Risikostyring

Udvikling og bevægelse_sten_mv_Gileleje_RIMG1860

Risikostyring, risikoledelse og risk management som kommunikation til styregruppe såvel som styringsredskab i den daglige ledelse og projektledelse er essentielt for at prioritere ressourceforbrug og undgå spild og skader.

Risikostyring i projekter, og generelt som styringsredskab i virksomheder, er desværre fortsat et overset værktøj i Danmark. Det giver en masse spild og misforståelser. Risk Management betaler sig! Også som kommunikationsværktøj til beslutningstagere.

Når man starter et projekt med at udføre en brainstorming over risici, er både projektleder og projektdeltagere godt rustet til at styre uden om fælderne i projektets levetid. Det er desuden en vigtig måde at lære hinanden at kende på. Derudover er risikoanalysen et essentielt kommunikationsværktøj til styregruppen. En styregruppe vil gerne informeres om risici, inden de indtræffer, så man ved fælles hjælp kan vurdere og forebygge dem.

Risikostyring på virksomhedsniveau (eller Enterprise Risk Management) handler ikke bare om kriseberedskab, men om en generel vurdering af, hvilke risici man som virksomhed ønsker at acceptere, og hvilke man gerne vil gøre noget ved – uanset om det er gennem forebyggelse, forsikring, eller andet. Ved ikke at håndtere sine risici på struktureret vis, udsætter virksomheden sig for en masse spildmuligheder. Et risikoledelsessystem kan indføres på mange niveauer, og man kan jo starte i det små – det betaler sig. Hvis informationssikkerhed er den vigtigste parameter, bør man følge ISO27001, se også min side om Informationssikkerhed.

I forhold til EU persondataforordningen GDPR skal alle virksomheder, der leverer ydelser til EU-borgere desuden udføre GDPR risikovurdering af, hvordan deres processer kan risikere at udstille borgernes persondata: Persondataforordningens artikel 32, stk. 1: “Under hensyntagen til det aktuelle tekniske niveau, implementeringsomkostningerne og den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder gennemfører den dataansvarlige og databehandleren passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til disse risici”.

Der skal desuden ved særlige risici (eks. brug af ny teknologi, automatiseret behandling / profilering af økonomiske forhold eller sundhedsforhold, hhv. store mængder følsomme data) udføres en særligt omfattende risikovurdering, DPIA (Data Privacy Impact Assessment), også kaldet GDPR Konsekvensanalyse.

Hvis jeres organisation har brug for hjælp til risikostyring, risikoledelse og risk management inden for organisationer, projekter eller informationssikkerhed, er I velkomne til at kontakte mig.