Denne artikel stammer fra det trykte Computerworlds arkiv. Artiklen blev publiceret den Computerworld d. 22. september 2006.
Bankernes indførelse af Basel II vil sprede sig som ringe i vandet til kunderne. Fokus i it-sikkerheds-arbejdet flytter sig fra virus- og hackerjagt til risikostyring.
Billigere lån i banken bliver den direkte effekt af næste generation i it-sikkerhedsarbejdet. Jagten på skadelige vira og hackere er allerede blevet dagligdag for it-sikkerhedsfolkene, så næste skridt bliver at få det fulde overblik over, hvilken betydning informationsteknologien har for virksomheden. Og at dokumentere, at firmaet bruger sikkerhedsbudgettet på de rigtige indsatsområder - kort sagt at virksomheden er i stand til at håndtere it som en risiko i den almindelige risikostyring eller risk management.
Det er i den situation, at direktør Jørgen Torp fra revisions- og rådgivningsvirksomheden PricewaterhouseCoopers venter, at it-sikkerhed kommer til at give billigere lån i banken. For i løbet af de kommende år, når den globale finansverden har fået indført processerne i Basel ll-aftalen, vil de grundlæggende processer fra den aftale sprede sig som ringe i vandet til resten af erhvervslivet.
Jørgen Torp - der til daglig leder PricewaterhouseCoopers Advisory med 10 kompetencecentre inden for finansiel, analytisk, teknologisk og sikkerhedsmæssig rådgivning -mener, at virksomhederne vil få tilbudt bedre forhold og priser, når de er i stand til at demonstrere den samme grad af styring af risiko som bankerne. Krumtappen i Basel ll er netop, at finansverdenen, ved at dokumentere og styre risiko, får mulighed for at allokere mindre kapital til mindre risikobetonet forretning.
- Der er et godt stykke at gå for stort se alle virksomheder til at nå til risikostyring på det niveau. Men bevægelserne er godt i gang, og vi er i dialog med kunderne om det hele tiden, siger Jørgen Torp.
- Risk management er et budskab, som vi sagtens kan sælge til de mange mellemstore danske virksomheder. Selv om det kræver lidt arbejde at få ordet risiko til også at give en positiv betydning på dansk.
Jørgen Torp understreger pointen med et eksempel fra en helt lille virksomhed, hvor ejeren havde et par maskiner i produktionen og kørte sin administration på en enkelt server og et par pc'er. Når snakken faldt på it-sikkerhed kunne han demonstrere, at backup, virusværn og firewall var lige efter bogen.
Men ude i produktionen stod en computerstyret maskine, hvis data var central for alle ordrer, som virksomheden producerede. Og uden en plan for back up af de data, og hvordan virksomheden skulle fungere, hvis maskinen brød sammen og så videre, havde virksomheden ikke styr på den risiko, som it udgør i forretningen.
- Afhængigheden af teknologi i virksomheden øger behovet for, at ledelsen involveres i at betragte it som en risiko, der kan skabe alvorlige problemer i kriser og katastrofer, men som også kan skabe økonomiske fordele, hvis risiko styres og afdækkes.
- En almindelig kendt måde at håndtere disciplinen risk management har jo været at afække en risiko med den bedste og billigste forsikring. I dag handler den afdækning ligeså meget om, at virksomheder gennem intern kontrol er i stand til at styre risici og træffe de rigtige beslutninger.
Det er en gradvis udvikling, som Jørgen Torp peger på, stille og roligt er på vej. Det er 23 år siden, han efter to års ansættelse i virksomheden blev spurgt, om han vidste noget om it, og siden har it-sikkerhed været et af hans arbejdsområder.
- Hele vejen op gennem 1980'erne handlede it-sikkerhed om fysisk sikkerhed og sikkerhed internt i organisationen, hvor man byggede et gitter rundt om sin mainframe, og når der skulle laves opdateringer, foregik det ved fysisk adgang til maskinen, for der var ingen kabler ud i verden, fortæller Jørgen Torp.
- Den distribuerede databehandling startede med Unix og er eskaleret i takt med, at virksomhederne begyndte at tænke på outsourcing og lukke partnere ind både fysisk og i virksomhedens processer for at løse opgaver - dermed var der et nyt risikobillede.
- I dag kan værdikæden i mange virksomheder jo nærmest bedst sammenlignes med et byggemarked om formiddagen. Der styrter folk rundt og fylder op på hylderne, men det er ikke byggemarkedets ansatte - det er leverandører, der vurderer, hvad der brug for at fylde op med, siger Jørgen Torp.
Denne åbning har gjort det nødvendigt at vurdere risiko på en ny måde for at kunne håndtere, at leverandørerne og kunderne hele tiden kommer tættere på kernen i virksomheden. Det er ifølge Jørgen Torp et krav, som stadig flere virksomheder konfronteres med i samarbejdet med store virksomheder, hvad enten det sker som kunde eller leverandør.
Jørgen Torp ser også en anden bevægelse i den gradvise udvikling mod at virksomheder tager risikostyring i anvendelse. Den øgede teknologianvendelse med avancerede ERP-løsninger, business intelligence og CRM får nemlig virksomhederne til både at se nye forretningsmuligheder og se forretningsprocesserne på en ny måde, der netop kan være med til at vende risiko til noget positivt.
- Endelig er der et helt tredje it-element i risikostyring. For hele arbejdet med at måle risiko og integrere målinger af risiko på tværs af forretningen skriger jo i sig selv på it-understøttelse.
- Jeg er da ikke i tvivl om, at vi på længere sigt kommer til at se leverandører, som laver it-systemer, der understøtter væg til væg risk management, siger direktør Jørgen Torp fra Pricewaterhouse Coopers.
Faktabokse:
Blå bog Jørgen Torp
Jørgen Torp er en nøgleperson i arbejdet med såkaldt risk management eller risikostyring i Danmark. I starten af august kunne fejre sin 50-års fødselsdag. Efter en cand.merc. eksamen i 1980 blev han året efter ansat hos PriceWaterhouse. Siden 1985 har han været statsautoriseret revisor. Og i 1991 blev han partner i selskabet.
Tre år har han tilbragt i udlandet hos PricewaterhouseCoopers-kolleger i henholdsvis New York og Paris.
I 1997 blev han leder af den danske revisionsafdeling, som PricewaterhouseCoopers konsulentforretning, Advisory, blev skilt ud fra i 2004.
Jørgen Torp står i dag i spidsen for PricewaterhouseCoopers Advisorys 200 ansatte i 10 kompetencecentre, der beskæftiger sig med finansiel, analytisk, teknologisk og sikkerhedsmæssig rådgivning.
Han har desuden en række tillidsposter inden for it-sikkerhed. Blandt andet er han med i Dansk IT's nye Råd for it- og persondatasikkerhed samt formand for Foreningen af Statsautoriserede Revisorers informatikudvalg.
Om Basel II
I takt med globaliseringen og kapitalens fri bevægelighed har Baselkomiteen udviklet sig fra at være en samarbejdsorganisation for centralbankcheferne i verdens rige lande til at være en organisation for standarder på det globale finansmarked.
Det første sæt retningslinjer for krav til den kapital, bankerne skal sætte til side for at kunne imødegå lån, der ikke bliver betalt tilbage, kom i 1988. I 1999 kom komiteen så med forslag til et nyt sæt retningslinjer kaldet Basel ll, der i stedet for en overslagsberegning giver bankerne mulighed for at analysere den reelle forretningsmæssige risiko hos en kunde og dermed undgå at have store beløb fastfrosset til at imødegå risici, der reelt ikke eksisterer.
Hvad med tiden bagefter?
Den fysiske risiko for bomber, oversvømmelser og lignende spektakulære problemer tager de fleste it-afdelingers beredskabsplaner højde for. Men direktør Jørgen Torp fra PricewaterhouseCoopers mener, at danske virksomheder ofte mangler en forretningsmæssig tilgang til sikkerheden, fordi de glemmer den såkaldt continuity-planlægning.
- Beredskabsplanlægningen går ofte ud fra, at alt er tilbage ved det normale om 24 timer. Men tænk hvis strømmen forsvandt en uge, så nytter det ikke noget, at it-systemerne kører videre på nødstrøm. Problemet skal gennemtænkes, og derfor er der behov for continuity-planer, siger Jørgen Torp.
Billedtekster:
lær af os?I løbet af de kommende år vil finansverdenens metoder til at styre risici brede sig til resten af erhvervslivet.
ta' kontrol?Jørgen Torp, chef for PricewaterhouseCoopers Advisory, mener, at virksomhederne vil få tilbudt bedre forhold og priser, når de er i stand til at demonstrere den samme styring af risiko som bankerne.
OriginalModTime: 21-09-2006 14:13:52