Inom näringslivet pågår en intensiv utveckling mot ökad effektivisering, specialisering och internationalisering. Användningen av informationsteknologi, ”just-in-time”-leveranser, outsourcing och fenomen som virtuella företag ökar företagens effektivitet och möjlighet att anpassa sig till snabba förändringar på marknaden.
Det moderna, högeffektiva och anpassningsinriktade företaget riskerar därmed också att öka sin exponering mot yttre risker och hot. När lagren är tomma och det inte finns några outnyttjade resurser kan även mycket små störningar i transportstöd, teleförbindelser, eltillförsel eller datasystem leda till att företagets verksamhet påverkas negativt. Vid svåra, samhällsomfattande störningar i infrastrukturen riskeras företagets existens.
Detta är naturligtvis allvarligt både ur företagets och samhällets perspektiv.
Riskhantering i företagen
I vissa företag – försäkringsbolag och kreditinstitut till exempel – ingår risktagande som en del i affärsidén, och risk management har där fått ett väsentligt inflytande på företagets styrning. För näringslivet i övrigt är riskmedvetandet högst varierande. I de företag där ett mer utvecklat risktänkande finns är detta ofta fokuserat på marknadsrisker.
Andra faktorer, som administrativa förhållanden, försörjning med insatsvaror, tjänster, el, vatten mm, får däremot lägre prioritet. Ibland är detta en medveten prioritering, men ofta handlar det om en slentrianmässig syn. En ytterligare förklaring kan vara att företaget upplever sig sakna kompetens att bedöma sannolikheten för och konsekvenserna av allvarliga störningar i till exempel infrastrukturen. Ett aldrig så framgångsrikt företag – vilket det finns många exempel på – kan äventyra sin verksamhet genom ett längre IT-avbrott eller genom att någon fientligen kommer åt känslig företagsinformation.
Många företagsledningar skjuter enligt vår erfarenhet ifrån sig riskfrågor som till exempel IT-sårbarhet och menar att de inte hör hemma på ledningsnivå utan är en fråga för specialister och experter på lägre nivå i organisationen. Osäkerhet om hur resultatet av analysen skall tas om hand i företaget spelar här säkert in.
Det är lätt att förstå att företagsledningarna prioriterar affärsutvecklingen men det är viktigt att vara observant på att detta kan innebära en riskabel obalans. Företagsledningarna måste ha grepp om både marknadsrisker och andra risker.
Det arbete som ÖCB bedriver för att minska samhällets sårbarhet för störningar i kriser visar att om man på ett tidigt stadium i olika processer planerar för hur beredskapen mot fredsstörningar, kriser och krig skall tryggas kan stora positiva effekter uppnås utan att det behöver leda till orimliga kostnader.
Ibland kan till och med pengar sparas genom förebyggande arbete – samtidigt som företaget minskar sin sårbarhet och samhället som helhet blir mer robust.
Det råder idag knappast någon brist på metoder för analys och utveckling av riskhantering inom företag. Flera organisationer, bl.a. ÖCB tillhandahåller metoder för såväl generell riskanalys som metoder för utvärdering av datasystemsäkerhet. Notabelt är dock att metoderna används så sparsamt.
IT-säkerhet
Det område där säkerhetsfrågorna rönt störst uppmärksamhet under senare tid är utan tvekan de datoriserade informationssystemen. ÖCB har på regeringens uppdrag undersökt datasystemsäkerheten i bl.a. samhällsviktiga företag. Totalt har dryga hundra analyser genomförts och resultaten har sammanställts.
Analysresultaten tyder på att säkerhetsmedvetandet ofta är mycket lågt. Till exempel saknar hela 85 procent av undersökta system en avbrottsplanering som når upp till de egna kraven. Så borde det inte vara eftersom kostnaden för att måna om datasäkerheten är marginell i jämförelse med de summor företagen satsar på IT.
Brist på normer och standards
Utvecklingen av metoder för riskanalyser och sårbarhetsbedömningar har gått framåt på senare år. Däremot har utvecklingen mot standards för vad som är acceptabla risk- och skyddsnivåer inte gått lika långt. En ökad utveckling av normer skulle säkerligen även stimulera användningen av tillgängliga metoder. Ytterst är dock självfallet alltid företagsledningen som måste sätta kravnivån i det enskilda fallet.
Marknaden som drivkraft
På längre sikt blir marknaden sannolikt den starkaste drivkraften för minskad sårbarhet och ökad medvetenhet om risker inom näringslivet. Man kan tänka sig en utveckling liknande den som skett på miljöområdet (där ”miljöhänsyn” på många håll har blivit ett försäljningsargument och en överlevnadsstrategi).
Med ökad internationell konkurrens såväl mellan företag som på infrastrukturområdet, kan ett vanligt företag inte längre räkna med att marknaden finns kvar efter ett avbrott i produktionen.
Konkurrenterna kan nämligen ha klarat sig bra – genom att befinna sig i andra länder, använda konkurrerande telenät eller ha bättre reservrutiner – och kapat åt sig de marknadsandelar företaget hade före avbrottet.
Säkerheten viktig i marknadsföringen
Det blir därmed också tydligt att företag som arbetar i branscher som bygger på stabila försäljnings-kundrelationer måste kunna marknadsföra sig som säkra och tillförlitliga.
Ett sätt kan vara att i årsredovisningen och på andra ställen kunna visa vilka åtgärder man vidtagit för att begränsa sin sårbarhet mot störningar i fred, kris och krig på samma sätt som man redovisar vilka åtgärder man vidtagit inom exempelvis miljöområdet.
Revisorernas roll i riskanalysarbetet
I takt med att företagens säkerhetstänkande utvecklas – vilket är både troligt och nödvändigt – kommer även revisorerna att tvingas ägna större uppmärksamhet åt företagens riskhantering.
Redan i dag är riskhanteringen en del av det som skall granskas i förvaltningsrevisionen:
”Revisorn skall vidare vid sin granskning bedöma om bolagets system för planering och kontroll förser styrelse och VD med tillfredsställande underlag för beslut samt om styrelsen och VD har tillräcklig överblick över bolagets risksituation (FAR: Revisionsprocessen, 1.5).”
Någon dokumenterad praxis över vad som är acceptabel revisionsstandard i det sistnämnda avseendet finns inte att tillgå. Helt klart är dock att denna del av revisionen omfattar betydligt mer än bara kontroll och bedömning av företagets försäkringsskydd.
På några års sikt kan man tänka sig en utveckling där revisorernas roll i riskanalysarbetet blir central. Revisorskåren kan aktivt medverka till att utveckla standards för risknivåer, riskhantering och revision av skyddsåtgärder.
Revisorerna kan också i sin roll som rådgivare informera företaget om vikten att ta beredskapshänsyn, samt marknadsföra de verktyg som finns för att analysera risker och förbättra riskhanteringen. Det torde vara en naturlig uppgift för revisorerna att ge företagsledningarna kompetens- och metodstöd i dessa frågor.
Trots att riskanalyser idag har blivit något av ett innebegrepp befinner sig tillämpningen av dessa än så länge bara i sin linda. En bredare tillämpning baserad på tydligare mål och normer är en angelägen utveckling sett ur såväl företagens som samhällets perspektiv. Revisorerna med sina djupa och breda inblickar i näringslivets förhållanden kan här bidra med mycket.
Erik Clason
Auktor revisor
Lindebergs Revisionsbyrå AB
Mats Lindkvist , Svante Werger
Avdelningsdirektörer
Överstyrelsen för Civil Beredskap, ÖCB
K-lotsen: Utges av SAF och Överstyrelsen för civil beredskap för alla företag som vill undvika onödigt risktagande och bli effektiva och robusta företag i fred likaväl som i samhällskriser. K-Lotsen består av tre avsnitt:
Finns det färdiga åtgärdsprogram att ta fram vid haverier?
Finns en genomtänkt inköpsstrategi som säkrar inflöde av material vid kriser?
Vilka personer är helt avgörande för att klara produktionsflöden och löpande arbete?
Har företaget bedömt sannolikheten för och konsekvenserna av olika störningar i försörjningssystemen?
Har företaget tänkt igenom riskerna för obehörig informationsspridning och hur företaget skall skydda värdefull information?
ÖCB-metoden: En analysmetod för datasystemsäkerhet. Den genomförs i tre steg varav det tredje är ett återrapporteringssteg.
I steg ett låter man verksamhetens ledning, säkerhetsansvariga, beredskapshandläggare och alla andra berörda tillsammans identifiera ett eller två för företaget livsviktiga datasystem och tillsammans bestämma vilka kravnivåer som skall gälla för systemen i tre kategorier: skydd mot obehörig åtkomst, tillförlitlighet och tillgänglighet.
I steg två får systemägarna samt IT- och säkerhetsspecialisterna redovisa de säkerhetsåtgärder som faktiskt är vidtagna för att uppnå kraven som ställts i steg ett.
Sedan jämförs i det tredje steget de ställda kraven mot de säkerhetsåtgärder som vidtagits. Den egna verkligheten mäts mot de egna kraven.