I mange organisationer følger risikovurderingerne en fast procedure, som tager udgangspunkt i en række systemer og processer, der engang blev defineret som kritiske. Spørgsmålet er, om det stadig er her, kræfterne skal lægges, eller om man i højere grad kan effektivisere risikovurderingerne?
Spørger du os, er svaret enkelt: Med det rette værktøj kan du prioritere ressourcerne og bruge dem der, hvor det giver mening – også når det kommer til risikovurderinger.
En kobling mellemrisikovurderinger og målsætninger
Ovenstående scenarie – hvor risikovurderinger udføres efter en fast procedure – fungerer langt hen advejen ganske udmærket. De aktuelle risici og sårbarheder bliver naturligvis identificeret på denne måde. Men med et større fokus på organisationens målsætning er det muligt at effektivisere vurderingsprocessen, så du ikke trusselvurderer på alt, men kun på de områder, der spiller en rolle for driften.
Uanset hvad din organisation arbejder med, vil der fra ledelsens side være defineret en strategi, der typisk består af forretningsmål, værdier og lignende. Ved at bryde de overordnede målsætninger ned i delmål, er det muligt at risikovurdere på de systemer og processer, der understøtter det enkelte mål.
Lad os tage eteksempel:
En organisation har som overordnet forretningsmål at levere landets bedste kundeservice. I forhold til risikovurderinger er det her essentielt at holde fokus på de kommunikationskanaler, der gør, at kunderne altid kan komme i kontakt med organisationen. Samtidig er det måske ikke helt så nødvendigt med et konstant fokus på det interne kommunikationssystem, så her kan man med fordel spare nogle ressourcer.
LÆS OGSÅ: Få styr på din risikohåndtering
Større forståelse fra ledelsen
Som sikkerhedsansvarlig ved du naturligvis, hvor vigtigt det er at være på forkant med alle former for trusler. Både interne, eksterne, tekniske og menneskelige. Til gengæld kan det knibe med at få ledelsens forståelse for en teknisk risikovurdering af hele systemlandskabet og infrastrukturen – men tager du udgangspunkt i de forretningsmål, de selv har været med til at udforme, så ersnakken en helt anden.
Forestil dig, at virksomhedens vækst det næste kvartal er bundet op på en ny produktlancering. Som sikkerhedsansvarlig kan du målrette ressourcerne mod de risici, der kan påvirke lanceringen, og på den måde skabe større forståelse for dit arbejde. Ledelsen ved nemlig godt, hvad det betyder for bundlinjen, hvis produktlanceringen går galt på grund af risici, der kunne være undgået.
"Plejer" findes ikke
Implementerer du risikovurderingsprocesser, der er bundet op på forretningsmål, vil du muligvis opleve modstand fra dine knap så omstillingsparate kolleger. Der er nemlig ikke længere noget, der hedder ”sådan plejer vi at gøre”.
Ikke at du skal genopfinde jeres arbejdsmetoder. Du skal bare vende den traditionelle tilgang på hovedet og tage stilling til truslerne i prioriteret rækkefølge.
Når du foretager risikovurderinger på baggrund af forretningsmål, skal du være mere aktiv, end du ”plejer” – der skal kontinuerligt følges op på, om der vurderes på de rette parametre. Det kræver forretningsforståelse, men resultatet er en langt mere effektiv risikovurderingsproces, der sikrer, at du risikovurderer der, hvor organisationen har mest gavn af det.
LÆS OGSÅ: Risikostyring er ikke en opgave – det er en løbende proces
