Hvis løsningen er så åbenlys, hvorfor kan vi så alligevel tørt konstatere, at det er de færreste virksomheder, der er lykkes med at etablere og drive et integreret risikostyringsprogram, hvor alle niveauer i en virksomhed arbejder sammen om at modgå de vigtigste risici. 

En del af forklaringen er en kombination af et hyperkomplekst trusselsbillede og en galopperende digitaliseringsdagsorden, der gør sikkerhedsopgaven ekstremt kompleks for virksomhederne. Men det er ikke hele forklaringen.

Udefra betragtet tegner sig også en række tydelige mønstre blandt de virksomheder, som oplever, at den strategiske, taktiske og operationelle risikostyring bliver afkoblet fra hinanden. Risikostyringen falder således ned mellem stolene på dem, der har risikoejerskabet (strategisk niveau), dem, der skal omsætte risikoejerskabets vilje til handling (taktisk niveau), og dem, der skal udleve og eksekvere på baggrund af handleplaner, politikker og retningslinjer (operationelt niveau).

Fire grunde

Det er der fire grunde til:

1: For det første er virksomheder i alle sektorer – private som offentlige – blevet ramt af skærpet lovgivning, regulativer og standarder. Det har haft den konsekvens, at virksomhederne benytter rammeværktøjer for at imødegå compliance-kravene, som hver især repræsenterer en helt ny begrebsverden.

Det siger næsten sig selv, at når forskellige eller de selvsamme forretningsenheder anvender flere forskellige styringsværktøjer, skaber det forvirring omkring den samlede model, der skal organisere sikkerhedsarbejdet, og der opstår både overlap og huller i opgaveløsningen. Det skaber i særdeleshed forvirring for medarbejderne, der forventes at agere retmæssigt på tværs af alle regelsæt.

2: For det andet – og i forlængelse af de skærpede compliance-krav – er kommunikationen forbundet med sikkerhedsopgaven mange steder så mudret, at det er blevet svært at bygge bro mellem forretningsenhederne, topledelsen og de centrale funktioner, der orkestrerer risikostyringen. De respektive sikkerhedsfunktioner binder en meget stor faglighed indenfor deres felt – og det der bestemt er set som en styrke, kan også ses som en svaghed hvis ikke disse er i stand til at aflære deres stammesprog. Uden et fælles sprog er det umuligt at få forankret sikkerhedsstrategien dybt i organisationen.

3: For det tredje kan afkoblingen af risikostyringen forklares gennem kompetenceudfordringer. Der er mange fagligt dygtige personer ansat til at varetage sikkerhedsopgaven rundt omkring i de danske virksomheder. Men deres kompetencer hviler primært – qua et sammensurium af årsagerne skitseret i det forrige – på en faglighed, der stikker mere dybt end bredt. Forstået på den måde at sikkerhedsopgaven traditionelt er blevet defineret gennem silotænkning og siloudførelse af opgaver. Forstå mig ret, vi har bestemt brug for dyb ekspertise, men det giver udfordringer, når trusselsbilledet og digitaliseringsdagsordenen kalder på en mere helhedsorienteret tilgang til sikkerhed, hvor man er nødt til at tænke over, hvilken betydning det har for risikostyringen i øst, når man piller ved noget i vest.

4: For det fjerde har virksomheder i årtier indkøbt mange best-of-breed sikkerhedsværktøjer for at imødegå den hastigt intensiverende trusselsudvikling. Dette koblet med en forceret digitalisering hvor sikkerhed ikke altid bliver indtænkt i løsning og design, resulterer i en sikkerhedsarkitektur bestående af punktløsninger. Sikkerhedsarkitekturen udgør i mange virksomheder en så stor kompleksitet at den i sig selv udgør en risiko. Der er med høj sandsynlighed fejlkonfigurationer og utilstrækkelige ressourcer og kompetencer til at varetage vedligeholdelse og opdatering af de mange systemer. Pardoksalt – JA!

Gevinsten ved at sammenkoble risikostyringen

Når styringen af risici falder i en eller flere af de fire fælder, så kalder det på en integreret risikostyringsmodel og dermed også en forudgående forenklingsdagsorden. Med alle de udefrakommende faktorer, der hele tiden øger kompleksiteten, er der brug for en tilgang, der kan nedbringe kompleksiteten i risikostyringsmodellen og arkitekturen.

Hvis det modsatte af integreret risikostyring er silotænkende og siloudførende forretningsenheder, der anskuer organisationen gennem hvert sit objektiv, giver den integrerede tilgang forretningsenhederne ét sæt sikkerhedsbriller, så alle kan stille skarpt på de samme områder på samme tid.

Resultatet er en mere effektivt arbejdende organisation, der opnår en struktureret sikkerhedsstyring med færre ressourcer. På ledelsesniveau slår det igennem som evnen til at træffe rigtige beslutninger på de rigtige tidspunkter. Den evne betyder utroligt meget, når tempoet i den daglige drift kun går op og op – særligt på det taktiske niveau, som er kontekstsættende for opgaveudførelsen på det operationelle niveau.

Alle skal arbejde med samme dagsorden

For at sikre en integreret risikostyringsmodel er det centralt at sikre et samspil mellem det strategiske, taktiske og operationelle niveau:

Det strategiske niveau forstås som de forretningsenheder, der har risikoejerskabet. Det vil typisk være direktionen og bestyrelsen. Men det kan også være en systemejer eller forretningsejer, som jævnfør decentraliseringen af digitaliseringsdagsordenen måske ikke er ansvarlig i juridisk forstand, men som ejer ansvaret for en forretningsproces.

Det taktiske niveau forstås som de forretningsenheder, der forvalter risikoejernes ansvar. Én af de vigtigste opgaver på det taktiske niveau er at sørge for, at compliance forbliver et middel til at nå et forretningsmål. Compliance-opgaven er – særligt med GDPR – flyttet meget højt op på agendaen. Men hvis sikkerhedsprogrammet og det persongalleri, der skal redegøre for efterlevelsen, er mere optagede af selve dokumentationsopgaven end af den underliggende sikkerhed, fjerner det fokus fra hensigten med at efterleve kravet.

Det operationelle niveau forstås som de lag i organisationen, hvor eksekveringskompetencerne skal realisere den vedtagne strategi i form af taktiske handleplaner.

Hvis den operationelle risikostyring er afkoblet fra det strategiske og taktiske niveau, kan de udførende hænder ikke overvåge, måle og respondere på de parametre, der højere oppe i organisationen er blevet defineret som vigtigst for at minimere sikkerhedsrisici og beskytte kerneforretningen.

Klumme: Data skal skabe reel værdi – det kræver plads, fleksibilitet og hastighed 

Klumme: Tilbage til kontoret … eller?