I mange organisationerfølger risikovurderingerne en fast procedure, som tager udgangspunkt i en rækkesystemer og processer, der engang blev defineret som kritiske. Spørgsmålet er,om det stadig er her, kræfterne skal lægges, eller om man i højere grad kaneffektivisere risikovurderingerne?
Spørger du os, ersvaret enkelt: Med det rette værktøj kan du prioritere ressourcerne og brugedem der, hvor det giver mening – også når det kommer til risikovurderinger.
En kobling mellemrisikovurderinger og målsætninger
Ovenstående scenarie –hvor risikovurderinger udføres efter en fast procedure – fungerer langt hen advejen ganske udmærket. De aktuelle risici og sårbarheder bliver naturligvisidentificeret på denne måde. Men med et større fokus på organisationensmålsætning er det muligt at effektivisere vurderingsprocessen, så du ikketrusselvurderer på alt, men kun på de områder, der spiller en rollefor driften.
Uanset hvad dinorganisation arbejder med, vil der fra ledelsens side være defineret enstrategi, der typisk består af forretningsmål, værdier og lignende. Ved atbryde de overordnede målsætninger ned i delmål, er det muligt at risikovurderepå de systemer og processer, der understøtter det enkelte mål.
Lad os tage eteksempel:
En organisation harsom overordnet forretningsmål at levere landets bedste kundeservice. I forholdtil risikovurderinger er det her essentielt at holde fokus på dekommunikationskanaler, der gør, at kunderne altid kan komme i kontakt medorganisationen. Samtidig er det måske ikke helt så nødvendigt med et konstantfokus på det interne kommunikationssystem, så her kan man med fordel sparenogle ressourcer.
LÆS OGSÅ: Få styr på din risikohåndtering
Større forståelse fra ledelsen
Somsikkerhedsansvarlig ved du naturligvis, hvor vigtigt det er at være på forkantmed alle former for trusler. Både interne, eksterne, tekniske og menneskelige.Til gengæld kan det knibe med at få ledelsens forståelse for en tekniskrisikovurdering af hele systemlandskabet og infrastrukturen – men tager duudgangspunkt i de forretningsmål, de selv har været med til at udforme, så ersnakken en helt anden.
Forestil dig, atvirksomhedens vækst det næste kvartal er bundet op på en ny produktlancering.Som sikkerhedsansvarlig kan du målrette ressourcerne mod de risici, der kanpåvirke lanceringen, og på den måde skabe større forståelse for dit arbejde.Ledelsen ved nemlig godt, hvad det betyder for bundlinjen, hvisproduktlanceringen går galt på grund af risici, der kunne være undgået.
"Plejer" findes ikke
Implementerer du risikovurderingsprocesser,der er bundet op på forretningsmål, vil du muligvis opleve modstand fra dineknap så omstillingsparate kolleger. Der er nemlig ikke længere noget, derhedder ”sådan plejer vi at gøre”.
Ikke at du skalgenopfinde jeres arbejdsmetoder. Du skal bare vende den traditionelle tilgangpå hovedet og tage stilling til truslerne i prioriteret rækkefølge.
Når du foretagerrisikovurderinger på baggrund af forretningsmål, skal du være mere aktiv, enddu ”plejer” – der skal kontinuerligt følges op på, om der vurderes på de retteparametre. Det kræver forretningsforståelse, men resultatet er en langt mereeffektiv risikovurderingsproces, der sikrer, at du risikovurderer der, hvororganisationen har mest gavn af det.
LÆS OGSÅ: Risikostyring er ikke en opgave – det er en løbende proces
