Kjemper faller - i mangel av risikostyring?

Transkript

1 Denne temaavisen er en annonse fra mediaplanet risk management BeredsKaP risikostyring KriseHåndtering etterlevelse 2. UTGAVE - NOVEMBER 2008 KARTLEGGING AV RISIKO: DET SVAKE LEDDET: Hvilken risiko er relevant for at din bedrift skal etterleve målene? Mennesker, ikke maskiner, Raske tiltak kan forbegår sikkerhetsbrudd hindre ytterlige skade Les mer side 6 Medarbeiderskap handler om å ha ansvarlige, moralske, dedikerte medarbeidere som fortløpende vurderer hva som kan gå galt. TA GREP TIDLIG: Les mer side 14 Nå på nett: O N L I N E Les mer side 18 Lovendring plasserer ansvaret for risikohåndtering hos styrene: Formålet med tilstrammingen, slik vi ser det, er at styret blir mer fokusert på den risikoen som de aktivt velger at selskapet skal ta, sier Jarle Strand, direktør i PricewaterhouseCoopers. Her med Ingebjørg Hatlo, avdelingsdirektør for næringsjuss i NHO. håvard thevik if forsikring Les mer side 7 InformasjonsVEDLIKEHOLD: sikkerhet: Risikovilje har blitt en trend Les mer side 12 Er risiko en nødvendighet? å ta risiko åpner for nye muligheter - en nødvendig del av forretningsdriften. Fokus på Entusiastisk risikostyring detaljist Les mer side LesLes mermer sideside foto: baard marius barstein ANNONSE ANNONSE RISIKOSTYRING, HMS-LEDELSE, SAMFUNNSSIKKERHET OG PROSJEKTLEDELSE Proactima er et konsulentselskap, eid av de ansatte, med kontorer i Stavanger og Oslo. Nå trenger vi enda flere dyktige fagpersoner. Se stillingsannonsene på

2 2 Oktober 2008 Vår nye onlineportal Utfordringer Bruk av risikostyring som arbeidsmetode gir handlingsrom, konkuransedyktighet og langsiktig lønnsomhet. We succeed if you succeed Kjemper faller - i mangel av risikostyring? En global finanskrise har ankommet ut av ingenting de siste ukene. Nyhetsbildet beskriver nasjonaløkonomiske fenomener og konsekvenser ingen hadde klart å identifisere. Usikkerheten er nesten total. Etterpåklokskapens klare lys er iferd med å tennes, og statsledere forsikrer allerede at dette skal få konsekvenser. Vi hjelper våre lesere til å lykkes RISK MANAGEMENT 2. utgave november 2008 Adm. dir: Ståle Husby Redaksjonssjef: Petter T. Stocke-Nicolaisen Vi forventer at dette betyr krav til metoder og verktøy for bedre styring av usikkerheter. Vi snakker selvfølgelig om risikostyring helst som del av overblikkende helhetlig styring, eller Corporate Governance, på internasjonalt nivå. Uten at vi behersker internasjonal økonomi som fag, observerer vi slående likhetstrekk med de mekanismer som inngår i den styringen vi utøver i næringslivet til daglig. Og det er sjelden vi får servert mangel på risikostyring i det omfang og på det nivå vi får innblikk i disse dager. styre denne? Er dette også et trekk ved tidens internasjonale finanskrise? Risikostyring gir handlingsrom Risikostyring er sentralt i utøvelse av Corporate Governance. Bruk av risikostyring som arbeidsmetode gir handlingsrom, konkuransedyktighet og langsiktig lønnsomhet. Salgssjef: Thomas Berge Produksjonssjef: Bjarne S. Brokke Design: Erlend Lans Pedersen Prosjektleder for utgivelsen: Andreas Rein Telefon: e-post: Risikostyring som metode gir ingen automatiske resultater. Mangel på helhetlighet virksomhetsstyringstyring medfører at risikostyringen ikke kan utnyttes fullt ut. Enkelte organisasjoner kan være så problemorienterte at de hverken identifiserer eller sikrer de mulighetene som byr seg. Utvikling innebærer risiko Risikostyring inkluderer å sikre gevinster. Dette innebærer at vi forholder oss til risiko. All utvikling og alle endringer innebærer risiko. Mange bransjer har lang tradisjon for å styre risiko. Det er snart 40 år siden mennesker vandret på månen. Og norsk næringsliv er pionerer på avanserte og kompliserte undervannsinstallasjoner for oljeutvinning på store havdyp, som Ormen Lange. Dette er ikke mulig uten helhetlig styring og omfattende bruk av risikostyring i alle ledd av utvikling og gjennomføring. Men risikostyring som metode gir ingen automatiske resultater. Mangel på helhetlighet virksomhetsstyring medfører at risikostyringen ikke kan utnyttes fullt ut. Enkelte organisasjoner kan være så problemorienterte at de hverken identifiserer eller sikrer de mulighetene som byr seg. Mangel på kompetanse åpner for at kvaliteten i risikostyringen er for lav. Dvs. risikostyring kun blir et cover up og løser ikke utfordringene. Tar mange risiko uten å forsøke å torolf Paulshus Daglig leder i Norsk Forening for Kvalitet og Risikostyring Distribuert med Dagens Næringsliv, november 2008 Trykk: Dagblad-Trykk Mediaplanet er Europas fremste leverandør av temaaviser i dags- og næringspresse. Vi produserer både forbruker- og forretningsaviser. Telefon: Faks: e-post: info.no@mediaplanet.com Vil du vise hva du er god for? Sjekk karriéremulighetene i Norges mest innovative mediehus. PATENT VAREMERKE DESIGN Bryn Aarflot AS Kongens gate 15, 0153 Oslo Tlf: Faks: mailto@baa.no Stol på dine idéer og oss Vi tilbyr teknisk og juridisk bistand på alle nivåer i saker som angår patent, varemerke, design, opphavsrett, domenenavn, markedsføringsrett og illojal konkurranse. Vår stab omfatter patentingeniører innenfor alle tekniske fagområder samt advokater med immaterialrett som spesialfelt.

3 Oktober 2008 ANNONSE Denne temaavisen er en annonse fra mediaplanet 3 ANNONSE Risikostyring sett fra styrets rolle Gjennom nye reguleringer (se faktaboks), presiseres styrets rolle i forhold til risikostyring. En rekke selskaper er nå i ferd med å endre sin praksis. Vi anser det som sentralt å velge en tilnærming som videreutvikler styringen i virksomheten. Risikostyring som en ren regeltilpasning viser seg sjelden å tilføre verdi. En rammeregulering Gjennom EUs direktiver, er vi nå i ferd med å få ny lovgivning knyttet til risikostyring og internkontroll. Vi skal være fornøyde med at EU har valgt en rammelovgivning, i motsetning til de detaljerte reguleringene i det amerikanske SOX-regimet, sier Ragnar Torland, partner i KPMG. Dette vil gjøre det mulig for selskapene å finne et ambisjonsnivå og en tilpasning som er riktig for det enkelte selskap, uten at kvaliteten forringes. Dog presiserer Thore Kleppen, partner i KPMG, at det vil finnes et minimumsnivå som selskapene må tilpasse seg. Reguleringen skal styrke virksomhetsstyringen uten å skape unødvendig byråkrati, understreker Kleppen. Vi er nå i ferd med å legge tidenes oppgangstid bak oss. I denne perioden har gjerne dårlige beslutninger og feil i den finansielle rapporteringen blitt kamuflert av generelt gode resultater. Tiden da alt gikk bra til tross for feil og mangler, er definitivt over for denne gang, sier Torland. Presset på ledelsen for å ønske å skjule dårlige resultater er også stigende. Finansiell rapportering Kvaliteten i den finansielle rapporteringen har i for lang tid vært overlatt til økonomidirektøren alene, ifølge Kleppen. Styret har i begrenset grad involvert seg i hvilke områder det er viktig med internkontroll og hovedelementene i hva dette skal være. Et godt kontrollsystem inkluderer helhetlige løsninger fra overordnet organisering og policyer ned til ulike kontroller. Vi erfarer at mange virksomheter har behov for å sette dette i et klarere system, både for å sikre regnskapskvaliteten og for at styret skal kunne ivareta sin rolle. Samtidig ser vi også at styrene generelt bør være mer aktive i forhold til regnskapsprinsipper og vurderingsposter i regnskapene. Raske endringer i risikobildet gjør at styret bør øke kravet til informasjon fra selskapsledelsen på hvilke usikkerhetsposter som finnes, hva usikkerheten går ut på og hvor stor den er. Et aktuelt eksempel er de muligheter finansforetak nå har fått for å reklassifisere porteføljer. Dette kan justere resultatet for en storbank med milliardbeløp, sier Kleppen. Det er klart at et styre må ha et meget aktivt forhold til hvordan ledelsen ønsker å utøve denne type vurderinger. Risikostyring Når vi diskuterer risikostyring med våre kunder, opplever vi at de er usikre i forhold til hva dette innebærer. Samtidig har virksomhetene allerede en etablert styringsmodell. Dette vil være det sentrale utgangspunktet for risikostyring, sier Torland. Risikostyring handler om å bruke teknikker for å sikre at virksomhetene oppnår sine målsettinger. Samtidig skal de unngå hendelser som kan skade virksomheten. Vi ønsker i den sammenheng å ta tak i det beste i den eksisterende styringen. Vårt konsept er å forsterke dagens praksis med prinsipper og teknikker fra risikostyring. En viktig del av risikostyringen er at virksomhetene også tar vare på sitt omdømme. Vi ser gjentatte eksempler på hvor skadelig det kan være for virksomheten å feile her. Styrets rolle Styrets rolle inkluderer ansvaret for at virksomheten etablerer god kontroll. Vi kan hjelpe virksomhetene med dette. Alle gjør noe riktig, smiler Torland. Det handler om å systematisere slik at styret og ledelsen får et helhetlig system som løpende holder dem oppdatert på risiko og kvaliteten i den finansielle rapporteringen. Samtidig erfarer vi at dette gjør selskapene dyktigere. Oversikt over reguleringer knyttet til risikostyring og internkontroll NUES anbefaling: Norsk corporate governance standard. Styret bør årlig foreta en gjennomgang av selskapets viktigste risikoområder og den interne kontrollen. Årsrapporten bør inneholde en beskrivelse av hovedelementene i kontrollen knyttet til finansiell rapportering. Revisjonsutvalg: Et arbeidsutvalg av styrets medlemmer med spesielt ansvar for finansiell rapportering, risikostyring og internkontroll. Dette er anbefalt av NUES og pålagt iht. EUs direktiv, som forventes implementert i Norge i løpet av Regnskapslovens 3.3a krever at årsberetningen minst skal omfatte en beskrivelse av de mest sentrale risikoer og usikkerhetsfaktorer som selskapet står overfor. Bestemmelsene gjelder først og fremst børsnoterte selskaper og finansforetak, og kan ikke fravikes uten at dette begrunnes i styrets årsrapport. Dog gjelder regnskapslovens 3.3a for alle foretak som ikke klassifiseres som små foretak. Vi erfarer at en rekke virksomheter som ikke omfattes direkte av reguleringene ønsker å tilpasse seg disse. KPMG - et kompetansehus KPMG er et ledende kompetansehus. Våre revisorer og rådgivere skaper verdi av kunnskap gjennom sin spisskompetanse, tverrfaglighet og bransjekunnskap, samt ved å tilby effektive løsninger. Vårt arbeid skal bidra til et godt beslutningsgrunnlag for våre kunder. Vårt aktive og personlige engasjement i våre kunders hverdag, er grunnlaget for de verdier vi skaper sammen. KPMG Advisory bistår sine kunder med å finne den riktige balansen mellom styring, forretningsmessig effektivitet og kontroll, og tar sikte på å bli ledende innen investeringer, oppkjøp, salg, verdivurderinger og restruktureringer, internrevisjon, eierstyring, granskning, samt innenfor tradisjonell management consulting innen omstilling, økonomi, logistikk, innkjøp, IT-revisjon og IT-rådgivning. Kontakt oss: KPMG AS, Sørkedalsveien 6, Postboks 7000 Majorstuen, 0306 Oslo Ragnar Torland (t.v.), partner, leder Internal Audit Services Telefon: ragnar.torland@kpmg.no Thore Kleppen(t.h.), partner, statsautorisert revisor Telefon: thore.kleppen@kpmg.no

4 4 Oktober 2008 Risiko: En nødvendighet? Innenfor all virksomhet, vil det alltid finnes risiko. For mange betyr dette å fokusere på negative hendelser og å legge planer for et i verste fall -scenario. Det er utvilsomt viktig å forberede seg på kriser og øve på krisehåndtering. Det er også viktig å få med seg at risiko i mange tilfeller er en nødvendig del av forretningsdrift, fordi det å ta risiko åpner for nye muligheter. tom amriati-løvås meg er Risk Management en integrert For del av management som sådan, sier professor ved Handelshøyskolen BI, Fleming Ruud. For så vidt kan man gjerne ha en egen avdeling som kommer med informasjon, analyser, modeller og teknikker. Men jeg vil advare mot å tro at man kan ha noen som sitter på sidelinjen og håndterer risiko og eventuelle kriser, slik at ledelsen kan bedrive sine daglige rutiner ved siden av. Risikohåndtering er, og forblir, en integrert del av det å lede, understreker han. Jeg vil også passe på å si at norske bedrifter kanskje har en urealistisk holdning til egne evner når det gjelder risikostyring, spesielt når vi beveger oss ut i verden, sier han. Risiko er en del av hverdagen, så derfor er risikostyring absolutt Først og fremst må man identifisere potensielle hendelser. Ut fra dette materialet kan man lage strategier for å håndtere forskjellige kriser. Legg merke til at noen kriser kan man gjøre noe med, mens andre kan man bare minske konsekvensene av professor flemming ruud handelshøyskolen bi nødvendig, understreker han. Det er flere grunnleggende momenter som må på plass når det gjelder risikohåndtering, sier Ruud. Først og fremst må man identifisere potensielle hendelser. Ut fra dette materialet kan man lage strategier for å håndtere forskjellige kriser, forklarer han: Legg merke til at noen kriser kan man gjøre noe med, mens andre kan man bare minske konsekvensene av. Realistisk planlegging Det er også viktig å planlegge ut fra hva som er realistisk å oppnå, poengterer Ruud. Her kommer jeg tilbake til dette med ledelse og forankret risikostyring. Risiko er i mange tilfeller en nødvendighet. Ta for eksempel risiko knyttet til finansielle disposisjoner. Her vil det være en beslutning fra ledelsen som avgjør hvor stor risiko man er villig til å ta, i forhold til den gevinsten man faktisk kan oppnå. Det jeg prøver å få frem er at der det er en risiko, er det også en mulighet som åpner seg, alt etter hvilken posisjon du har og hvordan du har forberedt deg, sier han. Et annet moment når det gjelder risikostyring, er evnen til knytte til seg riktig kompetanse. Dette er viktig uansett, men spesielt når vi snakker om risikohåndtering, påpeker Ruud. For å oppsummere, vil risikostyring generelt være en balansegang mellom risiko og muligheter og evnen til å møte de krisene som kan dukke opp, avslutter Ruud. Å Sikkerhet må forankres i ledelsen, og så gjennom kontinuerlige kurs og påminnelser innføres i hele virksomheten. De reglene som innføres, må være logiske for brukerne. Hvis ikke risikerer man neglisjering og forsøk på omgåelser. Jon arild johansen sikkerhetssjef i intrapoint Sikker som banken! I all risikohåndtering kommer momentet med tyveri inn som et viktig punkt. Likevel er det store forskjeller på hvordan bedrifter sikrer seg rent fysisk. sikkerhet er en viktig del av hele sikkerhetsområdet, sier Fysisk sikkerhetssjef i IntraPoint, Jon Arild Johansen. Dessverre ser vi også at fysisk Det er utvilsomt viktig å forberede seg på kriser og øve på krisehåndtering. Det er også viktig å få muligheter. For meg er Risk Management en integrert del av management som sådan, sier prof sikring ikke blir vektlagt i like stor grad som for eksempel informasjonssikkerhet. Dette er litt underlig når vi vet at i 70 prosent av alle uønskede hendelser vedrørende informasjonssikkerhet, er fysisk sikkerhet innblandet i hendelsen, påpeker han. For eksempel kan det dreie seg om en bærbar PC som er for dårlig sikret rent fysisk, eller minnepinner, mobiltelefoner eller andre lagringsmedier. Disse gjenstandene kan forsvinne etter innbrudd i bedriften eller tyveri fra andre steder, slik som bilen eller hjemmekontoret. Derfor er den fysiske sikringen, SIKKERHETSLEDELSE - en dynamisk rustning Hvis du søker på ordet fraud (svindel for å oppnå personlig vinning) på Google, får du 136 millioner treff og en henvisning til at dette er en kriminell handling. Søker du på ordet Crime (lovbrudd som er straffe betinget), får du 344 millioner treff. Sikkerhet i forhold til tilfeldige hendelser Hva har du gjort og hva gjør du, som leder, for å redusere denne sannsynligheten for din virksomhet? Hvis det til tross for dette oppstår en brann, en arbeidsulykke, et ras eller lynnedslag, hva har du gjort og hva gjør du, som leder, for å sikre at konsekvensene blir minimale? Sikkerhet i forhold til planlagte hendelser Utro tjenere finnes internt i en virksomhet og de finnes i omgivelsene. Hva har du gjort og hva gjør du, som leder, for å sikre at de ikke vil prøve seg i eller på din organisasjon? Hva har du gjort og hva gjør du, som leder, for sikre at du finner de som eventuelt forsøker? SERTIFISERT SIKKERHETSLEDER Norsk Sikkerhetsforening sertifiserer sikkerhetsledere. Handelshøyskolen BIs program for Sikkerhetsledelse er utviklet i samarbeid med foreningen og det gir den formelle kompetansen som er nødvendig for å bli sertifisert. Kurset gir 30 studiepoeng som kan inngå i graden Bachelor of Management. Programmet gjennomføres ved BI Stavanger. Oppstart Uke 8, mandag 16. februar 2009 For informasjon og påmelding kontakt Handelshøyskolen BI edvin.tysse@bi.no telefon: trude.meling@bi.no telefon: TYNGDEN DU TRENGER

5 Oktober 2008 Denne temaavisen er en annonse fra mediaplanet 5 foto:peeterv/istock For virksomheter med internasjonal aktivitet, kan møtet med fremmede kulturer være en utfordring i seg selv. Beredskap er å være forberedt For å oppnå dette, er man avhengig av regelmessig trening og øving på realistiske scenarioer. For virksomheter med internasjonal aktivitet, kan møtet med fremmede kulturer være en utfordring i seg selv. Derfor er det viktig å etablere gode systemer og planverk som enkelt kan iverksettes ved behov. med seg at risiko i mange tilfeller er en nødvendig del av forretningsdrift, fordi det å ta risiko åpner for nye essor ved Handelshøyskolen BI, Fleming Ruud. Jon Arild Johansen, sikkerhetssjef i IntraPoint. både under transport av informasjon og på lagringssteder, et svært viktig moment, understreker Johansen. Å sikre virksomheten fysisk, er en kontinuerlig prosess. Avhengig av sikkerhetsbehovet, bør enhver bedrift etablere sikkerhetssoner som sørger for tilstrekkelig trygghet. Her er det mange tiltak som er aktuelle. Først og fremst gjelder det å etablere en forståelse i hele organisasjonen for at sikkerhet er viktig. Det må ikke bli slik at sikkerhetsavdelingen eller sikkerhetsansvarlig må løpe rundt og leke politi, sier Johansen. Sikkerhet må forankres i ledelsen, og så gjennom kontinuerlige kurs og påminnelser innføres i hele virksomheten. De reglene som foto:alexi/istock innføres, må være logiske for brukerne. Hvis ikke risikerer man neglisjering og forsøk på omgåelser, sier han. Rent praktisk kan man innføre sikkerhetssoner med forskjellige nivåer. Et eksempel kan være datarom med høyeste sikkerhetsgrad. Koder skal byttes hyppig, og adgangskontrollen skal være streng. I den andre enden av skalaen finner vi fellesrom, kantiner og resepsjon. Her er det kanskje tilstrekkelig med et enkelt adgangskort. Det viktigste er at sikkerheten ivaretas på en smidig og fornuftig måte, avslutter han. Å tom amriati-løvås Vi kan ta et relevant scenario der en bedrift har etablert seg i Øst-Afrika, sier Hans Eide, daglig leder i Bestia Risk Consulting. I dette eksempelet har en medarbeider fra Norge blitt meldt savnet fra det lokale kontoret. Det har ikke kommet opplysninger om at noe kriminelt har tilstøtt vedkommende, sier han. Det viktige i en slik situasjon er at man på forhånd har gjort seg godt kjent med de lokale og regionale forhold. På den måten vil man raskere kunne sannsynliggjøre hva som har skjedd, og dermed sette inn riktige ressurser på riktig sted. Beredskapsplaner må dekke sannsynlige senarioer, basert på helhetlige risikovurderinger. Det er blant annet naturlig at disse inneholder varslingsrutiner, som innbefatter varsling av lokale myndigheter, ambassade, politi, ledelse og pårørende, sier Eide. Viser det seg at dette dreier seg om en kidnapping, vil man naturlig eskalere krisehåndteringen. Tredjelinjen (hovedkontor) vil da i enda større grad fokusere på ressurstilgang, mediehåndtering, myndighetskontakt og ivaretakelse av pårørende, sier han. En organisasjon som har identifisert potensielle trusler, har et godt etablert og øvet planverk og på forhånd etablert aktuelle kommunikasjonskanaler, vil være godt rustet for å møte virkelige hendelser, understreker Eide. Å RISIKOSTYRING, HMS-LEDELSE, SAMFUNNSSIKKERHET OG PROSJEKTLEDELSE Proactima er en anerkjent leverandør av tjenester på fagområdene risikostyring, HMS-ledelse, samfunnssikkerhet og prosjektledelse. Selskapet er eid av de ansatte og har kontorer i Stavanger og Oslo. Vi er i dag et fagmiljø på 50 personer, alle med spesialistkompetanse innen minst ett av selskapets hovedområder. Integritet, kompetanse og balanse er våre kjerne verdier. Verdiene viser vei og forteller hvordan vi skal jobbe og gå frem for å nå våre mål. Nå trenger vi enda flere dyktige fagpersoner. Se stillingsannonsene på FOTO: CORBIS/SCANPIX

6 6 Oktober 2008 En av de største utfordringene i forhold til risiko er at det gjerne blir håndtert et stykke ned i organisasjonen, og ikke prioritert på ledelsesnivå. Og når varsellysene blinker, blir det ikke kommunisert sterkt nok oppover i organisasjonen. Manglende ledelsesforankring er problematisk, sier Ingvald Thuen, seniorpartner i Yamanu. fotocalion/istock Kartlegging og vekting av risiko tisert Hvilken risiko er relevant for at din virksomhet skal etterleve målene? lene søgaard gloslie Ingvald Thuen, seniorpartner i Yamanu. En av de største utfordringene i forhold til risiko er at det gjerne blir håndtert et stykke ned i organisasjonen, og ikke prioritert på ledelsesnivå. Og når varsellysene blinker, blir det ikke kommunisert sterkt nok oppover i organisasjonen. Manglende ledelsesforankring er problematisk, sier Ingvald Thuen, seniorpartner i Yamanu. Det er mye fint å finne om risiko på hjemmesidene, men hvordan det er rullet ut i organisasjonen og prak- i det virkelige liv, er en annen sak, noe finanskrisen skulle være et godt eksempel på. Hvis ikke ledelsen kjenner risikovurderingene, hvordan skal den kunne manøvrere i risikofylt farvann? Tenke helhetlig En helhetlig struktur for risikovurderinger må legges og opprettholdes av den som tar beslutninger. Ellers sitter man i tåkeheimen og lager gjetninger. På samme måte må tiltak ha en ledelsesforankring for å oppnå ønsket effekt. Når man har identifisert risikoene på ulike nivåer i organisasjonen, må denne informasjonen kommuniseres til risikoeier slik at helheten for virksomheten kan sees. Thuen har erfaring for at virksomheter er dårlige på å gjøre formaliserte risikovurderinger. Selv om risikovurdering er regulert i ulik typer regelverk, skjer mye ad hoc. Personopplysningsloven og IKT-forskriften til Kredittilsynet er begge tilrettelagt med enkle metoder for henholdsvis å kartlegge data man har i arkiv, og for å gjøre risikoanalyse på ulike datasystem, sier Thuen. God internkontroll skal sikre at risikovurderingene foretas. Dette er ikke alltid tilfelle. Grunnleggende feil Noe er feil med risikostyringen i bedrifter. Risikovurderinger handler om trygghet. Er bedriften sunn, eller blir vi lurt? I bankvesenet har det lyst rødt siden juni. Allikevel går det måneder før man går ut med denne informasjonen. Sårbarheten kan også være veldig stor, som da politiets varslingssystem stoppet opp grunnet brann i en kabel. Dersom liv hadde gått tapt, ville det ha rullet noen hoder. Generelt ser man at når det avdekkes potensielle problemer som krever investeringer, blir det ikke kommunisert opp på ledelsesnivå på riktig måte, avrunder Thuen. Å Helhetlig security- og beredskapsløsninger Bestia Risk Consulting AS leverer helhetlige security- og beredskaps-løsninger til norske aktører nasjonalt og internasjonalt Bestia Analyse gir kunden økt beslutningsgrunnlag for tiltak Bestia Security anbefaler tiltak som møter gjeldende og fremtidig trussel Bestia Crisis Management gir bedriften handlekraft ved kriser Bestia Kompetanse kurser, trener, øver og holder foredrag BERGEN: Acapo AS P.b Nordnes 5817 Bergen Tlf: Fax: Kartlegging av rettigheter Acapo AS tilbyr hjelp med kartlegging av immaterielle rettigheter i forbindelse med virksomhetsovertagelser og annet (IPR Due Diligence). Vi gir også råd om vern av industrielle rettigheter som varemerker, patent og design. Ta kontakt med oss for kartlegging av egne og andres rettigheter. OSLO: Acapo AS C.J. Hambrosplass 2C 0164 Oslo Tlf: Fax: TRONDHEIM: Acapo AS Pirsenteret, Havnegata Trondheim Tlf: Corporate Travel identifiseres i økende grad med potensiell risiko. Kontakt oss for vår Travel Security pakke. tel: E-post: mail@acapo.no - Web: VAREMERKE PATENT DESIGN JURIDISK

7 Oktober 2008 Denne temaavisen er en annonse fra mediaplanet 7 Hvor forberedt er du på krisen? Det er nødvendig å ha en ansatt som er ansvarlig for prosessen rundt risikostyringen. Fokus må holdes på hvilke risikoer som truer bunnlinjen, og hva man kan gjøre med det. håvard thevik if forsikring Det er mye å vinne på å bli forskånet fra en ulykke. Men en ulykke er sjelden uten årsak. lene søgaard gloslie handler om å ha Medarbeiderskap ansvarlige, moralske, dedikerte medarbeidere som fortløpende vurderer hva som kan gå galt. Som setter ned foten og sier stopp, dette gjør vi ikke. Skal dette være mulig, må man ha støtte fra ledelsen. Risikokultur viser at det er kostnadseffektivt å bruke humankapitalen til å tenke risiko, sier Håvard Thevik, leder av risk management tjenester Norge hos If Forsikring. Hva er god risikostyring? Virksomheter med velutviklede risikostyringsprosesser kjennetegnes av at de først og fremst forstår hva Håvard Thevik, If Forsikring. som kan gå galt, og hvilke farer de står overfor. Videre har de analysert hvilke de største risikoene er, utviklet kontrollmekanismer og sørget for kontinuerlig oppfølging av godheten av risikostyringssystemet. De som har dette på plass, opplever ifølge Thevik, minst skader og tap. Kontrollere risiko Skade på omdømmet, potensielt tap av markedsandeler, i tillegg til en del plunder og heft, kan være resultatet av manglende risikokontroll. Det er nødvendig å ha en ansatt som er ansvarlig for prosessen rundt risikostyringen. Fokus må Krisevær? En potensiell risikofaktor ligger i det faktum at en rekke virksomheter har gjort seg svært avhengige av sine leverandører. Just in time-prinsippets styrke ligger å levere fra bedrift til bedrift i verdikjeden, og unngå lagerhold. Dette gjør samtidig virksomheten sårbar for uhell hos leverandøren. holdes på hvilke risikoer som truer bunnlinjen, og hva man kan gjøre med det, sier Thevik. Prosessen må være både top-down og bottomup. Prosessen må kjøres på en realistisk og god måte. For at dette skal fungere optimalt, er det viktig å innse at det vil kreve tid og ressurser, og må skje som en naturlig del av kulturen i virksomheten. Dette er ikke venteromsarbeide, men noe medarbeiderne må delta i med et stolt hjerte. Det kan allikevel være en god ide å hente inn hjelp utenfra. Just in time En potensiell risikofaktor ligger i det faktum at en rekke virksomheter har gjort seg svært avhengige av sine leverandører. Just in time-prinsippets styrke ligger å levere fra bedrift til bedrift i verdikjeden, og unngå lagerhold. Dette gjør samtidig virksomheten sårbar for uhell hos leverandøren. fotocacv12000/istock Det handler i disse tilfellene om å minimere risikoen gjennom å velge de tryggeste leverandørene, og å vite hvor mye en uteblitt leveranse vil skade virksomheten. Man kan med lite oppnå mye, dersom man er villig til å investere i risikostyringspolicy i virksomheten. Omdømmet vil styrkes, og det er ikke til å komme fra at mennesker liker å jobbe for en bedrift som tenker før de handler, avslutter Thevik. Å Niscayah: Sikkerhet basert på reell risiko! Behovet for risikovurdering av din virksomhet er konstant mener sikkerhetsleverandøren Niscayah. Det internasjonale selskapet representerer en unik ekspertise innen sikkerhet. Niscayah har en dyp forståelse for det risikonivå som er forbundet med kundens virksomhet. Profesjonell analyse og design av en sikkerhetsløsning er grunnfundamentet for et vellykket resultat. Niscayah tilbyr hele verdikjeden fra risikoanalyse til drifting av sikkerhetssystemer med over 60 års erfaring i Norge. Tilbyr hele verdikjeden 100 % produktuavhengige Niscayah tilbyr konsulenttjenester, men er også en løsningsleverandør som leverer både funksjoner og innhold. Vi leverer hele verdikjeden som er involvert i en kundes sikkerhetsutfordringer. Fra rådgivning og implementering til administrasjon og drift av sikkerhetssystemer. Vi er 100 prosent produktuavhengige og anbefaler ulike sikkerhetsprodukter basert på kundens behov. Her er vår erfaring og ekspertise er en stor fordel for kundene, sier Berge. Alarm- og servicesenteret er åpent 24/7 og sørger for at dine verdier er sikre døgnet rundt. Kundene etterspør helhetlige løsninger. Niscayah opplever en økning i antall kunder som etterspør rådgivning i forbindelse med risikoanalyse og sikkerhetsstrategi. Om Niscayah: Sikkerhetstjenester fra Niscayah: - Innbrudd og ransalarm - Intern TV overvåking - Adgangskontroll / ID-kort systemer - Brannalarm - Varesikring - Alarmmottak og utrykning - Fjernservice og fjernadministrasjon - Teknisk service - 24/7 alarm og servicesenter - Trådløs teknologi herunder: - GSM/ GPS sporingssystemer - RFID sporingssystemer - Personlig overfallsalarm Vårt forretningskonsept består av implementering, systemadministrasjon og systemdrift. Overordnet ligger analyse og design som kan være en del av alle disse tjenestene. Kundene ser etter helhetlige løsninger som fungerer preventivt og som håndterer sikkerhetsbrudd rask og effektivt når alarmen går. Vi har kompetansen som gjør at vi med stor treffsikkerhet skreddersyr løsninger basert på risiko og sikkerhetsbehov, avslutter Berge. Mange kunder i bank og finanssektoren Omsetningen innenfor bank og finanssektoren for Niscayah er på rundt 100 millioner kroner. Det betyr at en betydelig del av selskapets kunder er fra en bransje som stiller enormt høye krav til sine underleverandører. Det er klart vi ser på dette som et kvalitetsstempel, forteller Berge. Erik Berge er administrerende direktør i Niscayah. Kontakt oss i dag! Telefon: E-post: salg@niscayah.no - Over 60 års erfaring i Norge - Omsetter i år for 500 millioner kroner - Mer enn næringskunder i Norge - Mange kunder i olje- og gassindustrien - Mange kunder i varehandel, bank og finans - Virksomheter i 17 land Selskapet skiftet navn til Niscayah i april Det nye navnet er opprinnelig et ord i sanskrit som betyr «sikker og pålitelig» og er betegnende for kjerneverdiene i det ledende sikkerhetsselskapet.

8 8 Oktober 2008 Forretningshemmelighet eller varemerke? Norske virksomheter er seg ikke bevisst hvilke verdier de besitter. Per A. Martinsen, administrerende direktør og advokat ved Oslo Patentkontor. lene søgaard gloslie De immaterielle rettigheter som kan beskyttes gjennom registrering, bør man vurdere om det ikke er verdt å foreta grep for å beskytte. Tradisjonelt har ikke norske bedrifter vært flinke til å være bevisste på hvilke verdier som ligger der og til å sikre seg rettigheter, sier Per A. Martinsen, administrerende direktør og advokat ved Oslo Patentkontor. Reduserer risiko Det store spørsmålet en virksomhet må stille seg, er hvorvidt en innovasjon skal beholdes som en forretningshemmelighet eller om den skal søkes beskyttet gjennom patent. Man vil gjennom patent få definert enerett, men vil måtte stille kunnskapen tilgjengelig for tredjemann. Andre skal ha anledning til å bygge videre på denne ideen. Patentsøknadens beskrivelse skal være så detaljert at en tredjemann skal kunne utføre oppfinnelsen, sier Martinsen. Hvis man har beholdt noe som forretningshemmelighet, må man i en konflikt bevise at man hadde rettighetene til oppfinnelsen først. Et patent Det store spørsmålet en virksomhet må stille seg, er hvorvidt en innovasjon skal beholdes som en forretningshemmelighet eller om den skal søkes beskyttet gjennom patent. Man vil gjennom patent få definert enerett, men vil måtte stille kunnskapen tilgjengelig for tredjemann. Andre skal ha anledning til å bygge videre på denne ideen, sier Per A. Martinsen, administrerende direktør og advokat ved Oslo Patentkontor. fjerner slike bevisproblemer. Et ubeskyttet produkt som tilbys ute i markedet vil kunne kopieres, og man har i realiteten små muligheter for å stoppe dette. Kunnskap om at en idé eller et produkt er patentert, vil kunne medføre at tredjemann går frem med mer varsomhet, sier Martinsen. Patentkontoret opplever stadig henvendelser fra virksomheter som vil undersøke om en ny oppfinnelse virkelig er ny, eller om noe tilsvarende allerede er patentert. Beskyttelse i inn- og utland Norge er med virkning fra 1. januar 2008 medlem av Den Europeiske Patentkonvensjonen. Dette innebærer at man gjennom en søknad kan beskytte seg i Norge, og samtidig oppnå patentbeskyttelse i alle EUlandene og andre land som er medlemmer av konvensjonen fra denne dato. Erfaringen fra de andre nordiske landene er at antall gyldige patenter gikk raskt i været. Patentsystemet fungerer generelt slik at man må søke i hvert enkelt land om patent. Det koster relativt mye å søke om patent og få en søknad ferdigbehandlet, så det er svært kostnadseffektivt at én søknad inkluderer alle Viktige rettighetsformer foto:miteman/istock medlemsland, sier Martinsen. Om man ikke har mulighet til å selge i alle markeder hvor man har oppnådd beskyttelse, kan man lisensiere ut sine rettigheter. Å Design, varemerke og patent er de tre hovedrettighetsformene som gir beskyttelse av rettigheter. Varemerkeregistrering er i prinsippet evigvarende, men gjøres for ti år av gangen. I Norge har vi varemerkeregistreringer som daterer seg tilbake til slutten av 1800-tallet. Design og patent kan sikres i henholdsvis 25 og 20 år. ACAPO AS P.b Nordnes 5817 Bergen E-post: mail@acapo.no HVEM BESKYTTER DINE RETTIGHETER? Acapo AS gir råd om vern av immaterielle rettigheter som varemerker, patent og design. Våre dyktige jurister og ingeniører har spesialkompetanse på området. Vi setter kundens behov i fokus, og legger vekt på å yte god service til konkurransedyktige priser. Ta gjerne kontakt for en samtale om bedriftens muligheter. Besøksadresser: BERGEN: Strandgaten 198 Tlf: TRONDHEIM: Pirsenteret, Havnegata 9 Tlf: OSLO: C.J Hambrosplass 2C Tlf: Design Design by MaritimeColours by Når du ikke fram med dine pengekrav? Kontakt oss som har det som fulltidsarbeid. Nordland Inkasso er en nær samarbeidspartner med sine kunder og er opptatt av å ivareta kundens omdømme! Våre løsninger tilpasses etter hver enkelt kundes behov Nordland Inkasso er totalleverandør av innfordringstjenester: Fakturering Purring/inkassovarsel Utenrettslig inkasso Rettslig inkasso Kontakt oss for en uformell samtale i dag, og start prosessen som gir deg bedre likviditet! Tlf Fax epost post@nordlandinkasso.no

9 Oktober 2008 annonse ccn :16 Side 1 Denne temaavisen er en annonse fra mediaplanet 9 CCN Beredskap Krisehåndtering CCN AS tilbyr erfarne rådgivere med solid erfaring fra håndtering av en rekke ulike kriser i inn og utland. Vi har bakgrunn fra toppstillinger innen nasjonal beredskap, fra Forsvarsdepartementet, Regjeringens kriseinformasjonsenhet, politiet og riksdekkende nyhetsmedier som Dagbladet, NRK, P4 og TV2. Våre spesialister underviser blant annet ved Politihøgskolens videreutdanning av politijurister og politiledere. Krisekommunikasjon må øves En god og gjennomført plan for krisekommunikasjon er et nøkkelpunkt i krisehåndtering. Konsekvensen av en uforberedt mediehåndtering kan bli fatal. Til gjengjeld kan en godt gjennomført kommunikasjonsplan redde en ellers dårlig krisehåndtering. TOM AMRIATI-LØVÅS en krise inntreffer, er det for sent å Når planlegge; da må det handles, sier seniorrådgiver Brynjulf Freberg i rådgivningsfirmaet Kreab Oslo. Det finnes mange typer kriser som kan ramme en virksomhet, og kriser har jo det i seg at de aldri utvikler seg som forventet. En krise oppstår når man minst venter det, og den varer som regel lenger enn det man tror til å begynne med. Vær beredt, forberedelse er alt I vår tid, hvor alle medier publiseres i sanntid, har man ikke noe tid til å tenke. Man må handle, og handle rett, sier Freberg kategorisk. Husk at media følger krisen fra sekund til sekund, og det eneste du kan gjøre er å handle ut fra de forberedelsene som er gjort. Derfor er det så uendelig viktig å trene på forskjellige scenarioer jevnlig. Her er rollespill et av flere virkemidler ved siden av planverk og meldelinjer, forteller han. Trykket fra media kan være sterkt og virke overveldende. Det er derfor essensielt at de som håndterer media er både dyktige og godt trent. Helt avgjørende her er riktig handling og opptreden fra de som er ansvarlige, altså godt lederskap, påpeker Freberg Legg merke til at dette ikke alltid er administrerende direktør; han skal tross alt fortsette å drive virksomheten på tross av krisen. Kommunikasjonsdirektøren må hele tiden være bevisst på når og ikke minst hvordan topplederen fremstår i media, sier han. Å opprette et kontaktpunkt for media, er uansett absolutt nødvendig. Vi må ikke la en vikar på sentralbordet få komme med mer eller mindre gjennomtenkte utsagn til pressen fordi ingen andre er tilgjengelige, slår han fast. Ansatte først, så media Det er ikke bare media som behøver informasjon. Både styret, eiere, leverandører, kunder, myndigheter, ansatte og de ansattes familier vil ha behov for å få informasjon fra selskapet. Det er spesielt viktig i en turbulent periode at denne informasjonen ikke kommer foto:grafissimo/istock Når krisen rammer: I vår tid, hvor alle medier publiseres i sanntid, har man ikke noe tid til å tenke. Man må handle, og handle rett, sier seniorrådgiver Brynjulf Freberg i rådgivningsfirmaet Kreab Oslo. Brynjulf Freberg i rådgivningsfirmaet Kreab Oslo. fra media, men direkte fra selskapet. Et eksempel er kriser som resulterer i nedbemanning. Her vil informasjonen til de ansatte og deres familier være avgjørende. De som er overtallige, må behandles på en måte som ikke gjør situasjonen deres vanskeligere. Det samme gjelder de som blir igjen og skal holde motivasjonen oppe, selv etter at kolleger forsvinner. Dette er langvarig og tungt arbeid, som krever mye av de som håndterer situasjonen, understreker Freberg. Selv om kriser i seg selv er uforutsigbare, ser vi at det er de organisasjonene og lederne som har tatt dette inn over seg og har trent på forskjellige scenarioer som klarer seg best når en krise oppstår. Står man plutselig i en krise der man opererer over flere tidssoner og på flere språk, ofte med en presse som har forskjellige vinklinger, er det kun riktige forberedelser og planer som kan hjelpe deg, sier han. Men man må også ha et apparat som kan håndtere en langvarig krise. Da er det viktig med vaktordninger og tilstrekkelig avløsning for nøkkelpersoner som ellers kan bryte sammen, sier Freberg til slutt. Å Sammen med Acona CMG, og Advokatfirmaet G-Partner AS, leverer CCN AS en helhetlig pakke som dekker: Risikoanalyse Forebygging Beredskapsplanlegging Opplæring Øving Støtte når krisen rammer Gransking Normalisering Vi kan også teste om din eksisterende beredskap er god nok gjennom revisjon av eksisterende planverk eller en øvelse. Beredskapssenter Acona CMG leverer en komplett beredskapsløsning som inkluderer et effektivt varslingssystem og en operasjonell beredskapssentral. Vi har beredskapsledere på vakt hele døgnet og alle nødvendige støttefunksjoner som pårørende omsorgssenter samt mediegruppe. Vi gjør nødvendige analyser, arranger det du trenger av øvelser og trening, og kan lede ulykkesgranskinger etter de mest anerkjente granskingsmetoder. Tjenesten tilbys som en helhet, eller som deler av det totale tjenesteområdet. Vi kan dermed lett integreres i kundens egen beredskapsorganisasjon.

10 10 Oktober 2008 Lovendring med fokus på risikostyring De senere årene har forståelse for verdien av å ha gode prinsipper og regler for foretaksstyring ( corporate governance ) vært økende både internasjonalt og i Norge. Det vises blant annet til at sviktende foretaksstyring er pekt på som en vesentlig årsaksfaktor i en rekke finansskandaler i løpet av de senere årene. tom amriati-løvås På denne bakgrunn har det fra næringslivet og fra myndighetshold blitt tatt til orde for at det må etableres et hensiktsmessig regulatorisk rammeverk for foretaksstyring. I NOU 2008:16 legges det frem en rekke forslag til lovpresiseringer som vil fremheve og tydeliggjøre ansvaret til styre og ledelse blant annet innenfor risikohåndtering. Hva betyr dette for norske virksomheter? Først vil jeg understreke at utvalget har kommet frem til en rekke lovendringer og presiseringer som skal følge opp et lovverk som er gjeldende i USA og EU, sier avdelingsdirektør for næringsjuss i NHO, Ingebjørg Harto. Vi er etter hvert en del av et indre marked, og derfor er det naturlig at også Norge følger opp med et regelverk som er mest mulig likt landene vi samarbeider med, sier hun. Generelt vil jeg si at alle lover som er med på å forhindre misligheter er positivt, men når det gjelder disse endringene er jeg usikker på om de tilfører så mye nytt. De fleste av disse forholdene reguleres allerede av andre lover og regelverk, sier hun. Få reelle endringer Slik jeg leser forslagene fra NOU-en, vil de medføre få reelle endringer for norske børsnoterte foretak. Dette fordi de allerede rapporterer etter norsk anbefaling for eierstyring og ledelse, der disse punktene allerede er tatt med. Forskjellen er selvsagt at dette nå blir lovregulert. Der man vil merke de største endringene, er nok særlig innenfor internkontroll og risikostyring. Her vil kravene til rapportering og fokus bli mer merkbart, sier hun. Dette med risiko og redegjørelsen for risikohåndtering skal nå komme frem i styrets årsberetning, altså ikke i årsrapporten. Det blir mer formalisert i forhold til i dag, men for de selskapene som allerede følger anbefalingene fra NUES, vil det bli få praktiske endringer, avslutter hun. Å Slik jeg leser forslagene fra NOU-en, vil de medføre få reelle endringer for norske børsnoterte foretak. Dette fordi de allerede rapporterer etter norsk anbefaling for eierstyring og ledelse, der disse punktene allerede er tatt med. Ingebjørg Harto avdelingsdirektør for næringsjuss i NHO I NOU 2008:16 legges det frem en rekke forslag til lovpresiseringer som vil fremheve og tydeliggjøre ansvaret til styre og ledelse blant anne krav til styrets ansvar for forvaltning og tilsyn vi snakker om, sier direktør i rådgivningsselskapet PricewaterhouseCoopers, Jarle Strand. Det rektør for næringsjuss i NHO, Ingebjørg Harto. Lovpresisering som endre De nye lovpresiseringene plasserer ansvaret for risikohåndtering hos styrene. Dette har ført til usikkerhet knyttet til hva lovreguleringene betyr blant styremedlemmer i en rekke virksomheter. Svaret er at det først og fremst vil endre praksisen til virksomhetenes risikostyring og internkontroll. syns det er viktig å få frem at når man snakker Jeg om risikostyring, er det risikostyring knyttet til aksjelovens krav til styrets ansvar for forvaltning og tilsyn vi snakker om, sier direktør i rådgivningsselskapet PricewaterhouseCoopers, Jarle Strand. Dette er viktig fordi vi ser at mange kun fokuserer på uønsket nedsiderisiko. Vi må ikke glemme at risiko også er et aktivum som skaper positive effekter. Formålet med tilstrammingen, slik vi ser det, er at styret blir mer fokusert på den risikoen som de aktivt velger at selskapet skal ta. Dette er et stort poeng, fordi alle tenker på risiko som en nedside, men det er jo Rekruttering av nye medarbeidere er en av de viktigste, kanskje den viktigste oppgaven du har som leder. For din organisasjon kan det bety forskjellen mellom suksess eller fiasko.

11 Oktober 2008 Denne temaavisen er en annonse fra mediaplanet 11 Behøver vi NOU 2008:16? foto:baard marius barstein t innenfor risikohåndtering. Jeg syns det er viktig å få frem at når man snakker om risikostyring, er det risikostyring knyttet til aksjelovens te med risiko og redegjørelsen for risikohåndtering skal nå komme frem i styrets årsberetning, altså ikke i årsrapporten, sier avdelingsdi- Misligheter, bedrageri og finansskandaler har forekommet til alle tider som et nærmest uunngåelig innslag i den forretningsmessige virksomhet som er basis for verdiskapingen i samfunnet. Dette gjelder eksempelvis for den sterke nedgangsperioden på verdens aksjebørser som fulgte i kjølvannet av Enron-skandalen og den såkalte IT-boblen i I mange selskapsskandaler også i flere store norske saker er det blitt avdekket at selskapenes regnskaper hadde vært gjenstand for omfattende og systematisk manipulering, og at den faktiske resultatutvikling hadde vært vesentlig dårligere enn det som var blitt rapportert. Selskapsskandalene tydeliggjorde derved ikke bare at det var behov for lovendringer, men også for klarere retningslinjer for foretaksstyring. Norske myndigheter satt ned et utvalg for å se på tiltak mot manipulering av finansiell informasjon. Ansvarsplassering og risikohåndtering Utvalget foreslår i NOU 2008:16 en rekke lovendringer, som blant annet får betydning for ansvarsplassering og risikohåndtering i børsnoterte selskaper. Initiativet til dette utvalget kommer litt som følge av tiltak som ble iverksatt i både USA g EU etter blant annet Enron-skandalen og andre hendelser, sier avdelingsdirektør for næringsjuss i NHO, Ingebjørg Harto. Når det er sagt, vil jeg vel tro at utvalget har fulgt mandatet sitt når de kommer med lovendringene, og på den måten har de møtt forventningene om å møte tilfeller som blant annet Finance Credit-saken her hjemme, sier hun. Les hele NOU 2008:16 på www. regjeringen.no/nb/dep/fin/dok/ NOUer/2008. Å r praksis styret som velger den risikoen som selskapet skal ta, poengterer Strand. Et annet moment i forhold til NOU 2008:16 er at utvalget har forstått at risiko og internkontroll må tilpasses selskapene. Dette betyr at utvalget ikke har satt opp bestemte formkrav. Med en slik etter vår mening fleksibel tilnærming, vil heller ikke selskapene se på dette som en papirøvelse, men mer som et aktivum. Dette er med på å sikre at intensjonene i reguleringen blir etterlevd, sier han. Den største konsekvensen er at selskapene nå er blitt lovpålagt det som følger med EUs fjerde direktiv. Vi har også endelig fått en avklaring i forholdet til enkelte aktørers forsøk på å gjøre dette til et krav om nye dataverktøy. Her er det klart at flere IT-selskaper gjerne vil at de nye kravene automatisk medfører behov for nye IT-løsninger. Utvalget presiserer også at dette ikke er tilfelle, og at man som oftest kan gjennomføre de nye direktivene med eksisterende løsninger på IT-siden, understreker han. Dette er enda en regulatorisk presisering av at styret har ansvaret for å ta styring på risikoplanlegging. Dette betyr at praksisen endres, slik intensjonen med lovtekstene hele tiden har vært. Vi har lenge merket økt pågang fra styremedlemmer som er usikre på hva de nye kravene betyr. Vår erfaring er at de fleste virksomheter har et godt fundament for risikostyring, men at systematiske tilnærminger gjerne ikke er til stede i det omfang som nå forventes. Dette er imidlertid mer et spørsmål om tilpasning til et regelverk som allerede er kjent, og i de aller fleste tilfeller vil dette gjøres på en smidig måte, avslutter Strand. Å Jeg syns det er viktig å få frem at når man snakker om risikostyring, er det risikostyring knyttet til aksjelovens krav til styrets ansvar for forvaltning og tilsyn vi snakker om. Jarle Strand direktør i PricewaterhouseCoopers, Opplevelse av krise? Behov for å være forberedt? Vi har kompetansen du trenger vår erfaring gir deg den trygghet du søker Nordic Crisis Management, er med sine samarbeidspartnere, en ledende aktør i Norden innen sikkerhet, beredskap og kriseledelse. Vi gjør kundene robuste slik at kriser unngås. Dersom krisen likevel inntreffer, skal den håndteres slik at den ikke truer virksomhetens omdømme og markedsposisjon. Gjennom rådgivning, kursvirksomhet og øvelser styrker vi kundenes evne til å håndtere beredskaps- og krisesituasjoner. nordic crisis management Sjølyst Plass 4, N-0278 Oslo, Tel Fax ncm@nordic-crisis.no

12 12 Oktober 2008 Sikkerhet i alle ledd Risikovilje har blitt en trend. Det må oftest en smell til før informasjonssikkerhet settes på dagsordenen. tom amriati-løvås slipper unna jobben med å gjøre risikovurderingen hvis man Ingen skal være god på informasjonssikkerhet i dag. Uten risikovurdering, svakere informasjonssikkerhet, sier John Arild Johansen, sikkerhetssjef i Buypass og styreleder i IT-SikkerhetsForum (ISF). Allikevel har det vært en fremvoksende tendens å ta lett på sikkerheten. Vi tar risikoen, man kan jo ikke være sikker på alt kan bli et kostbart mantra. Sertifisering og risiko Toppledelsen pålegges i større grad enn tidligere å vurdere risiko dersom virksomheten skal gjennom sertifiseringsnåløyet. Før så man mer generelle vendinger om at god sikkerhet skal ivaretas. For å vite hvilken risiko man står overfor, er det viktig å underlegge bedriften en risikoanalyse. En ISO-sertifisering på styringssystem for informasjonssikkerhet, ISO/IEC 27001, krever at man kjenner realitetene, sier Johansen. En årlig revisjon på gjennomførte krav minimerer risiko og sparer penger. En liten notis i avisen kan innebære tapet av én kunde. Et stort oppslag, inkludert bred mediedekning som for eksempel på Dagsrevyen, kan bety tapet av mange kunder. Hva er konsekvensene? I en risikoanalyse er det viktig å veie konsekvensene opp mot trusselen. Stikkordet her å finne ut hva som er akseptable konsekvenser for virksomheten, sier Johansen. Tidligere kunne virksomheter gå til anskaffelse av sikr i n g s t i l t a k uten å ha kjennskap til den risikoen man løp. Dersom risikoen er så liten at konsekvensene vil falle billigere enn hva det vil koste å tegne forsikring, har sikringen intet eller lite poeng. Å veie konsekvenser handler om å finne ut den restrisikoen man kan leve med, poengterer han. John Arild Johansen Sikkerhetssjef i Buypass og styreleder i ISF Tap av omdømme En av de største truslene mot virksomheten, er tap av omdømme. Her er igjen risikovurderingen med på å rangere scenarioene. En liten notis i avisen kan innebære tapet av én kunde. Et stort oppslag, inkludert bred mediedekning som for eksempel på Dagsrevyen, kan bety tapet av mange kunder, sier Johansen. Ledelsesforankring sentralt Sikkerhet kan ikke være et ansvar som plasseres langt nede i organisasjonen. Det bør heller ikke utelukkende være IT-avdelingens ansvar. For eksempel bør en risikoanalyse av virksomhetens IT-systemer involvere alle. Ved å vise trusler og konsekvenser, vil alle få et forhold til risiko. Alle må ha risikotenkning i hodet, uavhengig av posisjon i virksomheten. Workshop eller omfattende analyse? Risikoanalyse kan være enkelt tankespinn til komplisert analyse. Hovedpoenget er at det brytes ned på virksomhetens assets: teknologi, forretningskunnskap og mennesker. Ofte er det enkelt å finne frem til løsninger og tiltak dersom man setter seg ned sammen og tenker ut potensielle problemstillinger, som f.eks. at en ansatt ikke dukker opp på jobb dagen etter. Dette er kunnskap og løsninger man ikke kan kjøpe, men som man må ha med de ansatte Vurder risikoen - eller gå på en smell: Ingen slipper unna jobben med å gjøre risikovurderingen masjonssikkerhet, sier John Arild Johansen. En av de største truslene mot virksomheten, er tap av pslag kan innebære tap av mange kunder. Faksimile fra Vårt land, Dagens Næringsliv og NRK. på, påpeker Johansen. Bedriftskulturen og ledelsesforankringen må være med på laget. Return of investment For at sikkerhetsfolk skal få gjennomslag for at virksomheten skal gå inn for å sikkerhetssertifisere seg, holder det ikke å henvise til kvalitetsstempel og kult image. Gjennomslag hos ledelsen er avgjørende for at det skal satses på sikkerhet. Sikkerhetsfolk må derfor selge inn sikkerhet gjennom å snakke ledelsens språk. I tillegg til å vise ulike scenarioer, avdekker risikoanalyse muligheter for å tjene penger. Return of investment (ROI) er stikkordet for å lykkes her, sier Johansen. Å I en risikoanalyse er det viktig å veie konsekvensene opp mot trusselen. Stikkordet her å finne ut hva som er akseptable konsekvenser for virksomheten. John Arild Johansen Sikkerhetssjef i Buypass og styreleder i ISF informasjonssikring.no Er du engstelig for at andre skal få tak i dine jobbrelatere og personlige data? Hva blir konsekvensene dersom din bærbare PC ødelegges eller ender opp hos uvedkommende? Besøksadresse: Brynsengveien 2, 0667 OSLO Postadresse: PB 184, Økern, 0510 OSLO Tlf.: Fax: firmapost@bedriftssystemer.no

13 Oktober 2008 Denne temaavisen er en annonse fra mediaplanet 13 hvis man skal være god på informasjonssikkerhet i dag. Uten risikovurdering, svakere inforomdømme. Her er igjen risikovurderingen med på å rangere scenarioene. Negative medieopfoto:mbogacz/istock Norges eneste spesialavis om ledelse! Kjære leser! Kan du tenke deg en avis som ikke lar børs og finans avgjøre om lederskapet er godt, og beslutningene riktige? Vi er Norges eneste lederavis, og vi vet at du som engasjert ressursperson trenger å vite mer enn hva børsen kan fortelle deg når viktige vurderinger skal gjøres og beslutninger skal tas. For å skape og utvikle varige verdier trengs kunnskap om mennesker og muligheter, om politikk og etikk, om trender og innovasjon. Prøv Ukeavisen Ledelse i tre måneder for kun 195,- Bestill her: eller kontakt kundeservice på telefon MEDPL195

14 14 Oktober 2008 Informasjonsintegritet Hvis man mister én minnebrikke, tilsvarer det et lastebillass med papirinformasjon. Nettopp informasjonsenheter på avveie representerer et stort problem, sier Geir Samuelsen, direktør ved Nasjonal sikkerhetsmyndighet (NSM). Mennesker: foto:eyecrave/istock Det svake leddet Kan kundene stole på at informasjonen i din virksomhet er sikret? Den største utfordringen er at sikkerhet blir sett på som et teknisk problem som IT-avdelingen skal løse. Dermed får sikkerhet lite fokus fra ledelsen. Dette kommer av at det ikke er stor nok forståelse for at informasjon utgjør en stor del av verdien i virksomheten, sier Trond Ericson, teamleder i Devoteam Da- Vinci. Ericson mener denne manglende forståelsen resulterer i at det hoppes bukk over viktige sikkerhetstiltak som å kryptere harddisken, fordi det tar tid. Holdningskampanjer Det er vesentlig at den enkelte forstår at han eller hun har en viktig rolle i å sikre at informasjon ikke kommer på avveie. Holdningskampanjer må til på en jevnlig basis for å holde sikkerhetsfokus oppe, sier Ericson. Å Mennesker, ikke maskiner, begår sikkerhetsbrudd. lene søgaard gloslie man mister én minnebrikke, tilsvarer det et lastebillass Hvis med papirinformasjon. Nettopp informasjonsenheter på avveie representerer et stort problem, sier Geir Samuelsen, direktør ved Nasjonal sikkerhetsmyndighet (NSM). Sikkerhetskultur må ligge i bunnen dersom man skal sikre at retningslinjer for bruk av internett og mobil følges. Styring viktig Styringssystemer er gjerne på plass i virksomheten. Vi er flinke på HMS, økonomi og beredskap, men også på sikkerhet er det viktig å ha dette på plass, mener Samuelsen. Vedlegg og lignende som man ikke kjenner opprinnelsen til, skal man være svært forsiktig med å åpne eller videresende. Det skal derimot rapporteres til IT-ansvarlig at man har mottatt slike sendinger. Trojanere er dominerende i trusselbildet, og man trenger ikke å vite at man er angrepet. Trojanere er spioner som kan virke enkle og uskyldige, men som kan bygge botnet, som igjen disponerer ubegrenset med båndbredde og regnekapasitet. Gjennom å overta datamaskinparker kan de jamme andre nettsteder med informasjon til de kneler, som Jyllandsposten gjorde, etter karikaturtegningene. Interessant informasjon En hver virksomhet bør forsøke å se seg selv fra utsiden, for å vurdere om den besitter informasjon som er interessant for andre. Men også for å se om man har gjort seg unødig sårbar gjennom å legge for mye informasjon ut på nettsiden. Sikkerhetstiltakene bør dimensjoneres etter en vurdering av konsekvensene ved å bli kompromittert, sier Samuelsen. Virksomheter har blitt flinkere til å beskytte seg, men samtidig er kompleksiteten i det man beskytter seg mot blitt større, og angrepene flere. Sikkerheten er fortsatt ikke god nok. Det er også viktig å tenke fysisk sikkerhet og adgangskontroll. Midt mellom fysisk og digital sikring befinner menneskene seg. Og det er nettopp menneskene som begår sikkerhetsbrudd og utnytter sårbarheten til systemene. Ledelsesforankring, sikkerhetskultur og verdivurdering av egen informasjon er derfor svært viktig for virksomheten, avslutter Samuelsen. Å Hvordan sørge for IKT-sikkerhet NMS gir følgende råd til virksomheter som vil beskytte seg: Oppdatere antivirusprogrammer og brannmurer Den største utfordringen er at sikkerhet blir sett på som et teknisk problem som IT-avdelingen skal løse. trond EricSON teamleder i devoteam davinci Ikke åpne eller videresende spennende vedlegg kontakt IT-ansvarlig Passord kun for deg, random (tall, tegn og bokstaver helst 15), lagres på ordentlig vis Bevisstgjøring internt NSM har en veileder i IKT-sikkerhet på sin nettside. NSM gir også råd og veiledning til virksomheter underlagt sikkerhetsloven, og andre med samfunnsviktige funksjoner. (Kilde: SIKKER BEDRIFT Hvor lang tid tror du det tar å hacke dine systemer? (5 min? 1 kvarter? 1 time?) Få en gratis og uforpliktende analyse! GLEM FRAGMENTERTE SIKKERHETSLØSNINGER FOR IDENTITET OG ADGANGSKONTROLL Buypass Smartkort med elektronisk ID gir: - markedets høyeste sikkerhetsnivå - brukervennlig løsning for elektronisk sikring integrert med bedriftens system for fysisk adgangskontroll - løsning for elektronisk signatur og sikker meldingsutveksling SATS SMART - MED ALT PÅ ETT KORT! Besøk oss på for mer informasjon, eller ring oss på telefon SYNAPTIC tilbyr konsulenttjenester innen områder som penetrasjonstesting, kodegranskning, exploitutvikling og generell analyse av dagens situasjon. Våre kunder finnes innen offentlige myndigheter og private aktører med høye krav til informasjonssikkerhet. Vi har lang erfaring med kvalifiserte oppdrag innenfor komplekse og følsomme miljøer. Ansatte i SYNAPTIC er sikkerhetsklarert og håndplukket på bakgrunn av sine ferdigheter, og vår kompetanse er en av de ledende i Sverige og Norge innenfor avansert IT-sikkerhet. Synaptic kan teknologianalyse av informasjon og IT-sikkerhet. Din bedrifts sensitive dokumenter trenger en innbruddssikker safe også digitalt! Synaptic Ta kontakt for et møte og en uforpliktende analyse Tlf.: henrik@synaptic.no

15 Oktober 2008 Denne temaavisen er en annonse fra mediaplanet 15 Dette er Kantega: Ledende norsk IT-selskap Brukervennlige publikumsportaler Ansattportaler med single sign-on Sikkerhetsløsninger med digital ID Skjemaløsninger med digitale signaturer Tjenesteorientert arkitektur (SOA) Store kunder i stat, kommune, bank, Ansatteid kunnskapsbedrift med lønnsom drift og solid økonomi Kåret til en av Europas beste arbeidsplasser Internett: Kontakt: Ingunn Moen ingunn.moen@kantega.no - Utfordringen i å utforme varslingsrutiner er å legge til rette for åpenhet i organisasjonen, samtidig som ansatte har mulighet for å varsle anonymt. Ellers blir dette lett bare en fin pakke med tomt innhold, sier Marit Collin, FOTO: SVEIN ERIK LUNDBY/MEWSWIRE administrerende direktør i Kantega. Kantega-kunder i Varsling satt i system Arbeidstilsynet: Brukervennlig ansattportal (intranett) for kunnskapsdeling og samspill. Med samme sikkerhet som ved banktransaksjoner, kan arbeidstakere og andre nå varsle via internett om lovstridige forhold på arbeidsplassen. Den som varsler kan selv velge å være anonym eller ikke. Erfaringer så langt viser at virksomheter som har valgt å implementere varslingsløsninger for sine ansatte, styrker sin posisjon ved omdømmemålinger. Arbeidsmiljøloven verner varslere Nye bestemmelser for ansattes ytringsfrihet ble innført 1. januar 2007, og rutiner er utarbeidet i de fleste bedrifter. I korte trekk sikrer loven ansatte større vern ved varsling, samt pålegger bedrifter å legge til rette for at samtlige medarbeidere har tilgang til gode rutiner for varsling. - Utfordringen i å utforme varslingsrutiner er å legge til rette for åpenhet i organisasjonen, samtidig som ansatte har mulighet for å varsle anonymt. Ellers blir dette lett bare en fin pakke med tomt innhold, sier Marit Collin, administrerende direktør i Kantega. - Håndhevelsen står og faller på at ansatte har tilgang til et system som ivaretar den som mar mot til å melde fra. Sikrer bedriftens interesser Over 40% av avdekkede mislighetssaker kommer etter tips fra en ansatt. Arbeidsmiljøloven trygger varslere mot gjengjeldelse fra arbeidsgiver, selv om vedkommede velger å bryte avtaler om tauset og går utenfor virksomheten med saken. - Blir varslere møtt i en tidlig fase, minsker risikoen for langvarige skader på bedriftens økonomi og omdømme, sier Collin. -Dels fordi saken blir kjent, og vondt kan stoppes. Minst like viktig er at både eiere, styre og ledelse i en tidlig fase får anledning til å legge en plan for hvordan bedriften helhetlig skal ivaretas når urett er begått. Alle parter har mye å vinne på at slike saker ikke blir drevet i media, med brannslukking som eneste tilgjengelige middel. Dette er Trygg Varsling Kantega tilbyr arbeidsgivere en varslingstjeneste som ivaretar pliktene ifølge arbeidsmiljøloven, på en enkel og sikkerhetsmessig svært tilfredsstillende måte. Ansatte kan varsle 100% anonymt over internett eller intranett, og bedriften får samtidig en løpende pulsteller på at virksomhetens drift skjer planmessig. Varslingstjenesten gjør det enkelt for en offentlig virksomhet å oppfylle lovens krav, siden man kan ta den i bruk uten å måtte installere programvare eller egne servere internt i virksomheten. Systemet støtter alle nettlesere og all oversendt informasjon blir kryptert. Det er trygt for ansatte å bruke varslingstjenesten. Ingen varsling kan spores eller logges, igjen for å ivareta full anonymitet og størst mulig åpenhet. Systemet reduserer også risikoen for virksomheten. Saksbehandling ligger implisitt i systemet, slik at her blir ingen alarm liggende ubehandlet over lengre tid. Kommunikasjon med anonym varsler - Systemet vårt sikrer at ingen kan finne ut hvem som har sendt varselet. Frykt for straffereaksjoner og mobbing er den viktigste årsaken til at ansatte kvier seg for å melde fra om forhold som kan skade bedriften, fortsetter Collin. - Den nettbaserte løsningen er laget slik at det ikke finnes noen direkte kobling mellom den som varsler og den som tar imot meldingen. Meldingen blir sendt via en server utenfor bedriften og overføres deretter til den som skal behandle saken i bedriften, forklarer Collin. - Varsleren kan få tilbakemelding fra saksbehandler i egen organisasjon uten at saksbehandler vet hvem avsenderen er. Første pilotkunder er i drift En statlig etat og en stor norsk kommune, har vært først ute med å ta systemet i bruk. Erfaringene er gode. Systemet er et godt hjelpemiddel, men må støttes opp av gode interne rutiner for å håndtere informasjon som kommer inn. - Våre viktigste erfaringer er at terskelen for å varsle må være så lav som mulig. Da er sjansen større for at problemer blir løst før de rekker å vokse seg store og uhåndterlige, avslutter Collin. Trondheim kommune: Prisbelønt ansattportal, publikumsportal og bynettsted. Norges beste ekommune 2006 og Direktoratet for naturforvaltning: Portal og temanettsteder, med publiseringssystem. SpareBank 1 Glitnir Norsk Pensjon EnterCard DnB Nor Kort EMGS Uninett Høgskolen i Sør-Trøndelag

16 16 Oktober 2008 foto:daniel_wiedemann/istock Vær foreberedt: Vår erfaring viser at det er svært få virksomheter som i realiteten er forberedt på å håndtere uønskede endelser, sier Gunnar Angeltveit i CCN. For Jernbaneverket er daglig bruk av Hendelseslogg et nytt system for loggføring og oppfølging av alle avvik i togtrafikken. Målet er raskere tilgang til avviksinformasjon og et mer effektivt varslingssystem, forklarer trafikkdirektør Torry Kristiansen i Jernbaneverket. Lønnsom beredskap - Når krisen rammer settes virksomhetens omdømme og framtid i spill. Er du godt forberedt, forstår trusselen du står overfor og tar de riktige hovedgrepene, kan du komme styrket ut av krisen. I motsatt fall kan du sette virksomhetens framtid i fare, samtidig som du effektivt river grunnen under din markedsverdi som leder. tom amriati-løvås Det sier Gunnar Angeltveit, partner og daglig leder i CCN AS. Vår erfaring viser at det er svært få virksomheter som i realiteten er forberedt på å håndtere uønskede endelser, kriser og katastrofer, fortsetter han. Når vi til stadighet opplever at høyt profilerte ledere og selskaper svikter i sin krisehåndtering, handler det ofte om manglende kunnskap, understreker Angeltveit. Det finnes ikke noen snarvei til god krisehåndtering. Grunnlaget må være på plass, og toppledelsen må ha et aktivt forhold til dette og øve regelmessig. I tillegg ser vi alt for ofte at beredskapsplanene enten er for omfattende eller utilgjengelige for beredskapsorganisasjonen når det smeller, sier han. God krisehåndtering er viktig for din virksomhet, for deg selv og din framtidige verdi som leder. Det betyr også mye for den bransjen du er en del av. Det har hendt at en enkelt krisehendelse i en virksomhet kan føre Gunnar Angeltveit, partner og daglig leder i CCN AS. til justering av en hel bransjes rammevilkår som en følge av at noen tabbet seg ut. Husk etterarbeidet Når stormen har lagt seg må du sikre at de som har vært involvert får luftet ut sine opplevelser før de sendes hjem, sier Angeltveit. I noen tilfeller, og alltid der det er personskade, vil det rutinemessig bli iverksatt politietterforskning. Parallelt med dette, kan det også være aktuelt å vurdere en egen gransking for å avdekke hva som har skjedd, og de konsekvenser det kan få for virksomheten, avslutter han. Å Bedre avvikshåndtering gir bedre krisehåndtering For Jernbaneverket er daglig bruk av Hendelseslogg et nytt system for loggføring og oppfølging av alle avvik i togtrafikken. Systemet skal etter planen være ferdig implementert i Jernbaneverket 1. mars neste år. skal være primærsystemet for førstelinjens Hendelseslogg registrering og oppfølging av daglige meldinger og hendelser, forklarer trafikkdirektør Torry Kristiansen. Målet er raskere tilgang til avviksinformasjon og et mer effektivt varslingssystem enn det vi har i dag. All informasjon knyttet til en hendelse, som for eksempel strømbrudd på Drammen stasjon, skal loggføres på ett sted. Alle som er logget på kan dermed følge med og se hvilke tiltak som iverksettes for å løse situasjonen på Drammen stasjon, forklarer han. Systemet har en varslingsmodul som sikrer at alle som har behov for å vite om hendelsen får beskjed via sms, e-post og/eller voic . Rask og presis når det smeller Dette gjør det enkelt å gi sanntidsinformasjon om hendelsen til alle berørte parter. Viktig verktøy Systemet har en egen modul for informasjonsmeldinger til reisende og media. Mediehåndtering er en stor jobb når det er avvik i togtrafikken, og våre informasjonsfolk er helt avhengig av å ha all informasjon lett tilgjengelig. Vi ser frem til å ta i bruk systemet til daglig, sier informasjonsdirektør Anne Marie Storli. Krisehåndtering Samtidig er Hendelseslogg også Jernbaneverkets system for krisehåndtering. En pilotversjon ble for første gang testet under en beredskapsøvelse 11. september. Hendelseslogg har et stort potensial for krisehåndtering. Ved å bruke Hendelseslogg i det daglige, står vi sterkere ved en eventuell krise. Dette vil bli et godt system for oss, sier sikkerhetsdirektør Monika Eknes. Å Målet er raskere tilgang til avviksinformasjon og et mer effektivt varslingssystem enn det vi har i dag. torry kristiansen trafikkdirektør i JErNbANEvErkEt Når det smeller, eller ulmer faretruende, er det avgjørende at du gjør de riktige tingene raskt og i riktig rekkefølge: Identifiser trusselen raskt, kanskje du kan forebygge krisen? Alarmer ambulanse, brann og politi umiddelbart om det er nødvendig Mobiliser din egen kriseorganisasjon straks, ikke vent på at du får oversikt Etablér dere i avtalte lokaler, og ha alltid alternative lokaler i beredskap Analyser situasjonen: Hva er trusselen og hva er potensialet, hvilken beslutning haster mest? Iverksett tiltak og juster innsatsen løpende: Operativt på skadestedet og/eller fagområdet Gi omsorg og støtte til involverte og eventuelle pårørende Følg opp aktuelle myndigheter lokalt og nasjonalt, Bruk mediene aktivt som et informasjonsverktøy Gi nødvendig informasjon til markedet One step ahead Er dere dere kommer raskt tilbake i vanlig drift? Vil det gi en merverdi at dere kan automatisk se, sortere og følge hver eneste hendelse som involverer mennesker og ressurser? Da trenger dere Crisis Manager. Det er en bransjeledende løsning og normalisering til vanlig drift. i verden, opplever solide selskaper negative hendelser som truer liv, miljø, I nesten alle tilfeller kunne virkningen av disse hendelsene vært betydelig IntraPoint tilbyr løsninger som gjør at selskaper fordeler sine ressurser optimalt og samtidig har mest mulig tilgang til informasjon i realtid gjennom IntraPoint AS Trondheim Washington D C Houston

17 Oktober 2008 Hendelseslogg gir bedre krisehåndtering For Jernbaneverket er Hendelseslogg et nytt system for loggføring og oppfølging av alle hendelser og avvik i togtrafikken. tom amriati-løvås Systemet skal etter planen være ferdig implementert i Jernbaneverket 1. mars neste år. Målet er raskere tilgang til avviksinformasjon, og et mer effektivt varslingssystem enn det vi har i dag, forklarer prosjektleder Liv Dreierstad. Systemet har en varslingsmodul som sikrer at alle som har behov for å vite om hendelsen får beskjed via sms, e-post og/eller voic , i sanntid. Mediehåndtering er en stor jobb når det er avvik eller større hendelser i togtrafikken, og våre informasjonsfolk er helt avhengig av å ha all informasjon lett tilgjengelig. Vi ser frem til å ta i bruk systemet til daglig, sier informasjonsdirektør Anne Marie Storli. Å Når krisen oppstår er det eneste sikre at det aldri er det du venter på som skjer. lene søgaard gloslie er forberedthet i organisasjonen det Derfor viktigste for å håndtere uønskete hendelser. En etablert organisasjon med klar rolleforståelse, gjennomførte praktiske tiltak og en enkel og effektiv plan som er periodisk øvd og testet, er essensielt, sier Otto Breivik, eier, driver og rådgiver i Risk Partner as. Og for planen gjelder følgende regel; jo kortere og mer konkret, jo bedre. En verdifull plan må være til nytte når det brenner under beina. Uten et enkelt og effektivt opplegg for proaktiv håndtering av risiko og beredskap, vil de fleste bedrifter oppleve at uønskete hendelser vil fordyre og lamme forretningsprosesser og Denne temaavisen er en annonse fra mediaplanet 17 Jordnær kriseforberedelse føre til unødvendige kostnader og ineffektivitet. Forankring i risikoanalysen Virksomheten må på forhånd ha tatt stilling til om, hvor og hvor mye skoen trykker, før planer utvikles. Planer skal ikke legges for planens skyld, men være en reell støtte for den forberedtheten man søker. Sunn fornuft, enkel og praktisk er stikkordene. Hos mange gjenstår det noe i forhold til den praktiske tilnærmingen, ifølge Breivik. Det blir ofte mye papir, dokumentasjon og systemer. Dette vanskeliggjør det man ønsker, nemlig praktisk nytteverdi og god lederforankring. Fokuset skal være på kost, nytte og verdi, fremstilt på en jordnær og praktisk måte. God kommunikasjon viktig Ledelsen må stå samlet og forberedt på å håndtere situasjonen som har oppstått. Rask, god og riktig kommunikasjon er helt avgjørende i en slik beredskapssituasjon, uansett fase. Virksomhetens ledelse må, når situasjonen tilsier det, og markedet og samfunnet foto:cmcdermi/istock Ha planen klar, jo kortere og mer konkret, jo bedre. Sunn fornuft, enkel og praktisk er stikkordene. forventer det, gi riktig og kompetent informasjon så raskt og riktig timet som overhodet mulig, sier Breivik. Det er vel så viktig raskt å håndtere det interne fokuset. Forretningskontinuiteten krever rask handling og at nøkkelpersonell settes i beredskap umiddelbart. Prosessen viktig Prosessen med å identifisere risiko og å utvikle enkle og effektive planer er viktigere enn å ha systemløsninger på plass. Digitale løsninger og IT-verktøy vil kunne effektivisere beredskapsarbeidet, men verktøyet må ikke være driveren fremfor den viktige prosessen i organisasjonen. Det må sikres at ledelsen og virksomhetens nøkkelpersoner er forberedt på å holde driften i gang, og å håndtere den hendelsen som gjør at virksomheten evt. kan stoppe opp. Utviklingen av en krise er som en rullende snøball. Den kan ha en eskalerende, negativ utvikling som vil kreve overvåkning. Når det er for tidlig å rope ulv, må man fange opp signalene og om mulig forebygge. Det viktigste er alle de enkelte, smarte tiltakene man kan gjøre i forkant, avslutter Breivik. Å Butikkjeder i vekst lar seg ikke stoppe av landegrenser eller tradisjonelle bransjeinndelinger. Ikke vi heller. Våre løsninger for butikk- og kjedestyring brukes daglig av nærmere 3000 butikker i ti land, og er effektive verktøy for økt konkurransekraft og lønnsomhet. For virksomheter som vil videre slik som dere?

18 18 Oktober 2008 Ta grep tidlig Raske og riktige tiltak når krisen oppstår, kan forhindre ytterligere skade. lene søgaard gloslie krisen er et faktum, må det settes i gang Når undersøkelser umiddelbart for å få oversikt over situasjonen. Man må finne ut hva som har skjedd og stanse eventuelle utro tjenere. Det er også viktig å sikre verdier, sier Erling Grimstad, advokat og daglig leder i Advokatfirmaet G-Partner AS. Det er viktig for ledelsen å ta grep og vise handlekraft tidlig i krisen. Det kan virke mot sin hensikt å gjennomføre undersøkelser selv, i en konfliktsituasjon. Det kan derfor være hensiktsmessig å få eksterne, som ikke har vært involvert i forhistorien, til å yte bistand i den sårbare og kaotiske sikringsfasen. En kommentar til mediene om at en undersøkelse er igangsatt, virker mer beroligende enn at ledelsen ror seg ut på dypt vann. Avdekke problemene Hele virksomheten bør bli gjort gjenstand for en gjennomgang av risikoene for økonomiske misligheter, slik at ledelsen blir kjent med sårbare deler, før utenforstående gjør de kjent med det. Først når risikoene er avdekket, har ledelsen mulighet til å iverksette de riktige og mest effektive tiltakene. En gransking er alltid ubehagelig for de som er involvert. Erfaringen er allikevel at man etter slike undersøkelser faktisk står bedre Ta grep! Hele virksomheten bør bli gjort gjenstand for en gjennomgang av risikoene for økonomiske misligheter, slik at ledelsen blir kjent med sårbare deler før utenforstående gjør de kjent med det. Først når risikoene er avdekket, har ledelsen mulighet til å iverksette de riktige og mest effektive tiltakene. rustet til å takle endringer i organisasjonen og stanse uønsket utvikling av organisasjonskulturen, sier Grimstad. Derfor kommer mange virksomheter styrket ut av en krise. Mange ledere og ansatte får et nytt fokus på hva som menes med lojalitet til virksomheten. En slik opprydningsprosess får ting på bordet og avdekker konflikter som ofte har ligget der en stund, sier Grimstad. I noen kriser har utro tjenere med en annen agenda enn selskapets beste, vært en del av årsaken til krisen. Selskapets egne ansatte kjenner ofte vedkommende, eller har en relasjon til den ansatte som kollega. Dette gjør det vanskelig å finne ut om mistanken er toppen av isfjellet, eller noe langt mer alvorlig. En ekstern aktør vil bedre kunne være i stand til å foreta en objektiv kartlegging av hva som har foregått. Det reduserer grunnlag for kritikk mot virksomhetens ledelse og reduserer mistanken om at forhold blir forsøkt skjult eller tildekket. Styret og ledelsen får mer ro på seg når de har satt eksterne til å undersøke de kritikkverdige forholdene. De kan da fortelle media at de må avvente resultatet av undersøkelsene før de går ut med informasjon, eller iverksetter tiltak. Hva granskningen krever Bransjeerfaring er noe av det en gransker må ha. Samtidig må granskeren ha erfaring om hvordan misligheter gjennomføres i praksis og hvilke spor en utro medarbeider legger igjen. Granskere med ulik bakgrunn fra forskjellige bransjer og fagområder vil være svært nyttig å knytte til seg. Dersom politiet driver etterforskning parallelt, må granskerne vite hvordan de unngår å hindre politiet i deres arbeid og unngå dobbeltarbeid. Politiet har som regel et helt annet fokus enn granskerne, og svarer ikke på spørsmål om årsaker til at de kritikkverdige forholdene oppstod, hva som kan gjøres for å motvirke at det samme skjer igjen, og muligheten for å få tilbake verdier, samt spørsmål om arbeidsrettslige sanksjoner mot utro medarbeidere. Enkelte ganger viser det seg at ledelsen eller virksomheten har blitt foto:stevecoleccs/istock utsatt for påstander om kritikkverdige forhold som det ikke er hold i. Da er det viktig å gå frem på en korrekt og troverdig måte slik at forholdene kan forklares og tilbakevises punkt for punkt, slik at andre kan bedømme hva som skjedde eller hvorfor noen urettmessig forsøkte å ramme selskapet. Mange saker kan avdekke grunnlag for betydelige erstatningskrav. Det kan gjelde leverandører som har overfakturert, eller gjort seg skyldig i feil leveranser, som man ikke hadde oversikt over fordi kun en person satt med leverandørkontakten, sier Grimstad, som understreker viktigheten av å sikre verdier for selskapet før det er for sent. Å

19 Oktober 2008 Denne temaavisen er en annonse fra mediaplanet 19 Sponsorlykke er fulle tribuner, ellevill jubel og norsk seier. Likevel er det mulig å skape noe enda mer betydningsfullt enn liv på en tribune. Det finnes en langt viktigere sekundstrid straks etter en trafikkulykke. Livshistorisk øyeblikk Ved å få pasienter ut av vraket og til sykehus så raskt som mulig, skapes en betydelig økning i muligheten for å overleve. Akkurat der og da er det verken fulle tribuner eller vill jubel. Men etterpå, når livet vender tilbake kommer en glede som ingen andre enn de som har opplevd det kan beskrive. Det er dette livshistoriske øyeblikk vi inviterer deg til å bidra til å skape. VI SØKER SPONSOR TIL LIVSVIKTIG SEKUNDSTRID Norsk Luftambulanse er en lyd. Lyden av et menneske som puster. Så kort kan vår virksomhet beskrives. Vårt virke handler om å redde liv og helse. Når det haster. Det gjør det alltid når mennesker ikke puster lenger, enten det er spedbarnet som er født for tidlig eller bestefaren med hjertestans. Hjelp oss å skape historie Norsk Luftambulanse ble skapt på erkjennelsen av jo raskere hjelpen kommer, desto større er muligheten for å overleve. I 1977 var løsningen å sende lege ut til ulykkesstedet med helikopter. Hele Norges befolkning forsto hvor klokt og effektivt dette var. Luksusmedisin, fnøs daværende helseminister, men 10 år senere tok departementet ansvar. Fortsatt ser vi at myndighetene ligger etter når det gjelder innføring av nye metoder innen akuttmedisin. Til tross for at vi vet hvor viktig det er å gi rask behandling til akutt syke, er det betydelige mangler i beredskapen. Derfor gjør vi fortsatt som for 30 år siden; samler inn midler for å styrke redningskjeden. Akkurat nå Et prioritert prosjekt som vi nå bruker store ressurser på er trening og opplæring av utrykningspersonell. Basert på vår forskning og våre legers og redningsmenns erfaring, vil vi gi et kurstilbud til politi, ambulanse og brannpersonell i alle norske kommuner. Gi dem trening som sørger for at planer og teori virker i praksis. Et livsviktig arbeid som ikke dekkes av kommunale budsjetter. Til dette arbeidet trenger vi bedrifter som kan støtte oss og bruke sitt engasjement i egen omdømmebygging. Engasjementet bør vare i minimum to år. Ta kontakt med Stiftelsen Norsk Luftambulanse, marked bedrift på telefon , eller send en e-post til bedrift@luftambulansen.no Telefon

20 20 Oktober 2008 Hvordan håndterer du risiko? Kurs i effektiv risikostyring.* Risiko er ikke nødvendigvis uønsket. Enhver virksomhet må over tid være villig til å akseptere risiko, og det er ofte en klar sammenheng mellom risiko og gevinst. En virksomhets resultat vil derfor være påvirket av virksomhetens evne til å håndtere risiko. Vi inviterer til kurs hvor vi vil fokusere på praktisk implementering av risikostyring, herunder: styrets og ledelsens ansvar vanlige feil ved implementering organisering av risikostyring i virksomheten kostnadseffektiv implementering , kl Scandic Solsiden, Trondheim , kl PwC-bygget, Bjørvika, Oslo Informasjon og påmelding: *connectedthinking 2008 PricewaterhouseCoopers. PricewaterhouseCoopers-navnet refererer til individuelle medlemsfirmaer tilknyttet den verdensomspennende PricewaterhouseCoopers-organisasjonen. *connectedthinking er et registrert varemerke for PricewaterhouseCoopers.