Hvad faciliterer – business – resiliens?
De fleste beredskab og handlingsplaner blev udfordret i Q1 2020. FN’s Verdensmål #SDG’s og GDPR compliance-krav samt coronakrisen ændrede spillereglerne. Vi fik nyt perspektiv i kriseberedskabet ift. eskalerende kriser, som mediestorme, og cyberangreb, der lammer. I en krisehåndtering skal der træffes beslutninger, men oftest på ufuldstændige handlings- og vidensgrundlag. Foråret 2020 krævede nytænkning: både on- og offline. Samfundsansvar og bæredygtighed – med agil omstillingsevne og transformationsevne – og digitalisering blev, som ‘ansvarlighed’, oversat fra ‘forretningsstrategiske prioriteringer’ til ‘krav om handling’.
At have et udviklingsfokus er ikke bare et spørgsmål om, at det er nedfældet i strategien. Det handler grundlæggende om virksomhedens ‘kultur’ – herunder risikovillighed og viljen til at udforske og eksperimentere ikke blot ift. teknologi og digitalisering, men ift. bæredygtighed og omstillingsevne; og måden, vi tænker og driver forretning på – ift. at få business resiliens.
Ole Fogh Kirkeby kalder dét modstandsdygtighed, når vi folder perspektiver ud på resiliens
I får konkrete råd til løsninger fra Synch tech-advokat Niels Dahl-Nielsen og CISO/CPO Henning Mortensen, som er Formand for Rådet for Digital Sikkerhed.
Vi søger at håndtere øget ustabilitet, hvis vi søger imod resiliente løsninger
Verdensmålene udgør ledetråde for ledelse, og den hastige teknologiske udvikling åbner for en række nye og smartere løsninger. Smarte løsninger skal nu til at adressere problemer ud fra etiske og moralske kriterier. Mange ledere har allerede rettet opmærksomheden mod at forene de økonomiske, tekniske og værdimæssige perspektiver – i nye proaktive beredskab.
Mange af de forretningsmæssige potentialer (såvel kvalitative som kvantitative), som digitaliseringen rummer, ligger i samspillet med virksomhedens interessenter. Det kræver proaktivt beredskab og resilient governance i forhold til samspillet med (under-) leverandører og samarbejdspartnere, der befinder sig i og omkring værdikæden. Endelig vil medarbejderne kunne komme til at indtage en ny position i dette beredskab. Dét får værdi ift. cyberangreb ift. vidensdeling og vidensledelse – ift. at afdække problemer og løsninger.
Digitalisering kan ikke ske gennem enkeltstående transformationer, men kun ved løbende og vedvarende adaptiv tilgang. Det betyder, at den rolle og position, som tilskrives de interne it-ressourcer skal ændres, således at den aktivt spiller sammen med omgivelserne i det digitale udviklingsarbejde.
Kababiliteten til at udvikle forretningen gennem digitalisering ligger både internt og eksternt
Digitalisering intensiverer virksomhedernes systemiske afhængigheder. Ikke nok med at virksomhedens digitaliseringsforbedringer er afhængige af andre aktører i systemet, så kræver det endvidere, at virksomheden påtager sig et medansvar og dermed at understøtte det digitale samspil længere ude i værdikæden; det er ikke længere nok at stille krav.
Vi har set eksponentielt eskalerende kriser udfordre de eksisterende beredskab. Den digitale innovation er en vigtig drivkraft for at transformere virksomheder og samfund til en mere bæredygtig udvikling. Vejen dertil kræver blandt andet mere systematisk inddragelse af interessenter og systemet af aktører i værdikæden i selve digitaliseringsprocessen.
Den globale pandemi tydeliggør de systemiske afhængigheder og økosystem. Vi ser effekt på tværs af handlings-, beslutnings- og vidensniveauer både i bestyrelsesrummet og på tværs af ledelsesgangene og på tværs i værdi- og vare- kædeled. Som et lyn, der slår ned i system og kredsløb. Som ved et cyberangreb. Definerede processer og de eksisterende procedurer afdækkes. “Som vi plejer” er udfordret. De nære og associerede økosystem blev med et gjort transparent. Krisen har også afledte effekter interorganisatorisk og nedbryder risiko-siloerne (med definerede ansvars til- og fordeling). I kan høste synergier, hvis I samtænker – på tværs af to af tidens store forretningsstrategiske agendaer – ift. transformation og omstillingsevne.
Perspektiver på løsninger, der faciliterer – business – resiliens
Etablering af et resilient forsvar mod kriser og cyberangreb kræver opmærksomhed fra hele organisationen. Top- og mellemledelsens aktive deltagelse spiller en central rolle ift. de til- og fravalg, der træffes, som led i udarbejdelsen af følsomheds- og risikovurdering; med bl.a. godkendelse af foranstaltninger og sikring af dokumentation af compliance med regulering, standarder og best practise. Medarbejderne skal være aware om deres rolle ift. at bære strategierne ud i praksis, efterleve politikker og procedurer – og om truslen, som deres handlinger kan udgøre. Det handler om det resiliente beredskab og agil navigationsevne.
Værdibaseret ledelse af/i transformation – omstillingsevne og ny- og samskabende samspil
Ledelse handler om at frigøre og at indfri værdier, forklarer ledelsesfilosof Ole Fogh Kirkeby. Han har rådgivet erhvervslivets topledere i tre årtier. Ledelsens evne til at navigere i en øget kompleksitet med forventning til beslutningskraft på ufuldstændige videns- og datagrundlag stiller krav om proaktive beredskab. Det kan etableres ved mitigerende handlinger, der kan afdække risici, som gør virksomheden resilient i forhold til at blive ramt af kriser.
Ole Fogh Kirkeby peger på, at det handler om handlings- og beslutningskraft, selvom der altid er en situeret mangel på viden. Som modvægt til manglen på viden og sikkerhed ligger der et potentiale i at arbejde med virksomhedens compliance. Dette arbejde handler om at implicere og eksplicere – bl.a. gennem en aktiv spørgen ind til virksomhedens interne og eksterne relationer.
”Få aftalerne på plads og vilkår for adgang til/håndtering af data. Sæt rammer for, hvordan det sikres, at forpligtelserne indfries” lyder rådet fra teknologi-advokat, Niels Dahl-Nielsen, i Synch. Han påpeger, at ”[d]et er væsentligt at afdække, ’hvilket risikobillede vi kigger ind i’ – for man er ikke stærkere end det svageste led i en organisation og i organisationens økosystem”. Endelig peger han på, at ”…data- og transaktionsflow [skal kortlægges] på tværs af værdikædeled i /og risikolandskabet: både det organisatoriske risikolandskab med risikosiloer internt i en organisation og i jeres kontraktuelle risikolandskab – for tredjepart kan påføre associerede omdømmerisici”. I coronakrisen påvises systemiske afhængigheder.
Han påpeger, at “Det kræver, at der stilles de rigtige spørgsmål”. Verdensmålene giver en referenceramme ligesom ISO 27001. “Vi ser en øget formalisering” uddyber Niels Dahl- Nielsen (d. 7. oktober 2019 tiltrådte Rådet i EU fx Parlamentets vedtagelse af ny regel for whistleblowerordning – som på CSR-feltet). Der er krav til transparens og om partnerskab.
Han påpeger 3 fokusområder i en mulig tilgang:
mapping af data og dataflow
foretag risikovurdering
tilvejebring det påkrævede/fornødne kontraktuelle grundlag
For virksomheder skal i højere grad være beredt og kunne stå/blive stillet til regnskab
Det stiller således krav om øget opmærksomhed at indfri kravene til compliance (jf. jeres CSR og GDPR ansvarlige kan med fordel vidensdele) ift. de proaktive risikoberedskab, der sikrer continuity og resiliens. Risikoappetitten skal kunne afstemmes i forhold til graden af ’resiliens’ og ’kalkuleret risiko’ for at sikre og styre ’resiliensen’ i samspillet imellem disse prioriteringer – og ’begrænse’ evt. skadevirkning. Vi ser kriser, der ikke kan foregribes ved Scenario Planning. Det er eskalerende kriser med krav til beredskab, proaktiv vidensdeling samt fortløbende vidensledelse og dialogiske relationer, samt fleksible resiliente løsninger.
Det kræver tydelighed og klarhed ift. løsningerne. ”Udarbejd trussels-, sandsynligheds-, sårbarheds- og konsekvens-vurderinger. Sæt – og tilpas – beredskabet (med regler, foranstaltninger og kontroller) til risikobilledet: ifht. forretningsgrundlagets værdier, aktiver og økosystem” påpeger Henning Mortensen, Formand Rådet for Digital Sikkerhed.
Moralsk- etiske og økonomiske perspektiver kan – i stigende grad – integreres og realiseres. Krisen, som det globale samfund står midt i, tydeliggør de systemiske afhængigheder. Det er mere end kommunikations- og forretningsstrategi at ‘vise samfundsansvar’. Det er et præmis.
Hvad er – Business – Resiliens?
Ordet re-siliens betyder ’act of rebounding’. Resiliens handler altså om bøjelighed; en evne til at modtage stød uden at de absorberes og, på uhensigtsmæssig vis, indlejres i systemet, organisationen eller organismen. Etymologien bag ordet resiliens er at springe tilbage fra re-, tilbage, + salire, at hoppe, springe. Resultat og saltomortale er beslægtede ord. Beslægtede betydninger er helbredelse, genopretning og reetablering. Det vil sige en evne til at re-centrere efter en forstyrrelse, et stød eller et pres. På det menneskelige plan peger det også imod kognitiv forståelse. Forståelse er en essentiel byggesten i det menneskelige eksistentielle immunforsvar.
Resiliens giver således øget behændighed og agil omstillings- og navigationsevne. Ole Fogh Kirkeby omtaler det, på dansk, som øget “modstandsevne, modstandsdygtighed og modstandsvilje”. Dét handler om faciliteret ledelse i/af forandring.
Søger vi imod resiliente løsninger, søger vi dermed at kunne håndtere øget ustabilitet
”Det fastlagte sikkerhedsniveau skal herefter oversættes til anvisninger for handling. Det skal faciliteres gennem stærke samarbejder (mellem ledere, tekniske og juridiske specialister og auditører). Den fornødne bevidsthed skal øges før en hændelse, således at et proaktivt beredskab kan foregribe krisen. Igennem kriseudviklingsforløb – som vi ser aktuelt – er løbende optimering en nødvendighed, idet beslutningerne træffes på ufuldstændige videns-, data-, handlings- og beslutningsgrundlag. Når bl.a. et cyberangreb indtræffer, kræver det effektiv identifikation og håndtering og systematisk opsamling af erfaringerne – så politikker, procedurer m.v. justeres og optimeres” påpeger Henning Mortensen, som Formand i Rådet for Digital Sikkerhed og CISO/CPO.
Moralsk- etiske og økonomiske perspektiver kan integreres og realiseres
I kan bl.a. bruge holistiske standarder, som integreres i et fælles complianceframework – f.eks. en vurdering af risici (ISO27005), der efterfølgende giver anledning til etablering af et system for sikkerhedsledelse (ISO270001), med tilknyttede sikkerhedsforanstaltninger (ISO27002) og persondataretlige og etiske foranstaltninger (ISO27701) Ifølge Henning Mortensen, Formand Rådet for Digital Sikkerhed
TIMM står for Transformations, Impacts, Multiplicity og Manageability
Resilient Solutions
Store Kogensgade 100, 1264 KBH K
CVR: 37 35 49 88
Vil du lære mere om TIMM’s TOOL’s?
Kontakt: [email protected]
Kontakt direkte mobil: +45 3011 1676