Hvad er Risk Management?

Risk Management, eller risikostyring, er en vigtig proces i alle virksomheder. Det skal give input til at virksomheden kan tage beslutninger på et oplyst grundlag ligesom det skal hjælpe med at virksomheden succesfuldt opnår sine forretningsmål.

Risikostyringen består typisk af aktiviteter der hjælper med at identificere, måle og analysere, og håndtere potentielle risici, som kan påvirke en virksomheds evne til at opnå sine forretningsmæssige mål. Risikostyringen skal ikke kun fokusere på den negative konsekvens med også arbejde med sandsynligheden for positive konsekvenser ved risici. Dette inkluderer risici i forretningsprocesser og aktiviteter, IT-systemer, og i samarbejdet med medarbejdere, leverandører, og samarbejdspartnere.

Grundlæggende i risikostyring

Risikostyring handler om at etablere en kultur og processer for at identificere, måle og analysere om virksomheden kan acceptere dem eller de skal nedbringes. Risikostyringen dækker alle elementer lige fra understøttelse af strategiske beslutninger, produktlanceringer til informations- og IT-sikkerhed.

  • De Fire Hovedelementer i Risikostyring

    1. Identifikation og registrering: Identifikation danner overblik over hvilke risici virksomheden potentielt kan være udsat for og kan ske på flere måder som fx:
      1. IT-risici relateret til kontinuiteten af væsentlige eller vigtige forretningsprocesser identificeres på baggrund af gennemførte forretningskonsekvensanalyse
      2. Interviews og workshops med forretningsansvarlige, afdelingsledere, procesansvarlige, systemansvarlige samt relevant tekniske personale
      3. Gennem risikovurderingen ved IT-anskaffelser, nye opgaver eller projekter og ved større ændringer ved forretningsprocesser, IT-aktiver, hos leverandører eller ved væsentlige IT-sikkerhedshændelser
      4. Ved gennemgang af leverandør revisionserklæringer, onlinespørgeskemaer, certificeringer, testrapporter på beredskabsafprøvninger og IT-sikkerhedstest (penetrationstest og sårbarhedsscanninger), og væsentlige IT-sikkerhedshændelser og anden relevant dokumentation
      5. Periodiske gennemgange af opsamlede IT-sikkerhedshændelser
      6. På baggrund af test af IT-sikkerhedsforanstaltninger, herunder sårbarhedsscanninger og penetrationstest
      7. Ved opstilling af trussels- og risikoscenarier

  • De identificerede risici som kræver styring og rapportering registreres i et centralt register af risikoejeren.

    1. Måle og analyse af Risici: Efter identifikationen og registreringen vurderer IT-risikoejeren risici i forhold til den aftalte sandsynlighed og konsekvens skala. Risici opgøres i sandsynlighed og konsekvens brutto (iboende – før kontroller) og netto (restrisiko – efter kontroller).
    2. Behandling af Risici: Der udvælges en passende risikobehandlingsmetode, for risici som har en netto risikoscore udenfor den fastlagte risikoappetit. Til dette anvendes én af de aftalte muligheder som fx accept eller udbedring via opfølgningsaktiviteter. Risikoejeren godkender formelt den samlede risiko (inklusiv brutto-/nettorisikoniveauer, relaterede opfølgningsaktiviteter (planer for håndtering) og eventuel restrisiko).
    3. Overvågning af Risici: Risici overvåges løbende af Risikoejer, herunder ved de kontroller, der udføres og de eventuelle hændelser der indtræffer på Risikoejerens område. Overvågning består i løbende vurdering og måling i forhold til opdateret information om fremdrift på opfølgningsaktiviteter (planer for håndtering), kontroller og hændelser eller ændringer til forretningsprocesser og aktiviteter, IT-systemer, eller hos medarbejdere, leverandører, og samarbejdspartnere.

Hvorfor er risikostyring vigtigt

En effektiv strategi for risikostyring sikrer en afstemt balance mellem at tage risiko og begrænse sandsynligheden og konsekvensen for den indtræffer. Målet med risikostyringen er at beskytte organisationen i forhold til lovgivningsmæssige brud, finansielle tab, tab af omdømme og tab af driftsmæssig effektivitet. Med de rette rammer, metoder, processer og kultur kan en virksomhed aktivt arbejde med risikostyringen som en del af deres beslutningsgrundlag og dermed optimere sandsynligheden for at opnå deres forretningsmæssige mål.

Konklusion

Risikostyring er en integreret del af enhver succesfuld virksomhed. Ved at løbende forstå og effektivt styre og håndtere risici, kan virksomheder navigere sikkert i et oplyst og skiftende miljø og maksimere deres chance for succes.