Modstandsdygtighed starter i ledelsen 

Vi står i dag i en global og digital verden, hvor der for virksomheder lurer mange andre og måske større farer og uforudsete kriser end corona. Og de sker hurtigere og med en større påvirkning end mange især mindre virksomheder er forberedte på.  

Derfor er vigtigheden af at ruste sin virksomhed til fremtidens kriser og forandringer større end nogensinde før. Så muligheder kan gribes og kriser håndteres. Det handler både om at være klar til at rykke, når markedet er svækket, og konkurrenterne står på hælene, og om at kunne sikre den fortsatte drift, hvis man rammes af fx forsyningssvigt eller hackerangreb.  At være en modstandsdygtig virksomhed handler nemlig både om at omfavne nye tendenser, tilpasse sig forandringer i markedet, håndtere en krise og komme ovenpå igen bagefter.

Men alt for mange virksomheder mangler et beredskab til at imødegå uforudsete hændelser. Det er et problem for den enkelte virksomhed, men også for den globale samfundsøkonomi. Ser man alene på informationssikkerhed viser undersøgelser gang på gang, at alt for mange virksomheder underprioriterer området og eksempelvis ikke har implementeret basale sikkerhedstiltag. Og det gælder særligt, når det kommer til SMV’er. Eksempelvis viser Erhvervsstyrelsens analyse om digital sikkerhed i danske SMV'er fra efteråret, at 40 pct. af danske SMV'er har et utilstrækkeligt digitalt sikkerhedsniveau. Og en ud af fire SMV’er har ikke implementeret de to grundlæggende digitale sikkerhedstiltag: opdatering af styresystemer og backup af data.

Og det kan få alvorlige konsekvenser. Cyberangreb risikerer jo om noget netop at påvirke virksomhedens drift og forsyningskæde og skade kerneforretningen. 

Standarder som styringsværktøj

Kriser som et hackerangreb eller en pandemi er i sin natur på mange måder uforudsigelige for virksomhedsledelserne, men det ændrer ikke på, at de er nødt til at agere både på en innovativ, men også på en struktureret og organiseret måde. Og der findes faktisk allerede redskaber, som ledelsen kan bruge i form af standarder, som for eksempel ledelsestandarden for forretningskontinuitet og robusthed ISO 22301 og ledelsesstandarden for Informationssikkerhed ISO/IEC 27001. En ledelsesstandard behandler alle de emner, som en ledelse bør forholde sig til, og er med til at skabe systematik i, hvordan den leder sin virksomhed på det pågældende område. Eksempelvis er ISO 27001 et styringsværktøj, der hjælper virksomheder til at beskytte værdifulde informationer – herunder persondata – på en sikker og troværdig måde, blandt andet ved at stille krav til risikostyring, dokumentation af processer samt fordeling af roller og ansvar for informationssikkerhed.

Standarder kan dog for nogle – især mindre virksomheder – virke som lidt af en mundfuld at give sig i kast med. Derfor har vi i Dansk Standard sammen med en række andre aktører og med støtte fra Erhvervsstyrelsen udviklet en guide, der skal hjælpe særligt SMV’er med at blive mere modstandsdygtige i forhold til blandt andet forsyningskæder, produktions- og driftsforstyrrelser og cybersikkerhed.

Standarder gør ledelsesmæssige udfordringer håndgribelige

Men hvad er det så, der skal til? Hvordan ruster man sin virksomhed til fremtidens kriser og forandringer? 

Først og fremmest er det altafgørende, at håndteringen er forankret i topledelsen, da det for mange virksomheder er et spørgsmål om overlevelse. Det handler både om at have et forretningsmæssigt overblik og et solidt fundament til at vurdere og handle på de muligheder og risici, der opstår, når verden forandres. Og det handler om at kunne arbejde systematisk og struktureret i kaotiske situationer, så man har en guide og tjekliste til, hvad man skal tage stilling til, og hvilke skridt man skal igennem, når krisen banker på.

En af de største opgaver i den forbindelse er at gennemgå virksomheden i forhold til at identificere de forretningskritiske områder. Her ses eksempelvis på, om produktionen kan opretholdes, butikken holdes åbent eller processerne fortsættes og på, hvilke nødforanstaltninger der skal være klar til at sikre fortsættelse af driften. 

Et andet punkt er spørgsmålet om forsyningskæder. Med leverandører spredt ud over hele verden risikerer man hurtigt at løbe tør for vigtige råvarer, produktionsudstyr og andet, der er kritisk for at opretholde driften. Der er derfor behov for, at ledelsen sikrer, at der er udarbejdet de nødvendige procedurer, fx i forhold til at få skabt et overblik over komponentlager, samt hvilke alternative leveringsmuligheder virksomheden har – herunder kan det for eksempel være nødvendigt at sikre sig, at de valgte leverandører har forskellige underleverandører. 

Ser man på arbejdet med cyber- og informationssikkerhed, handler det blandt andet om at kortlægge og vurdere virksomhedens vigtigste informationer, implementere tiltag der styrker beskyttelse af informationer og data samt at beskytte virksomheden og kunder mod angreb.

Og det er netop alle disse ledelsesmæssige udfordringer, som guiden hjælper med at gøre håndgribelige. Den guider nemlig trin for trin virksomhederne igennem de vigtigste overvejelser og tiltag, der er nødvendige for at kunne udnytte nye muligheder i markedet og håndtere risici. 

Kort sagt handler det om, at man har et ledelsesmæssigt greb om situationen. Og ledelsesredskaberne findes allerede, de skal bare bruges af endnu flere – både til gavn for den enkelte virksomhed og for den globale samfundsøkonomi.