Det er ikke en triviel øvelse at definere en risikotolerance.
Skal vi ikke lige aftale at vi ser bort fra et 5×5 heatmap med røde, gule og grønne risici. Det er selvfølgeligt superenkelt at der ikke må være nogen gule og røde. Men disse kvalitative modeller introducerer for meget usikkerhed og bias. Det er et emne for sig, som vi har skrevet en del om tidligere.
Bestyrelse skal med en godt defineret risikotolerance afgive en operationel retning. Optimalt afgiver bestyrelsen en villighed til at absorbere tab udtrykt i kroner med en given sandsynlighed udtrykt i % per år. Men at komme frem til enighed om det er svært. Det kræver en del indflyvning. En indflyvning som en pakket dagsorden på bestyrelsesmødet ikke altid tillader.
Vi foreslår at man afgiver sin risikotolerance i 3 valg som medvirker til at definere – hvor meget tab er vi egentlig villige til at tage. Vi har arbejdet med området og er i øjeblikket ved at afprøve konceptet med en række bestyrelser, som vi præsenterer risikovurderinger for. Resultaterne indtil videre er gode.
De tre valg vi foreslår er:
– Målsætning for it-sikkerheden beskrevet prosaisk
– Rapporteringsgrænser til bestyrelsen for enkelthændelser
– Villighed til at absorbere tab
Ved at operationalisere risikotolerance gennem disse tre valg sikres det, at bestyrelsen kan tage informerede beslutninger og proaktivt styre virksomhedens risikolandskab.
Vi har udarbejdet en vedlagt skabelon til brug for bestyrelser, der ønsker at operationalisere deres risikotolerance på en struktureret og kvantificerbar måde.