Konsekvenserne ved manglende it-risk management

It-risk management er ikke noget nyt. Der har bare aldrig været fokuseret særlig meget på emnet før nu, hvor offentligheden har fået kendskab til et par it-nedbrud hos centrale leverandører med store konsekvenser hos kunderne til følge.

Den store udbredelse af it og virksomheders anvendelse af outsourcing på it området bevirker også, at it-risk management aldrig har været mere aktuelt end nu, og det ser ikke ud til, at det bliver mindre aktuelt i fremtiden. Har du kendskab til de største it-risici i din virksomhed, og ved du, om ressourcerne anvendes rigtigt?

Det er vores erfaring, at der er stor forskel på, hvor struktureret og formel virksomheder udfører deres it-risk management. Samtidig er det ganske naturligt, at den lille håndværksmester vil have en anden tilgang til it-risk management end den børsnoterede virksomhed med en langt større og mere komplekst it-infrastruktur. Men der er dog ingen tvivl om, at de begge bør tage it-risk management alvorligt. Det kan nemlig have væsentlige konsekvenser for både omdømme og økonomi ikke at have styr på virksomhedens risici. F.eks.:

• Hvad er konsekvenserne for væsentlige tab og omdømme, hvis it ikke er tilgængeligt?
• Hvad er konsekvenserne hvis fortrolige data kommer til offentlighedens kendskab?
• Hvad er konsekvenserne for økonomi og omdømme, hvis virksomhedens data ikke er pålidelige?

Tages it-risk management alvorligt, i jeres virksomhed?

At drive virksomhed og skabe et overskud kræves, at der tages risici. Men ikke nødvendigvis unødige eller ubevidste risici. Derfor bør I håndtere it-risici som en del af den daglige drift og foretage regelmæssige opfølgninger på forhold, der kan påvirke risiciene og dermed it-miljøet.

Vi har set eksempler på, at virksomheder, og dermed ledelsen, ikke tager it-risk management alvorligt. Et stort antal af de risikoanalyser, som eventuelt udarbejdes, sker for afgrænsede områder i decentrale grupper uden central koordinering til ledelsen og ofte med it-afdelingen og ikke forretningen som omdrejningspunktet. Faktisk har vi set, at it-risikoanalyser som en del af risk managment kun udarbejdes og ajourføres for revisorernes skyld.

Hvis it-risk management skal bidrage positivt til jeres virksomhed, så skal den være forankret i ledelsen og accepteret i organisationen. Kun på den måde kan alle i organisation bidrage positivt til processen og gøre opmærksom på de risici, som kan udgøre en trussel for virksomheden samt på, hvordan den kan afdækkes.

Det er heller ikke længere nok, at it-risk management kun er en årlig tilbagevendende begivenhed, men bør være en kontinuerlig proces hvor I tager højde for de it-mæssige ændringer, som sker både inden og udenfor for jeres virksomhed.

For at udføre en kompetent og anvendelig it-risk management er der behov for medarbejdere med den nødvendige viden, som kan drive processen. Selve styringen af it-risk management og udarbejdelse af it-risikoanalyser kan udføres på forskellige måder. Det vigtigste er dog, at I finder en metode, som er praktisk anvendelig i jeres organisationen.

Det er vores erfaring, at en ”Topdown Approach” er meget anvendelig og kan benyttes i de fleste organisationer. Metoden går kort fortalt ud på, at jeres forretningsmæssige mål specificeres med udgangspunkt i de forretningsmæssige processer, som understøtter målene. Forretningsprocesserne nedbrydes i relationer til it-aktiver og manuelle arbejdshandlinger. På den måde skabes en forankring mellem specifikke it-aktiver og jeres forretningsmæssige mål. I kan se, hvilke it-aktiver som bidrager til hvilke mål. Endvidere kan I se, hvilke mål som bliver berørt, hvis det pågældende it-aktiv ikke er tilgængeligt, eller der sker brud på fortroligheden eller data ikke er pålidelige.

En af ulemperne ved it-risk management og ved ovennævnte metode er, at nedbrydning af mål i processer og aktiver kan være en omfattende og krævende proces. Hvis I har mange aktiver, kan det være en fordel at benytte ”it-værktøjer” til at dokumentere og styre processen.

Hvordan kan det styres?

It-risk management er i dag et stort område, som skal dække alle relevante it områder i jeres virksomhed. Samtidig skal det også være en kontinuerlig proces. Derfor er der ofte behov for et ”it-værktøj”, der kan understøtte processen.

Vi har kendskab til forskellige produkter, der varierer i pris, dybde, anvendelsesmuligheder og brugervenlighed. Fælles for dem er, at de er gode til at fastholde informationer om it-risici på en struktureret måde og kan præsentere disse data via grafer og farver. Endvidere giver produkterne mulighed for at foretage opfølgning og simulering på allerede kendte risici og specifikation af tilhørende kontroller på bestemte områder. I skal dog samtidig påregne, at it-risk management kræver en del ressourcer især til opstart af processen.

Vi anbefaler, at I i jeres virksomhed ligeledes udfører it-risk management som en kontinuerlig proces. Eventuelt med hjælp fra ”værktøjer” for at få den nødvendige struktur. På den måde kan I skabe et godt grundlag for en effektiv it-risk management og samtidig kan relevante it-risici og kontroller gøres synlige overfor ledelsen.

Vil du vide mere?

Vi håber med denne artikel at give dig indblik i konsekvenserne ved ikke at gennemføre it-risk management, hvordan processen kan gennemføres samt hvordan styringen løbende kan foretages. Såfremt I har spørgsmål eller ønsker at vide mere om dette emne, er I meget velkomne til at kontakte:

Michael Clement
Statsautoriseret revisor

E-mail