Riskantering är ett svårgripbart ämne. Det kräver en kulturförändring, inte minst eftersom många anställda kan se identifiering av risker som kritik.
– Folk tänker i tekniska termer, i form av brandväggar och virtuella privata nätverk. Men vi måste se hela bilden, vad som är risken med en viss form av information, säger Scott Santiago, it-chef på Nasa.
För att få riskhantering att rulla krävs ledarskap. Här är fem steg för att hantera verksamhetsriskerna:
Steg 1: Hitta inspiration
Utan en plan för att hantera risker, kan folk dö. Den amerikanska marinens it-chef, Dave Wennergren, har infört ett intranät som utgör en standardplattform som hjälper land- och sjöbaser att dela information.
– Fallerar system får inte stridande enheter den information de behöver, säger han.
Attacken den 11 september slog ut en av marinens kommandocentraler och tydliggjorde risken med att ha utrustning på en plats.
Ibland krävs det ännu mer arbete för att övertyga om värdet av riskhantering.
– Fram till mitten av 90-talet baserade JP Morgan sina investeringsstrategier på hur kraftfulla argument cheferna presterade. Det ledde till obehagliga överraskningar, när investeringar inte fick önskad effekt, säger Bil Sharon, tidigare riskhanteringschef på JP Morgan, numera it-chef på konsultjätten McCann.
Företaget gick på jakt efter en bättre beslutsprocess för att hantera investeringar.
– För att ett projekt skulle godkännas tvingades affärschefen visa att han verkligen hade den förståelse och insikt som behövdes.
Steg 2: Definiera risken
It-chefer som har blivit framgångsrika inom riskhantering inser vikten av att formulera ett budskap om det. Riskhantering spänner över hela företag och man måste förstå hela verksamheten för att inse värdet av det.
Det kan kräva en helt ny begreppsapparat. På Nasa utformade Scott Santiago en ny modell för säkerhet som ersatte den gamla, där alla enheter själva hanterade riskerna.
Hans utgångspunkt är att information måste vara tillgänglig för alla som behöver den. I stället för att säkra individuella system, utgår han från ett antal informationsbehållare som används av de anställda och ritar en karta över verksamheten och riskerna.
Steg 3: Var flexibel
Alla förstår inte vad risk är och alla har olika uppfattning om vad en risk är.
– Vi har olika sätt att förstå risk. Samtidigt är det möjligt att ta större risker om man har ett bättre system för hantering av dem, säger George Westerman, forskare på MIT Sloan School of Management.
På McCann hade cheferna svårt att begripa sig på riskerna i verksamheten, trots att de finns på mer än 100 marknader. Skälet var att de hade dålig koll på inkommande information. Den förlorades ofta, vilket ökade risken att inte reagera tillräckligt snabbt på kundernas behov.
I stället för att prata om risker, talade Sharon om hur ett intranät kunde förbättra kundtjänsten. Det ledde till att ett nytt webbställe startades, där hela ledningsgruppen började fatta affärsbeslut direkt, med utgångspunkt från informationen som kom in. Det minskade risken för att kunderna skulle gå till en konkurrent.
Steg 4: Lämna kontoret
Lämna kontoret och träffa chefer överallt i företaget. Det är viktigt eftersom riskhantering kräver en förändrad syn på tillvaron. Det finns en tendens att anställda återgår till traditionellt tänkande när strategin är på plats.
– Att leda en riskstrategi kräver att man bygger relationer. Men måste kunna lösa problem som är avgörande för ens affärspartner, säger Bill Sharon.
Scott Santiago på Nasa har träffat hundratals anställda för att förklara värdet av en riskstrategi. I vissa fall har det dröjt nio månader innan det han har predikat förverkligats.
I ett fall gällde det att säkra att information som överförs mellan olika centraler är säker. Gruppen identifierade risker som typer av information som attackerades, exempelvis genom virus eller cyberattacker, och varifrån, exempelvis utifrån eller inifrån.
Steg 5: Var ett föredöme
Budskap och eget beteende måste stämma överens.
– Om chefen inte följer upp sina ord är alla åtgärder meningslösa, säger Bob Charette, riskhanteringschef på analysföretaget Cutter Consortium.
Det gäller att inte presentera en risk som något negativt, utan att betrakta en identifierad risk som en möjlighet att förbättra verksamheten. USAs tidigare utrikesminister och överbefälhavare, Colin Powell, uppmuntrade alltid de underställda att tala om problemen.
– När anställda slutar berätta om problem har ditt ledarskap upphört, säger han.
Ett sätt att ha konstant fokus på riskhantering är att testa företagets riskhantering.
Steve Randich, it-chef på Nasdaq, testar regelbundet sina datacenter för att påminna personalen om vikten av en riskstrategi. Cirka 3 300 företag är listade på Nasdaq, som hanterar 20 000 transaktioner per sekund från 350 000 datorer världen över.
– Om vårt transaktionssystem skulle slås ut skulle hela marknaden upphöra, säger Steve Randich.
Den 1 februari 2003 exploderade rymdskytteln Columbia och sju astronauter ombord dödades. Sju månader efteråt skyllde katastrofundersökningen olyckan inte bara på bristfälliga material, utan även på rymd- och flygstyrelsen Nasas ledning och kultur. Ingen hade någon formell process för att diskutera orosmoment, likaså saknades en strategi för att hantera risker.
Efter undersökningen ställdes helt nya krav på att förbättra den interna kommunikationen. Det var då it-chefen Scott Santiago, som är ansvarig för it-säkerhetsfrågor, började leta efter sätt att minska riskerna. Även om it-säkerhet inte spelade en avgörande roll under katastrofen, visste Scott Santiago att system och program är avgörande för att projekten ska lyckas.
Nasas vd Scott Santiago byggde upp ett helt nytt team för att hantera riskerna. Han ordnade möten med it-anställda, säkerhetsfolk, utvecklare och verksamhetschefer. Som utgångspunkt hade han ett system för hantering av risker, erm, enterprise risk management. Systemet fokuserar på att se till att en verksamhet kan fortsätta, genom att skapa en enhetlig bild av alla risker, interna och externa, samt en strategi för att hantera risker.