksis måske nok kan stemme
lovligt, men at de gør det med livet som indsats.
På lignende vis kan man med udgangspunkt i Danmark slå fast at selvom Grønland og Færøerne er
en del af rigsfællesskabet, så gælder der særlige regler for de 2 områder.
Man skal altså både have styr på de nationale regler i det land man opererer FRA, de nationale love
og regler i de lande man evt. passerer hvis en transport kan være belagt med regler (eksempelvis
hvis man bruger PMC´ere på skive), de nationale love og regler i det land man opererer i samt de
internationale regler og love der eksisterer på området.
Det vil række ud over rammer og muligheder for dette kompendium at beskrive alle relevante love
og regulativer, så jeg vil nøjes med at slå fast at man i udgangspunktet kan bruge
Udenrigsministeriet, relevante ambassader (både deres i Danmark og de danske i de relevante
lande), brancherelevante foreninger og organisationer samt eventuelt relevante ministerier herunder
forsvarsministeriet som sparringspartner i forhold
Beredskabsplan/Contingency plan I dansk nationalt regi vil man typisk opfatte en beredskabsplan som noget der ligger i forlængelse af
en risikovurdering, prioritering og håndtering. Eller med andre ord så er en beredskabsplan en
nødløsning der skal adressere de risici som man ikke har kunnet fjerne, men som man accepterer i
forhold til driften.
En anden løsning er jo således at stoppe driften på grund af ikke-afviklede risici: sende skibene syd
om Afrika i stedet for nord om Afrikas Horn, lade være med at sende nødhjælpsarbejdere ind i en
krigszone eller drive forretninger i Colombia osv. Dette er også en legitim og rationel løsning, men
lagt fra altid en acceptabel, set i forhold til virksomhedens eller organisationens mål og rammer.
Man vil som udgangspunkt jo ofte have det største behov for hjælp eller største potentiale for
indtjening i de områder hvor der er de største risici. Man vil derfor ofte være tvunget til at foretage
en mere eller mindre subjektiv vurdering af risici contra udbytte, hvor man uanset ens analyser fra
tid til anden må se i øjnene at resultatet er givet på forhånd.
87 http://www.unicef.org/index.php
72
Beredskabsplanen skal ligesom en beredskabsplan i Dansk regi være karakteriseret af at den skal
være skrevet til dem der operationel skal bruge den. Den skal med andre ord være Konkret, Klar,
Konkluderende (i modsætning til diskuterende), Kort (uden at miste noget vigtigt) og
Kontekstbaseret.
Den skal således kunne tages ud af den mappe som alt relevant personale skal vide den står i og
tages med ind i mødelokalet hvor krisestaben sidder, og derfra danne rammen og grundlaget for
virksomhedens/organisationens indledende arbejde.
En beredskabsplan skal altid tage udgangspunkt i de risici man har analyseret sig frem til. At
forsøge at lave en generisk tilgang til alle risici vil efter et punkt være meningsløst. Der er ingen
plan der overlever kontakt med fjenden men det er nemmere at tilpasse en gennemarbejdet plan i
stedet for at skulle forholde fra grunden til et opstået problem eller katastrofe.
Den skal i udgangspunktet som minimum leve op til følgende formel (der ikke er udtømmende –
vær kreativ OG kontekstbaseret):
1. Hvad er problemet/risikoen? En kort factorienteret beskrivelse der skal
definere området. Helst på en måde der egner sig til at søge på/slå op på et
faneblad.
2. Hvem skal gøre noget? Både primære og sekundære aktører. Er det interne
alene eller skal eksterne aktiveres/alarmeres? Dette betyder at man skal have
alle kontaktoplysningerne – husk at ajourføre og kontrollere dem!
3. Hvornår sætter vi tiltag i værk? Vær sikker på at det er beskrevet tydeligt
SAMT at medarbejderne har præcise instruktioner om hvad de gør når de er i
tvivl (Altid kontakt den sikkerhedsansvarlige som minimum).
4. Hvad, Hvordan og i hvilke rækkefølge skal man iværksætte tiltag? Vær
konkret og hav en backupplan til alle kritiske områder. Er det lavet i det
korrekte format: kan man udlede de vigtige pointer i den situation man står i
og handle ud fra det? Medie strategien bør være en del af de ting man tager
hensyn til her.
5. Hvordan fortsætter vi vores drift og evt. overdrager sagen til ekstern eller
anden myndighed med vores styregruppe på sidelinien eller omvendt? Ved
nogen problemer kan de fortsætte i lang tid (hijackede skive og/eller
medarbejdere), og vi er nødt til at køre tingene videre88.
6. Datakilder? Er der behov for konkrete planer/fotos/henvisninger i forhold til
7. Debrief? Hvordan tager vi vores medarbejdere hjem og ind i driften igen? Er
det behov for psykologbistand o.l. – det vil der i udgangspunktet altid være.
Kan og skal vi tilpasse vores planer efter ny viden og vores/de konkrete
oplevelser/hændelser?
88 Regnskabsteknisk kalder man dette ”Going Concern” – altså at man aflægger regnskabet i forventning om at virksomheden vil køre videre som beskrevet i en rum tid.
73
8. Versionskontrol! Hvis man er i en stor organisation og handler internationalt
er det kritisk at alle har de samme dokumenter og de indeholder de samme
oplysninger og instrukser. Ikke alene handler det om at alle får de opdaterede
instruktioner hvis man sender dem ud, MEN i lige så høj grad at man sikrer
sig at de bliver skiftet SAMT at man sender dem på en sikker måde.
En anden type af beredskabsplan er hvad man kunne kalde stående ordrer/instrukser. Det kunne
blandt andet indbefatte at det er en hvilken som helst linieleders ansvar, at sørge for at man har alle
relevante data (inklusive personlige og kontaktinformation) på en hvilken som helst medarbejder
man sender udenfor landets grænser (eventuelt ud fra en nærmere specificeret liste). Derudover kan
en sådan instruks kræve at alle medarbejdere skal registreres på Udenrigsministeriets danskerliste
samt deponere en rejseplan/itiniary i virksomheden SAMT kræve at de overholder den.
En sådan stående instruks kan også slå rammer fast i forhold til medarbejderes brug af
prostituerede/escort tjenester mens de er udsendte – som i at det er klart forbudt. Ikke af nogen
moralske eller politisk korrekte grunde, men alene fordi et sådan besøg vil åbne medarbejderne for
pression og dermed typisk udlevering af klassificerede oplysninger fra udenforstående aktører,
organisationer eller nationer. Dette kaldes af nogen en ”Honeytrap”, og selvom den er mest kendt
fra den kolde krig så eksisterede denne praksis både før og efter, og skaber stadig problemer for
uforsigtige medarbejdere og deres organisation.
Et andet aspekt kan være at alle medarbejdere har notatpligt, samt at de skal melde om alle
besynderlige samtaler og situationer som de finder sig i. Dette typisk for at organisationen kan
afklare om de er mål for en efterretningsmæssig operation og i givet fald kan tage passende
forholdsregler, herunder kontakte Udenrigsministerier og den nationale efterretningstjeneste for at
få råd og vejledning.
Man kan/bør afhængigt af sammenhængen instruere sine medarbejdere i områder der ikke må
passeres eller eventuelt sætte rammer for en eventuel passage. Det betyder at man i områder som
Sydafrika eventuelt siger at medarbejdere ikke må bevæge sig ud uden kvalificeret følge (PMC eller
vagter), samt at man i områder som Johannesburg slet ikke må bevæge sig i forskellige områder
uanset tidspunktet eller om man har følgeskab. Tilsvarende kan man kræve at medarbejderne kun
må bevæge sig i aflåst bil samt at de skal følge bestemte ruter. Udover at det kræver at
medarbejderne forstår sammenhæng og formål, så kræver det også at man har afklaret eventuelle
sanktioner når og hvis medarbejderne ikke lever op til kravene. Det er også vigtigt at slå fast at det
også for medarbejdernes egen skyld er vigtigt at leve op til de givne rammer og regler.
For at kunne lave en sådan instruks er det vigtigt at man indledningsvist tager dialogen med
kvalificerede aktører, eksempelvis UM, FE og den lokale ambassade. Herudover den nationale
ambassade for det givne land: men vær opmærksom på om den givne ambassade kan have en
interesse i at nedtone eventuelle problemer. Herudover kan lokale sikkerhedsaktører eventuelt give
et indblik, men også her skal man gøre sig deres bevæggrunde krystal klart.
74
Ved udarbejdelsen skal man også gøre sig klart hvordan man kommunikerer dem og gør dem
implementerbare: hvordan kan man angive ruter og no-go zones hvis medarbejderen ikke taler det
lokale sprog og eventuelt ikke engang kan læse vejskilte og i forvejen er stresset bare for at finde
rundt. GPS navigatorer kan hjælpe med meget, men er ikke nødvendigvis altid tilstrækkeligt og
hvad gør man hvis den går i stykker.
Uanset truslen er det altså vigtigt at man dekomponerer og spreder Beredskabsplanen således at de
relevante dele findes der hvor de skal bruges, samtidigt at man har Masterplanen lagret sikkert og
centralt. Man kan overveje fordele og ulemper ved at laminere essentielle instruktioner på visitkort
tørrelses handouts til medarbejderne således at de har nummeret til et døgnbemandet krisecenter
(Eller har et direkte nummer til den ledende medarbejder der indledningsvist skal håndtere en
krise). Dette skal indøves og kontrolleres: er der eksempelvis mobildækning i hele det område
medarbejderen skal færdes i eller skal man bruge satellittelefon? Og er der alternative
kommunikationsmidler. Og hvis man får en melding fra en truet og skræmt medarbejder, har man
så midlerne og kontakterne til at kunne hjælpe dem rettidigt?
Uanset hvad er beredskabsplanen naturligvis stærkt fortrolig, både i delen og helheden.
Beredskabsplanen skal sammen med de øvrige tiltag og virksomhedens evne til at tilpasse sig en
omskiftelig verden med parametre der skifter dynamisk
Fortrolighed, dokument- og datasikkerhed og efterretningsbilledet Det burde være både indlysende og klart at man i almindelighed skal passe på virksomhedens
fortrolige data. Jeg vil komme nærmere ind på truslen der eksisterer omkring industrispionage,
spionage fra nationalstater samt fra diverse medier og andre aktører i næste kapitel.
Men her vil jeg kort skitsere tankegangene som man overordnet bør have på plads for ikke at skabe
flere risici. For det første så kræver det at man overordnet tager problemet alvorligt. Èn ting er at de
fleste godt kan regne ud at man ikke skal videresende fortrolige mails eller give dem videre til
udenforstående.
Man at man heller ikke skal dele fortrolige eller klassificerede data eller viden internt i
virksomheden er ikke altid lige så åbenlyst for alle. Man skal anskue virksomheden ud fra en
helhedsbetragtning og være klar over at eksterne aktører, der gerne vil vide noget om en
virksomheds strategier, sikkerhedsplaner, data eller andre ting man fra virksomhedens side ønsker
unddraget for andres opmærksomhed, vil bruge alle til rådighed stående muligheder for at danne sig
et overblik over virksomheden.
Det betyder at banale småoplysninger kan bruges i sammenhæng med andre og tilsammen skabe en
synergieffekt hvor de kan være med til at skabe et overordnet efterretningsbillede for de eksterne
aktører. Det kan typisk være svært at forklare for de forskellige medarbejdere, hvorfor de ikke må
fortælle deres kollegaer alt om hvad de laver eller for den sags skyld ikke må gøre fortælle om det
på mobiltelefon (idet de er nemme at hacke – jf. eksempelvis den engelske skandale om avisen
”News Of The World”). Tilsvarende kan det være at man ikke må sende fortrolige informationer
75
uden at kryptere dem via mails. Hvilken krypteringsalgoritme eller program man vælger er
afhængigt af den kontekst man opererer i.
Typisk vil man i Danmark opfatte det som en smule paranoidt hvis man begynder at sætte
retningslinjer op, men faktum er at Danmark er en del af en global virkelighed hvor man ikke
længere kan bruge en provinciel eller risiko relativistisk tilgangsvinkel. Udover at Danmark er åben
for elektronisk angreb fra resten af verden, så agerer de fleste organisationer og virksomheder
internationalt. Derfor må man tage til efterretning at fortrolige data er en blomstrende og stor
virksomhed, og i nogen grad også styret af nationalstater.
Det er ikke nok at skrive en instruks – idet man skal sørge for at gøre det til en del af kulturen89 at
tænke sikkerhed og fortrolighed ind i den daglige drift. Konkret betyder det at
sikkerhedsorganisationen90 ideelt skal være med til at skrive procedurerene omkring
sikkerhedshåndtering. Dette vil typisk ske i samarbejde med de afdelinger der har fagindsigten
omkring området, eksempelvis IT. Men det er også vigtigt at lære af de internationale erfaringer.
Danmark er på godt og ondt stadig i verdens periferi, hvilket fra tid til anden gør at danske
virksomheder må lære på den hårde måde at man bliver et mål når man opererer internationalt.
Fortrolighed gælder ikke kun IT eller data relateret til organisationen, men alle procedurer og
informationer om medarbejdere. Udfordringen er at small-talk er en naturlig del af den almindelige
forretningsjargon og dermed en del af det at drive forretning. I områder som Mellemøsten, vil man
ofte forvente at man taler om alt andet end det man egentligt skal lave forretninger om. Tilsvarende
vil man i et område som Kina og Rusland ofte føre forretningssamtaler ved bordet på en restaurant,
hvor værterne ofte forventer at man følger med i forhold til indtagelsen af drikkevarer. Begge dele
giver forståeligt nok udfordringer ikke kun for forretnings forståelsen men i særdeleshed også for
varetagelsen af følsomme emner. Herudover efterlader det også risikoen for en ”Honeytrap”, jf.
ovenfor.
Man kan ikke lave regler der gør det umuligt at lave forretning eller køre driften – i disse tilfælde
må sikkerhedsorganisationen gå i dialog med driftsorganisationen, og finde et holdbart kompromis.
Det er vigtigt at man markerer sig, men også at man lytter til de mennesker der har den daglige gang
i området (hvis ikke nødvendigvis i det geografiske område).
Man skal også gøre sig klart at det ikke kun er konkurrerende virksomheder der kan og vil foretage
industrispionage. Som begivenheder i 2012-13 viste, så kan og vil nationale efterretningstjenester
også foretage et efterretningsarbejde mhp. at stille nationale virksomheder bedre. Det kan enten
være ved at give dem særlig viden om fortrolige forhold før man evt. offentliggør dem. Alternativt
ved direkte at foretage et indhentningsarbejde i forhold til fortrolige data far og omkring
konkurrerende virksomheder og deres dispositioner.
89 I øvrigt jf. Kotter´s 8 faser – se ovenfor. 90 I denne sammenhæng menes der den del af organisationen der beskæftiger sig med den systematiske analyse og håndtering af risici. Dette som i modsætning til sikkerhedsorganisationen der beskæftiger sig fokuseret med arbejdsmiljø.
76
Det er der for så vidt ikke noget nyt i: Såvel eksempelvis kinesisk som russisk efterretningstjenester
har mere eller mindre åbenlyst systematisk haft følere og agenter ude med det formål at skaffe
planer ikke kun for fjendens våben, men også for produktionsprocesser, design og grundforsknings
såvel som specifikke forskningsresultater91.
Derudover kan man opleve obstruktion, passiv modstand eller et direkte IT angreb. Af det
sidstnævnte kan blandt andet nævnes det systematiske Hackerangreb som den tibetanske
eksilregering blev udsat for i 2011 og igen i 2013 – efter al sandsynlighed af en hackergruppe der er
og var styret af den kinesiske stat.
Ledelsesprofil og –stil
Uanset hvor du vælger at arbejde, så vil du være underlagt en organisation og de regler og rutiner
der gælder i den, herunder både officielle og uofficielle. Det er kritisk at kunne navigere indenfor
dem og kunne få alle i organisationen i tale.
Ikke at have denne evne er i praksis et mindst lige så stort risikomoment som ikke at erkende de
udefrakommende risikovektorer. For faktum er at man kan vende ens kolleger samt ens ledere mod
sig ved ubetænksom opførsel i såvel tale som handling. Dette kan gøre ens rammer og muligheder
så indskrænkede at det næsten bliver umuligt at agere i forhold til arbejdet med risici og sikkerhed.
Derfor er det uanset de tidligere referencer til Bullshit-bingo (Som jeg står ved), vigtigt at kunne
tale med og til dem. Herunder at anerkende deres kompetencer og viden, at anerkende dem betyder
ikke at man nødvendigvis blåstempler dem eller er enige i deres konklusioner. Men at give udtryk
for at andre mennesker er dumme, inkompetente eller på anden måde utilstrækkelige, er en god
måde at vende dem mod sig.
Man skal opføre sig høfligt og professionelt mod alle aktører og personer på sit arbejde. Det betyder
IKKE at man skal være falsk, venlig eller ukritisk give nogen ret. Men snarere at man skal servere
evt. kritik og indsigelser præcist og to the point, og uden personlige udsmykninger eller
uvedkommende indpakning.
Det lyder måske banalt og meget common sense, men faktum er at man opererer indenfor et
vanskeligt område og har brug for alle de allierede som man kan få. Når det er sagt så er det også
vigtigt at analysere og udpege de uforsonlige: dem der aldrig vil blive enige med hvad du siger,
mener eller gør. Dem vil der altid være nogen af uanset hvor man er placeret organisatorisk eller
geografisk.
Hvad de sidstnævnte angår skal man gøre op med sig selv om man reelt får noget ud af en konflikt
med dem (og hele deres netværk), og i givet fald hvad. Herudover og mindst lige så vigtigt så skal
man stille sig selv spørgsmålet om det er en kamp man kan vinde. Hvis svaret ikke er klart nej så
skal man aldrig tage en åben kamp med dem, og i stedet inddæmme dem ved minimal kontakt og
91 Den tidligere russiske præsident Boris Yeltsin blev i en legendarisk videosekvens fra et hemmeligt statsmøde, der ved et uheld blev offentliggjort, udødeliggjort ved at han rasede mod sine efterretningschefer idet han gjorde gældende at man betalte millioner for industriel spionage uden at man efter hans mening fik tilstrækkeligt i udbytte for det.
77
interaktion og herudover sørge for at dokumentere al dialog med dem således at man klart kan
dokumentere hvem der i givet fald har lavet en fejl eller forkert disposition.
Dette gælder jo i øvrigt såvel internt i organisationen, som eksternt i forhold til alle
samarbejdspartnere og kontaktflader både nationalt som internationalt.
Machiavelli ligesom Von Clausewitz92 giver udtryk for at man, når og hvis man vælger at optage
kampen, skal strække fjenden til jorden i en grad hvor de ikke kan rejse sig igen. Altså at de ikke
længere besidder hverken kapaciteten til at føre kampen eller regenerere tilstrækkeligt til at kunne
genoptage den på et senere tidspunkt. I en civil sammenhæng typisk forstået at man enten får
afskediget, omplaceret eller afsløret dem hvis uforsonlige modstand gør det umuligt at udføre en
opgave.
Hvorvidt man er enig er meget et spørgsmål om holdning, temperament og personlige egenskaber.
Sikkert er det i al fald at det er farligt at bøje af og bøje nakken i sammenhænge hvor det er kritisk
at man finder den rette, og ikke nødvendigvis den i organisationen politisk korrekte, løsning i
forhold til løsning af en given risiko.
Der er skrevet mange og lange bøger om management, herunder meget om et af de nye buzz-words,
nemlig at være Autentisk som leder. Hvis jeg tillader mig selv at forfladige hele diskussionen, så vil
jeg i al selvhøjtidelighed tillade mig at postulere at det kan koges ned til det følgende:
1) Kend dig selv: Dette gælder både på godt og ondt personlighed/karaktertræk,
akademiske styrke og eventuel svaghed, temperament og personlige antipatier.
2) Find din egen lederstil: Det er ligegyldigt om man er leder eller specialist. Uanset
hvad så gælder det om at udnytte sine kernekompetencer og akademiske og psykiske
stærke sider til at få gennemført sin vilje med brug af mindst mulig energi og indsats.
Det betyder at man skal være tro mod sig selv uden at lade ens svage sider eller
eventuelt periodevis uoplagthed/dovenskab få lov til at diktere ens handlinger.
3) Hver dag er en eksamen. Det lyder måske hårdt, men som leder og specielt indenfor
risikostyring og sikkerhedsledelse, så kan man ikke tillade sig at have en dårlig dag.
Det betyder ikke at man kan brilliere og imponere resten af organisationen hver dag.
Men vær bevidst om dine opgaver og sørg for at være forberedt (jf. det tidligere
nævnte om rettidig omhu…). Derudover skal man også være bevidst om det man
udstråler herunder såvel kropssprog, påklædning, måde at formulere sig på og
selvfølgeligt også det man siger. Husk på at kommunikation kun i begrænset omfang
handler om det man siger men mindst i lige så høj grad om måden man siger det på
samt om ens kropssprog passer til det man siger og viser. En anden måde at beskrive
det på er med den fortærskede kliché om at være autentisk.
4) Foregå med et godt eksempel. Hvis du gerne vil have en ændring hos andre skal du
være klar til at gøre en indsats for at hjælpe dem og derudover evt. være klar til at
92 Forfatter af ”Vom Kriege” – på dansk om krig, et værk om militærstrategi og –taktik, der i vid udstrækning kan appliceres i civile sammenhænge også.
78
ændre dig selv. Jævnfør i øvrigt Kotter´s 8 faser. At foregå med et godt eksempel
betyder også at man leder fra fronten, altså at man viser andre at de metoder og
strukturer man anviser og anbefaler godt kan lade sig gøre og faktisk er bedre end
den metode som de kender og er vant til. Vores børn gør ikke som vi siger: de gør
som vi gør. Det samme gælder medarbejderne.
5) Lad være med at tro at du kan ændre verdenen eller med et mindre ambitionsniveau
virksomheden, fordi du har været på et management kursus eller har en lang
uddannelse. Brug de værktøjer du kan få til at virke i praksis og brug dem til at lave
en positiv ændring i praksis. Jævnfør pkt. 3 og 4, så er det resultaterne og ikke dine
eksamenspapirer der gør en forskel. Det er dine resultater der skaber den virkelighed
du skal agere indenfor.
6) Gør det du er god til! Jeg har personligt den opfattelse at man altid kan gøre dårlige
ledere mindre dårlige og gode ledere endnu bedre, men at man aldrig kan gøre
dårlige ledere til gode ledere med uddannelse, coaching, mentoring m.m.
Det er fint at være uenig: men gør op med dig selv hvad DU kan bringe til bordet, og
hvor DU kan gøre en positiv forskel – og hvordan du vil gøre det i praksis. Der er alt
andet lige93, en markant større sandsynlighed for at man vil excellere hvis man
beskæftiger sig med noget man synes der er sjovt og som man har en passion for.
7) Sørg for at sælge dine og organisationens resultater og succeser. Det giver næsten sig
selv, men det er kritisk at sørge for at bevæge sig i den rigtige retning i det
dynamiske område som håndteringen af risici. Med andre ord skal man være i en
positiv bevægelse fremad ved at cementere de gode resultater der er opnået og får
anerkendelse for dem. Ikke så meget for at blive bekræftet eller få personlig
påskønnelse (selvom det da er rart). Men for at man har skabt og kan markere
positive resultater man kan pege på i kampen om ressourcer og muligheder der er i
alle organisationer.
8) Less talk More Action. Det er vigtigt og kritisk at kunne formulere sig og italesætte
problemerne, men det er vigtigere at kunne handle når man har etableret et rimeligt
beslutningsgrundlag og lagt en tilstrækkelig plan. Derudover skal man passe på ikke
at lade sig forblænde af veltalenhed hvis der ikke bliver leveret konkrete resultater.
Pas på folk der gemmer deres manglende viden bag fremmedord og lange teoretiske
udredninger. Forlang forklaringer hvis folk er uklare eller taler sort.
Afsluttende kan det slås fast at det uanset sammenhængen er kritisk at udøve korrekt ledelse af
såvel en selv som dem man har ansvar for og endeligt også i nogen udstrækning af de
samarbejdspartenere man har.
93 ”All things being equal”, eller alt andet lige: her forstået i den stringente og korrekte matematiske terminologi. Nemlig som at hvis man fastholder alle andre variable parametre, så kan man med en vis vægt udtale sig om udfaldet ved at ændre én bestemt variabel parameter.
79
Litteraturliste og inspiration til yderligere læsning
Bøger
Risikoledelse og ledelse generelt
Lynggard, Peter: Risikoledelse og risikostyring. Handelshøjskolens forlag, 1. udgave 2011.
Frøling, Troels (ansv. red.): Sikkerhedens aktører. Atlantsammenslutningen, 1. udgave 2002.
Skriver, Hans Jørgen, Staunstrup, Erik og Kærgård, Andreas: Ledelse i praksis. Trojka, 2. udgave
2009.
Machiavelli, Niccoló: Fyrsten. Helikon, 2. udgave 2006.
Clausewitz, Carl von: Om Krig, Redigeret af Nils Berg, Rhodos, 1. udgave 2013.
ISO Technical Management Board Working Group on risk management: ISO 31000:2009, ISO
copyright office, 1. udgave 2009
Terror, kriminelle organisationer og aktører indenfor sikkerhed og risikohåndtering
Per Vingaard Klüver (ansv. red.): Terror-ismer. Den jyske historiker, nr. 115 april 2007.
Erslev Andersen, Lars et al.: Ti år efter 11. september 2001 – Tilbageblik, status og aktuelle
tendenser. DIIS - Dansk Institut for Internationale Studier, 2011.
Madsen, Finn: Terrorisme – en grundbog om den internationale terrorisme. Forlaget Lee, 1990.
Carr, Caleb: Terrorens væsen – en historisk skildring af krigsførelse mod civile: En taktik der altid
har ført til nederlag. Klim, 2003.
Davidsen Nielsen, Hans (red.): En højere sags tjeneste – PET under den kolde krig. Politikens
forlag, 2006.
Aahauge, Jakob og Schierup, Pelle: Terrorens anatomi – en interviewbog. Rosenkilde, 2007.
Schmidt, Regin, Mariager, Rasmus og Heiberg, Morten: PET – Historien om Politiets
Efterretningstjeneste fra den kolde krig til krigen mod terror. Gyldendal, 2. Oplag 2009.
Hansen, Birte: Terrorisme på tværs. Frydenlund, 2002.
Lunde, Paul: Mafia – organiseret kriminalitet verden over. Jyllandspostens forlag, 2004
80
Metodebøger
Andersen, Ib: Den skinbarlige virkelighed – vidensproduktion inden for samfundsvidenskaberne.
Samfundslitteratur, 3. udgave, 5. oplag 2006.
Lindegaard Attrup, Mette og Ryding Olsson, John: Power i projekter og portefølje. Jurist- og
Økonomforbundets forlag, 2. udgave 2008.
Kvale, Steinar og Brinkmann, Svend: Interview – introduktion til et håndværk. Hans Reitzels
forlag, 2. udgave 2008.
Windahl, Sven, Signitzer, Benno og Olson, Jean T.: Using Communication Theory – An
Introduction to planned communication. Sage Publications, 6. udgave 1996.
Generel inspiration
Susanne Idun Mørch: Individ, institution og samfund: pædagogiske perspektiver. Academica, 1.
udgave, 3. Oplag 2009
Internetressourcer
http://en.wikipedia.org/wiki/Main_Page
Wikipedia er selvskrevet, men det er kritisk at forstå at Wikipedia er udsat for pres fra
interessentgrupper og nationale aktører, såvel som fra nationalistiske aktører. Det medfører at det
lagt fra altid er sandt eller hele sandheden der står der. Derfor skal man altid holde det op mod en
anden kilde eller tager dets indhold som inspiration alene.
http://www.transparency.org/
Dén toneangivende organisation omkring korruption og magtmisbrug.
http://www.un.org/en/peacekeeping/
Siden for FN´s militære fredsbevarede operationer – kan sammen med andre bruges til at få en idé
om det relevante områdes sikkerhedsstatus.
http://www.un.org/en/peacebuilding/
Den politiske pendant til den ovenfor nævnte. Kan bruges på samme vis.
http://www.rusi.org/globalsecurity/
En engelsk hjemmeside der behandler forskellige temaer indenfor sikkerheds- og risikostyring
internationalt.
http://www.interpol.int/
81
Interpol behøver vel ikke så meget introduktion. Der er mængder af materiale på denne side, men
pas af den grund på ikke at blive forblændet af irrelevante data.
https://www.europol.europa.eu/’
Den europæiske pendant til Interpol. Har blandt andet European Cybercrime Centre som en del af
siden.
http://um.dk/
Udenrigsministeriet er en primær samarbejdspartner, og har derudover rejsevejledninger der er et
uvurderligt værktøj i international risikoanalyse.
https://www.pet.dk/
Politiets Efterretningstjeneste er også en primær samarbejdspartner. Af særlig interesse kan nævnes
CTA (Center for Terror Analyse) og dets analyser. Har herudover også mange relevante links.
http://fe-ddis.dk/Pages/default.aspx
Danmarks internationalt orienterede efterretningstjeneste er også en primær samarbejdspartner. FE
(og ikke PET) er også blevet ny national it-sikkerhedsmyndighed i Danmark.
http://www.biosikring.dk/no_cache/69/
Center for Biosikring og – Beredskab, er en myndighed der specifikt beskæftiger sig med biotrusler,
uanset om de er menneske- eller naturskabte. Dermed er de også en naturlig dialogpartner hvis man
udsender medarbejdere, specielt til Afrika.
http://www.fbi.gov
FBI behøver lige så lidt som Interpol en introduktion. En rigtig god hjemmeside, men som for
Interpol risikerer man at drukne i information.
https://www.cia.gov/library/publications/the-world-factbook/
CIA World factbook, er en af de bedste kilder der er nemt tilgængelige og på et sprog alle forstår.
Rigtigt godt at holde op mod andre kilder – eksempelvis Wikipedia.
http://unstats.un.org/unsd/default.htm
FN´s statistiske kontor. En meget stor database, men noget svær at navigere hvis man ikke ved hvad
man leder efter.
http://travel.state.gov/travel/cis_pa_tw/cis/cis_4965.html
Det amerikanske udenrigsministeriums hjemmeside for rejsevejledninger. Er langt bedre og meget
større end det danske, men husk at tage højde for forskellen i trusselsbilledet.
82
http://um.dk/da/rejse-og-ophold/rejse-til-udlandet/danskerliste/
Danskerlisten er hvor man kan registrere sig hvis det går galt, således at UM har styr på hvor man er
og hvad man laver, hvis det skulle gå galt.
http://www.sofartsstyrelsen.dk/skibsfartspolitik/Pirateri/Sider/pirateri.aspx
Søfartsstyrelsens hjemmeside. Giver i vid udstrækning sig selv – handler meget om indsatsen mod
pirater.