operationel risikostyring

Djævelen bor i den operationelle detalje 

Operationel og forretningsmæssig forankring af GRC-indsatsen er alfa og omega. Det er sikkert noget, som alle kan blive enige på papiret. Men i praksis skilles vandene.

“They (PwC) still seem to believe that a risk appetite statement can drive the business decisions that take risk at all levels of the organization. I don’t”.

Sådan skriver Norman Marks på sin blog – læs her. Han er en af dem jeg følger inden for risikostyring, og jeg kan varmt anbefale hans blog. I dette tilfælde er pointen ikke at bashe PwC. Tværtimod. Norman Marks roser den aktuelle rapport fra PwC, fordi den lægger vægt på at risikostyringen skal ud i frontlinjen. Men han tordner mod at tro på at en generel og bred udmelding fra koncernen eller gruppen kan slå igennem ude i frontlinjen hos hundreder eller tusinder af medarbejdere.

Djævelen under overfladen 

Jeg er meget enig. Alle de daglige beslutninger rummer et element af risiko, og set fra koncernens synspunkt kan de stort set være usynlige. Det er som et isbjerg, og hvis du kun ser på den del, som stikker op over vandoverfladen, så ser du ikke 90 pct af beslutningerne. På koncernniveau ser man aggregerede data, men de er stykket sammen af alle de detaljer som udgør den samlede hverdag. Men djævelen bor i detaljen. Og risikostyringen skal ud og have fat derude, hvor risikoen faktisk bor. Det er udelukket at koble risikostyring på det hele, og derfor skal vi have en forretningsmæssig vurdering, når vi skal udvælge felter, hvor risikostyringen og dens kontroller skal i arbejde. Vi skal jo kun bruge det tunge skyts, når strategien afhænger af, at vi ikke fejler.

Forretningsmæssig tegning 

Når vi hos LinkGRC rådgiver om a lave risikoanalyser har vi held med at tegne virksomhedens flow på en helt simpel tegning. Vi bruger den til at identificere de processer, som er afgørende for målopfyldelsen. Tegningen bygger bro mellem en forretningsmæssig ledelse og GRC-teamet. Hele ideen er at prioritere virksomhedens indsats inden for risikostyring ud fra en forretningsmæssig vurdering. Men det er kun første step. Når vi har defineret de ”varme” procesområder, skal vi sætte ind på en virksom måde med målepunkter og kontroller ”dybt under vandlinjen” i den operationelle detalje, hvor djævelen har til huse.

Interesserer du dig for forankringen af GRC-indsatsen så læs, hvad Norman Marks skriver!

security risk management

Rejsesikkerhed – sådan kommer din virksomhed fra 0-100

Der er ved at ske et skift i, hvordan danske virksomheder arbejder med rejsesikkerhed. Problemet er jo, at de fleste af os har medarbejdere, som rejser i lande, hvor der er en forhøjet risiko for, at noget går galt.

Her i 2017 er det jo først og fremmest terror, mange tænker på – nok især fordi Europa har været hårdt ramt af en serie angreb begået af islamistiske gerningsmænd i London, Berlin, Paris, Nice, Stockholm og senest Manchester.

Men vigtigst af alt: Når vores medarbejder rejser, tager han eller hun sit arbejdsmiljø med sig.

Michael er alene i studiet i denne episode af Risiko Radio – og udnytter Tomas’ fravær groft ved at tale om noget, han har et ømt punkt for:

Hvordan opbygger vi i praksis et solidt system til at håndtere medarbejdernes sikkerhed, når de rejser?

Du får i episoden bl.a. de tre grundelementer i et godt rejsesikkerhedskoncept, idéer til, hvor du kan starte, hvis din virksomhed slet ikke har noget på plads endnu – og også nogle tips til, hvilke krav, du skal stille til dine eksterne rådgivere.

Tag fat i os, hvis du har spørgsmål eller kommentarer til episoden – du kan fange Michael Sjøberg på Linkedin eller på e-mail her ms@humanadvisor.dk

Glad for Risiko Radio? Giv os 5 stjerner i iTunes (søg efter ‘Risiko Radio’ i app’en) eller endnu bedre – skriv en anmeldelse. Det hjælper os med at nå endnu flere mennesker.

IT sikkerhed

It-sikkerhed er magt

For nylig ændrede Danmarks Statistik Danmarks BNP med 42 milliarder for året 2015, og i den amerikanske valgkamp spillede både Hillarys email-server og Putins formodede it-kriminalitet nogle af de absolutte hovedroller. Hvad har det med vores hverdag at gøre?

Falske nyheder, YouSee’s nedbrud og en række andre hændelser har det klare fællestræk, at it-installationer og it-sikkerhed er højt på dagsordenen. Det er nu et emne, som har afgørende betydning for vores opfattelse af økonomi og politik, og som sætter dagsordenen for valget til verdens mest magtfulde stilling.

Personligt er jeg jo egentlig positiv over tanken om, at medierne bider magthaverne i haserne og dermed fungerer som en fjerde statsmagt. Alternativet – nemlig en svag og manipuleret offentlighed – er langt værre. Men er det OK, at Wikileaks tilbyder findeløn for Donald Trumps selvangivelse, som han ikke selv ønsker at offentliggøre? Er det en invitation til hacking?

Mere tillid

Hvis man lige skal skalere problemstillingen ned til situationen i den gennemsnitlige danske virksomhed, så er problemet naturligvis, at vi skal have en skærpet mistro i form af sund skepsis rettet mod it-kriminalitet. Men konflikt, mistillid og kontrol er ikke et universelt værktøj, som vi skal bruge både eksternt og internt. Virksomheder af alle størrelser og i alle brancher er tiltagende interesseret i at opbygge et beredskab baseret på en nøgtern risikoanalyse, risikopolitik og risikoprocedurer. Et meget vigtigt værktøj til at løfte sikkerheden er rent faktisk tillid. Risikostyringen implementeres bedst, hvis den leves i organisationen, og det opnår man ikke, hvis risiko-enheden udelukkende er en frygtet kontrolinstans.

Lær af fejlen

Jeg har eksempelvis ikke fantasi til at forestille mig en ond, politisk eller kriminel intention bag Danmarks Statistik ændring af Danmarks BNP. (Den var stor nok til at føre til en re-definition af Thorning-årene som prægede af vækst mere end af stagnation). Og det afgørende er ikke at finde nogen at ofre på grund af fejlen. Her må man formode at den gode undersøgelse baserer sig på faktisk at forstå, hvad der skete, og den fulde sandhed får man nok snarere i en organisation, hvor man arbejder med en margin af fejl og ikke en nulfejlskultur. Hvis nogen har lavet en fejl, så ønsker vi som ledere, at vi kan tale om den og lære af den. Det fremmer vi nok ikke med et mere eller mindre instinktivt greb i værktøjskassen og et ”you are fired”.

På den ene side har vi altså brug for fuld opmærkomhed på muligheden for hacking, fejl og diverse ondskab. På den anden side har vi internt behov for en tillidsfuld kultur med en reel lyst til at afdække fejlene og lære af dem. Det er ikke verdens nemmeste balancegang. Men det er den skinbarlige virkelighed her i det herrens år 2017.