Risikostyring, besvigelser og cybertrusler

Stå stærkere gennem inflationskrisen

Indledning

De seneste par år har der været en række kriser, som har udfordret mange virksomheder og til tider gjort det svært at navigere i risikolandskabet, hvor leveringsudfordringer og stigende priser er blevet en stor del af de daglige bekymringer.

Det er blevet en kompleks og omfattende opgave at håndtere de risici der indtræffer, men også at forberede sin forretning på at være modstandsdygtig over for mange forskellige typer af potentielle trusler. 

Hvilke risici den enkelte virksomhed præcis er eksponeret for afhænger af, hvilken industri virksomheden opererer i, virksomhedsspecifikke forhold og ikke mindst virksomhedens strategi og globale udbredelse.

Der er derfor ikke en “one size fits all” tilgang til risikostyring, men indsatsen skal skræddersyes til den enkelte virksomhed og den ønskede risikoprofil.

I denne artikel får du en række anbefalinger til, hvordan virksomheder kan tage en mere proaktiv tilgang til risikostyring i en foranderlig verden, hvor man ikke kan forudse, hvad morgendagen bringer. Vi sætter fokus på, hvordan risikostyring kan bruges som et redskab til bedre virksomhedsledelse, herunder et forbedret beslutningsgrundlag.

Du får også en række praktiske eksempler på finansiel risikostyring og gode råd til, hvilke risici og former for besvigelser, du skal være opmærksom på samt inspiration til, hvilke ledelsesmæssige initiativer der kan højne cybersikkerheden.

1. Risikostyring i en krisetid

 

En undersøgelse foretaget af PwC viser, at de områder det danske erhvervsliv prioriterer på den politiske agenda hænger tæt sammen med deres bekymringer. Her placerer næsten halvdelen (48 %) inflation og energikrise øverst på listen over bekymringer stærkt efterfulgt af global recession (43 %). Seks ud af ti erhvervsledere vurderer, at deres vækstforventninger i nogen eller høj grad er negativt påvirket af energikrisen, mens kun 9 % svarer, at de slet ikke er påvirket.

De mange risikoscenarier og den omskiftelige omverden rejser et vigtigt spørgsmål: Hvordan tager man som virksomhed en mere proaktiv tilgang til risikostyring i en foranderlig verden, hvor man ikke kan forudse, hvad morgendagen bringer?
I kriser, hvor situationen indebærer mange ubekendte faktorer, er nøglen at have en fleksibel tilgang til forretningskontinuitet samt en bredere risikostyring. Men hvordan agerer man proaktivt snarere end reaktivt i en kontekst som denne? Det er i dag nødvendigt med en koordineret og integreret indsats på tværs af virksomheden, hvis man skal håndtere risici effektivt og sikre en profitabel vækst.


Der er ikke en “one size fits all” tilgang til risikostyring

Praktisk tilgang til risikostyring i en krisetid

Risikostyring er et redskab til bedre virksomhedsledelse, herunder at skabe et forbedret beslutningsgrundlag. Risikostyring skal ikke gøres til en teknisk disciplin. Det betyder, at ledelsen skal kunne omsætte strategi og forretningsmodel til risici – uden tekniske specialister. Vigtige delkomponenter i en robust og effektiv risikostyring inkluderer:

Fastlæggelse af risikostrategi

Risikostrategien danner rammeværket for virksomhedens styring af risici og indeholder elementer som målsætning, risikoappetit, organisering (inklusiv delegering af ansvar samt identifikation), måling, monitorering og rapportering af risici.
En klart defineret risikostrategi, der tydeligt kommunikerer virksomhedens holdning til risici, herunder hvilke risici, der styres og hvordan, vil understøtte en effektiv beslutningsproces og effektiv brug af virksomhedens ressourcer.

Der bør hertil implementeres en governancestruktur for, hvordan risikostrategien løbende revurderes. Fx om der er særlige situationer, der vil kræve revurdering af strategien, samt hvem der skal involveres. Der kan være tale om et fast forløb hvert kvarte, halve eller hele år, ligesom der bør foretages en revurdering i forbindelse med væsentlige ændringer i virksomheden eller dens omgivelser som følge af eksempelvis globale kriser.
Bestyrelsen har ansvaret for at godkende virksomhedens risikostrategi, og det er derfor afgørende, at bestyrelsen har en forståelse for risikostrategiens enkelte elementer, samt hvordan disse påvirker hinanden.

Fastlæggelse af risikoappetit

Risikoappetitten er det samlede niveau for risiko, som en virksomhed er parat til at påtage sig for at realisere virksomhedens overordnede mål.
Risikoappetitten kan udtrykkes kvalitativt såvel som kvantitativt. De kvalitative mål er mere overordnede og udmelder ikke en præcis grænse for, hvad der er acceptabelt.
De kvantitative mål angiver derimod et præcist niveau for, hvad der er acceptabelt. Det betyder også, at disse er nemmere at monitorere og rapportere på.

Overvejelser for fastlæggelse af risikoappetitten kan omfatte:

  • Områder hvor man er parat til at acceptere en højere risiko, eller områder hvor man ikke ønsker at påtage sig nogen form for risiko.
  • Hvorvidt virksomheden historisk har haft for restriktive eller for løse rammer for risiko.
  • Vurdering af virksomhedens modenhed inden for de områder, hvor man vil acceptere risiko.

Identifikation og måling af risici

Komitéen for god Selskabsledelse anbefaler i relation til risikostyring, at bestyrelsen årligt identificerer de væsentligste forretningsrelaterede risici, der knytter sig til virksomhedens strategi og mål, samt de risici, der har betydning for regnskabsaflæggelsen.

Identifikation og måling af risici foretages ved at indsamle oplysninger om virksomhedens risikoeksponering både i form af kvalitative og kvantitative data. Herefter opgøres målingen af risici, og dermed væsentligheden heraf, i henholdsvis hvilke konsekvenser de har for virksomheden, og hvor hyppigt de forventes at forekomme. Globale kriser, som fx den stigende inflation, COVID-19, energikrisen og klimakrisen medfører i mange tilfælde, at virksomhedens risikoeksponering ændres signifikant som følge af krisens konsekvenser for virksomheden, dens kunder og leverandørens økonomiske stilling, samt ændring i medarbejdernes tilgængelighed og evt. problemer i forsyningskæden.

Alle handlinger under kriser bør bygge på et solidt grundlag af viden. Informationer om risici er kritiske for langsigtet succes, men det gør sig ofte gældende, at der er begrænset information til at foretage forudsigelser. Gabet mellem den viden, virksomheden besidder, og vigtigheden af informationerne bliver dermed stort i forhold til normalt.

For at indsamle den nødvendige viden til at kunne handle gælder det ikke kun om at se på den historiske udvikling. Her er det afgørende at lave fremadskuende beregninger og indsamle data om den forventede fremtidige udvikling. Især vil virksomheder, der forstår at forudsige kundernes adfærd og nye præferencer, være bedre stillet i krisetider. Informationerne skal ideelt ikke kun gælde for de næste måneder eller året ud. At få succes på kort sigt underbygger ikke altid den langsigtede strategi, og hurtige gevinster er ikke nødvendigvis relevante set i forhold til de velfunderede langsigtede formål.

 

Monitorering og rapportering af risici

For at bestyrelsen er i stand til løbende at foretage en vurdering af virksomhedens risici og tage beslutninger herom, bør direktionen løbende holde bestyrelsen informeret om udviklingen på området.

Kommunikationsopgaven er vigtig, men ikke nem. Bestyrelsen bør derfor stille krav til en enkel, relevant og rettidig rapportering, så vigtige risici ikke forsvinder i mængden.

Rapportering af risici kan fx ske kvartalsvis i tilknytning til den øvrige rapportering og kan indeholde:

  • En simpel illustration, fx i form af et ’Risk map’, der giver et overblik over virksomhedens væsentligste risici set i forhold til hinanden
  • En liste med virksomhedens top-10-risici, inklusiv handlingsplaner og ejerskab
  • Et overblik over hvilke områder eller processer, der er mest eksponeret
  • Aktuelle markedsforhold
  • Ledelsens kortfattede analyse og vurdering.

De interne kontroller i virksomheden er et vigtigt supplement til monitorering og rapportering og et vigtigt led i risikostyringen. De interne kontroller begrænser eller identificerer afvigelser fra vedtagne politikker og processer og det er vigtigt, de designes og implementeres på en hensigtsmæssig måde.

Desuden anbefaler vi, at bestyrelsen aktivt udfordrer direktionen i forhold til den løbende monitorering og rapportering af risici.

Hovedparten af de store og mellemstore danske virksomheder arbejder i dag med risikostyring og har i den forbindelse etableret mere eller mindre formelle og veldokumenterede processer og procedurer for risikostyring. Globale kriser som stigende inflation giver dog anledning til en række vigtige overvejelser i relation hertil.

Fem vigtige overvejelser i forbindelse med risikostyring i inflationskrisen:

  • Hvor og hvordan blev pandemisk risiko behandlet i forbindelse med de seneste risikovurderinger, og er der gennemført en analyse af risiko relateret til interkonnektivitet eller samvarians for at forstå andre vigtige forretningsrisici, der er udløst af den pandemiske risiko?
  • Udnytter virksomheden teknologiske værktøjer til konsolideret risikorapportering, herunder den hurtige udvikling i nøglerisikoindikatorer?
  • Er der i lyset af inflationskrisen behov for at gennemgå det foreliggende framework for risikoappetit med bestyrelsen og den øverste ledelse for at forstå den afledte effekt på virksomhedens aktuelle risikoprofil?
  • Er ændringer i planer og procedurer kvalitetssikret af intern revision og/eller øvrige funktioner fra anden forsvarslinje for at sikre, at de afdækker risikoelementer tilstrækkeligt?
  • Hvilke forøgede risici skal adresseres, og er der etableret procedurer, som sikrer rapportering, aggregering og analyse af forøgede eller nye risici, i takt med at situationen ændrer sig?

 

Sådan organiserer de bedste virksomheder deres risikostyring

Hvordan risikostyring skal forankres i virksomheden, og hvilke roller den enkelte afdeling skal udfylde, er væsentligt for beslutningen om organisering af risikostyring. En praktisk og ofte anvendt måde at anskue samarbejdet mellem virksomhedens afdelinger på er at se risikosystemet som tre ’forsvarslinjer’.

‘Første forsvarslinje’

ansatte i fx salg, indkøb og produktionsafdelinger, hvor afdelingerne har det primære ansvar for de risici, de påtager sig.

‘Anden forsvarslinje’

ansatte eller afdelinger, der er specialiseret inden for risikostyring, intern kontrol og compliance. Deres ansvar er at designe, koordinere og styre en konsekvent ramme og politik for at tage risici uden selv at være direkte eksponeret mod forretningsrisici.

‘Tredje forsvarslinje’

uafhængig afdeling, eller en eventuel ekstern part, der løbende vurderer, hvorvidt virksomhedens risikostyringssystem er tilstrækkeligt, samt hvorvidt virksomheden efterlever de udstukne rammer for risikostyring. 

PwC’s årlige kriseundersøgelse viser, at brugen af ekspertise er en indikator for, hvor stor en virksomheds sandsynlighed er for at komme stærkere ud af en krise. PwC’s årlige Risk Management-undersøgelse fra 2022 viser, at 39 % af virksomhedslederne træffer bedre beslutninger og opnår vedvarende resultater ved tidligt at rådføre sig med risikoprofessionelle.  Undersøgelsen viser dog også, at mange virksomheder ikke har en tredje forsvarslinje, og at 38 % af de adspurgte ikke har søgt ekstern indsigt for at vurdere og overvåge deres risici.

Første forsvarslinje vurderer forretningsrisici og indarbejder risikostyring i både strategisk planlægning og taktisk udførelse. Desuden sikrer de, at de væsentligste risici håndteres på de rigtige tidspunkter i processen. Anden forsvarslinje samarbejder med første forsvarslinje og kontrollerer og giver sparring til optimering af risikostyringsprocesserne. Endelig giver den tredje forsvarslinje en uafhængig og objektiv vurdering af, hvorvidt første og anden forsvarslinjes risikostyringsaktiviteter er forsvarlige og effektive.

Guide til at flytte risikostyringen til første forsvarslinje

Der er i praksis stor forskel på, hvordan virksomheder griber risikostyring an. Vi giver her et bud på, hvordan bestyrelsen gennem fem trin kan skabe rammerne for en robust og effektiv risikostyring ved at flytte ansvaret for styring af risici til den første forsvarslinje.

 

Sæt ambitiøse og entydige mål med fokus på risici

  • Bestyrelsen og direktionen bør sætte entydige mål og udleve disse, ligesom de løbende bør overvåge og evaluere målene for at vurdere effektiviteten.

  • Direktionen bør sikre en performancekultur og incitamentsstyring i overensstemmelse med virksomhedens risikokultur.

  • Ledelsens bør kommunikere klare og konsistente meddelelser på tværs af virksomheden.

  • Risici bør indarbejdes i de daglige rutiner og i beslutningstagning.

Ensret risikostyringen med strategien på tidspunktet for beslutningstagningen

  • Et klart overblik over virksomhedens strategi giver den første forsvarslinje en fælles vision om at tilpasse beslutninger og adfærd. Dette gør virksomheden i stand til at reagere hurtigere på risici og disruption.

  • Beslutningstagere bør integrere risikostyring i både strategisk planlægning og taktisk udførelse.

Justér risikostyringen på tværs af de tre forsvarslinjer

  • For at sikre en optimal formåen bør den første forsvarslinje eje beslutningstagningen for risici. Den anden forsvarslinje bør så overvåge, og den tredje forsvarslinje bør foretage uafhængigt og objektivt tilsyn.

  • Tydelige rammer og snitflader mellem de tre forsvarslinjer bør identificeres og defineres for at gøre det muligt at koordinere roller og ansvar effektivt. Ledelsen kan dermed bedre definere risici og tildele dem på tværs af de tre forsvarslinjer. Desuden kan ledelsen sikre, at de styres på de rigtige steder.

  • Hver forsvarslinje bør tildeles de rette informationer og nødvendige ressourcer for at fungere effektivt.

Implementér en tydeligt defineret risikoappetit og et rammeværk på tværs af organisationen

  • Definér de risici, som virksomheden er villig til at tage for at opnå sine ambitiøse mål; risici, der ikke kan tolereres; risici, der kan tolereres over en kortere periode – og risici, som er nødvendige, da de er forbundet med opnåelsen af strategien.

  • Udarbejd en fælles begrebsramme for risikostyring, som styrer processen for aggregering, monitorering og antagelsen af risici. Denne proces bør udnytte teknologi og dataanalyse så vidt muligt

  • Risikoappetitten og rammeværket bør kommunikeres klart og tydeligt til beslutningstagere.

Udvikling af risikorapportering, som gør det muligt for direktionen og bestyrelsen effektivt at løfte deres risikostyringsansvar

  • Forbedre datastyring og processer for dataindsamling som understøtter risikorapporteringen

  • En robust proces for aggregering, monitorering og rapportering af risici er afgørende for at sikre, at beslutningstagningen sker inden for den fastsatte risikoappetit og tolerance.

  • Rapporterings- og monitoreringsprocesser bør overvåge risici og tilhørende risikostyringsaktiviteter regelmæssigt.

  • Virksomhedens væsentlige risici bør tildeles ejere, som er forpligtet til at udarbejde detaljerede, tidsbestemte risikohandlingsplaner.

2. Beskyt den finansielle situation

Det kan være vanskeligt at navigere i denne tid, som er præget af historisk høje rentestigninger, stigende inflation, svingende fragt- og energipriser, forøget cyberkriminalitet, krig i Europa, politisk ustabilitet, opbrud i forsyningskæder samt øgede krav til bæredygtighed. Risikolandskabet har ændret sig betydeligt, og turbulens på de finansielle markeder har fremhævet svagheder i mange virksomheders evne til at forudse, modellere og minimere risici. For mange virksomheder skaber det ændrede marked krav til forandring i virksomhedernes nuværende setup til risikohåndtering. 

Som konsekvens af de nye og svingende markedsforhold bør virksomheder vurdere:
  • har vi identificeret de risici, som virksomheden er påvirket af?

  • er vi parate til at acceptere den højere risiko?

  • hvordan kan vi arbejde med risikoen og komme bedst gennem krisen? 

 

God risikostyring i krisetider sker gennem fire trin:
  • Definering af en risikostrategi

  • Definering af en risikoappetit

  • Identifikation & måling af risici

  • Løbende monitorering & rapportering på risici

Det er vigtigt, at de fire trin genbesøges løbende, da risikobilledet ikke er statisk.

Effektiv risikostyring forbedrer strategieksekvering og mindsker overraskelser.

Risikohåndtering har en direkte indflydelse på virksomhedens økonomiske resultater. Derfor  anbefaler vi, at ledelsen integrerer risikostyringen med virksomhedens overordnede strategi og sikrer en overensstemmelse mellem virksomhedens KPI’er (key performance indicator) og KRI’er (key risk indicator). En virksomheds targets, forecasts og økonomiske styring er baseret på antagelser og er dermed risikobehæftet. Derfor er det relevant at identificere relevante risici og løbende analysere samt rapportere virksomhedens risici – dette giver vi et par konkrete eksempler på i det efterfølgende afsnit.

 

Vurder fremadskuende scenarier

Risikobilledet er under konstant forandring, og derfor bør arbejdet med fremadskuende scenarier løbende vurderes. Det kan være nødvendigt, at ledelsen justerer de identificerede risici ved større interne forandringer, fx. ændringer i virksomhedens strategi og forretning, samt ved større eksterne begivenheder som fx stigende renter, inflation osv.
Den gode rapportering er tidssvarende, indsigtsfuld og foreslår handling, og gør samtidig ledelsen opmærksom på, hvor virksomhedens identificerede risici giver anledning til handling. Rapporteringen bør være visuelt tilgængelig som dashboards med mest muligt opdateret data, der både giver beslutningstagerne mulighed for at se det store risikobillede og dykke dybere ned i detaljen.

 

Arbejdet med risici ved brug af ‘varsling’

Makroøkonomiske nøgletal som fx GDP og inflation bruges ofte som risikoindikatorer eller varsling, da de har stor betydning for virksomhedens muligheder på et givet marked. Det er vigtigt, at man i sin rapportering indarbejder disse indikatorer for udviklingen i risikobilledet (også kendt som early warnings).

Early warnings er effektive som varslingssystem overfor potentielle risici. I tider med store udsving på udvalgte valutakryds, råvarepriser og aktiemarkeder samt stigende inflation og pres på GDP, kan disse nøgletal bruges til at indikere, hvor virksomhedens indtægter og omkostninger kan komme under pres. Virksomheden kan komme direkte under pres, og ligeledes kan virksomhedens samarbejdspartnere (kunder og leverandører) komme under pres. 

I PwC anbefaler vi, at man som virksomhed får identificeret og skabt indsigtsfuld rapportering på disse ‘early warning indicators’. For eksempel hvis virksomheden er eksponeret mod en given valuta så kan man indsætte ‘rammer’ for hvornår der skal gives advarsler i rapporteringen og hvordan udvalgte risici påvirkes.

ESG-agendaen kan skabe nye finansielle risici 

Vi anbefaler, at virksomheder udforsker deres strategiske muligheder på ESG-agendaen. For eksempel ser vi, at flere virksomheder begynder at arbejde med finansielle kontrakter på energiområdet, såsom køb af certifikater og lignende.

Ofte er kontrakterne komplekse og går på tværs af landegrænser, hvilket kan skabe en finansiel eksponering mod både selve råvaren, men også valuta, lande regulering osv. 

Derfor anbefaler vi, at man som virksomhed kortlægger sine ESG-initiativer og identificerer eventuelle afledte finansielle risici fx på PPA’er (Power Purchase Agreements), som er mere og mere almindeligt anvendt på energiområdet. Her bør virksomheden udvikle en model, der kan vurdere risikoen over hele PPA-kontraktens løbetid. Denne type kontrakter er ofte langsigtede med individuelle karakteristika og kan indeholde risici afledt af råvarer, valuta samt lokal regulering. Herudover så er data ofte et udfordrende område, som kræver gode overvejelser og dokumentation, når risikoen skal modelleres flere år frem.

Opsamling: Alle de anvendte eksempler er ikke en udtømmende liste af anbefalinger men nogle konkrete eksempler, hvor vi har støttet virksomheder i at tilrette sig den nye virkelighed både internt og eksternt.

3. Håndtering af interne og eksterne interessenter


Under kriser kan mængden af besvigelser og andre former for økonomisk kriminalitet stige, og besvigelsesrisci bør derfor have ledelsens fokus inden uheldet er ude. 

Krisetider kan påvirke virksomheders indtjeningsevne, og dårlig virksomhedsøkonomi kan få antallet af forskellige former for besvigelser til at stige i forsøg på at få resultaterne til at se bedre ud over for virksomhedens interessenter. Dette kan indebære alt fra regnskabsmanipulation, misbrug af aktiver, overfakturering til markedsmanipulation og meget mere.  Krisetider påvirker i høj grad også privatøkonomien og de stigende forbrugspriser kan gøre det svært at få hverdagen til at hænge sammen for mange mennesker. Dette kan presse medarbejdere ud i at begå økonomisk kriminalitet eller snyde med tallene for at nå deres mål med en tilhørende bonus.  

Ifølge PwC’s Global Economic Crime and Fraud Survey 2022 havde 46 % af virksomheder været udsat for besvigelser i 2022. Dette tal forventes at stige under den forestående krise. Under COVID-19-krisen så vi et stigende antal besvigelser, herunder nye former for besvigelser pga. nye måder at arbejde på. 70 % af virksomhederne i undersøgelsen, der var udsat for besvigelser, oplevede nye former for besvigelser. Det var især cybercrime, der var blandt de mest anvendte former for kriminalitet. 

Det er ikke noget nyt, at besvigelser stiger i krisetider. Men hvilke risici og former for besvigelser, der er fremtrædende, afhænger af omstændighederne i den pågældende krise. Det er derfor vigtigt at revurdere, om der er nye risici, som virksomheden ikke er forberedt på, og løbende holde øje med om der opstår nye muligheder for økonomisk kriminalitet. 

I krisetider vil fokus ofte være på at holde virksomheden oven vande og sikre dens overlevelse. Der kan derfor være en tendens til at nedbringe omkostninger og allokere ressourcer til de kritiske funktioner. Dette kan imidlertid betyde at compliancefunktioner skæres ned. Der kan her blive åbnet et vindue for potentielle besvigelser. Besvigelser kan blive en dyr affære, hvorfor en forebyggende indsats ikke bør spares væk.

Få overblik over besvigelsesrisici inden uheldet er ude

For at forebygge besvigelser er det vigtigt at have et overblik over de områder i organisationen, hvor der er mulighed for svindel. Dette gøres først og fremmest ved en besvigelsesrisikovurdering som er med til at identificere de væsentligste områder, hvor der er mulighed for svindel. De efterfølgende skridt som virksomheden selv kan gøre er illustreret nedenfor. 

Det kan være svært at have overblik over alle de steder, hvor der forekommer besvigelsesrisici. Det kan derfor være en god idé at få et eftersyn af jeres besvigelsesrisici af besvigelseseksperter, der kender til de steder, hvor organisationer ofte er sårbare og kan rådgive om, hvordan I bedst muligt får lukket hullerne inden andre opdager dem. Eksperter kan derudover også bedre forudsige, hvilke besvigelsesrisici, der er ekstra relevante at sætte ind over for i den pågældende krise.

4. Likviditetsforecasting i praksis

Vi ser et fortsat stort antal cyberhændelser i dansk erhvervsliv og i den offentlige sektor. 51 % af de danske CXO’er og it-fagfolk fortæller i PwC’s Cybercrime Survey 2022, at deres virksomhed eller organisation har været udsat for mindst én sikkerhedshændelse inden for det seneste regnskabsår. Det er fjerde år i træk, at mere end hver anden virksomhed har været ramt.

Krigen i Ukraine præger naturligvis trusselsbilledet, og selvom Danmark ikke har været udsat for større angreb relateret til konflikten, er 63 % af CXO’er og it-fagfolk mere bekymrede for cyberangreb end for blot et år siden. Et stort flertal af disse peger på konflikten mellem Rusland og Vesten som årsag til den stigende bekymring. Ifølge Center for Cybersikkerheds trusselsvurdering fra 2022 er der en risiko for, at fx pro-russiske hackere vil gå efter mål i Danmark. Dette er en ændring fra de seneste år, hvor kun få forventede, at cyberaktivister ville gå efter danske mål. 

Der er også andre bekymringer i dansk erhvervsliv, når det kommer til cyber- og informationssikkerhed. Virksomhederne er under pres i lyset af den hastige digitale udvikling og den konstante fremvækst af ny software. Cybersikkerhed er derfor ikke længere bare et spørgsmål om at undgå at blive ramt af cyberangreb. Det er et spørgsmål om, hvordan man mitigerer risici og minimerer implikationerne af de hændelser, virksomheden kan stå overfor i fremtiden.

Ud over nye risici skal en lang række virksomheder fremadrettet leve op til ny regulering. Fx har EU-medlemslandene vedtaget NIS2-direktivet, der udvider kravene til cybersikkerhed og sanktionerne ved manglende overholdelse af disse for at harmonisere og strømline sikkerhedsniveauet på tværs af medlemslandene. Det medfører skærpede krav til flere sektorer og betyder, at virksomhederne skal forholde sig til bl.a. risikostyring, kontrol og tilsyn. Virksomhederne skal have de tilstrækkelige foranstaltninger i forhold til direktivet på plads medio 2024.

Det kræver imidlertid ressourcer, kompetencer og løbende opfølgning at arbejde helhedsorienteret med cyber- og it-sikkerhed. Det er derfor positivt, at PwC’s Cybercrime Survey 2022 viser, at området har en stadigt højere prioritet i virksomhederne. 59 % af CXO’er og it-fagfolk forventer således, at deres virksomheds cyber- og informationssikkerhedsbudget vil vokse inden for de næste 12 måneder. Dette er en fortsættelse af de senere års tendens med øgede investeringer i cybersikkerhed, hvilket også er et nødvendigt skridt for at imødegå de mange risici, som virksomhederne står over for.

CXO’er og it-fagfolk er i dag mere bekymrede for cyberangreb end for blot et år siden. Et stort flertal af disse peger på konflikten med Rusland som årsag til den stigende bekymring.

Mads Nørgaard MadsenPartner, Technology & Security
Hvordan bør virksomhederne forholde sig?

Ruslands invasion af Ukraine har skabt et forandret aktuelt trusselsbillede i Vesten, og Center for Cybersikkerhed har som følge af krigen hævet trusselsniveauet for cyberaktivisme. Truslen fra organiserede kriminelle betragtes dog fortsat som den største blandt danske virksomheder, hvor 74 % udpeger disse aktører som de største trusler.1

Trusselsbilledet kan dog hurtigt ændre sig i takt med en stigende uro og usikkerhed i verden, og virksomheder og offentlige organisationer bør derfor løbende holde øje med nye risici og ruste sig bedst muligt mod cyberangreb. 

Ledelsens håndtering af Cyber Risk og cyberangreb er afgørende i en krisetid, og på de følgende sider får du gode råd og inspiration til, hvilke ledelsesmæssige initiativer man kan igangsætte for at højne cybersikkerheden.

 

 

Kend dine vigtigste aktiver

For at kunne etablere en fornuftig cybersikkerhed må man nødvendigvis vide, hvad man skal beskytte. Når man tager kompleksiteten af sin virksomhed i betragtning, herunder det økosystem som virksomheden indgår i, bliver det hurtigt klart, at det ikke er muligt at beskytte alle dele af forretningen på samme niveau.

Et af de væsentlige spørgsmål, man kan stille sig selv, når det drejer sig om cybersikkerhed er derfor: “Hvad er det allervigtigste for os at beskytte – hvad er virksomhedens mest værdiskabende aktiver?”. Kender man ikke de vigtigste aktiver, kan man ikke realistisk prioritere sikkerhedsindsatsen mest hensigtsmæssigt, og virksomheden udsættes for en potentiel og unødig trussel mod virksomhedens eksistens, eller man investerer i sikkerhedsinitiativer, der ikke giver det ønskede udbytte.

En ofte anvendt tilgang er at fokusere på den værdiskabelse, der ligger i forretningen – altså hvordan forretningen skaber værdi. Fra det udgangspunkt kan man afgøre, hvilke kritiske processer i virksomheden, der er nødvendige og dernæst, hvilke data og it-systemer, der er nødvendige for at skabe den pågældende værdi. Og til sidst fokusere på den grundlæggende it-infrastruktur.

På den måde bliver det mere tydeligt, hvordan sikkerhedstiltag kan målrettes de områder af virksomheden, hvor konsekvenserne i tilfælde af cyberangreb kan være signifikante (eller decideret katastrofale – som flere danske virksomheder over de seneste par år har erfaret).

PwC anbefaler generelt, at virksomhederne med udgangspunkt i ovenstående indsigt i aktiverne etablerer et sikkerhedsprogram, med henblik på at løfte sikkerheden struktureret på baggrund af en vurdering af det nuværende sikkerhedsniveau.

Få styr på teknologien

Karakteren af virksomhedens teknologiske infrastruktur og setup er en afgørende faktor for virksomhedens cyber-sikkerhedsniveau. Cyberkriminelle udnytter sårbarheder i virksomheders systemer og infrastruktur, og derfor er det afgørende, at ledelsen foretager teknologivalg, der beskytter virksomheden optimalt mod cyberkriminalitet.

Det er vigtigt at understrege, at cybersikkerhed ikke kun handler om virksomhedens software og hardware, men ikke desto mindre er netop det teknologiske forsvar en helt afgørende faktor for cybersikkerheden. De teknologiske valg, man foretager i virksomheden, er afgørende for, hvordan virksomheden er rustet mod cyberhændelser og konsekvenserne heraf.

Målet er at kende svaret på, hvad der kendetegner det nuværende teknologiske setup, og hvilke teknologiske valg, der er taget hidtil. På den baggrund skal virksomheden finde ud af, hvilke valg der fremadrettet skal tages for bedst muligt at beskytte de kritiske aktiver, der er blevet identificeret.

Her skal det bl.a. afgøres, hvad og om der skal outsources, og hvad virksomheden selv skal drive. Dernæst skal virksomheden skabe overblik over, om teknologivalgene beskytter forretningen tilstrækkeligt.

Disse svar og løsninger skal findes i tæt samarbejde med virksomhedens it-ansvarlige og evt. it-servicepartnere i tilfælde af, at man har outsourcet.

Teknologivalget er vigtigt

Der er en række konkrete teknologivalg, der skal tages i forhold til at beskytte virksomhedens aktiver mod cybertruslen. Det drejer sig bl.a. om, hvordan brugernes pc’ere er beskyttet, om infrastruktur- og netværkssikkerhed, bruger- og identitetsstyring, ligesom det drejer sig om systemer til logning, til at opdage potentielle angreb og til at forebygge ubudne gæsters indtrængen:

End-point sikkerhed: 

  • Hvor meget skal den enkelte brugers enheder sikres? Fx hvorvidt brugeren skal have tilladelse som lokal-administrator på sin pc eller ej. 

  • Skal brugerens pc krypteres, så data ikke kan tilgås, hvis den bliver stjålet? 

  • Skal pc’en udstyres med særlig sikkerhedssoftware, som kan detektere hændelser og bruges til at isolere pc’en, hvis der er tegn på uautoriserede aktiviteter?

Intrusion Detection System og Intrusion Prevention System: 

  • Systemer der ud fra en række opsatte regler kan opdage eller blokere for en hændelse.

 

Netværkssikkerhed: 

  • Hvilke sikkerhedsmekanismer kan bygges ind i netværket? 

  • I hvor høj grad skal netværket segmenteres, så ondsindet kode ikke så let spredes over nettet? 

  • Skal Zero Trust overvejes som grundlæggende filosofi, så kritiske aktiver “håndhæver deres egne sikkerhedszoner”? 

  • Skal vi have network access control, så vi har mere styr på, hvilke enheder der kobler sig til vores netværk?  

Log management: 

  • I hvor høj grad skal vi overvåge og logge, hvad der sker på vores netværk og på vores centrale applikationer? 

  • Hvilke aktiviteter skal logges? 

  • Skal vi behandle vores logs intelligent gennem et SIEM (Security Incident & Event Management) system, så vi kan få alarmer, når en given handling forekommer?

Klare fordele ved outsourcing, men vær kritisk

Et af de centrale spørgsmål er, om I bør outsource hele eller dele af it-driften, og dermed det teknologiske forsvar, og hvordan man sikrer sig, at det gøres rigtigt. Der kan være klare fordele ved at outsource driften af it-systemer og dermed også dele af sikkerheden til en ekstern leverandør, der har det som sin kerneforretning at drive it og dermed bør have bedre forudsætninger for at beskytte virksomheders kritiske data.

Selvom man kan outsource sine it-systemer, kan man ikke outsource ansvaret. Derfor må man være grundig i forarbejdet, så man sikrer, at ens systemer og data er tilstrækkeligt beskyttet, og at helt specifikke sikkerhedskrav stilles til leverandøren.

Mange virksomheder har allerede outsourcet deres it-systemer, men sikkerhedsniveauet er ikke statisk, og selvom leverandørerne tilpasser deres ydelser og produkter, er der løbende et behov for at sikre, at aftalen også matcher virksomhedens behov og risici.

Håndtering af brugere og adgange

Access Management – også kaldet bruger- og adgangsstyring – er et at de mest grundlæggende elementer, når det kommer til at beskytte virksomheden mod cyber- og informationssikkerhedshændelser.

Det er vigtigt for virksomheden, at de rette medarbejdere har adgang til de rette data og systemer. På samme måde er det i et sikkerhedsperspektiv afgørende, at det kun er de personer, der skal have adgang, som får tildelt adgang – baseret på et arbejdsbetinget behov. Jo flere brugere, man har, og jo bredere adgange man har til systemer og data, des større er sandsynligheden for kompromittering af it-sikkerheden. Derfor er det vigtigt at begrænse både, hvem der har adgang til systemerne, og hvad de har adgang til. Styring af adgangen til persondata er ligeledes et lovkrav i henhold til GDPR.

Cyberkriminelle har særligt gode betingelser for at gøre skade på virksomheden, hvis virksomhedens brugere har for brede adgange. Hvis en ekstern angriber kan kompromittere en brugers computer, evt. gennem en phishingmail, så kan angriberen tilgå samme (brede) adgange som brugeren, hvis der ikke er andre beskyttelsesforanstaltninger på plads. 

Det er blot et par af årsagerne til at kigge processerne omkring adgang til virksomhedens systemer igennem. De rette processer indebærer, at man kun tildeler rettigheder til brugere ud fra et arbejdsbetinget behov. I arbejdet med at få styr på bruger- og adgangsstyring, er det oplagt at fokusere på tiltrædelser, ændringer og fratrædelser, som illustreret i figuren.

Og helt særlige forhold gør sig gældende i forhold til håndteringen af privilegerede brugere, som grundet de udvidede rettigheder bør underlægges særlige mekanismer i forhold til adgang, eksempelvis via brug af et Privileged Access Management system.

Beredskabsplanlægning

En af de væsentligste forudsætninger for at en virksomhed kan minimere konsekvenserne af et cyberangreb og hurtigt være tilbage til normal drift igen er at være godt forberedt og have styr på egne data og systemer – samt at have etableret processer til hændelseshåndtering, beredskab og krisestyring.

I dag er det ikke længere et spørgsmål, om man bliver ramt af en hændelse, men nærmere hvornår det sker. Ved at forberede sig grundigt på det uundgåelige, opbygger man en større modstandsdygtighed og minimerer forretningskonsekvenserne ved en hændelse, og man får en bedre evne til at rejse sig hurtigt derefter. Det handler dermed om at sikre indtægter og reducere udgifter i tilfælde af, at man bliver ramt af et cyberangreb.

Beredskabet skal sikre fortsat produktivitet og drift og en hurtig tilbagevenden til normalen. Derudover handler beredskabsplanlægning også om at kunne sikre virksomhedens omdømme og relationer til kunder, leverandører og samarbejdspartnere.

Beredskabsplaner skal med andre ord give virksomheden et stærkere beslutningsgrundlag og deraf færre negative konsekvenser ved et cyberangreb.

Grundlæggende drejer det sig om at være i stand til at opdage hændelser tidligt og have en evne til at komme ‘på benene igen’ hurtigst muligt bagefter. En forudsætning er bl.a., at virksomheden er klar over, at den er ramt af en hændelse og er blevet kompromitteret. Det kan de rette teknologivalg samt en god sikkerhedskultur være med til at understøtte.

Når hændelsen er indtruffet, bør beredskabet bestå af:
  • En proces for hændelseshåndtering (incident management)

  • Et it-beredskab, der skal sikre, at it-systemer kan genetableres, når de er blevet kompromitteret (Disaster Recovery Plan)

  • krisehåndtering (Crisis Management), der kan understøtte de nødvendige beslutninger, sikre kommunikation, håndtering af medarbejdere og kunder, når hændelsen har en karakter og omfang, der udgør en krise for virksomheden

  • forretningsnødplaner (Business Continuity Plan), der beskriver hvordan og i hvilken grad den enkelte forretningsproces kan videreføres i det tidsrum, de primære understøttende it-systemer er utilgængelige, evt. på grund af en kompromittering.

Et centralt element i enhver beredskabsplanlægning er øvelse. Det er vigtigt, at virksomheden ikke blot får udarbejdet planen, men at organisationen øver sig i at håndtere tænkte hændelser, så rolleejere bliver fortrolige med deres rolle i en given situation. Øvelser kan dække alt fra skrivebordsøvelser over scenariebaserede øvelser til virkelighedsnære øvelser, hvor man også tester de tekniske muligheder for genetablering. Fælles for dem alle er, at man under øvelsen identificerer svagheder og forbedringsmuligheder og agerer på disse.

PwC anbefaler generelt, at virksomhederne starter overvejelserne om beredskab med at forankre denne proces hos ledelsen og forretningen, eksempelvis via fælles workshops hvor muligheder og trusler drøftes med henblik på at kunne fastlægge scope og ambitioner på et fælles udgangspunkt.

Skab en sikkerhedskultur

Den menneskelige faktor er helt afgørende i forhold til at sikre virksomheden mod cyberangreb. Cyberkriminelle er eksperter i at finde metoder, der narrer medarbejdere til at åbne døren til virksomhedens systemer, og derfor handler det for ledelsen om at styrke cybersikkerhedskulturen i organisationen. Hvor medarbejderne uvidende kan udgøre den største risiko for virksomheden, så kan bevidste medarbejdere være med til at løfte sikkerhedsniveauet betragteligt.

Strategier og planer er væsentlige for cybersikkerheden, men følges de ikke op af korrekt adfærd hos medarbejdere, er man lige vidt. Den høje vækst i phishingmails, malware og ransomware, der er rettet mod medarbejdere på alle niveauer, stiller ikke bare store krav til virksomhedens tekniske sikkerhedsforanstaltninger, men også til den digitale adfærd i virksomheden.

Netop medarbejdere og deres adfærd er formentlig den største risikofaktor i forhold til cybersikkerhed. For hackere er det nemmere at få adgang til virksomhedens systemer via (dårlige) it-vaner. Derfor er det afgørende at skabe awareness og forankre en sikkerhedskultur i organisationen.

Tilløb til en sikkerhedspolitik 

Arbejdet med awareness kan bl.a. ske gennem opstilling af best practice-kriterier, udarbejdelse af medarbejderinddragende aktiviteter og videndeling fra den løbende overvågning af cybertruslen. Grundlaget for en cybersikker adfærd er, at der er defineret en sikkerhedspolitik for, hvad man må og ikke må, og hvordan man i konkrete situationer skal opføre sig. Denne bør være så konkret som mulig og bl.a. indeholde politikker for acceptabel adfærd og eksempler på “best practice”. 

Awareness i organisationen 

Arbejdet med at etablere og fastholde en sikkerhedskultur i virksomheden er en fortløbende proces. Derfor er løbende kommunikationskampagner, uddannelse, test og evaluering nøgleord, når det kommer til at skabe opmærksomhed og viden om cybersikkerhed og sikker it-adfærd.

Afsluttende bemærkninger

Indholdet i de foregående afsnit er mere uddybende beskrevet i hhv.

  • PwC Cybercrime Survey 2022

  • CFO’ens Cyberguide

Se tilhørende webcast

I denne webcast får du indblik i, hvad din virksomhed bør have særligt fokus på for at styrke risikostyringen samt sikre jer mod cybertrusler og besvigelsesrisici. Du bliver klædt på til, hvordan ledelsen kan forbedre risikostyring, herunder besvigelser, i krisetider, den stigende cybertrussel og får gode råd til, hvordan I kan etablere et effektivt beredskab.

Playback of this video is not currently available

53:01

Indlægsholdere: Frank Nørring, Trine Hopkins, Peter Brock Madsen, Anders Veldt Søborg, PwC

{{filterContent.facetedTitle}}

Contact us

Anders Veldt Søborg

Partner, Risk & Compliance, Intern Revision, PwC Denmark

Tel: 4145 0830

Trine Vestengen Hopkins

Partner, Assurance, PwC Denmark

Tel: 5215 0003

Peter Brock Madsen

Partner, Advisory, PwC Denmark

Tel: 3945 3588

Frank Svendsen Nørring

Partner, PwC Denmark

Tel: 5124 1058

Følg PwC