Skip to content Skip to footer
Search

Loading Results

Vigtig viden om CFO'ens samspil med bestyrelsen

I en verden, hvor cyberkriminalitet i stigende grad er en del af virksomhedens udfordringer, udviser de mest ansvarlige bestyrelser en øget interessse for, hvordan ledelsen adresserer disse komplekse trusler og stiller specifikt krav til aktiv styring af og rapportering af risici på området.

Bestyrelsen er en væsentlig cyberinteressent for CFO'en

Topledere og bestyrelser er bevidste om, at cyberrisikoen kræver stor opmærksomhed. Bestyrelsen er i den forbindelse en af de væsentligste interne interessenter for CFO’en, og det er CFO’ens opgave at beskrive virksomhedens risikobillede, samt hvilke aktiviteter der bør prioriteres for at adressere risiciene.

Det er en fælles opgave for CFO og bestyrelse at sikre, at bestyrelsesmedlemmerne løbende modtager tilstrækkelig information fra direktionen - og ikke mindst også, at der sker en løbende sparring mellem direktion og bestyrelse på cyberområdet og relaterede risikoområder, herunder GDPR. Hensigten er, at begge parter til enhver tid kender risiko, strategi og status for cybersikkerheden i virksomheden.

Cybersikkerhed er et vigtigt element i at drive ansvarlig virksomhed. Det er ledelsens rolle at løfte dialogen om cybersikkerhed og ansvarlighed ikke bare i virksomhedens eget risikoperspektiv, men også forhold til etiske forpligtelser.

Mads Nørgaard Madsen, Partner og leder af Security & Technology, PwC

Cybersikkerhed bør integreres i bestyrelsens årshjul

Når du som CFO planlægger rapporteringen til bestyrelsen, skal samme principper som ved andre rapporteringer til bestyrelsen følges. Der er faktorer, der rapporteres på i faste intervaller, og der er faktorer som rapporteres på løbende, og når det er relevant. Det gøres typisk ved, at ledelsens rapportering til bestyrelsen kobles op på de faste årlige bestyrelsesmøder, og ved at udarbejde et årshjul, så ledelse og bestyrelse har forventningsafstemt omkring rapportering og struktur.

Det anbefales fx, at bestyrelsen minimum årligt modtager en risiko- og sårbarhedsvurdering på virksomheden fra direktionen. Desuden bør bestyrelsen minimum årligt tage stilling til virksomhedens risikoappetit, og det er bestyrelsens ansvar at godkende den samlede risikostrategi, inklusive de specifikke aktiviteter, som virksomheden ønsker at igangsætte for at forbedre processer, styrke arkitekturen, øge god adfærd og dermed reducere det samlede risikobillede.

CFO'ens CyberGuide Bestyrelse Årshjul

6 områder, der skal rapporteres på til bestyrelsen

Risikovurdering og sårbarhed

Rapportering og kontrol

Risikoappetit og strategi

Kultur og mennesker

Planer, processer og beredskab

Kompetencer og organisering

Case: Håndtering af cybersikkerhed og rapportering til bestyrelsen

Bestyrelsen i en produktionsvirksomhed ønskede indblik i, hvordan virksomheden adresserer truslen fra cyberkriminalitet, og specifikt hvordan den ville håndtere et omfattende ransomware-angreb.

Ledelsen i virksomheden fik foretaget en ekstern vurdering af dets cyberforsvar, samt en risikovurdering. På baggrund af denne vurdering fremlagde CFO’en en plan for bestyrelsen om igangsættelse af en række tiltag for at nedbringe risikoen, bl.a. en større segmentering af netværket, forbedret sikkerhed på medarbejdernes PC’ere, en række awareness tiltag overfor medarbejderne, en opdatering af virksomhedens beredskab samt en øget indsats i forhold til leverandører. Investeringen blev godkendt af bestyrelsen, som ønskede løbende rapportering på aktiviteterne og på risikobilledet.

På hvert bestyrelsesmøde (kvartalsvis) i en 2½ årig periode præsenterede ledelsen en kort status på de enkelte aktiviteter/projekter, samt berettede om eventuelle udfordringer eller hændelser. Én gang om året blev der afsat en time til at diskutere status på aktiviteterne, resultat af risikovurderinger samt rapportering fra eksterne parter, der kunne validere, om de implementerede tiltag havde den ønskede effekt på at nedbringe risikoen. Yderligere tiltag og justering af igangværende projekter blev afstemt med og godkendt af bestyrelsen for det kommende år.

Sådan kommer du videre

  • Etablér en systematisk rapportering i forhold til bestyrelsen omkring cyberstrategi, risiko og sårbarhed.
  • Sørg for at afstemme rapportering med bestyrelsen, herunder hvordan rapportering skal forekomme i relation til de planlagte bestyrelsesmøder.
  • Orientér dig via de anbefalinger til bestyrelsen, der ligger fra Bestyrelsesforeningen og PwC’s håndbog for bestyrelsesmedlemmer Bestyrelsesarbejde i Danmark 2021.

Kontakt os

Christian Kjær

Christian Kjær

Partner, Security & Technology, PwC Denmark

Tlf: 3945 3282

William Sharp

William Sharp

Partner, Security & Technology, PwC Denmark

Tlf: 8932 0076

Følg PwC