ISACA Sweden Chapter

IT-Riskmognad

Hantering av IT-risker har aldrig varit viktigare än nu, samtidigt har den finansiella krisen lett till att investeringar i IT-riskshantering tvingas konkurrera med investeringar som för ledningsguppen verkar mer intressant, dessutom är budgeten alltmer begränsad. När företag alltmer försöker prioritera sina investeringar för att få ut så mycket nytta som möjligt för varje investerad krona, berör det givetvis investeringar i hantering av IT-risker. Arbetet med IT-risker bör således skapa förståelse för hur IT- och affärsprocesser, generellt, kan förbättras.

Tyvärr är inte IT-riskhantering lätt, eller långt ifrån ”staightfroward”. Hantering av IT-risker täcks av många fält såsom; informationssäkerhet, planering av avbrott, projektstyrning och att regler efterföljs. Ofta har dessa hanterats oberoende av varandra. IT-risksansvariga har tidigare arbetat med att proaktivt förhindra farliga incidenter orsakade av IT, såsom; oplanerade driftstopp, cyberattacker, projekt som löper över budget eller problem med att följa regler (exempelvis SOX). Fokus har legat på att proaktivt arbeta för att skydda verksamhetens information, inte förbättra. IT-riskshantering har även av många setts som en nödvändig (ond?) kostnad, inte något som skapar värde. Detta skyddstänkande kan ha påverkat flexibiliteten i verksamheten.

Vidare så har IT-risksansvariga använt sig av generella riskramverk och anpassat dessa till IT-domänen samt generaliserat dessa till domänspecifika ledningsriktlinjer för IT-risker, men missat det viktiga i att se IT-risker ur ett holistiskt perspektiv som en del av affärsriskerna som bör hanteras för att skapa affärsvärde.

Ett lovande ramverk som ser riskhantering holistiskt är ISACA’s nya IT-riskramverk. Ramverket är baserad på COBIT och täcker riskhantering ur ett bredare perspektiv. Då ramverket är processbaserad och inkluderar en mognadsmodell kan processernas effektivitet mätas, resursallokeringar prioriteras och frågan ”vad ska vi fokusera på för att förbättra effektiviteten och värdet av vårt riskarbete?”, besvaras.

Forskare på Massachusetts Institute of Technology (MIT) har nyligen påvisat att organisationer bör vara mogna i 3 discipliner för att täcka all riskhantering. Forskarna med ledning av George Westerman, visade att dessa tre discipliner av IT-riskhanteringen samarbetar för att förebygga risker för fyra centrala företagsmål. Westerman påvisade att företag som får högre värde från sina investeringar i IT-riskhantering är mogna i alla dessa tre discipliner:

• Ett starkt IT-fundament – som förvaltas väl och är endast så komplext som det krävs.

• En god Riskstyrningsprocess - för att förstå vilka risker företaget står inför och besluta vad som ska göra åt dessa.

• En risk medveten kultur – människor har tillräcklig medvetenhet om riskerna och är bekväma att prata om dem

Westemans centrala företagsmål benämner han som ”The four A framework. Fyra A står för: Availability, Access, Accuracy och Agility.

Generell IT-styrning har utöver att minska risker och anpassa IT till verksamheten, som syfte att generera värde eller bevara värde till bolaget i sig, IT ska då ses som en strategisk nyckeltillgång i bolagets övergripande styrning. Jag väljer att se IT-riskhanteringen ur ett sådant holistiskt perspektiv och benämner detta som bolagsövergripande IT-riskstyrning.

Hur kan då effektiv IT-riskstyrning mätas?

Jag tror att ISACA´s IT-riskramverk och MIT´s ramverk kan fungera som en grund för att både kvantitativt utvärdera mognaden i företags IT-riskhantering och ge normativa rekommendationer på hur företag kan få ut mer ur sitt riskarbeta genom att uppnå och bibehålla en balanserad mognad i sina processer. Jag har tidigare arbetat med COBIT´s mognadsmodell, mätt och utvärderat mognaden i IT-processer med goda resultat och ser en nytta med att använda en liknande mognadsmodell även för IT-riskutvärderingar. En kombination av en kvantitativ mognadsmodell extraherad ur IT-riskramverket och MIT´s mognadsmodell är mycket intressant att utforma, för att kunna: (i) utvärdera en organisations mognad i sitt riskarbete och se om det gör ”rätt saker”, (ii) ge normativa rekommendationer på vad de ska göra och hur resurser bör allokeras för att förbättra dess effektivitet genom att få upp/ned mognaden så att en mer balanserad övergripande mognad erhålls. (iii) med externa mätetal analysera korrelationen till nyttan bolaget som helhet erhåller av god IT-riskstyrning.

/Waldo