Risikostyring er en essensiell funksjon for å beskytte en organisasjon mot potensielle trusler og utfordringer som kan oppstå i dens drift. Styremedlemmer spiller en avgjørende rolle i å utvikle, overvåke og justere de strategiene og prosedyrene som er etablert for å håndtere disse risikoene. For å sikre at risikostyringen er effektiv, er det nødvendig at styret kontinuerlig vurderer både den organisatoriske strukturen for risikostyring og de ansatte som er ansvarlige for å implementere og følge opp risikopolicyene.

Styret og uavhengige komitémedlemmer bør begynne med å evaluere ledelsens design av risikostyringsfunksjonene i organisasjonen. Dette inkluderer en vurdering av kvalifikasjonene og bakgrunnen til senior risikoffiserer og andre ansatte som spiller en rolle i utviklingen og implementeringen av risikopolitikker. En viktig faktor i dette arbeidet er å sikre at organisasjonen har tilstrekkelig bemanning til å håndtere risikoene. Antallet ansatte som er tildelt risikostyring, bør være tilpasset organisasjonens størrelse og omfanget av dens virksomhet. Uten tilstrekkelig bemanning kan risikostyringen bli utilstrekkelig og dermed mindre effektiv i møte med uforutsette hendelser.

Videre er det viktig at styret gjennomgår elementene som utgjør risikokulturen i organisasjonen. En sterk risikokultur krever at ledelsen setter en klar tone som gjenspeiler organisasjonens kjerneverdier. Styret bør uttrykke sine forventninger til de ansattes atferd, spesielt når det gjelder integritet og håndtering av ikke-samsvar både internt og eksternt. Styret har et ansvar for å sikre at organisasjonen implementerer effektive ansvarliggjøringsmekanismer som sørger for at alle ansatte forstår tilnærmingen til risiko og risikorelaterte mål. I tillegg bør det skapes et arbeidsmiljø som fremmer åpen kommunikasjon, en kritisk holdning i beslutningsprosesser, samt belønning og forsterkning av ønsket atferd knyttet til risikostyring.

For at risikostyringsstrategien skal være vellykket, er det også avgjørende at styret og ledelsen har en felles forståelse av hvordan strategien skal kommuniseres til de ulike avdelingene i organisasjonen. En effektiv kommunikasjon sikrer at hele organisasjonen er i stand til å integrere en helhetlig tilnærming til risikostyring. Det er nødvendig å etablere både formelle og uformelle kommunikasjonskanaler for å sikre at risikorelatert informasjon raskt når de relevante nivåene av ledelse, styre og komiteer.

Styret bør også regelmessig vurdere de rapportene som leveres av seniorledelsen, interne revisorer, uavhengige revisorer, regulatorer, juridiske rådgivere, eksterne eksperter og aksjeanalytikere, med hensyn til de risikoene organisasjonen står overfor. Denne vurderingen skal bidra til å avdekke om risikovurderingssystemene i organisasjonen er tilstrekkelig utstyrt til å håndtere de ulike fasene av selskapets risikoprofil, inkludert cybertrusselen. I tillegg skal styret vurdere behovet for spesifikk opplæring relatert til risikoer som kan være spesifikke for organisasjonens aktiviteter.

Styret skal gjennomføre en årlig gjennomgang av organisasjonens risikostyringssystem, noe som bør inkludere en detaljert presentasjon av beste praksis tilpasset organisasjonens spesifikke behov. Det kan være nødvendig å engasjere eksterne konsulenter for å gi et objektivt syn på risikostyringssystemenes effektivitet. Disse konsulentene kan hjelpe styret og ledelsen med å identifisere og analysere spesifikke risikofaktorer som kan påvirke organisasjonens ytelse, samt å gi innsikt i hvordan risikoene bør håndteres.

En viktig del av denne prosessen er å forstå at risikoene kan endre seg plutselig og kontinuerlig. Styret må sikre at risikovurderingene ikke blir en engangsprosess, men en kontinuerlig oppgave for å tilpasse seg endrede forhold. Dette innebærer en grundig vurdering av tidligere hendelser, både interne feil og eksterne faktorer, som kan ha påvirket organisasjonens risikoprofil. Det er essensielt at styret og ledelsen lærer av tidligere feil, som for eksempel i tilfelle Wells Fargo, og sørger for at de nødvendige tiltakene iverksettes dersom en ny risiko dukker opp.

I noen tilfeller kan eksternt press føre til at en organisasjon tar høyere risikoer, for eksempel ved krav fra aktivistiske investorer eller hedgefond om å fokusere på kortsiktige resultater. Denne typen press kan føre til beslutninger som øker organisasjonens risikoprofil, som å øke gjeldsgraden for å betale ut utbytte eller kjøpe tilbake aksjer. Slike tiltak kan i noen tilfeller være i strid med organisasjonens langsiktige mål og føre til investeringsfeil som svekker organisasjonens konkurranseevne. Styret bør derfor være forberedt på å motstå ekstern press som kan føre til handlinger som ikke er i selskapets beste interesse.

Selv om det er viktig at styret er åpen for forslag fra aksjonærer og eksterne parter, bør deres primære fokus alltid være på langsiktig stabilitet og på å ivareta selskapets risikoprofil. Styret må derfor alltid være i stand til å forklare beslutningene sine til aksjonærene, spesielt når disse beslutningene innebærer å motsette seg kortsiktige krav som kan øke risikoen for organisasjonen.

Hvordan et Risikostyringskomité Skal Struktureres for Effektiv Overvåking i Organisasjoner

En organisasjon bør ha et dedikert komité som fokuserer på å sikre effektiv risikostyring. De nødvendige kriteriene for valg av medlemmer til denne risikostyringskomiteen avhenger av flere faktorer, inkludert industritype, selskapsstrategi, forretningsmål og selskapsstørrelse. Styremedlemmene må forstå at effektiv håndtering av ulike typer risikoer avhenger av ekspertisen til medlemmene i de forskjellige risikostyringskomiteene. Derfor gir etableringen av flere separate risikostyringskomiteer en fordel som langt overskrider fordelene ved å ha én enkel komité for risikostyring.

Dette har ført til at mange selskaper har valgt å etablere separate risikostyringskomiteer (Ernst & Young Center for Board Matters, 2017). Ifølge en undersøkelse blant S&P 500-selskaper utført av Ernst & Young Center for Board Matters (2017), har antallet selskaper med minst én separat risikostyringskomité økt fra 61 % i 2011 til 75 % i 2017. Styrene i disse selskapene har minst én risikokomité som er separat fra de obligatoriske komiteene, som for eksempel kompensasjonskomiteer, revisjonskomiteer og risikostyringskomiteer (Ernst & Young Center for Board Matters, 2017). Imidlertid er etablering av separate risikokomiteer mindre utbredt i selskaper som ikke er i den finansielle industrien (Ernst & Young Center for Board Matters, 2017).

Til tross for fordelene ved å ha separate risikokomiteer, kan det oppstå problemer når det gjelder delegasjonen av spesifikke ansvar. Den primære tilsynsrollen og beslutningsprosessen for disse separate komiteene må være i tråd med den overordnede risikostyringssystemet i organisasjonen. Styret må sørge for at medlemmene av hver separat risikokomité kan garantere at deres ansvar ikke står i konflikt med det samlede risikostyringssystemet som er etablert i organisasjonen (Lipton et al., 2018). I tillegg må styret sørge for at kommunikasjonen og koordineringen mellom de forskjellige komiteene fungerer effektivt for å sikre en helhetlig tilnærming til risikostyring (Ernst & Young Center for Board Matters, 2017; Lipton et al., 2018).

Det viktigste ved å ha separate risikokomiteer er at de kan få ansvar for tilsynet med spesifikke risikoområder i organisasjonen. For eksempel har banksektoren ofte egne komiteer for finans eller kreditt, mens energiselskaper ofte har spesifikke komiteer som håndterer sikkerhets- og miljøspørsmål som kan oppstå i løpet av driften. Uavhengig av risikostyringskomiteens spesifikke rolle, er det avgjørende at styret forsikrer seg om at aktivitetene til de forskjellige komiteene er godt koordinert for å støtte risikostyringssystemene som er etablert i organisasjonen. Hvis styret kun begrenser tilsynet med risikohåndtering til revisjonskomiteen, må de sørge for at det settes tid av til jevnlige gjennomganger av risikostyringsprosessene med hele styret (Lipton et al., 2018).

I tillegg må styret sørge for at revisjonskomiteens medlemmer forstår sin rolle, som inkluderer å gjennomgå regnskapsmessig etterlevelse, finansiell rapportering og tilsynet med selskapets risikohåndtering. Det er viktig at dette arbeidet skjer i tråd med organisasjonens overordnede risikostyringsmål.

For å effektivt kunne gjennomføre sitt tilsynsarbeid, må styret ha et sterkt forhold til toppledelsen og de ansvarlige for risikohåndtering i organisasjonen. Informasjonsflyten mellom styret, toppledelsen og risikostyringsansvarlige er avgjørende for å kunne fatte informerte beslutninger og utvikle effektive svar og handlingsplaner. Styret bør derfor aktivt kreve at de mottar tilstrekkelig og troverdig informasjon om ulike risikofaktorer i organisasjonen. Denne informasjonen vil danne grunnlaget for utforming av svar på risikoutfordringer. Komiteene som har det primære ansvaret for risikostyring, bør holde regelmessige møter med toppledelsen for å diskutere risikokulturen i organisasjonen, samt de viktigste risikoene selskapet står overfor.

Videre bør både toppledelsen og risikostyringsansvarlige i selskapet være bevisst på at de har myndighet til å informere styret eller risikokomiteen om eskalerte risikoer som krever styrets umiddelbare oppmerksomhet utenom de vanlige rapporteringsprotokollene. Styret bør fremme en kultur der røde eller gule flagg blir rapportert av toppledelsen og risikostyringsansvarlige for å sikre rask og effektiv undersøkelse av risikoer som oppstår.

Et annet viktig aspekt er den periodiske gjennomgangen av lovmessige etterlevelsesprogrammer i organisasjonen. Det er styrets ansvar å sørge for at toppledelsen og risikostyringsansvarlige gir tilstrekkelige vurderinger av hvordan organisasjonens lovmessige etterlevelsesprogrammer er designet for å håndtere risikoprofilen. Disse programmene bør identifisere og forhindre risikoenes eskalering. I tillegg må styret forsikre seg om at lovmessige etterlevelsesprogrammer er spesifikt tilpasset organisasjonens behov.

En sterk etisk kultur, sammen med veltilpassede lovmessige etterlevelsesprogrammer, er avgjørende for at organisasjonen kan håndtere risiko på en effektiv måte. Dette vil også være en faktor i vurderingene som gjøres ved eventuelle etiske misgjerninger i organisasjonen. Det er viktig at styret og ledelsen utfører raske undersøkelser og korrigerende tiltak ved etiske brudd for å beskytte organisasjonens integritet.

Hva er de ulike typene cyberangrep og hvordan kan de håndteres?

Cyberangrep er et voksende problem i vår digitale tidsalder, der cyberkriminelle benytter seg av forskjellige teknikker for å få tilgang til sensitive data, forårsake skade på systemer eller utføre bedrageriske aktiviteter. Slike angrep kan ha alvorlige konsekvenser for både enkeltpersoner og organisasjoner. For å forstå de ulike truslene som eksisterer på internett, er det viktig å identifisere de vanligste typene cyberangrep og hvordan man kan beskytte seg mot dem.

Et cyberangrep kan defineres som en bevisst utnyttelse av datanettverk og datasystemer av cyberkriminelle. Angrepene kan omfatte ulike metoder for å stjele personlig informasjon, som kredittkortnummer, passord og annen sensitiv data. De kan også brukes til å skade systemer, enten ved å deaktivere dem midlertidig eller ved å infisere dem med skadelig programvare.

Web-baserte angrep er blant de vanligste metodene for å utføre cyberangrep. De finner sted på nettsteder eller webapplikasjoner, og de kan ta mange former:

  • Injeksjonsangrep involverer innsending av skadelig data inn i en webapplikasjon for å ta kontroll over applikasjonen eller hente ut spesifikk informasjon. Eksempler på dette inkluderer SQL-injeksjon og XML-injeksjon.

  • Phishing er en metode hvor cyberkriminelle utgir seg for å være en pålitelig enhet for å stjele brukerens informasjon som passord, kredittkortinformasjon og brukernavn.

  • DNS-sveising er et angrep der angriperen manipulerer DNS-oppløsningen for å lede trafikk til en falsk server, noe som kan føre til at sensitive data blir stjålet eller feilbehandlet.

  • Sesjonskapring skjer når angriperen stjeler en brukers sesjonscookie for å få tilgang til private data uten tillatelse.

  • Brute force er en teknikk der angriperen prøver ut ulike passordkombinasjoner inntil riktig passord er funnet.

  • Denial of Service (DoS)-angrep overbelaster et nettverk eller en server med trafikk, og får systemet til å krasje eller bli utilgjengelig for brukere.

En annen type angrep som ofte blir brukt, er systembaserte angrep. Disse angrepene er designet for å kompromittere hele datasystemer eller nettverk:

  • Virus er et ondsinnet program som sprer seg fra en fil til en annen og kan skade systemer eller stjele data.

  • Trojanere (Trojan horse) er programvare som ser ut som en legitimasjonsapplikasjon, men som inneholder skadelige koder som kan skade systemet eller stjele informasjon.

  • Masker (Worms) er selvreplikerende programmer som sprer seg til forskjellige deler av systemet, ofte via e-post.

  • Bakdører (Backdoors) gir angriperen tilgang til systemet, og kan bli brukt til å omgå autentiseringsprosedyrer for å utføre handlinger uten at systemet oppdager det.

  • Bot-nettverk er automatiserte programmer som utfører bestemte handlinger på nettet uten menneskelig inngripen. Angripere kan bruke botter til å utføre angrep som å stjele informasjon eller utføre Denial of Service-angrep.

I møte med disse truslene er det avgjørende å ha en grundig forståelse av cybersikkerhetens forskjellige lag. Cyberforsvaret til en organisasjon bør være delt opp i flere lag som beskytter ulike aspekter av systemene:

  • Kritiske eiendeler refererer til data som er avgjørende for virksomheten, og som må beskyttes på høyeste nivå.

  • Datasikkerhet omhandler beskyttelse av data som lagres og overføres på tvers av nettverk og systemer.

  • Applikasjonssikkerhet er viktig for å hindre uautorisert tilgang til applikasjoner som inneholder kritisk informasjon.

  • Endpoint-sikkerhet beskytter individuelle enheter som datamaskiner, telefoner og servere fra angrep.

  • Nettverkssikkerhet beskytter forbindelsene mellom ulike nettverk og enheter, og sørger for at informasjonen ikke blir avlyttet eller manipulert.

  • Perimetersikkerhet er fokusert på å beskytte yttergrensene av organisasjonens nettverk, som brannmurer og andre verktøy for å filtrere ut uønsket trafikk.

  • Menneskelig sikkerhet understreker viktigheten av bevissthet og opplæring blant ansatte for å unngå menneskelige feil som kan åpne for angrep.

En viktig del av cybersikkerheten er å forstå de forskjellige lagene i forsvarssystemene og hvordan de fungerer sammen for å beskytte organisasjonen mot angrep. Dette krever en kontinuerlig evaluering av trusselbilde og utvikling av tiltak som kan hindre at kritisk informasjon blir kompromittert.

Å sikre organisasjonens cybersikkerhet innebærer ikke bare å beskytte mot kjente trusler, men også å ha en beredskapsplan for å håndtere potensielle angrep. En grundig gjennomgang av systemene, opplæring av ansatte og implementering av effektive sikkerhetstiltak er nødvendige skritt for å beskytte både organisasjoner og enkeltpersoner i en stadig mer digitalisert verden.

Hvordan politisk ideologi formes av psykologiske og sosiale mekanismer
Hvordan politiske debatter om våpen, helse og klima påvirker samfunnet
Hvordan navigere i polarisert tale, konspirasjonsteorier og medieforurensning
Hvordan effektivisere gjenfinning og gjenbruk av programvarekomponenter gjennom nettbaserte biblioteker