risikoanalyse

Ubrugelig risikorapportering er en risikofaktor!

I min daglige gang i risikostyringens hverdag i danske virksomheder ser jeg gang på gang en alarmerende ringe risikorapportering. Kommunikation, der ikke virker, er i sig selv en risikofaktor!

For mange år siden var jeg fastansat og arbejdede på gulvet med risikostyring. Hver måned skulle jeg sammenstykke en tommetyk rapport og printe den i 25 eksemplarer til ledelsen. Min fornemmelse var, at den ikke blev læst og brugt i al sin velmente detaljerigdom, så jeg eksperimenterede med at udelade helt afgørende områder. Ganske som ventet kom der ikke nogen reaktion overhovedet. Sagen var jo den, at det var alibikommunikation, som tjente som en slags ansvarsfralæggelse til et højere niveau, hvor ansvaret ikke blev taget.

Hvorfor nu underholde med denne anekdote fra gamle dage? Fordi jeg stadig ser det praktiseret i risikorapporteringen anno 2018. Bestyrelsen som får 75 sider om sårbarhed og trusler mod 300 systemer, eller 50 sider om virksomhedens potentielle it-trusler i en fast rapportering til direktionen. Indholdet er muligvis meget præcist og et skarpt billede af it-sikkerheden, men det giver ikke mening at forurene ledelseslaget med alle de it-faglige detaljer. Er der nogen som drømmer om at ledelsen læser 75 sider med skematisk gennemgang af it-trusler?

Ledelsen er sandsynligvis og forhåbentlig fokuseret på nogle strategiske udviklingsområder, som man måler og optimerer på så vidt muligt. Det handler hverdagen om i direktion og bestyrelse og så alle de detaljer, som man også skal forudse og planlægge og tage beslutninger om. Svaret på, hvordan man gør risikorapporteringen relevant er at rapportere om effekten af it-sikkerhed op mod disse strategiske indsatsområder. Hvad har disse sårbarheder af betydning for salg? Medarbejdertilfredshed? Kundetilfredshed? Lønsomhed i projektforretningen?

Indrømmet. Det er noget mere komplekst og sammensat, og en klassisk it-sikkerhedsspecialist vil være udfordret, for det er ikke længere en eksakt disciplin, og elementet af skøn og forudsætning vokser. Til gengæld er det den helt rette dialog, man kan opnå med ledelsen om ressourcetildeling og indsatser. Det er måden, man gør arbejdet med risikostyring relevant og sikrer at begge parter får noget ud af det.
Hvorfor gør vi det ikke bedre? Ja, jeg kommer til at tænke på forsøget med aberne i et bur med en banan i loftet. De bliver oversprøjtet med vand, hvis de rører ved stigen for at kravle op. Til sidst lærer alle aber at holde sig fra stigen som en kultur i buret. Og den kultur lever videre blandt aberne, selv om man langsomt udskifter alle aber, så man til sidst har et bur fuld af aber, som ikke har erfaret at få vand på sig, men som alligevel holder disciplinen med ikke at røre stigen. https://ing.dk/blog/en-aktuel-historie-om-fem-aber-og-en-banan-71108

Men vi er ikke aber, og risikoen er større end at gå glip af en banan. Det udgør jo en reel risiko, at ledere og risikospecialister ikke taler samme sprog. Derfor skal vi lave det om. Og det det bliver altså risikofolkene, som skal oversætte alle aktiviteter og indsatser til et sprog som ledelsen forstår: Hvad koster det at holde det her niveau af risiko på vores vigtigste strategiske forretningsområder? Og så lære hele tiden, justere hele tiden og holde dialogen for at tilpasse os til ændrede forretningsmæssige prioriteter og til en forandret trusselsbillede.

Af Tomas Hellum, direktør, LinkGRC og rådgiver

Skriv et svar

Din e-mailadresse vil ikke blive publiceret. Krævede felter er markeret med *