Integreret risikostyring IV: Samarbejdet mellem mennesker er nøglen til integreret risikostyring

Brug den humanistiske tilgang til at afdække dysfunktionel risikostyring

Det er ved hjælp af en diagnosticerende tilgang, et undersøgende blik og åbne dialogspørgsmål, man finder ud af, hvorfor virksomhedens risikostyring ikke fungerer som ønsket. Det er ikke ved at tilføje nye produkter eller flere processer.

Af: Gorm Grosen Christiansen, leder af Globeteams forretningsenhed for cyber- og informationssikkerhed

I tre artikler har jeg forsøgt at beskrive, hvordan man kan arbejde teoretisk og praktisk med integreret risikostyring. På overordnet plan handler det om at binde risikoejerskabet tættere sammen med risikoforvaltningen, om at forene centrale digitaliseringskrav med decentrale digitaliseringsbehov og om at koordinere forskellige forretningsenheders indsatser mod fysiske og cyberrelaterede trusler. Kort sagt færre siloer, mere samarbejde.

Det er opskriften på, hvordan man – i min og Globeteams verden – skal tænke, planlægge og udføre integreret risikostyring anno 2021.

Ret spotlyset mod de ømme punkter i risikostyring

Med meget få undtagelser ser virksomheders risikostyring i virkelighedens verden sjældent sådan ud. Det skriver jeg helt uden at pege fingre. For det er svært og komplekst at drive et effektivt risikostyringsprogram, hvor alle tre faktorer er tænkt ind, og hvor samarbejdet fungerer smidigt. Der bliver udarbejdet utroligt mange strategier, handleplaner og analyser rundt omkring. Og det er vigtigt. Vi skal vide, hvor vi vil hen. Men mange oplever, at det er svært at gennemføre deres planer. Hvorfor?

I jagten på det svar vil jeg gerne slå på tromme for en tilgang, som måske ikke er den første, der falder sikkerhedsbranchen ind, men som har vist sig meget frugtbar i mit arbejde. Det er at tage en humanistisk tilgang til opgaven. En tilgang, som er kendetegnet ved sit undersøgende, diagnosticerende og åbne blik på verden. I kontrast til den nøgterne og teknisk orienterede tilgang til sikkerhed, hvor man identificerer et problem og forsøger at løse det ved hjælp af et produkt eller en proces, kan man bruge det humanistiske blik til at stille skarpt på de områder, der blokerer for forandring, lade blikket blive hængende, så længe det er nødvendigt, og vente på, at spotlyset blotlægger de mest åbenlyse forklaringsnøgler.

Dybtliggende årsager til eksekveringstræghed

At implementere flere produkter eller flere processer i en organisation, der i forvejen er i ubalance, løser sjældent de dybereliggende udfordringer i et risikostyringsprogram. For de lag kommer man aldrig ned i ved hjælp af produkter og processer. Tværtimod kender de fleste sikkert følelsen af øget frustration, når de bliver ved med at bruge tid og penge på projekter, som paradoksalt nok kun tilføjer kompleksitet og forvirring, hvor de burde give overblik og klarhed.

Årsagerne til de organisatoriske ubalancer kan være mange. Typisk udspringer de af forskelligheder og uoverensstemmelser mellem det persongalleri, der skal drive risikostyringen. Det kan være på det professionelle plan, og det kan være på det personlige plan. Det kan være i form af interessekonflikter, fag- og begrebsbarrierer, magtforskydninger, budgetter osv. Den specifikke årsag til udfordringerne er forskellig fra virksomhed til virksomhed, men effekten er den samme: organisatorisk eksekveringstræghed, som gør arbejdet med risikostyring ressourcetung, ineffektiv og ufokuseret.

Sådan noget er aldrig rart at se i øjnene. Det er sårbart stof, og det kan være svært og opslidende at håndtere. Men det er netop i denne svære og opslidende proces, den humanistiske tilgang har sine forcer.

Forandring kommer indefra

I stedet for at sidde fast i nedarvede strukturer, der bremser al fremdrift, kan man ved hjælp af dialogspørgsmål bore i baggrunden for eksekveringstrægheden, bygge bro mellem de forskellige fagligheder, der er involveret i risikostyringen, og på den måde skabe nye fælles forståelser og forklaringsmodeller, der understøtter den videre udvikling. Hvad fortæller det eksempelvis om en organisation, at kæden er hoppet af det ene eller andet sted i samarbejdet mellem den taktiske og operationelle risikostyring? Hvad fortæller det om lederskabet i de respektive afdelinger? Hvad fortæller det om medarbejderne? Hvordan kan man – med input og involvering fra de involverede parter – løse udfordringerne, komme videre og begynde at skabe resultater sammen? De spørgsmål kan den humanistiske tilgang bedre end nogle tekniske produkter og populære management-processer hjælpe med at finde svar på.

Det er ikke os udefra, der kan diktere de nødvendige forandringer, der fører til øget organisatorisk modning. Det kan give god mening at få ekstern hjælp til at facilitere arbejdet med risikostyring; men åbenbaringen, den skal komme indefra. Fra Peter, Poul, Maria, Marianne, og hvad I ellers hedder. Er der noget, jeg gerne vil have, der står tilbage, når du har læst disse fire artikler, er det netop det: Vejen til bæredygtig og balanceret risikostyring går gennem mennesker.

Læs også klumme i ITWatch skrevet af Gorm Grosen Christiansen “Risikostyring falder typisk i fire fælder – sådan undgår man dem”.