Nye regelverk som NIS2 og DORA adresserer ofte de samme underliggende risikoene. En felles struktur gjør det mulig å redusere dobbeltarbeid og styrke styringen innen informasjonssikkerhet. Det mener Christopher Läns, som er GRC-ansvarlig i Stratsys.
Kravene til styring og risikohåndtering øker samtidig som regelverkene blir flere. For mange organisasjoner innebærer det parallelle strukturer med ulike ansvarlige funksjoner, prosesser og verktøy.
Christopher Läns arbeider med GRC- og informasjonssikkerhetsspørsmål i Stratsys. Han ser et tydelig mønster i hvordan organisasjoner håndterer utviklingen.
– Risikoen er at organisasjoner bygger opp parallelle spor for å håndtere de ulike regelverkene. Det skjer ofte gradvis, i takt med at nye krav kommer til. Konsekvensen er at arbeidet vokser i kompleksitet, og at det blir vanskeligere å skape et samlet bilde av risiko og kontroll, sier Christopher.
Christopher Läns, GRC-ekspert i Stratsys
Parallelle kontroller er ineffektive
Risikoer knyttet til IT og leverandører er eksempler på temaer som går igjen i flere regelverk. Et krav om hendelseshåndtering i ett regelverk motsvares av lignende krav i et annet. Andre tilbakevendende temaer er databeskyttelse og kontinuitet.
Når kravene brytes ned og implementeres hver for seg, bygger organisasjonen opp parallelle kontroller i ulike systemer og med ulike funksjoner. Resultatet blir flere lag av arbeid rundt den samme problemstillingen. Christopher mener at dette fører til ineffektivitet:
– Konsekvensen er at man skaper flere kontroller som i praksis gjør det samme, men som følges opp separat. Det skaper både dobbeltarbeid og uklarhet rundt hva som faktisk er viktig, sier Christopher.
Dobbeltarbeid og økt belastning
Når den samme informasjonen etterspørres i flere sammenhenger, rammer det også organisasjonen. Belastningen på virksomheten øker gjennom gjentatte spørsmål og forventninger om å bidra med grunnlag til parallelle oppfølginger. Det skaper ikke bare ineffektivitet, men påvirker også kvaliteten i arbeidet.
Når fokuset ligger på å levere grunnlag til flere prosesser, er det en risiko for at arbeidet blir reaktivt. I stedet for å analysere risikoer og prioritere tiltak, går tiden med til å svare på krav.
Følgen er en voksende tretthet i organisasjonen knyttet til oppfølging og gjennomgang.
– Mange organisasjoner opplever at de stadig befinner seg i en eller annen form for granskning eller oppfølging. Det kan føre til at risiko- og kontrollarbeid oppleves som administrasjon snarere enn som støtte for virksomheten, sier Christopher.
Til tross for mer tid og økte ressurser blir det vanskelig å få et tydelig bilde av risikosituasjonen og hva som må prioriteres. Arbeidet mister effekt.
Risiko og kontroll, ikke regelverk
Å snu denne utviklingen krever et perspektivskifte. I stedet for å ta utgangspunkt i hva regelverkets kravbilder viser, må man se innover. Ved å ta utgangspunkt i organisasjonens risikoer og kontroller kan den samme kontrollen knyttes til flere regelverk.
Et felles kontrollbibliotek blir en sentral komponent. Der defineres kontroller én gang og kobles til relevante regelverk. Det reduserer behovet for duplisert arbeid. I bunn handler det om et skifte i synet på etterlevelse.
– Arbeid med en felles kontrollstruktur i stedet for å bygge opp arbeidet per regelverk. Det endrer mye. Dere får et tydeligere bilde av hva dere faktisk gjør. Det handler ikke om å gjøre mindre, men om å gjøre det som allerede gjøres, på en mer sammenhengende måte, sier Christopher.
Tverrfunksjonell struktur
Et viktig aspekt handler om hvordan arbeidet organiseres. Ansvaret for risiko, etterlevelse og informasjonssikkerhet er ofte fordelt på ulike funksjoner. Fra et spesialistperspektiv kan det være praktisk, men det skaper utfordringer når de samme spørsmålene skal håndteres i flere deler av organisasjonen, og man samtidig ønsker et felles bilde.
Løsningen er en tverrfunksjonell struktur der ulike funksjoner arbeider ut fra samme modell, med felles definisjoner og en samlet oppfølging. På den måten kan risikoer, kontroller og aktiviteter kobles sammen på en effektiv måte.
– Det handler ikke om å slå sammen funksjoner, men om å få dem til å arbeide ut fra samme struktur. Med en felles måte å beskrive risikoer og kontroller på blir det enklere å samordne arbeidet, sier Christopher.
Bidrar til bedre beslutninger
Mindre fragmentering fører ikke bare til mer effektivt arbeid. Når fokuset flyttes fra å oppfylle krav, bidrar det også til mer gjennomtenkte beslutninger for organisasjonen som helhet. Det bidrar til:
- Bedre oversikt. Et samlet bilde av risikoer og kontroller
- Mindre dobbeltarbeid. Færre gjentatte forespørsler.
- Mindre overlapp. Samme kontroll for flere regelverk.
- Fokus på det riktige. Enklere å prioritere kritiske risikoer.
- Bedre beslutningsstøtte. Sammenlignbart grunnlag som kan brukes i styringen.
Neste steg i arbeidet
Etter hvert som regelverkene fortsetter å utvikle seg, øker overlappet mellom dem. Det øker behovet for en sammenhengende struktur. Å håndtere regelverk separat risikerer i stedet å forsterke problemet.
Ifølge Christopher er neste steg naturlig for mange organisasjoner:
– Mitt råd er å ta tak i strukturene deres i stedet for å investere i flere prosesser eller verktøy. Sats på å redusere fragmenteringen ved å begynne med strukturen. Ved å samle arbeidet reduserer dere samtidig kompleksiteten, sier Christopher.
Styring i praksis
Utfordringen for mange organisasjoner bunner sjelden i mangel på ambisjon eller vilje, men i hvordan arbeidet er organisert. Når regelverk håndteres i siloer, oppstår det en kompleksitet som gjør det vanskeligere å få oversikt og svekker styringen.
Ved å arbeide med en felles struktur, der risikoer og kontroller henger sammen på tvers av regelverk og funksjoner, kan fragmenteringen reduseres og effekten av arbeidet økes. I praksis handler det om å forenkle strukturen. Først når arbeidet henger sammen, er det mulig å utnytte kapasiteten fullt ut. Det er da styring omsettes til handling.
.jpg?width=600&height=600&name=iStock-1349030917%20(1).jpg)
