Hopp til hovudinnhald

Godkjenne forslag til risikohandtering

Risikoeigar eller systemeigar fellessystem må godkjenne at ein skal gå vidare med forslaget til handtering av risiko, før etableringa av tiltaka startar.

    Målgruppe

    • Risikoeigarar og systemeigarar fellessystem. Vi kallar dei avgjerdstakar her.

    1. Utgangspunkt og bakgrunn

    Denne aktiviteten startar når avgjerdstakar har motteke eit forslag om handtering av eit sett risikoar. Risikoane er normalt knytte til ei eller fleire oppgåver, tenester eller informasjonssystem vedkomande eig og har ansvaret for. Forslaget kan også omfatte tiltak som følgjer av konkrete krav i lover, reglar, avtalar og liknande.

    Bakgrunnen vil ofte vere at avgjerdstakar har bede om at nokon gjennomfører ei risikovurdering, analyse av eksterne krav, og eit tilhøyrande arbeid for å føreslå handtering av risikoane. Resultatet er berre eit avgjerdsgrunnlag som skal støtte avgjerdstakar i vurderinga til denne.

    Avgjerdstakar kan sjølv ha delteke i arbeidet. Det er likevel ryddig og ofte naudsynt at vedkomande i etterkant gjer ei sjølvstendig sluttvurdering.

    2. Vurdere kvalitet

    Avgjerdstakar bør først vurdere kvaliteten på både eventuell analyse av krav, risikovurderinga og arbeidet med å føreslå handtering. Vurderinga bør tilpassast alvorsgrad og kompleksitet på det arbeidet som er gjort. Behovet for å vere grundig i den påfølgjande vurderinga av restrisiko, kost/nytte og finansiering vil bli påverka av resultatet av denne kvalitetsvurderinga. Ho er difor viktig å gjennomføre.

    Følgjande kan ein med fordel reflektere over og sjå i samanheng under kvalitetsvurderinga:

    • føremål og kritikalitet på involverte oppgåver/tenester og informasjonssystem
    • kva lovverk og avtalar som eventuelt er involverte
    • nivå på dei største risikoane og dei med størst konsekvens
    • kompetansen hos deltakarane
    • systematikken i arbeidet
    • nivået på dokumentasjonen
    • deltakarar si eiga vurdering av kvaliteten

    2.1 Vurdere restrisiko og kunnskapsstyrke

    Avgjerdstakar bør deretter gjere ei vurdering av om restrisikoane er akseptable. Verksemda sine kriterium for å akseptere risiko vil vere viktig støtte i vurdering og avgjerd. Desse skal vere nedfelte i verksemda sine styrande dokument.

    Avgjerdstakar bør vidare alltid merke seg det grunnarbeidet seier om kunnskapsstyrken bak estimerte risikoar og restrisikoar. Ein bør spesielt vurdere om ein bør sjå nærmare på restrisikoar med høg konsekvens og låg kunnskapsstyrke. Dette indikerer stor uvisse i vurderingane om noko som kan få store konsekvensar. Her kan det spesielt vere behov for avgjerdstakar si eiga vurdering. Det kan då vere naudsynt å gå grundigare inn i analysane bak både risikoane og handteringa av risiko.

    Om avgjerdstakar meiner at restrisikoane er akseptable, men ikkje sjølv har styresmakt til å akseptere dei høgaste, må godkjenninga av dei restrisikoane det gjeld bli løfta til eit høgare avgjerdsnivå.

    2.2 Vurdere kost/nytte

    Avgjerdstakar bør vidare sjå på kost/nytte-vurderingane i forslaget. Ein må ta stilling til om ein aksepterer vurderingane og stør vala dei fører med seg, både når det er gjort forslag om tiltak og når dei er avviste. Ved behov må ein gå konkret inn i kost/nytte-vurderingane.

    Hovudfokuset til avgjerdstakar bør normalt rettast mot eit utval av både tilrådde tiltak og tiltak som er identifiserte, men ikkje tilrådde. Moglege tiltak rundt risikoar med store konsekvensar og identifiserte tiltak som har store direkte kostnader eller vesentlege negative sideeffektar, vil ofte vere det viktigaste utvalet å sjå nærmare på.

    Direkte kostnader omfattar

    • investeringar
    • årleg drift

    Sideeffektar omfattar negativ innverknad på nokre av områda

    • primær måloppnåing
    • effektiviteten til verksemda
    • arbeidssituasjonen til dei tilsette
    • etterleving av lover og reglar
    • andre risikoar

    Om tilrådde tiltak har store sideeffektar, bør avgjerdstakar vurdere om det er behov for å hente inn ekstra synspunkt frå

    • eiga leiargruppe
    • arbeidstakarorganisasjonane
    • grupper av dei tilsette
    • andre som blir påverka

    Avgjerdstakar bør også vere særleg merksam på om nokre av tiltaka gjer det naudsynt med informasjon, drøfting eller forhandling med dei tillitsvalde. Ein må då sikre at dette blir handtert før tiltaket blir godkjent.

    2.2.1 Gjennomføring av kost/nytte-vurderingar

    Kjernen i kost/nytte-vurderinga er at ein ser på effekten av tiltaket, og vurderer om risikoreduksjonen (nytta) det gjev står i stil med kostnadene. Med kostnader meiner vi både dei direkte utgiftene og dei negative sideeffektane.

    Om kostnadene er større enn risikoreduksjonen, vil det i eit reint kost/nytte-perspektiv vere betre at verksemda lever med risikoen, og ikkje set inn tiltaket.

    Kost/nytte-vurderingar kan gjennomførast overordna og enkelt på oversiktlege problemstillingar med låg til moderat kostnad og sideeffektar. Dei bør i større grad gjennomførast systematisk og fagleg ved store risikoar, kompliserte samanhengar og større kostnader eller sideeffektar. Behovet for systematikk, detaljeringsnivå og dokumentasjon er avhengig av kor enkelt avgjerdstakar kan sjå svaret, kor store kostnader som er involverte, og kva prinsipp ein skal følgje i valet.

    2.2.2 Prinsipp for godkjenning av tiltak

    Kor vidt val og godkjenning av tiltak bør gjerast ut frå eit reint kost/nytte-prinsipp, eller om ein skal ta omsyn til andre prinsipp, bør gå fram av verksemda sine kriterium for å akseptere risiko.

    For enkelte arbeidsområde eller risikotypar kan leiinga til dømes ha vedteke at verksemda skal nytte ALARP-prinsippet. Då vil ein for enkelte risikoar kunne akseptere tiltak som kostar meir enn ei rein kost/nytte-vurdering tilseier at det burde.

    ALARP: as low as reasonably practicable. Prinsippet vil seie at risikoen skal reduserast så lang det er praktisk mogleg.

    Lov- og regelverk på nokre spesifikke fagområde krev bruk av ALARP-prinsippet. På den andre sida signaliserer økonomiregelverket og utgreiingsinstruksen i staten at val av tiltak normalt bør skje ut frå eit reint kost/nytte-prinsipp.

    I dei enkelte verksemdene bør prinsippa for godkjenning av tiltak veljast og tydeleggjerast under utforminga av føringane for arbeidet med informasjonssikkerheit. I tillegg bør foranalysen av dei enkelte ansvarsområda avdekkje om lover eller reglar stiller krav om spesielle prinsipp for dei konkrete arbeidsoppgåvene. Både dei som gjer forslag om handtering av risikoar og dei som godkjenner risikohandteringa, må forhalde seg til dette.

    3. Finansiere tiltaka

    Avgjerdstakar må også ta stilling til om kostnadene på tiltaka kan godkjennast innanfor eigne budsjett, eller om ein må sikre budsjett- og ressursmessig dekning hos tiltaksleverandørar, hos andre oppgåveeigarar eller høgare opp i linja. Med kostnader meiner vi både kronebeløp i investeringar og drift og tidsbruk av tilsette.

    Om eitt eller fleire tiltak fører med seg store uføresette kostnader, kan det vere nødvendig å kople denne delen av vedtaket til budsjettprosessane i verksemda. Avgjerdstakar bør då vurdere å akseptere eventuelle mellombelse tiltak der det er aktuelt og mogleg.

    4. Involvering av andre avgjerdstakarar

    Om avgjerda gjeld eit fellessystem i verksemda, bør den som er systemeigar, avstemme aksepten sin av restrisiko og sideeffektar med dei andre avgjerdstakarane som brukar systemet. Det er desse som ofte må bere konsekvensane og sideeffektane ved risikoar og tiltak i fellessystem.

    Representantar frå dei andre avgjerdstakarane bør ha blitt involverte i arbeidet med vurdering av risiko, og forslag til handtering. Dei andre avgjerdstakarane bør difor vere kjende med arbeidet og kunne ta for seg risikoar som vedkjem dei.

    Ved usemje mellom systemeigar og andre avgjerdstakarar om kva som kan aksepterast, må aktuelle problemstillingar løftast til eit høgare avgjerdsnivå.

    5. Dokumentere

    Om avgjerdstakar gjennom prosessen over avviser føreslåtte tiltak, bør avgjerda og grunngjevinga dokumenterast på føremålstenleg måte. Også når forslag er godkjende og finansierte, bør dette dokumenterast. Kva som er føremålstenleg, må avgjerast ut frå verksemda sine eigne krav og avgjerdstakar si vurdering.

    6. Be om ny vurdering

    Behandlinga over kan føre med seg at avgjerdstakar må be om nye vurderingar i grunnarbeidet. Årsak og grunngjeving kan vere både

    • kvalitet
    • uakseptable restrisikoar
    • kost/nytte
    • manglande finansiering
    • manglande semje med andre oppgåveeigarar

    Eit slikt nytt oppdrag kan gå til dei same som utførte det opphavlege arbeidet, dei same supplerte med ekstra kompetanse, eller til ei heilt anna gruppe eller person. Dette må vere ei skjønsmessig vurdering avgjerdstakar gjer ut frå tilgjengeleg tid, ressursar og kompetanse. Samstundes vil det oftast vere mest kostnadseffektivt minimum å inkludere nøkkelpersonar frå dei opphavlege vurderingane.

    Det er uansett avgjerande at det blir sett av tilstrekkelege ressursar til å gjennomføre arbeidet på det kvalitetsnivået avgjerdstakar forventar.

    Det er også viktig at eit nytt oppdrag får klare tilbakemeldingar frå avgjerdstakar om

    • kva som ikkje var bra nok eller ikkje kan godkjennast
    • kva som bør vurderast på nytt eller gjerast meir tydeleg
    • kva justerte føringar som eventuelt skal gjelde for arbeidet

    7. Godkjenne og sikre oppfølging

    Når avgjerdstakar har godkjend den samla risikohandteringa, bør det peikast ut ein handteringsansvarleg som skal planleggje og følgje opp den samla iverksetjinga av tiltaka.

    I oppdragsskildringa bør avgjerdstakar normalt tydeleggjere

    • tidsrammer
    • kostnadsrammer og budsjettdekning
    • rapporteringskrav
    • eventuelle prioriteringar handteringsansvarleg skal forhalde seg til
    • kva styresmakt handteringsansvarleg har til å involvere andre og ta avgjerder
    • korleis handteringsansvarleg skal behandle situasjonar der det viser seg at tiltaka ikkje gjev føresett
      • risikoreduksjon
      • maksimale kostnader
      • maksimale sideeffektar

    I nokre situasjonar kan handteringsansvarleg vere avgjerdstakar sjølv. Det kan også vere den som har leia den tidlegare risikovurderinga, eller nokon som var sentrale i arbeidet med å gjere forslag om handtering. Dei siste vil ofte vere dei som har best føresetnader til å vere handteringsansvarlege. Avgjerdstakar kan likevel også peike ut andre som har tilgjengeleg kapasitet.