Sikkerhetsmåned: Ansatte er sentrale i risikohåndteringen

Umar Ashraf, Innholdsleder i BDO |

06. oktober 2021

Hvordan kan vi endre ansattes adferd slik at de blir vår fremste barriere mot uønskede hendelser, og ikke en sårbarhet?

To kvinner ser på en mobiltelefon på et kontor

Dette spørsmålet mener sikkerhetseksperter i BDO er blant det viktigste å svare på om virksomheter skal lykkes med sitt risiko- og sikkerhetsarbeid. I forbindelse med sikkerhetsmåneden har BDOs eksperter pekt ut risikohåndtering og atferds- og holdningsarbeid blant medarbeidere som månedens store tema.

Nasjonal sikkerhetsmåned er en årlig kampanje som avholdes i oktober måned. Målet med Nasjonal sikkerhetsmåned er å bidra til en sikrere digital hverdag for virksomheter og befolkningen.

- Det er mange bedrifter som jobber systematisk med risikohåndtering, men som opplever det som krevende å endre de ansattes holdninger og adferd. Når uønskede hendelser rammer bedriften er det fort gjort å bli frustrert - over ikke å ha gjort nok, eller å ha prioritert feil, forteller Nadya K. Andersen, Manager i BDO.

Dagfinn Buset er partner i BDO og jobber sammen med Andersen i avdelingen Risk Advisory Services. Han peker på at behovet for risikohåndtering, ikke avhenger av størrelsen på  bedriften . 

- Enten du er en stor eller liten bedrift står du overfor en rekke risikoer som må håndteres daglig. Det kan være risikoer knyttet til hvitvasking, korrupsjon, kompromitteringer av personopplysninger og cyberangrep, utdyper han.

Både Andersen og Buset er daglig i kontakt med virksomheter som har  sikkerhetsutfordringer. 

- For at du skal nå dine mål må du håndtere disse risikoene på en god måte. Og for at risiko skal kunne håndteres på en god måte må alle ansatte ha en forståelse for hvordan de bidrar gjennom sine holdninger og adferd, påpeker Buset.

Han mener at når røyken har lagt seg er det mange som erkjenner at bedre prosesser og mer effektive tiltak skulle vært på plass. 

 

Nøkkelen til atferdsendring

Årsakene til manglende risikohåndtering er ofte mange og sammensatte. Det kan være alt fra manglende ledelsessystemer, kompetanse og kapasitet, og manglende holdninger og adferd. 

- De ansattes forståelse av risikobilde og deres årvåkenhet kan være både den største sårbarheten og den sterkeste barrieren mot at uønskede hendelser rammer oss. Jo bedre holdninger og atferd, jo mindre sannsynlighet for at en uønsket hendelse skal inntreffe, sier Andersen.

Gjennom avdelingen Risk Advisory services har BDO gjort seg mange erfaringer med virksomheter som har jobbet for å forbedre de ansattes holdninger og adferd for å håndtere risiko. Typiske tiltak er økt ledelsesfokus, utarbeidelse av krav og retningslinjer, samt ulike opplærings- og bevisstgjøringsaktiviteter. 

- Alle disse tiltakene er viktige, sier Buset.

Begge mener at det ligger mest læring i å se nærmere på hva som kjennetegner de virksomhetene som lykkes best med å skape varig adferdsendring når det kommer til risikohåndtering.

Andersen og Buset har listet opp tre viktige faktorer for å lykkes med risikohåndtering i virksomheter:

 

1.    Ledere er rollemodeller

Ledere som går foran som et godt eksempel lykkes bedre med risikohåndteringen. Dette er ledere som forstår hvordan de gjennom sin egen holdning og adferd kan påvirke hele organisasjonen. Vi mener at det er viktig med åpenhet om avvik og forbedringspunkter. Vi kan alle bli bedre på dette, og bedrifter bør vokte seg mot en kultur der feil og avvik blir dysset ned. 

 

2.    Risikoforståelse i hele organisasjonen

Bedriftene som lykkes med risikohåndtering, evner å skape oppmerksomhet om risikobildet som bedriften står overfor. Hvilke farer og trusler er det virksomheten og de ansatte står overfor? Hvilke konsekvenser kan det få for bedriften og de ansatte dersom en av de identifiserte farene/truslene inntreffer? Det er først når de ansatte har fått en forståelse for dette at de innser hvorfor risikohåndtering er nødvendig og en naturlig del av sitt ansvar. 

 

3.    Kompetansebygging gjennom repetisjoner

God adferd og årvåkenhet er gjerne et resultat av bevisstgjøring og god opplæring. Mange bedrifter opplever dette som ressurskrevende med varierende effekt. Fokuset blir ofte på selve tiltaket, og ikke like mye på effekten av tiltaket. Det er også vår oppfatning at mange opplærings- og bevisstgjøringstiltak ikke gir varige adferdsendringer. Vi tror grunnen til dette er måten opplæringen og bevisstgjøringstiltakene gjennomføres på. 

Her kan man høste god erfaring fra toppidretten. Hvordan ble våre beste idrettsutøvere så gode? Trening for å bli best i en idrett handler om å repetere ulike ferdigheter om og om igjen. Helt til det skjer automatisk og naturlig. Hvis vi overfører dette til vår arbeidshverdag, handler det om å trene og repetere konkrete enkeltoppgaver for å håndtere risiko. Det daglige arbeidet for informasjonssikkerhet og personvern, anti-hvitvasking og anti-korrupsjon må brytes ned i helt konkrete operasjoner, som de ansatte og de ulike styrende funksjonene i bedriften hele tiden øver på.  

Forståelse av konsekvenser, bevissthet rundt eget ansvar og kontinuerlig trening på konkrete atferdstiltak, vil på sikt gjøre bedriftens ansatte til en robust barriere mot uønskede hendelser. For systemer, regler og strategier fungerer ofte dårlig i møte med menneskelige feil og manglende risikoforståelse (eller bare uvitenhet). 

 

Les mer om hvordan vi kan hjelpe deg med risikostyring, eller ta kontakt med en av våre rådgivere.