Danske virksomheder skal være bedre til krisestyring Muhammedtegninger, 9/11 og danske styrker i internationale militære operationer har vendt op og ned på trusselsbilledet. Danske virksomheder i både ind- og udland er blevet yndede mål for terrorister og andre med ondt for øje. Det stiller nye og mere omfattende krav til virksomhedernes kriseberedskab, der også må forholde sig til korruption i egne rækker, læk af forretningshemmeligheder, cyberkriminalitet og anden ødelæggende aktivitet for virksomheden. Tekst Albert Rønning-Andersson | Foto Peter Dalby
Med emner, der spændte vidt og handlede om alt fra brodne kar i kringlede værdi- og forsyningskæder, læk af fortrolige informationer, kidnapning af udsendte expats og hackere i cyberspace, blev det klart for alle, hvor vigtigt det er med nøje udførte risikovurderinger og veltrænede beredskaber, der kan træde i kraft, når uheldet er ude, og krisen rammer.
Terror, it-kriminalitet, korruption, spionage og kidnapning. Det kan lyde fjernt, udansk og som taget fra en James Bond film. Ikke desto mindre er det den skinbarlige virkelighed for stadig flere danske virksomheder, der med Muhammedkrisen, terroranslaget på tvillingetårnene i USA og det danske engagement i Mellemøstens konfliktramte områder i dag står over for trusler af en hidtil uset karakter og størrelse.
VIRKSOMHEDER ER TRUEDE “Der er en betydelig trussel mod Danmark og danske interesser i både ind- og udland. Navnlig genoptrykningen af Muhammedtegningerne, har gjort Danmark til et attraktivt mål for militante islamister. Især de større danske virksomheder, der handler med og i lande som Pakistan og Afghanistan og det meste af Afrika og Mellemøsten, er udsatte, da det navnlig er hér, at de militante islamiske grupper er aktive”.
Det kom frem, da Henley Business School for nyligt inviterede til Masterclass med titlen Crisis Management & Corporate Reputation. Her blev internationale sikkerhedseksperter og et halv hundrede danske ledere med ansvar for sikkerhed, krisestyring og strategisk kommunikation sat i stævne til en dag med debat, information og erfaringsudveksling om ét af tidens hotteste issues – krisestyring.
→
1
svækket handlen med og forpestet forholdet til den ellers folkerige og handelsattraktive nation.
Ordene kom fra oplægsholderen David Burrill - en notabilitet og international kapacitet af de helt store, der med det lidet opmuntrende budskab vakte stor lydhørhed blandt de fremmødte.
Samtidigt er det med globaliseringen og de deraf skærpede kommercielle konkurrencevilkår blevet mere almindeligt med spionage, tyveri og misbrug af information. Virksomheder skal levere sorte tal på bundlinjen, og presset på de enkelte medarbejdere er tilsvarende steget. De
David Burrill er til daglig CEO i det verdensomspændende private sikkerhedsfirma, Burrill Green Group (UK) og desuden advisor for sikkerhedsfirmaet Praesidio Group (DK). Han har tidligere været øverste ansvarlig for sikkerheden i det britiske militær og efterretningsvæsen og desuden stået i spidsen for sikkerhed og reputation management i The British American Tobacco Industries. Burrill har beskæftiget sig med sikkerhedsrådgivning og krisestyring det meste af sit professionelle liv.
Der er en betydelig trussel mod Danmark og danske interesser i både ind- og udland
Med sin sirligt strøget skjorte, slips, mørke blazer, fløjlsbukser med pressefolder, nypudsede sorte laksko, og lækker britisk accent, stod han frem som en gentleman, der syntes som taget ud af en spion- og agentroman af Len Deighton. Burrill har indsigt i den nyeste viden på området og kunne tørt konstatere, at “også mindre virksomheder med base herhjemme må forvente at kunne stå for skud”.
skal performe mere end tidligere, og det kan få brodne kar til at handle uetisk og i strid med virksomhedens værdimæssige retningslinjer.
Det geopolitiske landskab er nemlig under hastigt forandring, og politiske gnidninger får hurtigere og større effekt på samhandel og eksport end tidligere. Se blot på de pludseligt opståede spændinger i forholdet mellem Rusland og det østlige Ukraine, der stort set har lammet den danske eksport af svin til området. Eller tag sagen om den danske våbensmugler, Nils Holck, hvis aktiviteter i Indien har
“Alle virksomheder, store som små, bør derfor tænke sikkerhed, forebyggelse og krisestyring ind som en fundamental del af virksomhedens forretningsplan,” lød det således fra Burrill. Det handler om at kortlægge sårbarheder og afdække potentielle risici. Om at tage de nødvendige forholdsregler, oprette beredskabsplaner og →
2
udnævne, træne og opretholde kvalificerede kriseteams. Ledere såvel som medarbejdere skal vide nøjagtig, hvem der handler, hvordan og med hvilke midler, når kritiske hændelser opstår, og virksomheden og eller dens medarbejdere er i fare, lød det med overbevisende argumentationskraft. Der er nemlig adskillige fordele ved at være så beredt som over hovedet muligt – også selvom det på den korte bane kan koste lidt på budgettet at indhente professionel rådgivning udefra. “Fordelene er flere. Man forebygger og reducerer risici. Man får overblik over potentielle brister i sikkerheden. Man sikrer, at der handles korrekt i hektiske krisesituationer, og man øger forudsætningerne for, at eventuelle driftsnedbrud som følge af krisen bliver så korte og ubetydelige som mulige,” sagde sikkerhedseksperten og tilføjede, at også trygheden blandt medarbejderne vil stige, når de ved, at virksomheden har planer for, hvordan eventuelle kidnapninger, tyveri, hackerangreb, brand mv. skal adresseres.
Diemer fortæller, at danske virksomheder nok er bevidste om de risici, der findes, men at alt for få har taget aktiv stilling til, hvordan samme risici skal adresseres. Et forhold, der understregedes af, at kun de færreste på Masterclassen kunne fortælle, at man i deres virksomhed har forholdt sig eksplicit til, hvordan man agerer i tilfælde af pludseligt opståede kriser.
“På den måde kan et beredskab også bruges til imagepleje og til at skabe konkurrencefordele overfor kunder og eksterne samarbejdsrelationer, der finder tryghed i, at virksomheden ikke går nedenom og hjem i tilfælde af krise,” sagde Burill, der også fik med, at mange forsikringsselskaber efterhånden er begyndt at stille krav om dokumenterede katastrofeberedskaber som forudsætning for at dække skader. Også af den grund er det blevet stadig mere presserende med fokus på krisestyring, lød det.
“Danske virksomheder er – med enkelte undtagelser – særdeles sårbare. Vi er langt bagud sammenlignet med lande som USA og
Alle virksomheder, store som små, bør derfor tænke sikkerhed, forebyggelse og krisestyring ind
DANSKE VIRKSOMHEDER HAR FOR LIDT FOKUS PÅ KRISESTYRING Og dét budskab burde langt flere end for nuværende tage til sig. Som det er i dag, er danske virksomheder alt for dårligt rustede til at imødekomme kriser og håndtere dem effektfuldt.
Det fortæller Susanne Diemer, CEO i Praesidio, det dansk funderede private sikkerhedsfirma, der har Burrill som ekstern rådgiver, og som lever af at yde rådgivning og ydelser om alt fra kidnapninger, kortlægning af risici, beredskabsplaner, fysisk sikring, korruption, due diligence, brand-management og krisestyring.
UK. Både når det kommer til cyperspionage, it-sikkerhed og hånd teringen af og bevidstheden om, hvilke af virksomhedens data, der er kritiske og vitale. Man har simpelthen for lidt fokus på sikkerhed og investerer for få ressourcer i at beskytte sig selv,” siger hun. MANGLENDE BEREDSKAB KAN FÅ GRAVERENDE FØLGER Og det er dumt, for konsekvenserne af en manglende risikovurdering og eksplicit nedfældede beredskabsplaner for forretning og drift er store og kan føre til både materielle, finansielle, menneskelige, operationelle og omdømmemæssige tab.
Tab der i værste fald kan ende med, at virksomheden må lukke ned, sådan som det eksempelvis skete for det svindelramte OW Bunker. Selskabet, der målt på omsætning var landets næststørste – kun overgået af A.P. Møller-Mærsk, blev stiftet i 1980 og børsnoteret i begyndelsen af 2014. Det beskæftigede sig primært med køb og salg af brændstof til skibe og havde indtil krakket senere samme år flere end 600 ansatte i 29 lande. →
3
havde ansvar for hvad, og man ville derfor kunne have handlet langt mere hensigtsmæssigt, både før, under og efter krisen. Måske man endda ville have afsløret svindlen, inden den overhovedet kom så vidt,” siger hun og nævner systematiske screeninger af medarbejdere, individuelle log-on koder, krypterede usb-nøgler, konkurrenceklausuler, code of conduct-regler, begrænsning af fortroligt materiale til et fåtal af personer og overvågningssystemer til opsporing af unormal dataopførsel, som eksempler på forholdsregler en virksomhed kan tage, når det kommer til beskyttelse af viden og produkter.
Men da en ledende medarbejder hos et datterselskab i Singapore så sit snit til at svindle for milliarder af kroner, gik det galt. Betalingsstandsning, konkursbegæringer, retssager og erstatningskrav fulgte
Mediernes indflydelse på krisers udfald må ikke undervurderes, og det er derfor godt givet ud at holde sig på god fod med pressen
Forholdsregler som også Nets og IBM burde have været mere omhyggelige med i forbindelse med Se & Hør-skandalen, hvor en it-ansat ved IBM angiveligt lækkede personfølsomme oplysninger om kendte menneskers brug af kreditkort fra Nets til Se og Hør. Oplysninger, som Se & Hør brugte til at spore de kendtes ellers hemmeligholdte færden, og som ugebladet efterfølgende skrev slagfærdige og kioskbaskende historier ud fra.
i kølvandet på skandalen, der ifølge Susanne Diemer kunne være minimeret eller helt undgået, hvis man havde haft styr på risikoen og taget sikkerhedstruslen alvorligt og investeret ressourcer i de nødvendige forebyggende foranstaltninger.
MEDIERNES MAGT SKAL TAGES ALVORLIGT “Sagen ruller stadig. Der er rejst sigtelser, og tilfældet Nets/IBM og Se & Hør illustrerer også, hvor stor en magt og betydning medierne - herunder også de sociale har fået for krisers udvikling og styringen heraf. En sag kan opstå i løbet af ingen tid, og sociale medier kan både starte og intensivere kriser. Informationer spredes hurtigere end nogensinde før og til langt flere mennesker. Det gør, at navnlig de børsnoterede virksomheder skal være sig mediernes →
“Havde man haft en beredskabsplan, kunne man have forebygget og minimeret skaderne. Med et grundigt sikkerhedstjek og en veludført beredskabsplan ville man have haft et solidt overblik over potentielle trusler og sårbare flanker. Man ville vide nøjagtig, hvem der
4
“Kriser involverer kommunikation til og med medierne, der råt for usødet vil afkræve svar på, hvad der sket og hvorfor. Forklaringen herpå kan være ubehagelig at få frem og pinagtig at skulle give, men det nytter ikke at lyve om den. For løgne har det med indhente én, og har man først talt usandt eller på anden måde fiflet med sandheden, og kommer det frem, at man har haft uld i mund, vil det ramme én hårdt. Alfa og omega er derfor aldrig at lyve, ikke at dække over egne fejl og mangler, at holde sig til fakta og at kommunikere med overbevisning. Mediernes indflydelse på krisers udfald må ikke undervurderes, og det er derfor godt givet ud at holde sig på god fod med pressen,” sagde Burrill, inden han sluttede dagens Masterclass af med en opfordring til blot at komme i gang med at få hold på beredskaberne. “Hellere i dag end i morgen. For virksomhedens bundlinje, kundernes købelyst, medarbejdernes sikkerhed og ikke mindst jeres eget ve og vel. God arbejdslyst”.
magt bevidst. For hvis ikke de straks får kommunikeret ud, at en given krise bliver taget alvorligt og håndteret professionelt, vil børserne ’afhandle ved kasse 1,’” siger Susanne Diemer og fortæller, at både Aller (der ejer Se & Hør), IBM og Nets er raslet ned i diverse imagemålinger som følge af skandalen og den efterfølgende pressehåndtering. Hun slår derfor til lyd for, at virksomhedens kriseberedskab skal bestå af en lang række personer – herunder folk med gode kommunikative evner.
FAKTABOKS:
Tanker at gøre sig, inden man opretter et kriseberedskab:
“Med den rette eksterne krisekommunikation og med en hensigtsmæssig måde at håndtere pressen på, kan man bedre end ellers øve indflydelse på, hvordan kunder og offentligheden opfatter og fortolker situationen. Et kriseberedskab bør derfor – afhængig af den konkrete krise - have folk med gode kommunikative evner tilknyttet
1. Hvilket beredskab har vi brug for? 2. Hvem skal vi samarbejde med? 3. Hvordan skal vi organisere os internt i virksomheden? Tre overordnede komponenter, en virksomheds håndtering af trusler bør indeholde:
En sag kan opstå i løbet af ingen tid, og sociale medier kan både starte og intensivere kriser
• • •
Sikringsforanstaltninger og andre forebyggende tiltag Krisestyringsplan Genetableringsplan
Tre ting du bør have overblik over: • • •
Hvilke af virksomhedens funktioner er kritiske? Hvilke trusler er relevante for virksomheden? Hvilke trusler udgør de største risici, og hvor er virksomheden mest sårbar?
Krisestyringsplanen: Bør være kortfattet og fokusere på at:
i tillæg til HR-personale, it-ansvarlige og repræsentanter fra ledelsen. Sammen med ekstern rådgivning fra private sikkerhedsfirmaer, vil man stå stærkt og reducere risikoen for, at virksomhedsbrandet lider for megen skade,” siger hun.
• • •
“NEVER LIE” Samme budskab blev udgangsbønnen på Masterclassen, hvor sikkerhedseksperten David Burill listede en række grundlæggende råd og principper for krisestyring op. Omtrent 20 af slagsen blev det til, men vigtigst af dem alle var ifølge Burrill - det simple, men i praksis ofte vanskeligt udførte råd om aldrig at lyve. For før eller siden vil sandheden komme frem, og har man først talt usandt én gang, vil løgnen ramme én som en hårdtslående boomerang.
• •
Stoppe krisen og inddæmme skaden Få overblik over situationen Informere medarbejdere og kontakte relevante personer og myndigheder Begynde genetablering til normal tilstand Evaluere og justere beredskabet og krisehåndteringen.
Kilde: PET: ’Tænk sikkerheden med – Et best practice beredskab til danske virksomheder’
5