Nye Cowboytricks

Simplificér dine IT-risikovurderinger.

Tomas Hellum og Michael Sjøberg taler risikovurderinger i denne uges episode af Risiko Radio – for hvordan pokker sikrer vi os, at vi får ført det løbende, effektive tilsyn med vores leverandører på IT-siden – så vi er compliant med GDPR.

Cowboy-tricksene bliver leveret af Tomas – og du kan fange ham her på Linkedin

…og Michael kan du linke op med her

Simplificér dine SOP’er!

Risiko Radio epsiode 067: Interview med Ulrich Perch-Nielsen, Danske Bank

Tomas Hellum & Michael Sjøberg er i denne episode af Risiko Radio taget på besøg hos Danske Bank for at mødes med Ulrich Perch-Nielsen, som står i spidsen for bankens “SOP Simplification Program”.

Hvis du sidder og arbejder med processer, arbejdsgange eller SOP’er er der simpelthen så mange guldkorn at hente i denne episode, hvor Ulrich deler ud af sine erfaringer med at forenkle Danske Banks enorme bagkatalog af Standard Operating Procedures.

Danmark kan håndtere it-sikkerhed smartere

Lad os dele erfaringer, trusselskataloger og risikovurderinger langt bedre. Vi har måske brug for et dansk non-profit-organ til at samle trådene.

Mærsks åbenhed om milliardomkostninger afledt af cyberkriminalitet er blot ét af mange tegn på en stor og voksende trussel inden for it-sikkerhed. Derfor er en styrket risikostyring på dagsordenen hos store og små virksomheder og hos både offentlige og private. Logisk nok arbejder vi også sammen i sektorer og brancher for at løfte vores forståelse og beredskab. Bankerne arbejder sammen for at dele erfaringer, og i den offentlige sektor går man frem sektor for sektor. Men der er stadig store muligheder for at arbejde langt mere intelligent og stringent med vores ressourcer for at få mest mulig sikkerhed for pengene. Helt overvejende er det stadig op til den enkelte virksomhed at dokumentere sin indsats inden for governance, risk og compliance (GRC), og med et så foranderligt trusselsbillede, som vi ser på it-sikkerhedsområdet, er det en frygtindgydende opgave.

Risiko på tværs af sektorer

Staten har sat gang i at gennemgå de enkelte sektorer, som udgør kritisk infrastruktur for Danmark. Logisk og fornuftigt. Umiddelbart er der stor forskel på fx sundhedssektoren og energisektoren, men i en risiko-kontekst deler de en lang række behov, som giver belæg for at samle og koordinere endnu bedre, end vi gør det idag. Sektor for sektor skal man gennemføre trusselvurderinger og risikoprofiler på leverandører, teknologier og produktionsapparat. Men mange af disse er jo fælles for sektorerne – eksempelvis Apples iPhone, Microsoft365, en server fra IBM, en generator fra ABB og mange flere. Problemer med strømforsyning er trussel for både kraftværket, hospitalet og produktionsvirksomheden. Hvorfor ikke koordinere den opdaterede risikovurdering af de største leverandører på nationalt niveau? Argumentet gælder også for trusselskataloger, for selv om der forskelle i vægt og betydning af forskellige trusler, så er der også en vis fællesmængde, som man med fordel kunne få ”forærende” udefra.

En uendelig opgave

En risikovurdering af en it-platform eller et stykke teknisk infrastruktur kan i hele træskolængder kræve hundredevis af timer af en specialist, og omkostningen løber hurtigt op. Og det skal så ganges med antallet af produkter, hvor man skal gennemføre en sådan vurdering. En stor byrde for den enkelte virksomhed, en dråbe i havet for samfundet. Ikke mindst set i relation til de enorme omkostninger, som er forbundet med at blive ramt af nedbrud og angreb.

Præmissen på it-sikkerheds-området er, at opgaven aldrig bliver løst. At tegne sit risikobillede, udforme politikker og designe et kontrolregime er måske en femtedel af GRC-opgaven. Det afgørende er den løbende opdatering, den jævnlige kontrol og den konsekvente operationelle opfølgning. Er det, vi har aftalt stadig det, som er operationelt? At definere, hvad vi skal have styr på, er nu engang noget nemmere, end rent faktisk at have styr på det. Derfor er GRC først og fremmest en stor operationel opgave, hvis man seriøst vil afdække sig for de største risici. Vi har alle glæde af at få lettet opgaven ved at dele, pulje og genbruge dele af risikovurderingen på generiske elementer.

Farvel til nulfejlstænkning

En samlende enhed må nødvendigvis være non-profit, fordi afhængigheden af dens ydelser bliver ganske stor. Der skal også fintænkes på, hvor grænsen for denne ydelse går, så den ikke tager brødet ud af munden på den base af ekspertkonsulenter, som i dag bidrager til at løfte GRC-området. I den sammenhæng må man bare huske, at opgaven er stor og stadig voksende. Der er rigeligt at tage fat på for et lille land som Danmark.

Af samme grund kan vi roligt vinke farvel til tanken om nul fejl. Virksomhederne – i hvert fald de største – har indset, at man ikke kan opnå 100 pct it-sikkerhed. Her arbejder vi metodisk med løbende risikovurderinger og fleksible kontrolregimer under løbende optimering. Målet er, at risikotænkningen bliver indlejret i kulturen, så vi har risikoelementet med i forretningsmæssige beslutninger på alle niveauer.

Det politiske system med ministeransvar kan føre til, at fejl og risici er ganske forældreløse. Måske er det ligefrem karrierehæmmende at sætte spot på risikoen og arbejde med den. På den baggrund er det nok mere perspektivrigt at lægge en non-profit-organisation midt mellem den offentlige og den private sektor med en finansiering og en målsætning, som ikke giver en minister ansvaret for at skabe Danmarks ”databank” af trusselsvurderinger og risikoanalyser.

Af Tomas Hellum, direktør for LinkGRC og rådgiver inden for governance, risk og compliance

 

Blød sikkerhed – interview med Martin Falck-Hansen og Nicolai Elberling

Martin Falck-Hansen og Nicolai Elberling er gæster hos Michael Sjøberg i Risiko Radio studiet i denne episode.

Martin er chef for intern revision i KMD og Nicolai er selvstændig konsulent. Og sammen har de udviklet en ny tilgang til at øge medarbejdernes risikoadfærd og sikkerhedsforståelse.

Hør mere om, hvorfor det er vigtigt at lytte og forstå medarbejdernes hverdag og motivation – og ikke bare docere og skælde ud. Og find ud af, hvordan en modenhedstrappe endte som et timeglas i stedet.

LINKS:

Martin Falck-Hansen på LinkedIn: https://www.linkedin.com/in/mfalck/
Nicolai Elberling på LinkedIn: https://www.linkedin.com/in/nicolaielberling/

Timeglasmodellen for modenhed: https://elberling.uk/security-culture-maturity-model/

BØGER:
Nancy Durate: Resonate
https://www.amazon.com/Resonate-Present-Stories-Transform-Audiences/dp/0470632011

Switch: How to change things when change is hard
by Chip & Dan Heath
https://amzn.to/2TWdhup

Made to Stick: Why some ideas take hold and others come unstuck
by Chip & Dan Heath
https://amzn.to/2NeuP2d

Skin in the Game: Hidden Asymmetries in Daily Life
by Nicholas Nassim Taleb
https://amzn.to/2IzRun7

FE’s Efterretningsmæssige Risikovurdering

Forsvarets Efterretningstjeneste udgiver hver år til offentligheden sin efterretningsmæssige risikovurdering af forhold i udlandet, som har betydning for sikkerheden i Danmark og for danskere i udlandet.

Michael Sjøberg har besøg i Risiko Radio studiet af sin kollega fra Human Advisor Group, Henrik Christiansen, for at diskutere den gældende vurdering fra Danmarks udenrigsefterretningstjeneste.

Ikke overraskende fylder Cybersikkerhed og Rusland en del. Men hvad kan vi egentlig bruge vurderingen til i praksis?

Bliv klogere i denne uges episode af Risiko Radio.

Du kan downloade FE’s Efterretningsmæssige Risikovurdering her

Den psykologiske risikofaktor

Af Tomas Hellum, direktør for LinkGRC og rådgiver inden for governance, risk og compliance

Revision og audit-processer er også et møde mellem mennesker, og derfor er det tankevækkende, at vi i risikostyringens domæne så godt som aldrig ser på ubevidste, utilsigtede og emotionelle elementer af dette møde.

P1 Morgen fortalte forleden, at et italiensk studie viser, at domme afsagt lige før frokost er markant hårdere end domme afsagt lige efter frokost i alverdens retssale. Underforstået at dommerens blodsukker spiller en større rolle end forseelsens karakter. Samme element af menneskelighed er til stede, når vi laver kontroller, audits og revision. Mere eller mindre bevidst kan vi afvige fra det strukturerede, objektive og optimale på grund af forhold i den givne situation eller i den menneskelige relation.

Denne kemiske faktor – på amerikansk kaldet ”cognitive bias” – er naturligvis særligt til stede, når vi caster hinanden relativt hårdt i rollerne som henholdsvis ”kontrollant” og som ”kontrolleret”. Vi får aktiviteret de samme stærke psykologiske kræfter, som er på spil i en eksamenssituation. Her er der præstationsangst, manipulation og følelser for autoritet i spil med 130 km i timen. Det er klart nok, at vi alle er påvirket af flere faktorer end de strengt faglige, selv om vi kun sjældent ser bevidst usaglig adfærd. Personligt kan jeg godt komme i kontakt med situationer, hvor jeg nok lige har strammet mine vurderinger, fordi noget i situationen provokerede mig.

Det burde vi have mere fokus på i fagligheden omkring GRC, hvor vi har en tendens til at negligere den psykologiske inkonsistens i menneskets vurderinger for at give revisor og kontrollant mest mulig autoritet. Jeg mener ikke, at vi kan og skal afskaffe rollefordelingen mellem kontrolobjekter og kontrollanter, men jeg tror, at vi kan blive bedre til at få værdi af både intern og ekstern revision. Det hænger for mig klart sammen med at vi bygger et audit-univers, som er så meningsfuldt som muligt. Der er tusind eksempler på, at risikostyringen enten er for rigid, firkantet eller overgjort, eller at de reelle risici ikke er op til undersøgelse, vurdering og kalibrering.

Nøglen er, at vi erstatter blind tro på eksterne audits med langt mere sund fornuft. Ekstern revision er naturligvis et fornuftigt bolværk mod bedrageri og bevidst manipulation i en ledelse. Men langt de fleste ledelser er jo drevet af at gøre det så godt som muligt i forhold til nogle forretningsmæssige målsætninger. Derfor vil det være helt naturligt at bygge risikostyringen op om risiciene forbundet med at nå og ikke nå disse forretningsmæssige målsætninger. Hvis dialogen mellem kontrollant og kontrolobjekt starter her, så starter den noget mere fælles, positivt og konstruktivt. Det giver bedre samarbejde, når man bygger på et fælles værdigrundlag. Og det giver lidt mindre tendens til bare ”at bestå audit” og så fortrænge risiciene for resten af tiden.

Har du lyst til at læse mere om cognitive bias i GRC-feltet? Så tjek disse links:

https://mkuckein-wordpress-com.cdn.ampproject.org/c/s/mkuckein.wordpress.com/2018/04/16/why-internal-auditors-cannot-adhere-to-their-own-code-of-ethics/amp/

https://mkuckein-wordpress-com.cdn.ampproject.org/c/s/mkuckein.wordpress.com/2018/04/27/risk-exaggeration-a-cognitive-bias-case-study/amp/

Man må ikke råbe ”ulven kommer” hele tiden

Metodisk, jordnær og nøgtern er dækkende ord for arbejdet med it-mæssig risikostyring i et af Skandinaviens største og ældste forsikringsselskaber. Cyber-risikoen er voksende og trækker flere ressourcer til sig hos Codan.

”Vi står generelt over for et mere kompliceret og truende risikobillede på it-området, end vi har gjort tidligere. Man må ikke råbe ”ulven kommer” hele tiden, for så mister man sin troværdighed, men selvfølgelig arbejder vi hele tiden på at skærpe sikkerheden og minimere risici,” siger it-sikkerhedschef Frank Andersen fra Codan, hvor 1.200 danske medarbejdere hjælper 340.000 husstande og 50.000 virksomheder med årligt omkring 200.000 skader. Codan er en del af RSA Group, som er et af verdens største forsikringsselskaber med omkring 19.000 medarbejdere og 17 millioner kunder.

Læs hele casen her

Tilbage fra sommeren

Tomas og Michael har været ret meget off the grid henover sommeren men er endelig tilbage i Risiko Radio studiet.

I denne episode ser de nærmere på, hvad der skete indenfor sikkerhed, risk management og compliance over sommeren 2018 – og ikke mindst hvad vi kan vente os af resten af året.

DISCLAIMER: Forkortelsen “GDPR” bliver nævnt. Mere end een gang. Så er du advaret.

BONUS-INFO: Det tog længere end forventet at komme tilbage på podcastbølgerne efter sommeren. Vi havde en Major Incident, hvor podcast-optageren var væk i flere uger og det var Michaels skyld. Han siger, det ikke kommer til at ske igen.

Spørgsmål/kommentarer/roser/idéer til Risiko Radio modtages med kyshånd – fang Tomas og Michael på Linkedin her:

Tomas Hellum
Michael Sjøberg

LinkGRC finder du på linkgrc.com
Human Advisor Group bor på humanadvisor.dk

risikovurdering

Intern risikokultur trumfer ekstern revision

Financial Times gik for nylig hårdt til verdens største revisionsfirmaer på lederplads. Hastighed i forandringer, digitalisering og stigende kompleksitet gør det imidlertid meget svært at levere topkvalitet udefra. Virksomhederne kan med fordel styrke egen risikostyring og droppe tiltroen til det eksterne ”stempel”. 

”Kun radikale reformer kan tvinge Big Four til at løfte revisionens kvalitet”. Sådan skrev Financial Times i en leder forleden, hvor verdens største revisionsfirmaer fik nogle ordentlige skud for boven. Fire ud af ti inspicerede revisioner i 2017 havde alvorlige fejl, da de blev gennemgået af en uafhængig instans. Avisen argumenterer for mere konkurrence og eliminering af de interessekonflikter, som opstår, når et eksternt konsulentfirma både er uafhængig revisor og leverandør af konsulentydelser. Opsplitning af konsulentgiganterne, store bøder for fejl og større budgetter til revision på kundesiden kan være vejen til pålidelig ekstern revision, som ikke efterplaprer selskabets topledelse, og som offentligheden derfor kan stole på.

Flyt kontrollen indenfor

Sådan konkluderer Financial Times, men jeg tror, at selve opgaven har ændret sig. Hastigheden i forandringerne, koncerners størrelse, kompleksitet og kompetence og ikke mindst den enorme datamængde komplicerer den eksterne revisionsopgave. Problemerne sætter spørgsmålstegn ved ideen om at udlevere data til en ekstern autoritet for at få et ”godkendt” stempel. Selve grundideen ”at kontrollere” må i stedet flytte ind i virksomhedens DNA og operationelle hverdag, fordi virksomhedens langsigtede overlevelse og kortsigtede lønsomhed hænger sammen med at styre risiko. Risikoelementet i alle forretningstiltag bør kvantificeres op mod sandsynligheden for at indtræffe. Selve den præcedens at man lader en ekstern part vurdere virksomheden udefra har den potentielle følgeslutning, at hvis bare man opnår en positiv erklæring, så er alt godt. Målet bliver at få et stempel i stedet for at minimere risici. På den måde modvirker en overdreven brug af ekstern audit, at man forankrer kontrollen dybt ind i sin egen kultur.

Opgør med nulfejlskultur

Virksomhedens egne medarbejdere er naturligvis rigtig gode til at finde fejl, risici og afvigelser i hverdagen. Hvis denne ressource skal bringes i spil, skal vi opbygge transparens og selvkontrol, som opstår når flere interne siloer, lag og flere individer kigger med på kontroller og procedurer, som er defineret i forhold til væsentlige og centrale risici. Denne integrerede risikostyring vinder frem i disse år, fordi den overtrumfer ekstern revision i evnen til at komme helt ud i hjørnerne. Man har den største chance for at lappe hullerne, stoppe krisen, før den opstår, og revidere sig selv, hvis man kan tale om fejl og mangler og nye risici. Vi skal gøre op med nulfejlskultur, og dette opgør må nødvendigvis komme fra de fremmeste kulturbærere. Den eksterne revisors væsentligste rolle er måske at påvirke topledelsen til at fremme en transparent og integreret risikokultur.

Af Tomas Hellum, direktør for LinkGRC og rådgiver inden for governance, risk og compliance

 

risikostyring

Episode 046: Kontroller – sådan bruger du dem (rigtigt)

Denne uges Risiko Radio handler om kontroller. Hvordan designer man dem? Hvad kendetegner en god kontrol? Hvilke faldgruber skal man undgå? Hvordan fokuserer man på de væsentligste – og dropper uvæsentlige kontroller.

Hør med når der går komplet kontrolfreak i Michael Sjøberg og Tomas Hellum i denne udgave af Risiko Radio.