Erfarna verksamhetskonsulter inom säkerhet och teknik Ledningsperspektivet på riskhantering roller, styrning och införande CRR seminarium 009-0-4 Hans Dahlquist Hans Dahlquist Från 007 Affärsområdeschef Risk, Säkerhet och Kris i Rote Consulting AB Fem år som Koncernsäkerhetschef (CSO) på LM Ericsson. Informationssäkerhet Fysisk säkerhet Personalsäkerhet Risk Management och Krishanering Försäkringar och Captives Överste vid MUST (Militära Underrättelse och Säkerhetstjänsten) och ansvarig för Försvarsmaktens informations- och kommunikationssäkerhet till 00
Kort om ROTE Medarbetare VD Ägare Företaget har cirka 0 anställda Kjell Larsson Privatägt Utbud Verksamhetskonsulter inom säkerhet och teknik Lokalkontor Boden, Göteborg och Kristianstad Bildades Rote startade sin verksamhet 989 Våra kompetensområden Verksamhetsutveckling Systemutveckling Risk Management IT Styrning Säkerhet
Rote kompetensområden Säkerhet Risk - Kris Risk Management Säkerhet Business Continuity Management Informationssäkerhet Krishantering Incidenthantering Ledningssystem (LIS) IT- säkerhet Säkerhetsrevisioner Definition på Risk ISO 3000 definition of Risk Management: The effects of uncertainty on objectives
Standarder för riskhantering ISO 3000 Risk Management Guidelines and principles Publicering i september 008, fastställs i höst Ej för certifiering Generisk och inte industri- eller sektorspecifik Betonar både upp- och nersida av risk ISO/IEC 7005 (Information security risk management) Enterprise Risk Management (Integrerad riskhantering) enligt COSO/ERM Helhetssyn på riskexponering för företag och organisationer/myndigheter Tre dimensioner
COSO/ERM struktur tre dimensioner Varför Risk Management? ERM's roll i kreditvärderingsprocessen At Standard & Poor's, an analyst's job is to provide prospective opinions when rating credits. Incorporating ERM analysis can provide more structure and consistency to our assessment of a company's risks. It enables analysts to drill deeper into quantitative financials, links risk management to overall corporate strategy, and allows greater prospectiveness in our company analyses. The process of asking top executives at different companies how they manage risk can help us differentiate each company's risk management capabilities more effectively. Also, we consider a favorable ERM evaluation to be a competitive advantage that can positively impact a rating.
Riskhantering på alla nivåer Corporate Governance/Bolagsstyrning SOX/Euro-SOX, Intern Styrning och Kontroll (ISK) COSO/ERM ISO 900 ISO 700/7005 ISO 0000 (BITS, Common Criteria, TR, PCI-DSS etc) Svenska lagar och förordningar om riskhantering. Förordning (007:603) om intern styrning och kontroll (ISK) Entrerprise Risk Management (ERM). Förordning (006:94) om krisberedskap och höjd beredskap 3. Förordning (995:300) om statliga myndigheters riskhantering 4. VERVAFS 007: Föreskrift om statliga myndigheters arbete med säker elektroniskt informationsutbyte enligt LIS (SS-ISO/IEC 700) Informationssäkerhetsrisker Föreskriftsrätten nu hos MSB (Myndigheten för Samhällsskydd och Beredskap)
Risk Management, grunder som utsätts för fara av Hot som utnyttjar Tillgång Brister/Svagheter som skyddar som resulterar i Skyddsåtgärder Exponering som mildras av Risk som är Riskhanteringsprocessen FASTSTÄLL SAMMANHANG KOMMUNIKATION BEDÖMNING ANALYS BESLUTSPUNKT Bedömning tillfredsställande? IDENTIFIERA TILLGÅNGAR IDENTIFIERING UPPSKATTNING UTVÄRDERING Ja Nej UPPFÖLJING OCH OMPRÖVNING HANTERING BESLUTPUNKT Acceptera risker Nej Ja ACCEPTANS SLUT PÅ FÖRSTA ITERATION
Riskhantering, våra metoder BEDÖMNING BEDÖMNING Resultat, Resultat, t t ex ex ingående ingående risk risk Är risken Är risken acceptabel? acceptabel? Ja Nej HANTERING HANTERING UNDVIK UNDVIK FLYTTA FLYTTA REDUCERA REDUCERA Kvarstående Kvarstående risk risk ACCEPTANS ACCEPTANS Antal risker utplacerade i respektive riskzon K O N S E K V E N S 5 4 3 8 7 5 3 4 5 SANNOLIKHET Riskgrupp A (låg) 6 Riskgrupp B (medel) 7 Riskgrupp C (hög) 0 Totalt 43 risker
Tekniska och administrativa/externa risker/riskbehandlingar Administrativ behandling 6 9 Inget åtgärdsförslag 4 3 T/A behandling 5 Teknisk behandling 5 3 Teknisk risk Administrativ risk/extern risk 30 6 T/A = Teknisk & Administrativ Svagheter med riskhanteringsprocessen. Konsekvens i allmänhet lättare att uppskatta rätt än sannolikhet. Sannolikhetsbedömningarna styrs mycket av: Hearding (man följer andras bedömningar) Egen erfarenhet (kan vara specifik och påverkad av särskilda händelser) 3. Risk på risk på risk osv utelämnas eller är för komplicerat (finansiella krisen) 4. Risk Management består av två viktiga delar Riskstyrning (Risk Governance) Riskhantering (strategiskt och operativt) Utan båda liten effekt.
Hur kommer man igång med riskhantering? VISION. Tydlig och förankrad VISION I ledningen. Vad vill man uppnå? STRATEGI. Strategi och syfte med RM. Hur skall man nå målen? LEDNING ORGANISATION 3. Definition av och processer för styrning och RM i organisationen PROCESSER 4. RM-processen, riskhantering VERKTYG, KONTROLLER mm 5. Stöd och kontroller Sammanfattning Standardisering, lagstiftning och kreditvärdering driver RM i dag COSO/ERM och ISO 3000 Lagstiftning som SOX, EuroSOX och nationell lagstiftning Ledningssystem (kontroller, processer och organisation) och stödverktyg allt viktigare RM Integration med Security tydlig trend (Risk Based Security, RSO Risk and Security Officer) Svagheterna i RM underskattade för mycket teknik och för lite styrning, organisation, roller, ansvar, ledarskap och kultur Riskhantering BCM Kris och säkerhet, allt hänger ihop Vid införande börja rätt med mål och vision, avsluta med verktyg Risk kan också innebära också positiva möjligheter utan risktagande inget företagande!
Frågor och kommentarer? www.rote.se Stockholm - Boden Göteborg - Kristianstad +46 (0)8-474 49 00