Mange organisationer bruger tid og kræfter på at opbygge GRC-rammer og processer – men oplever alligevel, at det ikke rykker nogetvæsentligt.

‍

Hvorfor?

Fordi løsningerne ofte udvikles i sikkerhedsteamet ellercompliance-afdelingen uden reel involvering fra forretningen. Og udenforretningen bliver det svært at skabe mening og værdi.

Alt for ofte fokuserer arbejdet på kontrol og dokumentationi stedet for at svare på det mest grundlæggende spørgsmål: Hvad kan true voresevne til at nå forretningsmålene?

Risiko handler om målopfyldelse – ikke bare om kontroller

En risikovurdering skal ikke blot opremse mulige hændelser,men sættes i direkte relation til de målsætninger, organisationen prøver atopnå. Når det ikke sker, mister arbejdet sin retning. Et it-system i sig selver ikke i risiko – men det er de aktiviteter og mål, der afhænger af det.

Manglen på forretningsforståelse fører til vurderinger udenkontekst og rapportering, der ikke kan omsættes til handling. Det bliver svært at svare på simple spørgsmål som: Hvad er den reelle betydning, hvis systemetfejler? Og hvem bliver påvirket?

Risici er relevante, når de kobles til organisationenskonkrete målsætninger – fx vækst, effektivisering, compliance, kundetilfredshed, digitalisering, bæredygtighed eller medarbejdertrivsel. F.eks.:

Strategisk målsætning

·      Invester i ny teknologi og indtage+20% markedsandel

‍

Strategiske risici

·      Fejlslåede investeringer i ny teknologi –løsningen matcher ikke behovene og bliver aldrig fuldt ud implementeret.

·      Manglende tilpasning til markedet – konkurrenteroverhaler pga. hurtigere innovation.

‍

Operationelle risici

·      Afgørende medarbejdere siger op – viden ogkapacitet forsvinder pludseligt.

·      Gentagende systemnedbrud – nøgleværktøjer er ustabile, hvilket gør driften ustabil og kunderne skifter over til konkurrenterne.

‍

Informationssikkerhedsrisici

·      Databrud – kunders eller medarbejderes datakompromitteres, hvilket fører til tabt tillid og bøder, osv.

Komplekse løsninger løser sjældent reelle problemer

Der er en tendens til, at teknisk og faglig kompleksitetovertager billedet. Resultatet bliver tunge rammeværk og værktøjer, der ersvære at bruge – og endnu sværere at forklare. Når forretningen ikke kangenkende sig selv i løsningen, mister den interessen. Og så bliver arbejdetisoleret i en lille gruppe uden indflydelse.

Når målet er tydeligt, bliver risikoen det også.

Der afholdes rigtig mange risikoworkshops rundt omkring ilandet. Mange kører af sporet. Ofte skyldes det, at vurderingen er koblet tilet it-system eller en proces, men ikke til et formål, som understøtter organisationensmålsætning.

‍

Et skift i tilgang kan gøre hele forskellen:

·      Hvad er formålet med det her it-værktøj eller den her aktivitet? Er det ny teknologi?

·      Hvordan bidrager det til organisationens målsætning?Er det med til at øge markedsandelen?

·      Hvad betyder det for os hvis it-værktøjet ikke fungerer efter hensigten?

·      Hvad er risikoen for at vi ikke opnår vores målsætning 20% vækst i markedsandel? Det er netop risikoen som topledelsen efterspørger.

Mere enkelthed. Mere effekt.

GRC giver kun værdi, når det skaber indsigt, der kan brugesi hverdagen – af ledelsen, af forretningen og af dem, der skal handle pårisikoen.

‍

Det kræver en vilje til at rydde op, forenkle og tænke fraforretningens perspektiv. Ikke i stedet for faglighed, men som fundament for atbruge den rigtigt.

Risikostyring er ikke en øvelse i dokumentation. Det er en måde at beskytte forretningens fremdrift og målopfyldelse på. Når det lykkes,bliver det et ledelsesværktøj – ikke bare et compliancekrav.

‍