Operationella risker inom it – dags att vakna!

En ledande svensk bank skrev nyligen av drygt 700 miljoner kronor för ”icke använda delar av utvecklingen av ny it-infrastruktur” inom ett stort utvecklingsprogram, bland annat beroende på intern resursbrist och otillräcklig kapacitet att styra satsningen.Ett globalt läkemedelsföretag drabbades av gigantiska produktionsproblem efter införandet av ett ERP-system som inte testats klart.Polisens nya rapporteringssystem Pust måste byggas om redan innan det är färdigt. Ett svenskt universitetssjukhus ställde nyligen in sina operationer på grund av it-störningar. Det nordiska nätverket hos en outsourcing partner slogs i våras ut under en dag och orsakade stopp i verksamheten för ett antal större svenska organisationer.

Att det finns behov inom många företag och myndigheter att utveckla insikt och förmåga att identifiera och hantera operationella risker avseende it råder det inget tvivel om. Den här artikeln beskriver hur styrelser och företagsledningar på ett relativt enkelt sätt kan komma till rätta med befintliga brister inom området operationell risk.

It-haverierna ovan hade kunnat undvikas helt, eller begränsats, med en bättre modell för hantering och styrning av it på ledningsnivå. Enligt min uppfattning styrs it för ofta på ett föråldrat sätt, vilket medför både onödiga och höga operationella risker, som styrelser och företagsledningar dessvärre inte alltid är medvetna om.

Fel fokus kan leda till problem
I de organisationer som infört ett balanserat styrkort, vilket introducerades för 20 år sedan genom Kaplan & Norton, ser man fördelen av att it inte uteslutande mäts från ett kostnadsperspektiv. Det är annars vanligt, till exempel om CIO rapporterar till CFO och inte sitter i den verkställande ledningen.

Företagsledningar som sätter konkreta mål för it utifrån nyckeltal som kvalitet, tillgänglighet i den dagliga leveransen, status på strategiska projekt och HR-dimensionen har enligt min uppfattning bättre möjligheter att styra och leda it.

Däremot: När ledningens fokus endast ligger på it-kostnader kan det leda till problem.

Ledningar och styrelser inser att it har ett stort värde och är av strategisk natur, men samtidigt uppfattar man it som svårt att förstå och komplext. Är CIO:n inte representerad i ledningssammanhang, utan företräds av någon annan är det naturligt att huvudfokus hamnar på kostnader snarare än affärsnytta och riskoptimering. Paradoxen är att CFO:er som ansvarar för it-funktionen inte sällan också ansvarar för företagets riskhantering.

Jag uppfattar ofta frustration från styrelseledamöter. Man menar att det känns otillfredsställande att inte ha kontroll på it och framför synpunkter som: ’’Borde man inte alltid göra en ordentlig genomlysning av riskerna innan beslut om systembyten?’’, ’’Varför kan man bygga Öresundsbron enligt plan men aldrig lyckas med ett it-projekt?’’ och ’’Vilka frågor borde jag som styrelseledamot ställa till CIO för att förstå vilka it-risker vi de facto sitter med?’’.

Verksamheter med operationell risk som en återkommande punkt på styrelsens dagordning, med ett uttalat ledningsansvar avseende operationell riskhantering och med riskindex som del i sin rapportering ligger sannolikt långt framme jämfört med konkurrenterna.

I vissa situationer ska man som jag ser det alltid överväga en genomlysning av riskläget, till exempel:
 

  • Innan man fattar beslut att starta större utvecklingsprojekt, systembyten eller att lägga ut delar av sin verksamhet eller andra strategiskiften.
  • Som del i (due diligence) processen innan köp eller försäljning av företag eller verksamheter.
  • Som nytillträdd styrelseordförande, vd, CFO eller CIO.
  • Om styrelse eller ledning inte känner att man har god kontroll på vilka de operationella riskerna faktiskt är.

Det finns vägar att snabbt förbättra sin riskmitigering och därmed öka kvaliteten som i sin tur kan leda till kostnadsminskningar och förbättrad styrning av både it och risk. I en ideal situation arbetar företagsledning, CIO och it-funktionen tillsammans och kontinuerligt med att identifiera och reducera de operationella riskerna.

Tillämpning av operationell riskhantering
Det finns en rad olika sätt att praktiskt tillämpa operationell riskhantering. Formella modeller och ramverk som COSO, ICFR och Basel-direktiven, vilka krävs eller är lämpade i vissa situationer och för större publika bolag och organisationer inom den finansiella sektorn.

Vanliga medelstora och mindre företag samt myndigheter kommer, enligt min mening, tillräckligt långt med en enklare och mer pragmatisk metodik som innefattar:
 

  • Kartläggning av risker och riskområden.
  • Analys, sammanställning och bedömning av nuvarande risker.
  • Värdering av risknivåer – om möjligt inklusive finansiella konsekvenser.
  • Beslut kring åtgärder (aktivitetsplaner och budget).
  • Beslut och införande av styrmodell och rapportering.
  • Löpande riskmitigering som en del i den dagliga verksamheten.

Genom att analysera och kartlägga organisationens operationella risker inom områden som till exempel in- och utgående betalningar, informations- och it-säkerhet, externa leverantörer, behörigheter, projektstyrning, it-processer, it-kompetens, it:s miljöpåverkan samt personalomsättning kan ledningen relativt snabbt bilda sig en övergripande och tillräckligt god uppfattning om riskerna samt kvantifiera de operationella riskerna, till exempel i form av specifika riskindex och en ekonomisk kalkyl.

Efter genomförd analys kan sedan organisationen själv, på taktiskt nivå, arbeta undan och reducera de mest akuta och prioriterade riskerna och lägga en plan för framtida riskreduktion. Inom vissa specifika områden, som till exempel it-säkerhet eller processutveckling, kan det vara en fördel att anlita en extern och oberoende part.  

Vidare införs lämpligen en styrmodell och en del enkla, men specifika, verktyg som ett styrkort för riskmonitorering (se illustrationen här nedanför).

Man bör även, i synnerhet om det finns ett flertal större risker, överväga att tillsätta en riskkommitté under CIO eller CFO som tillsammans med andra befattningshavare organiserar och leder arbetet med att hantera och reducera de operationella riskerna över tid. Kommittén rapporterar förslagsvis till företagsledningen eller styrelsen en eller två gånger per år.

Uppsidan blir att styrelse och ledning nu kan ta kontroll genom att följa konkreta nyckeltal (riskindex) och sätta mätbara mål för hur mycket cio och andra befattningshavare ska reducera de operationella riskerna under kommande planeringsperiod.

Därmed kommer man ifrån fokus på it-kostnader och ledningen kan styra it-funktionen mot en mer effektiv leverans med minskade operationella risker, ökad kvalitet och högst sannolikt – lägre kostnader – som resultat. 

Om skribenten: Björn Ovar Johansson är grundare av företaget Senior IT Executive, samt skribent för CIO Sweden, Computer Sweden samt verksam som föredragshållare. Du når Björn Ovar via cfoworld@idg.se