Snydekulturen: Gråzonen har fået nye kulører

Frygten for at komme i nærheden af det problematiske, det fejlagtige og det onde definerer organisationers risikostyring. Vi skal gøre op med nulfejlskulturen.

Risikoen, bedraget og snyderiet er ikke en abstrakt størrelse. Risikoen er helt nede i den operationelle hverdag. Illustration: Iris
Læs mere
Fold sammen

Gråzonen for snyd, fejl og bedrag i dansk erhvervsliv har altid været der. Jeg tror ikke, at den vokser i disse år, men effektivitetspresset på vores organisationer og digitaliseringen giver gråzonen nye kulører og udtryksformer. Presset fra international IT-kriminalitet og graden af digitalisering i moderne virksomheder sætter vores evne til risikostyring under pres.

Hovedproblemet er, at mens succesen har mange fædre, så er fejl, problemer og snyderier oftest forældreløse.

Modsætningen mellem det gode og det onde ligger dybt i den vestlige civilisation, hvor vi som bekendt ender i enten himmel eller helvede, og hvor enhver fortælling er spændt ud i kampen mellem helten og skurken. Det gælder i dén grad også medieomtalen af erhvervslivet, hvor ugens hændelser spidsvinkles i personlige opture og nedture for toplederne. Det slår igennem på indersiden af virksomheder og organisationer som nulfejlskultur, og den nulfejlskultur er faktisk hovedfjende nummer et for os, som dagligt arbejder med at skabe bedre risikostyring. Risikostyringen lider af tre hovedproblemer: Benægtelse, dårlig forankring og abstrakthed.

Når en virksomhed vælger en samarbejdspartner – f.eks. på IT-drift – kigger den typisk på de erklæringer om risikostyring, der er udarbejdet. Disse erklæringer vil på hundredvis af sider slå fast, at der »ikke er noget at komme efter«.

Konsulenthuset, der har udarbejdet erklæringen, har gennemsøgt koncernens risikostyring og informationssikkerhed og fundet, at den var i fin tilstand. Formålet er klart nok for leverandøren, for det styrker omdømmet, at man ikke har nogen problemer. Men samtidig er det benægtelse af de faktiske farer og risici. Jeg undrer mig tit, når jeg gennemlæser disse erklæringer på vegne af mine kunder. Der begås stort set ingen fejl. Et af problemerne er selve omfanget af erklæringen. Læseren forholder sig sjældent til et sådant kompendie, og mange arkiverer uden at nærlæse.

Erklæringen er typisk også afgrænset til et specifikt tidsrum. Men tiden er løbet fra denne type af assurance, da truslerne ændrer sig i digital hastighed. Den slags erklæringer er altså en del af problemet: Her i huset er vi helte og ikke skurke. Alt er i sin skønneste orden, og uregel­mæssigheder kender vi ikke noget til. Eller gør vi?

Et dansk forsikringsselskab opdagede for et par år siden, at en kvindelig medarbejder havde svindlet selskabet for 13 mio kr. Hun var ludoman, og presset på hendes private økonomi førte til svindel. Med andre ord kan samme problemstilling findes alle steder. Hver dag er danske virksomheder også udsat for ransomware, phishing og identitets­tyveri, men de taler nødigt højt om det.

Ofte tager virksomheder forretnings­mæssige beslutninger, som ændrer deres risikobillede. Men nulfejlskultur fører til, at vi ikke taler om risici og problemer ofte nok og tidligt nok, så vi kan lære af det. Måske er det karrierehæmmende at tale om risiko­siden af virksomhedens aktiviteter?

Risikostyringen skal ske tæt ved forretningen og helt nede i hverdagen. Den allervigtigste sensor er medarbejdernes aktive medvirken. Hvis flere havde undret sig, så var svindlerne nok ikke løbet med tocifrede milliardbeløb fra Skat. Vi skal opbygge en kultur, hvor det er normalt og integreret i beslutningernes DNA at tænke på og tale om risikosiden.

I store koncerner ligger ansvaret for risikostyringen ofte hos en koncernfunktion på gruppeniveau. Men risikoen, bedraget og snyderiet er ikke en abstrakt størrelse. Risikoen er helt nede i den operationelle hverdag. I nogle virksomheder udvikler det sig til et vildt og voldsomt kontrolhierarki for hvad som helst (og derfor ingenting).

En bureaukratisk papirtiger, som ikke brøler af det kritiske, fordi den er for stor og for ufleksibel. Hvis risikostyringen ligger for langt væk fra hverdagen, vil ledere på et lavere niveau fokusere på egne primære mål og ryste på hovedet af risikostyringen.

God praksis er i stedet at definere de risici med tilhørende nøglekontroller, som er afgørende for virksomhedens overlevelse. Og samtidig at indbygge risikotænkningen i det forretningsmæssige DNA ude i hverdagen, så man opnår en løbende læring om de faktiske risici. Det kræver en kultur, hvor man lytter – og ikke straffer – når nogen fortæller om problemer, uregelmæssigheder og risici.

Og digitaliseringen er ikke kun en del af problemet. Vi kan nemlig gøre det nemt at rapportere og følge op med et digitalt setup fra top til bund. Dette skal selvfølgelig også afspejle sig i vores samarbejds­partneres risikostyring, så vi kan opnå kontinuerlig rapportering og ikke kun årlige erklæringer.