Arbetet med riskhantering Underlag till styrelsemöte 1-2 juni 2010

Till: Styrelsen
Från: Sekretariatet
Datum: 28 maj 2010


Arbete med riskhantering


Inledning
Riskhantering baserad på riskanalyser är en del av organisationens interna kontroll. För styrelsens del är den ett värdefullt komplement till de tertialrapporter om verksamhetsuppföljning och ekonomi som sekretariatet presenterar på juni- (tertial 1, januari-april), oktober- (tertial 2, maj-augusti) och marsmötet (tertial 3, september-december, tillsammans med årsredovisningen).

Sekretariatet redogjorde på styrelsens möte i mars 2010 för vilka viktiga frågor sektionen arbetat med på senare år och vilka system och strukturer som är på plats för att öka kvaliteten i verksamheten, minimera risker i den och samtidigt öka transparensen och öppenheten. På samma möte fick sekretariatet i uppdrag att till styrelsens möte i juni ta fram ett förslag på hur det fortsatta arbetet med riskhantering ska bedrivas.

I det nedanstående presenteras förslag på en modell för riskanalys för svenska sektionen (se bilaga). På själva styrelsemötet kommer även att presenteras en första övergripande riskanalys baserad på modellen.

Internationella krav
Den internationella rörelsen identifierade redan 2005 (Cirkulär 38, ICM 2005, ORG 50/017/2005) ett antal huvudområden för riskanalys och uppmanade sektionerna att sätta igång ett systematiskt riskhanteringsarbete. De sex riskområden som först identifierades var:

1. Reputational (varumärkesrisker, minskad trovärdighet p g a riskfyllda samarbeten, felaktig information m m)
2. Financial (ekonomisk brottslighet, fundraisingproblem, "dåliga ekonomiska tider" m m)
3. Legal (förändringar i lagstiftning som försämrar villkoren för Amnesty)
4. Political & Environmental (bristande omvärldsbevakning, dålig förståelse för det politiska klimatet)
5. Technological & physical (brister i IT-system, fysiska lokaler och arbetsförhållanden)
6. People (aktivister, anställda, brist på kompetens, kontinuitet, återväxt, sårbarhet genom att kunskapen finns hos ett fåtal m m)

Till detta har lagts ett sjunde:

7. Effectiveness (brister i att hantera tillväxt i människor och pengar, brister i att leverera konkreta resultat vad gäller MR, brister i ledning och styrning)

Riskhantering är en väsentlig del av Amnesty Internationals verksamhet som finns formulerad både i den långsiktiga strategiska planen (ISP) och de globala prioriteringarna (GPS). Även i den svenska sektionens plan 2010-2011 finns målsättningar inom området.

Riskanalysmodellen
Ovanstående områdesindelning har använts av ett antal sektioner som kommit relativt långt med sitt riskhanteringsarbete, t ex AIUK, AI Australien och AI Danmark. Vad man gjort är att utifrån begreppen "Sannolikhet" och "Konsekvens" skatta riskerna i verksamheten enligt en särskild riskanalysmodell. Vi har valt att föreslå denna modell och dessa områden även för den svenska sektionen. Den skala man använder kan variera, men vi har valt att arbeta med en skala 1 - 4 enligt följande:

Sannolikhet (att det vi definierat som risk inträffar)

1 = Osannolik
2 = Mindre sannolik
3 = Möjlig
4 = Sannolik

Konsekvens (om det vi identifierat som risk inträffar)

1 = Försumbar
2 = Lindrig
3 = Kännbar
4 = Allvarlig

För varje huvudområde definieras ett antal relevanta underområden som skattas utifrån sannolikhet och konsekvens enligt skala 1 - 4. De två "betygen" multipliceras och ger en siffra för varje underområde som utgör grunden för bedömningen av graden av risk:

1 - 3 = Risken godtas, inget agerande
4 - 8 = Var vaksam, området bör bevakas
9 - 12 = Snarast möjlig åtgärd för att minimera risk
13- 16 = Åtgärd omgående

Den samlade poängen för vart och ett av de sju huvudområdena anger en övergripande riskvärdering av hela området, men det är först när man går ner i detalj som man kan sätta in konkreta åtgärder. Ett huvudområde kan ha en generell låg risk, men ett enstaka underområde med extremt hög risk. Till de två kategorierna sannolikhet och konsekvens bör därför i systemet kopplas ytterligare två: Åtgärder för att minimera risk, samt Krishantering.

Åtgärder för att minimera risk: De områden som poängmässigt ligger mellan 9 - 16 ska ha en åtgärdsplan kopplad till sig som talar om vem som ansvarar för området, vilka åtgärder som bör sättas in för att minimera riskerna och när det ska göras, samt även ange eventuella budgetkonsekvenser. Det kommer också att behöva göras bedömningar av vilka områden som ska prioriteras vad gäller åtgärder. Naturligtvis är målet att den mätbara risken ska ha minskat efter att åtgärder satts in.

Krishantering: Inom områden som poängmässigt ligger mellan 12 - 16 bör man utveckla krishanteringsplaner där det låter sig göras. En krishanteringsplan ska ta upp vem som ansvarar för hanteringen och hur, om en risk blivit manifest, d v s utvecklats till en kris.


Skattningen görs av en grupp på sekretariatet som förutom ledningen består av pressekreteraren och ett par relevanta anställda från varje avdelning och sker i två steg, dels genom en individuell bedömning av olika områden med fokus på var och ens specifika arbetsområde, dels i grupp med fokus på helheten och de inbördes relationerna mellan riskområdena.

Det bör påpekas att de enskilda underområdena över tid kan förändras beroende på hur riskbilden för sektionens verksamhet förändras. Områden kan tillkomma eller försvinna.


Riskområdenas inbördes relation
Det är uppenbart att flera områden är ömsesidigt beroende av varandra och att det är viktigt att försöka se vad som är orsak respektive verkan. Bristande kompetens hos människor inom Amnesty kan förstås leda till agerande som innebär en risk för Amnestys trovärdighet som i sin tur medför att Amnesty förlorar intäkter, men det är inte alltid sambanden är så tydliga. Något som dock alltid bör göras är att uppskatta de ekonomiska konsekvenserna för varje riskområde. Den analysen blir sedan viktig i diskussionen om vilka ekonomiska reserver organisationen bör ha.


Riskområdena kopplade till Amnestys "identitet"
Det finns vissa grundförutsättningar hos oss som organisation och i vår "identitet" som påverkar riskerna i verksamheten. En gräsrotsorganisation där människor på ideell basis arbetar med frågorna står naturligtvis inför andra utmaningar än en helt igenom professionell organisation. Det är därför viktigt att identifiera de områden som i sig har en hög riskfaktor kopplad till den organisation vi är. Dessa risker går kanske inte alls att minimera, utan man måste helt enkelt "lära sig leva med dem".

Rapportering
Vi föreslår att styrelsen för sin internkontroll får en årlig riskrapport baserad på ovanstående riskhanteringsmodell till mötet i juni. Vi tror att junimötet är en bra tidpunkt, dels för att det är det första ordinarie mötet för den nya styrelsen, dels för att styrelsen fattar ett rambeslut om budgeten för kommande år på detta möte och sekretariatet har då möjlighet att integrera riskhanteringsarbetet i budgetprocessen.

Förslag till beslut

att anta förslaget till riskanalysmodell,

att uppdra till sekretariatet att årligen till styrelsens junimöte presentera en riskanalys av sektionens verksamhet utgående från modellen.




Bilaga - Riskanalysmall
Sannolikhet
Konsekvens
Totalvärde S x K
1. Rykte/trovärdighet Total hela området
Samarbetsorganisationer gör något som skapar negativ publicitet
1 - 4
1 - 4
1 - 16
Varumärkesintrång - andra använder loggan
1 - 4
1 - 4
1 - 16
Bristande förtroende för ideella sektorn
1 - 4
1 - 4
1 - 16
Företrädare för AI skapar negativ publicitet
1 - 4
1 - 4
1 - 16
Vi går ut med felaktig information
1 - 4
1 - 4
1 - 16
Samarbeten - både andra org och företag
1 - 4
1 - 4
1 - 16
Felaktig användning av fotografier, rättigheter mm utan personers medgivande
1 - 4
1 - 4
1 - 16
2. Finansiella risker Total hela området
Förskingring
1 - 4
1 - 4
1 - 16
Falska fakturor
1 - 4
1 - 4
1 - 16
Förlora PKL eller annan stor intäkt
1 - 4
1 - 4
1 - 16
Vikande marknad (generellt och F2F/TM)
1 - 4
1 - 4
1 - 16
Upphandling/val av leverantörer
1 - 4
1 - 4
1 - 16
Insamling utanför 90-konto
1 - 4
1 - 4
1 - 16
Insamling till verksamhet utanför AIs åtagande
1 - 4
1 - 4
1 - 16
Falska insamlingar
1 - 4
1 - 4
1 - 16
AI bryter mot "reklamregler"
1 - 4
1 - 4
1 - 16
3. Lagstiftning Total hela området
Lagförändringar (F2F/TM)
1 - 4
1 - 4
1 - 16
Stämningar från företag
1 - 4
1 - 4
1 - 16
Momsutredningen
1 - 4
1 - 4
1 - 16
4. Politik/omvärld Total hela området
"Politisering" av AIs nya åtagande, risk för "vänsterstämpel"
1 - 4
1 - 4
1 - 16
AI tvingas till snabba ställningstaganden i medialt heta frågor
1 - 4
1 - 4
1 - 16
AIs budskap "kidnappas" av andra
1 - 4
1 - 4
1 - 16
Oförmåga att agera på MR-kränkningar i Sverige
1 - 4
1 - 4
1 - 16
5. IT/arbetsmiljö Total hela området
Dataintrång
1 - 4
1 - 4
1 - 16
Brister i backuper
1 - 4
1 - 4
1 - 16
Generell datasäkerhet
1 - 4
1 - 4
1 - 16
Brandrisk
1 - 4
1 - 4
1 - 16
6. Människor Total hela området
Trakasserier/attacker på personal på stan
1 - 4
1 - 4
1 - 16
Beroende av nyckelpersoner (ingen backup)
1 - 4
1 - 4
1 - 16
Hot mot personal
1 - 4
1 - 4
1 - 16
Bristande kunskaper bland aktivister
1 - 4
1 - 4
1 - 16
Bristande kunskaper bland anställda
1 - 4
1 - 4
1 - 16
"Besvärliga människor"
1 - 4
1 - 4
1 - 16
7. Effektivitet/resultat Total hela området
Bristande kompetens i styrning och ledning
1 - 4
1 - 4
1 - 16