"Not everything that counts, can be counted."
Albert Einstein er blevet taget til indtægt for ovenstående citat fra engang i sidste årtusinde. At det stadig er gyldigt, viser manges opfattelse af, at "fordi det er sværere at kvantificere risici end økonomi, har vi primært sat styringen af økonomien i system".
Men det er en fejlslutning med store konsekvenser, fordi det, som citatet siger, ikke er tilstrækkeligt kun at fokusere på de fænomener, som umiddelbart kan registreres - og tælles.
Risikostyring eller risk management handler grundlæggende om to ting:
Man skal kunne vurdere sandsynligheden for, at virksomhedskritiske skadelige hændelser opstår, og man skal kunne estimere konsekvenserne af de skadelige hændelser for virksomheden.
Det gælder både direkte og indirekte samt kvantitativt og kvalitativt.
Når man formår at kombinere de to ting, bliver virksomhedens sårbarheder synlige, og den kan dermed styre uden om risici eller være forberedt på at beskytte sig imod dem.
Kontrollen svækkes
Vores afhængighed af leverandører og samarbejdspartnere øges fortsat. Blandt de virksomheder, jeg arbejder for, findes der nogle, der efter min vurdering ikke længere har den fornødne egenkontrol over forudsætningerne for deres kerneforretning.
Enten fordi de ikke kender deres sårbarheder, eller fordi de har outsourcet vigtige funktioner og/eller benytter sig af serviceleverandører. Dertil kommer, at deres leverandører også er afhængige af andre partnere og underleverandører, hvilket forøger sårbarheden.
"Jamen, vi har tegnet kontrakter med garantier og bod."
Det hjælper bare ikke, når der opstår en situation med alvorlig betydning for virksomheden. Garantien og boden kan man diskutere med advokaten på et senere tidspunkt.
Det, der har betydning her og nu, er, om virksomheden er i stand til at køre videre på nedsat kraft - og i givet fald hvor længe, uden større tab.
Hvilke garantier har du?
Nogle virksomheders sårbarhedsanalyser viser, at de kan leve med en kritisk tilstand i 1-2 uger, inden det ud over penge og produktionstab også koster dem markedsandele og image. For andre virksomheder og brancher er fristen langt kortere.
I takt med at betydningen af risikostyring stiger, viser erfaringen, at vi ikke længere kan forlade os på revisorer og banker som vishedsgaranter for de aftaler, vi indgår med andre.
Til en vis grad er "chain of trust" erstattet af "chain of dependencies and uncertainties", dvs. der er opstået en afhængighedskæde.
I kontraktforhandlingerne mellem Telenor og kunder som f.eks. Ikea og Saab har risk management været et meget centralt punkt. Den forretningsmæssige afhængighed af Telenors ydelser har bl.a. betydet, at kunderne har krævet en dyb indsigt i og vurdering af Telenors risikostyring.
Jeg tvivler på, at særligt mange danske virksomheder ville være åbne over for et lignende eftersyn af sine kunder.
Selvom det forretningsmæssigt kan være fornuftigt at bruge serviceleverandører, skal man være opmærksom på, at der følger et større ansvar med - ikke et mindre, som nogle fejlagtigt antager.
En seriøs risikostyring forudsætter, at man erstatter strudseadfærden med at stikke hovedet i busken med den bowlerklædte londoners ræsonnement, der selv på en solbeskinnet dag tager paraplyen over armen.
Ja, han ser måske lidt komisk ud. Alligevel er det ham, som ler sidst den ene gang ud af tyve, hvor der kommer en byge.
Niels Madelung er projektchef hos Fonden Dansk Standard, certificeret informationssikkerhedsleder og medredaktør af revisionen af ISO/IEC-standarden 27002:2005.
Computerworlds klummer er ikke nødvendigvis udtryk for Computerworlds holdninger, men er alene udtryk for skribentens holdninger.
