Bestyrelsesguiden

I en digital verden er risikostyring nødvendig i enhver virksomhed

I Danmark har vi en meget åben og tillidsfuld kultur. Det er vores styrke i mange sammenhænge, men i den digitale verden skaber det udfordringer. Disciplin, kontrol og faste systemer er afgørende begreber, hvis virksomheden skal lykkes med digitaliseringsrejsen, skriver Frans Skovholm fra DAHL Advokatpartnerselskab.

Digitaliseringen har igennem mange år tilført en væsentlige bedre bundlinje for produktionsvirksomheder som følge af omkostningsbesparelser, bedre kvalitet og en nedbringelse af fejl. Dette er sket ud fra en standardisering af systemer og kontroller ved alle led i produktionskæden.

Der er således ikke plads til, at én medarbejder får ansvaret for udviklingen og gennemførelsen af ét led i produktionskæden. Der er klare beskrevne processer og kontroller, som sikrer, at uanset hvem der udfører processen, har processen den rette kvalitet i alle led.

Når vi overlader store komplekse it-systemer til den enkelte medarbejder, har vi tillid til, at den enkelte medarbejder selv ”finder ud af det”. Vi har således tillid til, at når medarbejderen har fået sit opdrag, bliver opgaven løst efter de krav og standarder, som vi har opsat.

Men gør de det? I realiteten ved vi det ikke, og dermed lever vi efter mantraet ”intet nyt, er godt nyt”. For når kunderne og samarbejdspartnerne ikke brokker sig, så må de jo være tilfredse.

Det er efterhånden ved at gå op for flere og flere virksomheder, at det skaber stor værdi at have systemer for risikostyring og kvalitet omkring deres håndtering af informationer og it-sikkerhed.

Vi oplever en stigende efterspørgsel i SMV-segmentet på ledelsessystemer, hvor kravene til risikostyring og kvalitet bliver fastlagt og ensrettet, så processerne i større grad er systemafhængig – og ikke personafhængig. Denne efterspørgsel på ledelsessystemer har særligt fået kraftig medvind med indtoget af GDPR de seneste par år.

Trin for trin: Start med strategien for informationssikkerhed
Når nu digitaliseringstoget buldrer derudaf og skaber stor værdi på den korte bane, skal vi hele tiden have et øje på, om vi har et ”passende” sikkerhedsniveau. Det gælder både, at vi har de rigtige it-tekniske sikkerhedsforanstaltninger, men i lige så høj grad, at vores medarbejdere kender deres retningslinjer og procedurer for at overholde sikkerhedskravene.

Når man skal arbejde med udvikling af et ‘compliance’-program, anbefaler vi, at virksomheder begynder med en klar strategi for, hvordan de forholder sig til informationssikkerhed og håndtering af it-systemer. Herved skabes der den rigtige grobund for, at strategien for vækst kan blomstre.

Når strategien for informationssikkerhed er på plads, kan der arbejdes med udvikling af retningslinjer og procedurer for de enkelte områder, som følger strategien.

I den forbindelse kan man udarbejde tjeklister, som understøtter medarbejderens kvalitet i arbejdet. F.eks. kan man ved indkøb af nye it-systemer udfærdige procedurer, som indeholder en tjekliste, hvor de vigtigste spørgsmål er blevet besvaret. Det kunne være:

  1. Har vi lavet en it-teknisk risikovurdering af det nye system?
  2. Hvem i virksomheden skal have adgang?
  3. Skal der behandles fortrolig information?
  4. Kan vi begrænse mulighederne i systemet pr. default?
  5. Bliver der behandlet persondata?
  6. Kan vi logge på et læsbart niveau?
  7. Skal der indgås databehandleraftale?

Til at sikre at retningslinjerne overholdes kan man implementere faste kontroller, hvor det på jævnlig basis kontrolleres både at retningslinjerne og procedurerne overholdes. Endvidere kan det også kontrolleres, at de it-tekniske systemer er opdateret og forsat sikrer den fornødne sikkerhed.

Frans Skovholm er juniorpartner i DAHL Advokatpartnerselskab.