Danmarkshistorien er fyldt med kriser skabt af fejlslagne it-projekter - Amanda, Danske Bank-nedbrud og offentlige it-projekter, der ikke leveres til tiden. Når krisen rammer, og kritikken regner ned over organisationen, er den instinktive reaktion ofte at krybe i flyverskjul. Det er menneskeligt, men ofte er den bedste løsning at kommunikere åbent.
For CIO'en kan netop det kriseskabte behov for et hurtigt tilvejebragt beslutningsgrundlag og en vej ud af krisen imidlertid være det "window of opportunity", som giver en fast plads ved det bord, hvor de forretningskritiske beslutninger tages.
Der er dog ingen grund til at vente på krisen. Som CIO har du en unik forudsætning for både at afdække og analysere en række it-relaterede risici, som udfordrer forretningen.
CIO'ens konstruktive bidrag til virksomhedens krisestyring består således både i forberedelse og forebyggende risikominimering samt tilvejebringelsen af et beredskabsteam, som kan foretage den nødvendige brandslukning og kommunikation med nøgleinteressenterne, når uheldet er ude.
Opdeling af risici
De risici, som CIO'en skal være opmærksom på, kan opdeles i strategiske og finansielle risici, kapacitetsrisici, kontrolrisici og kontraktrisici. De strategiske og finansielle risici relaterer sig blandt andet til en øget "business continuity"-sårbarhed, når antallet af leverandører stiger, og flere leverandører er små- og mellemstore virksomheder.
Som CIO skal du have en beredskabsplan, der sikrer business continuity, hvis disse mindre underleverandører ikke kan leve op til de indgåede service level agreements, eller deres datacentre går ned.
Mindre leverandører kan være fleksible, men bagsiden af medaljen er kapacitetsrisici. CIO'en skal derfor sikre sig, at leverandørerne har den fornødne kapacitet til at håndtere ikke bare dagens opgaver, men også den øgede opgavemængde, som måtte følge sidenhen.
Outsourcing betyder mindre kontrol over egne data, hvilket øger sårbarheden over for brud på datasikkerheden. Som CIO skal du sikre, at virksomheden nøje afvejer disse risici og har et beredskab klar, som kan håndtere uforudsete hændelser uden tøven.
De såkaldte kontraktrelaterede risici kan være alt fra uklare specifikationer og uklare milepæle til uklare opgave- og ansvarsområder, som kan både forårsage og eskalere en konflikt eller krise. Et uklart kontraktgrundlag kan handlingslamme en virksomhed på netop det tidspunkt, hvor behovet for handling er allerstørst.
Som CIO skal du sikre, at alle uklarheder og potentielle stridspunkter foregribes allerede i udbudsprocessen, så der ikke senere opstår tvivl, når et ansvar skal placeres. Du skal sørge for, at virksomheden får både den rigtige, den sikre samt stabile og den skalérbare leverance til den aftalte pris.
CIO'ens bidrag til krisestyring består altså i at identificere og forstå de væsentligste risici, begrænse sandsynligheden for, at de opstår, og afbøde konsekvenserne, hvis det alligevel sker. Det kræver, at der investeres i risikostyring og i et kommunikationsberedskab.
Kommunikationsberedskabet
Til gengæld giver det CIO'en mulighed for både at mindske antallet af forretningskritiske kriser og hurtigt at komme med anbefalinger til velunderbyggede og implementerbare løsninger baseret på allerede gennemførte risikoanalyser med hjælp fra et eksisterende kommunikationsberedskab.
Kommunikationsbredskabet består af tre centrale elementer. Alle relevante talspersoner skal være trænet i at håndtere medier, medarbejdere og andre nøgleinteressenter.
Derudover skal krisestyringsprocessen være defineret på forhånd for at undgå panik. Til sidst skal organisation have en grundlæggende budskabsplatform, som omhandler organisationens strategi, mission og vision, således at de grundlæggende budskaber ikke skal opfindes midt i krisen.
Dette beredskab er netop, hvad en bestyrelse og direktion vil efterspørge, når først krisen er en realitet.
Markus Bjørn Kraft er CEO i Kraft & Partners A/S.
