Har du opplevd halvbevisst risikotaking? Det er jeg nesten 100 % sikker på at du har.
Personlig husker jeg godt et tilfelle der en viktig (ifølge prosessbeskrivelsen) operasjonell kontroll ikke ble gjennomført i 6 måneder fordi en omorganisering førte til at en tilfeldig utplukksliste som var grunnlag for kontrollen, ikke lenger ble levert til avdelingen. Manglende utplukksliste innebar at det ikke fantes grunnlag for kontroll og derfor stoppet også den viktige kontrollrutinen opp. Listen som ble etterlyst av den omstrukturerte avdelingen, lå fortsatt i utviklingskøen, men ble lovet utarbeidet. Lederen som etterlyste listen slo seg til ro med at den skulle komme etter hvert og at kontrollrutinen kunne gjenopptas.
Da har lederen i min mening de facto akseptert en økning i operasjonell risiko uten at dette er bevisst uttalt eller rapportert noe sted.
Det er dette Stuart Madnick, professor i Informasjonsteknologier ved MIT Sloan School of Management, definerer som halvbevisst beslutningstaking (semi-conscious decision making). I det tilfellet jeg refererer til var det ingen i ledelsen som tenkte igjennom den økonomiske risikoen ved å droppe kontrollen og heller erstatte en maskingenerert liste med en egen liste basert på et manuelt tilfeldig uttrekk av utbetalinger i måneden. Det hadde også hjulpet med en god rutine for oppfølging av om kontrollene ble løpende gjennomført (control self-assessment). En annen mulighet ville vært å tatt en bevisst vurdering av nødvendigheten av kontrollen eller om den operasjonelle risikoen kunne overvåkes på en annen måte f.eks ved bruk av dataanalyse. Poenget er i så fall å ha et bevisst grunnlag for den risikobeslutning man tar.
Granskinger utført etter cyberangrep viser at halvbevisst beslutningstaking skjer på alle nivåer, fra mellomledere med teknisk kompetanse til toppledelsen og styret. Det er ikke bare én enkelt kontroll eller et tiltak som kan forhindret angrep, men ofte et helt sett. Dette fører tankene mine over på sveitserost-modellen som brukes ved risikostyring på ulykkesområdet f.eks i forbindelse med flysikkerhet. I følge denne modellen oppstår problemet ikke bare fordi det var én kontroll som manglet, men et helt sett med fraværende kontroller som eter seg inn som hull i en sveitserost. Det er av denne årsak også viktig når uhellet først er ute, å foreta en rotårsaksanalyse. Den første umiddelbare konklusjonen på ulykken, om at det var én kontroll eller person som sviktet, blir ofte erstattet med konklusjon på at det var feil i finmasking av kontrollopplegget på mange ledd, som brakte uhellet på banen.
På Stuart Madnicks eget fagfelt på cyberriskområdet har professoren to råd for å beskytte virksomheten:
1. Økt kunnskap hos ledelsen på alle nivåer om potensielle konsekvenser av cyberangrep f.eks ved å analysere og lære fra virkelige hendelser og/eller gjennomføre scenariotester av mulige angrep som kan finne sted.
2. Når ledere på alle nivåer arbeider med planer om å øke inntjening og redusere kostnader, må man foreta en bevisst og gjennomtenkt vurdering av cyberrisiko før endringene iverksettes.
For min egen del er jeg glad for å ha funnet et uttrykk som presist beskriver en situasjon som jeg altfor ofte komme bort i – halvbevisst beslutningstaking.