Risk - A Users Guide, av General Stanley McCrystal & Anna Butrico

Store forventninger gir stor fallhøyde

Idet jeg tar fatt på oppgaven med å skrive denne anmeldelsen er det et par timer siden boken, som jeg forhåndsbestilte for flere måneder siden, ble hentet på «posten». Boken er enda ikke åpnet. Jeg holdes tilbake av en skrekkblandet fryd. Jeg er nemlig - på kanten til fanatisk - opptatt av fenomenet risiko. Et fenomen jeg har måttet håndtere i praksis og som har utfordret meg kognitivt. I tillegg har jeg studert risiko spesifikt ved Universitetet i Stavanger. Fenomenet fortsetter jeg å studere og jobbe med til daglig som rådgiver i NATO og Forsvaret i form av å holde foredrag, undervise og rådgi stabsoffiser og beslutningstakere.  Jeg mener mye og har ment mye offentlig om risiko: i form av relevansen til ulike vitenskapelige perspektiver; hvordan det beskrives i militære doktriner; og, hvordan det operasjonaliseres eller heller ikke operasjonaliseres i militære håndbøker.

På en annen side burde ikke noe av det forannevnte egentlig holde meg tilbake. Boken vi snakker om her er skrevet med utgangspunkt i General Stanley McChrystals tanker og erfaringer. Han er generalen som skal ha revolusjonerte hvordan Amerikanske Joint Special Operations Command opererte. Han ledet blant annet innsatsen som lyktes å «ta ut» grunnleggeren av Al-Qaida Irak, Abu Musab al-Zarqawi, [i][ii]for deretter å ha skrevet den meget vellykkede boken Team of Teams: New Rules of Engagment for a Complex World.

Med bakgrunn i tidligere erfaring, utdannelse og daglig virke er det derfor ikke uten risiko boken åpnes ...

Mulige utfall av å lese boken er blant annet på et personlig plan å ende opp med redusert respekt for general McChrystal, samt et potensielt behov for å revurdere egne standpunkt knyttet til risiko. Sist men ikke minst, så kan dette ende med kink i nakken etter å ha nikket anerkjennende i gjennom de 290 lettleste sidene.

Det påfølgende beskriver hvordan jeg har lest og hva jeg mener om Risk – A Users Guide. So let`s begin ...

McCrystal sin risikoforståelse

Bokens første del er «ydmykt» døpt i tråd med Carl von Clausewitz legendariske verk, og lyder navnet «On Risk». Dette burde McChrystal, som selv påpeker at denne boken ikke er en akademisk fundert utforskning av risiko, holdt seg for god til. På ingen måte rettferdiggjør McChrystals måte å beskrive risiko i denne første delen en slik referanse til verdens trolig mest siterte militære tenker. Når det er sagt så er McChrystals tenkning logisk, rasjonell og interessant.

Flere av påstandene, argumentene og konklusjonene som presenteres om risiko og risikorelaterte forhold er allerede beskrevet i fagbøker og i forskning uten at det henvises til i denne boken. Der McChrystal uansett er god, er der hvor han kommuniserer tematikken på en lettfattet og logisk måte. Eksempelvis, så er McChrystal tydelig på at en må være ærlig om at selv de mest overbevisende risiko-orienteringenes matematiske fremstillinger av risiko i bunn og grunn bygger på antagelser. Samt, at ansvarlige ledere av natur er risikoavers. Videre beskriver han risiko som noe som faktisk er krevende å kommunisere til andre mennesker. Han fremhever at risiko kan forstås teoretisk, psykologisk og emosjonelt.

Der hvor McChrystal med fordel kunne inkludert flere sider i denne delen av boken er der hvor han beskriver sitt grunnsyn på og definisjon av risiko. Definisjonen som presenteres av generalen er for de som jobber med forebyggende sikkerhet og de som kjenner Norsk Standard 5830: Samfunnssikkerhet – Beskyttelses mot tilsiktede uønskede hendelser gjenkjennelig, men den er forenklet. McChrystal definerer risiko som:[iii]

Om man er villig til å ta risikoen ved å gå «teoretisk til verks» oppdager man at i motsetning til NS5830 mangler McChrystal sin definisjon presisjon i form av et «subjekt» for analyse. Der NS5830 sin tre-faktor modell nettopp har dette, og definerer risiko som «forholdet mellom trusselen mot en gitt verdi og denne verdiens sårbarhet overfor den spesifikke trusselen.»[iv]Et slikt utgangspunkt for analyse av risiko har relevans innen flere faglige disipliner, men fordrer en eller flere trusler (Threats). Underforstått trussel i form av en motstanders vilje og evne til å påføre ens organisasjon skade. Det vesentlige her ar at man forholder seg til noe som er viljestyrt. Dette er noe annet enn farer (Hazards), som på en eller flere måter kan påføre en skade mer eller mindre tilfeldig. Eksempel på sistnevnte er faren som et mulig snøskred utgjør. McChrytal sin risikodefinisjon kan derfor ikke beskrives som annet enn en forenklet logisk modell for å tenke om risiko med situasjonsbetinget egnethet.

McChrystal påstår at risikohåndtering i praksis sjelden gjøres med en bevist utnyttelse av den omfattende teoretiske kunnskapen omkring risiko som «vitenskapen» har produsert. Det er all grunn til å tenke at generalen har rett i akkurat det, selv om det kan beskrives som en selvoppfyllende profeti da det er noe han selv ikke gjør eller argumenterer videre for å gjøre i boken. McCrystal har i sin modell for hvilke funksjoner et system må utføre for å håndtere risiko flere fellestrekk med «ISO 31000 Risikostyring,» som blant annet anvendes i NATOs doktrine utførelse av operasjoner.[v]

ISO 31000 modell for Risikostyringsprosessen

Det er på sin plass å påpeke at det ikke alltid er negativt at man forenkler risikodefinisjoner eller prosesser. Det kan også tidvis være et lurt pedagogisk grep som gjør risikodefinisjonen mer anvendelig og forståelig. Samtidig er det slik at prosesser og rammeverk bør være tilpasset, og at det sikres anvendelighet for det respektive nivået i en organisasjon. De tre sistnevnte tingene argumenterer dog ikke McCrystal for i denne boken.

McCrystal sin oppskrift for "risikostyring"

Bokens andre del Risk Control Factors tar for seg ti faktorer for å styre risiko fordelt over tilsvarende antall kapitler. McChrystal bruker analogien om militære landstyrkers «forsvarer i dybde», eksemplifisert med egne erfaringer på en profesjonelt overbevisende måte. Noe han beskriver på en måte som innebærer at man må gjøre flere ting samtidig for å effektivt håndtere risiko. Den sammen tankegangen, vedrørende slike forsvarslinjer / risikobarrirer i form av et dybdeforsvar som del av risikostyring, illustrerte James Reason kanskje mer intuitivt med lansering av sveitserostsmodellen sin i 1997.[vii]

Figur 1.4 er hentet fra side 9 Mangaing the Risks of Organizational Acciddnts – av James Reason.
Figur 1.5 fra side 12 i boken Mangaing the Risks of Organizational Acciddnts – av James Reason.

Ni av McChrystals ti Risk Control Factors kan illustreres som risikobarrierer i form av James Reasons osteskiver fra det sene 1990-tallet. Den tiende faktoren som omhandler vår tilbøyelighet til å ubevist benytte kognitive skjevheter eller tankefeil – kognitiv bias - beskriver en alvorlig sårbarhet hos alle enkeltindivider og organisasjoner. Flere av hullene i James Reasons 1990-talls sveitserost kan være illustrasjoner på sårbarheter skapt av slike kognitive skjevheter.

Ni av McChrystals 10 «Risk Control Factors» illustrert som James Reasons Sveitserostmodell

Disse kan også illustreres som sannsynlighetsreduserende og konsekvensreduserende barrierer i Bowtie Metoden fra 1970-tallet, som for de spesielt interesserte kan påpekes så være et verktøy for en forenklet feil-tre-analyse.[viii][ix]

Ni av McChrystals 10 «Risk Control Factors» illustrert som barrierer før og etter en hendelse i en risiko Bowtie modell.

Det er i McChystal sine forklaringsmodeller, og særlig i eksemplifisering av de ti foreslåtte Risk Control Factors, han er på sitt beste. Med en rekke overbevisende eksempler, fra virkelige hendelser, klarer Generalen å «selge» budskapet sitt om viktigheten av sine utvalgte faktorer. Alle de ti kapitlene avsluttes med en 3 – 4 spørsmål som krever at leseren tar stilling til hvordan det siste kapittelets poeng er relevant for ens egen organisasjon eller ikke. General McChrystal fremstår oppriktig interessert i å tvinge frem leserens egne kritiske refleksjoner basert på sine påstander og eksempler. Et fremragende pedagogisk grep som forhåpentligvis bidrar til å «trene» oss leserne i kritisk refleksjon, noe som er en forutsetning for å kunne vurdere og håndtere risiko på en troverdig måte. Eksempelvis så utfordrer han det herskende synet på mangfold ved å skille mellom visuelt identifiserbart mangfold og reelt mangfold av ideer, kunnskap og erfaring. Han skriver blant annet at;

«It is ironic that the absence of the unvarnished views of five ‘old white guys in uniform’ highlighted a lack of diversity»[x]

Å skape organisatorisk resiliens

Det er i bokens siste del Strengthening the System leseren virkelig begynner å få valuta for pengene sine. Her presenter general McChrystal en praktisk tilnærming med 11 relativt konkrete «verktøy.» Enkelte verktøy vil være veldig gjenkjennelig for militære planleggere, mens andre vil kunne fremstå som nyttige utvidelser av «verktøykassen.» Videre eksemplifiserer generalen hvilke av «verktøyene» som passer til enkelte av symptomene på sårbarheter.

Et av eksemplene som presenteres er når det hersker en oppfattelse av at et problem skyldes eksterne og ikke interne forhold. For å avdekke om oppfattelsen faktisk stemmer, og er reel, eller om den skyldes forhold innen risikofaktorene kognitive skjevheter og lederskap anbefaler generalen å benytte tre verktøy: 1) Revurdering av risikobilde, 2) En kritisk gjennomgang av egne antagelser, og, 3) Red team øvelser. Sistnevnte går utpå å sette sammen et en liten gruppe som gis et tydelig mandat til å gjennomføre en kritisk gjennomgang av organisasjonens egen plan sett fra eventuelle «motstanderes» side.

Svakheten med akkurat denne delen av boken er at den kun overfladisk forklarer hva disse verktøyene er, samt hvordan disse kan benyttes. For å lykkes med å styrke «risiko immunforsvaret» slik som general McChrystal argumenter for kreves nok mer enn hva boken tilbyr. Kanskje vil du være «best» tjent med å leie inn rådgivere fra McChyrstal-group.

Hodestup eller telemarknedslag?

General McChrystal`s hovedbudskap om at du som leder må jobbe aktivt for å håndtere, og ikke bare unngå, risiko står seg fjellstøtt – la det ikke være noen tvil! En god illustrasjon er følgende analogi: «Å trene på løsrivelses fra et fiendtlig angrep uten å samtidig trene på å måtte håndtere egne sårede er like intelligent som å planlegge med å håndtere en pandemi med vedvarende full bemanning av alle samfunnskritiske funksjoner som sykehusene.»

Idet vi ser på bakgrunnen til forfatterne, samt måten boken er skrevet på, er det rimelig å hevde at boken primært bygger på McChrystal sine tanker og ideer. Boken hadde nok dog ikke vært like lettlest og kommunisert like godt om det ikke var for bidraget til medforfatteren Anna Butrico.

Etter å ha lest boken er konklusjonen at General Stanley McChrystal er «skyldig» i minimum ett av to mulige forhold. Enten å ha «kirsebærplukket» og forenklet enkelte etablerte konsepter for risikostyring for deretter å krydre disse med sin omfattende operative ledererfaring. Eller, så har han i kraft av sin evne til kritisk refleksjon – tilegnet gjennom utdanning og mange år som militærleder i krig og kriser, samt senere tids erfaring som konsulent og rådgiver for store sivile bedrifter - kommet frem til liknende (om noe mindre nyanserte) konklusjoner og anbefalinger som ledende akademikere og forskere allerede har presentert. Uavhengig av hva som faktisk er tilfellet, så står denne boken på en solid grunnmur i form av egen relevant erfaring, etablerte verktøy og risikofaglige konsepter. Boken kan derfor anbefales, med er vesentlig reservasjon.

Boken fremstår som en erfaren «risikofaglig lekmanns» tilnærming til risikostyring. Boken er likevel i større grad en bok om ledelse enn en bok om risiko. Så dersom det skulle bli brukt terning for å vurdere boken, ville den fortjent en 2’er for det risikofaglige og en 5’er for det lederskapsfaglige.

Konklusjonen er da at respekten for General Stanley McChrystal opprettholdes, men hypotesen om at generaler klarer å være ekte generalister i form av å være «eksperter» på alt har fått nok et skudd for baugen …


[i] McChrystal, Stanley A. (2014) My Share of the Task : A memoir.New York: Penguine Random House LCC

[ii] McChrystal, Stanley A., Silverman, D., Collins, T. & Fussell, C. (2015). Team of Teams. New York: Penguine Random House LCC

[iii] McChystal, Stanley A. & Anna Butrico. (2021). Risk: a user’s guide. New York: Penguine Random House LCC

[iv] NS 5830 (2012). Samfunnssikkerhet – Beskyttelses mot tilsiktede uønskede hendelser - Terminologi. Oslo: Standard Norge

[v] NATO. (2091). AJP 3 – Allied Joint Doctrine for Conduct of Operations, Edition C Version 1.

[vi] International Standards Organization (ISO), 2018. Risk Managment: ISO 31000

[vii] Reason, James. (1997) Managing the Risks of Organizational Accidents. London: Ashgate Publishing Limited

[viii] Aven, Terje, Willy Røed & Hermann Wiencke. (2008). Risikoanalyse. Oslo: Universitetsforlaget.

[ix] Talbot, Julian. (2018). Risk BowTie Method. https://www.juliantalbot.com/post/risk-bow-tie-method

[x] McChrystal, Stanley A. & Anna Butrico.