Hvordan forholde seg til risiko innenfor IT-funksjonen

Forfatter: Henrik Holum

I en tid hvor teknologien raskt endrer landskapet for alle typer virksomheter, står styret overfor stadig nye utfordringer og muligheter. Det siste tiåret har vist oss at nesten alle selskaper, på et vis, har blitt teknologivirksomheter. Men med denne transformasjonen følger også en økt risiko. I denne artikkelen utforsker jeg hvordan styret kan navigere i disse utfordringene gjennom effektiv risikostyring innen IT-funksjonen.

Styret i en virksomhet har et lovfestet ansvar for å sørge for forsvarlig drift av virksomheten. Dette omfatter ansvaret for virksomhetens risikostyring, som til dels er definert i mer detalj av ulike organisasjoner og bransjespesifikke reguleringer. Dette omhandler også IT-funksjonen. 

Hva er risikostyring innen IT-funksjonen?

Risikostyring innen IT-funksjonen handler om å identifisere, vurdere og håndtere ulike risikoer knyttet til organisasjonens IT-funksjoner. Det omfatter beskyttelse mot cyberangrep, datasikkerhetsbrudd, tap av data og systemnedetid. Målet er å sikre kontinuerlig drift, beskytte sensitive data og opprettholde tilliten fra kunder og partnere. Effektiv risikostyring innebærer også å forberede seg på og raskt kunne respondere på IT-sikkerhetshendelser for å minimere potensiell skade på organisasjonen.

Det er også viktig å ta med seg at risikostyring ikke kun handler om å vurdere de potensielle truslene, men også mulighetene.

Du kan tjene penger på god risikostyring

Styret er med å sette målene til et selskap – også innen IT-funksjonen. En risikoradar skal brukes til å kartlegge både muligheter og hindringer i reisen mot disse målene. På denne måten kan man se fremover, og fjerne hindre eller realisere muligheter. 

God risikostyring muliggjør en best mulig reise mot målet, og min påstand er derfor at dette er økonomisk lønnsomt. 

Hva bør styret vite at er på plass?

Selv i mindre selskaper bør styret ta aktiv stilling til risikohåndtering i virksomheten. Noe som kan virke unødvendig i et lite selskap med få eller enkle systemer, men min påstand er at det er like viktig, bare at prosessen vil være mye enklere og gå raskere. Det er færre systemer, leverandører og kompleksitet å vurdere. I tillegg kan risikoene være mindre, og tilsvarende også for eventuelle tiltak eller oppfølgingspunkter. 

Det å bygge prosessene på gode standarder tror jeg vil gjøre arbeidet mye enklere for både utførende ressurser og de som forholder seg til rapportene. Derfor vil jeg anbefale å bygge opp prosesser basert på f.eks. ISO 31000.

Følger man stegene i denne standarden vil man kunne oppdage både muligheter og hindringer tidlig. 

Konkret kan disse punktene være et utgangspunkt: 

  1. Omfang og kontekst – behov for oversikt over IT-funksjonen 
  • Hvilke generelle IT-risikoer kan treffe organisasjonen? F.eks. virus, malware, ransomware-angrep, datasikkerhetsbrudd, teknisk svikt og nedetid, menneskelige feil, datalekkasjer og tap av data. Også juridiske og regulatoriske risikoer må vurderes. 
  • Hvilke tekniske områder skal virksomheten inn i? Hvilke mulighetsrom finnes?
  1. Risikoidentifisering – informasjonsinnhenting
  • Hvilke områder er det behov for å undersøke videre? 
  • Hvilken informasjon er nødvendig å fremskaffe? 
  • Hvor langt ned i kjeden er det ønskelig, og mulig, å gå og skaffe seg oversikt? Hvilke opplysninger bør leverandørene bes om å fremskaffe?
  1. Risikoanalyse
  • På bakgrunn av de innhentede opplysningene, hvordan vurderer virksomheten risiko knyttet til IT-funksjonen?
    • Hvor sannsynlig er slike hendelser?
    • Hvilke konsekvenser kan de få?
    • Hvor sikre er man på disse vurderingene?
  1. Risikoevaluering og risikohåndtering
  • I hvor stor grad er virksomheten villig til å akseptere den risikoen som er avdekket?
  • Hvor stort er potensialet for risikoreduksjon?
  • Hvilke tiltak kan redusere risikoen til et (mer) akseptabelt nivå?
  • Er disse tiltakene forsvarlige ut fra en nytte-/kostnadsvurdering, og hva er de positive og negative bieffektene av tiltaket?
  1. Implementering av tiltak
  • Hvordan skal tiltak implementeres og følges opp?

Dette er steg som kan tilpasses den enkelte virksomhet. Tidsbruk, behov for informasjonsinnhenting og konsekvensanalyser vil være veldig forskjellig fra selskap til selskap. 

pastedGraphic.png

Risikoregister

Styret bør få tilgang til selskapets risikoregister. Dette er et dokument som brukes i flere sammenhenger, både innen prosjekter og f.eks. ISO9001 sertifiseringen. Dette vil i ISO-sammenheng bestå av en oversikt over de risikoer som selskapet har identifisert, og definere opp en del ting som gir styret en god oversikt over situasjonsbildet. 

Et risikoregister bør inneholde nøkkelinformasjon om hver identifisert risiko, som risikobeskrivelse, risikokategori, sannsynlighet for at risikoen inntreffer, potensiell innvirkning og tiltak for å håndtere eller redusere risikoen.

I tillegg bør den definere en del roller rundt risikohåndteringen.

  • Risikoeier er ansvarlig for å følge opp tildelt risiko og tilhørende tiltak.
  • Tiltaksansvarlig er ansvarlig for at tiltak blir gjennomført, men trenger ikke nødvendigvis å selv utføre tiltaket. 
  • Konsultert – hvem skal rådføres i forbindelse med risikoen.
  • Informert – Hvem skal informeres om risikoen inntreffer.

Det er ingenting i veien for at man i mindre organisasjoner har samme person på flere av disse rollene. 

Det bør også inkludere status for risikohåndteringstiltak og eventuelle merknader relatert til risikoen.

Ut over dette kan større virksomheter også ha flere koordinerende roller, samt et Risk Management Board (RMB). Siden denne type selskaper gjerne allerede er sertifisert og har rutiner for dette vil jeg ikke gå dypere inn på dette i denne artikkelen. 

Styrets rolle

Det er viktig å skille på det operasjonelle i risikohåndteringen og styrets rolle. Styrets rolle er å påse og kontrollere at prosessene er gjennomført i henhold til behovet som er avdekket og selskapets mål. Styret skal få godt nok oversikt over risikoene til å kunne vurdere om videre tiltak skal iverksettes. Styremedlemmer kan også i visse situasjoner aktivt bistå i spesielle hendelser eller håndtering av risikoer, men dette er ikke normalen. 

Effektiv risikostyring sikrer at en organisasjon kan ta informerte beslutninger og prioritere handlinger som fremmer måloppnåelse. Det handler om å sikre at virksomhetens strategi blir implementert effektivt samtidig som man oppfyller alle relevante krav. Dette er avgjørende for styret, ettersom det bidrar til å beskytte og fremme virksomhetens suksess og sikkerhet. 

Derfor er det viktig at det operasjonelle ansvaret for risikohåndtering innen IT-funksjonen sitter tilstrekkelig høyt i en organisasjon og har gode kommunikasjonskanaler inn til styret og ledelsen. I mindre virksomheter kan dette gjerne være en del av stillingsbeskrivelsen til daglig leder. 

Styret spiller en avgjørende rolle

Et risikominimerende styre spiller en avgjørende rolle i å sikre organisasjonens bærekraft og suksess ved å legge til rette for identifisering, vurdering og håndtering av risikoer på en proaktiv og strategisk måte. Gjennom etablering av en solid risikostyringsprosess og fokus på viktige elementer som sikkerhetskultur, teknologisk infrastruktur og forretningskontinuitet, kan et styre bidra til å minimere truslene og realisere mulighetene for organisasjonen.

Hva trenger du hjelp til?

Våre konsulenter kan avhjelpe konfliktsituasjoner, tilføre kompetanse der nye muligheter tar form eller der strategien må endres eller ny kompetanse er avgjørende i den fase virksomheten står ovenfor.

Flere av våre artikler: