Håndtering av risiko

Håndtering av risiko er «hendene» i internkontrollen. Det handler om å velge blant flere alternativer for å behandle risiko, og iverksette og forvalte det som blir besluttet.

På denne siden

    Målgruppe

    • Fagansvarlig informasjonssikkerhet
      • hele beskrivelsen
    • Personer som skal forberede, lede eller gjennomføre enkeltaktiviteter
      • enkeltaktiviteter avhengig av ansvarsområde
    Forklaringsmodell som viser de syv hovedaktivitetene i internkontrollen: Ledelsens styring og oppfølging, Vurdering av risiko, Håndtering av risiko, Overvåking og hendelseshåndtering, Måling, evaluering og revisjon, Kompetanse- og kulturutvikling og Kommunikasjon. Piler mellom de ulike aktivitetene viser at kommunikasjonen går på tvers og fra og til ledelsens styring og oppfølging. Håndtering av risiko er uthevet.

    1. Innledning

    Man har grovt sett fire hovedalternativer for håndtering av risiko:

    • Unngå
    • Dele
    • Redusere
    • Akseptere

    Sikkerhetstiltak etableres og forvaltes for å redusere risiko, gjennom å redusere konsekvenser av uønskede hendelser eller sannsynligheten for at de inntreffer. Risiko kan også unngås ved å ikke utføre oppgaver som er opphavet til risiko eller utføre oppgaver og levere tjenester på andre måter. Risiko kan også deles eller aksepteres.

    1.1 Varige tiltak og engangstiltak

    Tiltakene som iverksettes, kan være noe man gjør én gang, eller noe man etablerer permanent og som skal virke over tid. De varige tiltakene skal forebygge, oppdage eller reagere på uønskede hendelser som kan gi uønskede konsekvenser. Det er de varige tiltakene vi som regel sikter til når vi bruker begrepet sikkerhetstiltak.

    Ofte vil det være hensiktsmessig å kombinere engangstiltak og varige tiltak når man skal håndtere en risiko. Man kan også som et bevisst valg akseptere risikoen uten nye tiltak.

    1.2 Kostnadseffektivitet og sideeffekter

    Virksomheten bør ha en kostnadseffektiv og helhetlig forvaltning av sikkerhetstiltak.

    Det handler blant annet om å finne ut hvilke sikkerhetstiltak som skal inngå i fellessikringen for alle oppgaver og tjenester, og hvilke som skal være tilleggssikring der det er særskilte behov.

    Ved valg og utforming av tiltak må man ofte finne pragmatiske løsninger. De ulike risikoeiere og systemeiere for fellessystemer må få en tilfredsstillende balanse mellom restrisiko på den ene siden og risikoreduserende effekt, direkte kostnad og eventuelle negative sideeffekter ved de enkelte tiltakene på den andre siden.

    Man bør unngå negative sideeffekter av sikkerhetstiltak der de gir liten nytte. Da kan sideeffektene i for stor grad gi negativ innvirkning på måloppnåelsen og effektiviteten i det virksomheten primært skal drive med. De pragmatiske kompromissene må uansett etableres innenfor virksomhetsledelsens kriterier for å akseptere risiko. Kriteriene bør være dokumentert i virksomhetens styrende dokumenter.

    1.3 Aktiviteter

    Risikoeiere og systemeiere fellessystem må systematisk få gjennomført følgende delaktiviteter:

    • Foreslå håndtering av risikoer
    • Godkjenne forslag til risikohåndtering
    • Iverksette godkjente tiltak

    Tiltaksleverandører må deretter gjennomføre følgende delaktiviteter:

    • Utforme og etablere sikkerhetstiltak
    • Oppdatere fellessikring og tilleggssikring
    Visuelt skille mellom aktivitetene

    2. Foreslå håndtering av risikoer

    Ansvarlig for gjennomføring

    • Risikoeiere og systemeiere fellessystem samt de prosessledere disse engasjerer for å lede gjennomføringen av arbeidet. Vi kaller risikoeiere og systemeiere fellessystem for beslutningstakere i denne beskrivelsen.

    2.1 Om aktiviteten

    Til slutt i risikovurderinger, under trinnet evaluering, skal man avklare hvilke risikoer som kan aksepteres, og hvilke som krever mer håndtering. Det siste innebærer at ulike tiltak må vurderes.

    Dersom evalueringen viser et behov for mer risikohåndtering, bør aktiviteten Foreslå håndtering av risikoer iverksettes. Aktiviteten må gjennomføres på oppdrag fra samme risikoeier eller systemeier av fellessystem som hadde ansvaret for risikovurderingen. Arbeidet bør ledes av en prosessleder. Arbeidet kan med fordel ledes og gjennomføres av de samme som utførte risikovurderingen, eventuelt styrket med representanter fra sentrale tiltaksleverandører.

    På samme måte som for Gjennomføre risikovurdering har vi utarbeidet en systematisk fremgangsmåte som kan brukes som utgangspunkt når man skal foreslå håndtering av risikoer. I praksis vil dette være en forlengelse av metoden vi foreslår for å gjennomføre risikovurderinger.

    Metoden er fleksibel, og på samme måte som ved gjennomføring av en risikovurdering er det svært viktig at prosessleder tilpasser bruken til de risikoer som skal behandles.

    Risikovurdering og foreslå håndtering i sammenheng

    Oppdraget eller mandatet som ble gitt for risikovurderingen, vil i mange sammenhenger omfatte både Planlegge risikovurdering, Gjennomføre risikovurdering og Foreslå håndtering av risikoer. De tre aktivitetene gjennomføres da sammenhengende i en sekvens. At de tilhører to forskjellige hovedaktiviteter, har ingen praktisk betydning.

    2.2 Oppfølging av eksterne krav

    Arbeidet bør inkludere forslag til spesifikke sikkerhetstiltak som følger av krav i regelverk eller avtaler. Disse skal være identifisert i delaktiviteten Analysere eksterne krav i Ha oversikt og prioritere i hovedaktiviteten Vurdering av risiko.

    2.3 Systematisk gjennomgang av identifiserte risikoer

    Virksomheten bør ha føringer for hvordan arbeidet med håndtering av risiko skal gjennomføres, inkludert kriterier for å akseptere risiko.

    Arbeidet med å foreslå håndtering av risikoer er en systematisk gjennomgang av identifiserte risikoer som ikke kan aksepteres uten nærmere vurdering. Man bør starte med de største og arbeide seg nedover i listen. Grunnlaget er analysen fra risikovurderingen. Dersom det er nødvendig, bør man foreta en grundigere analyse.

    For hver risiko må man vurdere om det finnes aktuelle tiltak for å unngå, dele eller redusere risikoen. Kost/nytte av de aktuelle tiltakene bør deretter vurderes ut fra faktorene

    • risikoreduserende effekt
    • direkte økonomisk kostnad
    • negative sideeffekter

    Så må de beste tiltakene, eller den beste kombinasjonen av tiltak, velges. Virksomhetens kriterier for å akseptere risiko bør være førende for hva som er tilstrekkelig omfang av tiltak. For å vise effekten av forslagene bør man for hver risiko synliggjøre estimert restrisiko. Der det er behov, bør man i tillegg vurdere midlertidige tiltak inntil endelig løsning er på plass.

    Når alle risikoer er behandlet, bør man til slutt si noe overordnet om kvaliteten på arbeidet og kunnskapsstyrken bak de nye estimatene på restrisiko. Kunnskapsstyrken ved spesielle risikoer kan ved behov kommenteres spesielt.

    Hjelp til gjennomføring

    Denne aktiviteten og Digitaliseringsdirektoratets metode er nærmere beskrevet på denne siden, tilpasset den som skal lede arbeidet med å foreslå håndtering av risikoer:

    For gjennomføring av aktiviteten kan dette brukes som støtte:

    Visuelt skille mellom aktivitetene

    3. Godkjenne forslag til risikohåndtering

    Ansvarlig for gjennomføring

    • Risikoeiere og systemeiere fellessystem. Vi kaller dem beslutningstakere her.

    3.1 Om aktiviteten

    Risikovurdering, analyse av eksterne krav og et tilhørende forslag til håndtering av risikoer må godkjennes av beslutningstaker. Det nevnte grunnarbeidet skal støtte beslutningstaker i det videre arbeidet med håndtering av risiko.

    Selv om beslutningstaker har deltatt i hele eller deler av grunnarbeidet, er det likevel ryddig og ofte nødvendig å foreta en selvstendig sluttvurdering i en egen godkjenningsaktivitet. Det kan bidra til gode beslutninger.

    Beslutningstaker må:

    • Ta stilling til kvaliteten på arbeidet. Behovet for grundighet i resten av godkjenningsaktiviteten vil påvirkes av denne kvalitetsvurderingen.
    • Vurdere om restrisikoene er akseptable. Her bør man være spesielt oppmerksom på kunnskapsstyrken. Ved lav kunnskapsstyrke eller annen usikkerhet rundt det som foreslås, bør beslutningstaker se nærmere på vurderingene som ligger bak.
    • Vurdere kost/nytte på foreslåtte tiltak. Det kan være behov for å hente inn synspunkt fra andre om mulige negative sideeffekter.
    • Sikre finansieringen av det som godkjennes.

    I enkelte situasjoner kan det være behov for å gå tilbake til grunnarbeidet og gjøre nye vurderinger. Dette kan være på grunn av kvaliteten på arbeidet, uakseptable restrisikoer, kost/nytte vurderinger eller andre forhold. Beslutningstaker må da gi klare tilbakemeldinger slik at en ny vurdering kan gjennomføres på en tilfredsstillende måte.

    3.2 Involvering av andre beslutningstakere

    En systemeier for et fellessystem i virksomheten må avstemme sin vurdering med andre beslutningstakere som benytter systemet. Ved uenighet mellom beslutningstakere må problemstillinger løftes til et høyere beslutningsnivå.

    Det samme vil være tilfelle dersom beslutningstaker ikke har myndighet til å akseptere risikoer på et høyt nivå, om man ikke klarer å finansiere tiltak i henhold til virksomhetsledelsens kriterier for håndtering av risikoer og så videre. Slike problemstillinger må løftes gjennom linjen og håndteres som en del av Ledelsens styring og oppfølging.

    3.3 Håndteringsansvarlig

    Når forslagene er godkjent og finansiert, bør man peke ut en håndteringsansvarlig som skal planlegge og følge opp den samlede iverksettingen av tiltakene.

    Hjelp til gjennomføring

    Praktisk hjelp til de som skal godkjenne forslag til risikohåndtering er beskrevet på en egen side:

    Visuelt skille mellom aktivitetene

    4. Iverksette godkjente tiltak

    Ansvarlig for gjennomføring

    • Den personen risikoeier eller systemeier fellessystem har pekt ut som håndteringsansvarlig, det vil si de som har fått i oppdrag å planlegge og følge opp den samlede gjennomføringen eller etableringen av et sett av godkjente tiltak. Vi kaller risikoeiere og systemeiere fellessystem for beslutningstakere i denne beskrivelsen.

    4.1 Om aktiviteten

    Denne aktiviteten utføres av en håndteringsansvarlig. Det er den personen beslutningstaker har pekt ut til å få iverksatt de godkjente tiltakene. Beslutningstaker kan selv være håndteringsansvarlig.

    Håndteringsansvarlig må først utforme en plan for gjennomføring eller etablering av de godkjente tiltakene. Planen må oftest utformes i dialog med dem som skal gjennomføre arbeidet. Planleggingen bør følge god praksis for prosjekt- og aktivitetsplanlegging generelt, og vektlegge tid, kost og forventet effekt av tiltakene.

    Det vil kunne være snakk om mange ulike tiltak. For eksempel:

    • Endre på måten oppgaver utføres på for å unngå risiko
    • Etablere nye sikkerhetstiltak
    • Gjennomføre strakstiltak i påvente av etablering av nye sikkerhetstiltak
    • Forbedre eksisterende sikkerhetstiltak
    • Inngå avtaler for å dele risiko (for eksempel forsikring)

    Håndteringsansvarlig må avtale frister og hva som skal gjøres, med dem som faktisk skal gjennomføre arbeidet i planen. Formalisering og detaljeringsnivå bør tilpasses

    • tiltakenes viktighet
    • omfang og kompleksitet på det som skal gjøres
    • hvem som skal være ansvarlig
    • hvordan virksomheten har organisert seg internt

    Håndteringsansvarliges plan bør godkjennes av beslutningstaker før den iverksettes. Håndteringsansvarlig bør systematisk følge opp fremdriften, og rapportere til beslutningstaker som avtalt.

    Hjelp til gjennomføring

    Praktisk hjelp til den som er pekt ut som håndteringsansvarlig er beskrevet på en egen side:

    Visuelt skille mellom aktivitetene

    5. Utforme og etablere sikkerhetstiltak

    Ansvarlig for gjennomføring:

    • Tiltaksleverandører
    • Vi kaller risikoeiere og systemeiere fellessystem for beslutningstakere i denne beskrivelsen

    5.1 Om aktiviteten

    Her er det snakk om å etablere sikkerhetstiltak, de varige tiltakene virksomheten forvalter for å kunne gjøre sine oppgaver og levere tjenester med tilstrekkelig informasjonssikkerhet.

    Spesifikke sikkerhetstiltak utformes, etableres og forvaltes av tiltaksleverandører. En virksomhet kan ha både interne og eksterne tiltaksleverandører med ansvar for sikkerhetstiltak av forskjellige typer, innen ulike tiltaksområder.

    Den som eier en oppgave eller tjeneste, eller som er systemeier for et fellessystem, kan være ansvarlig for en del sikkerhetstiltak selv, og slik også være tiltaksleverandør. Det kan for eksempel være snakk om retningslinjer for gjennomføring av oppgaven, bruken av IKT-system eller lignende. Det kan også være veiledning, kurs og andre tiltak under kompetanse- og kulturutvikling.

    5.2 Avtaler med tiltaksleverandører

    Tiltaksleverandører skal utforme og etablere sikkerhetstiltak i samsvar med avtaler gjort med ansvarlige beslutningstakere. I praksis gjøres det med håndteringsansvarlige i aktiviteten Iverksette godkjente tiltak, eller i forbindelse med etablering eller oppdatering av fellessikring og tilleggssikring.

    5.3 Testing og justering

    Tiltakene må testes slik det er avtalt. Det bør ut fra behov skje ved utforming, etablering, og forvaltning av sikkerhetstiltak.

    Dersom testing under etablering eller forvaltning viser at tiltakene ikke fungerer som tiltenkt, må de justeres. Det kalles gjerne å utføre korrigerende tiltak. Dette bør inngå i avtalt forvaltning av sikkerhetstiltak.

    Visuelt skille mellom aktivitetene

    6. Oppdatere fellessikring og tilleggssikring

    Ansvarlig for gjennomføring:

    • Tiltaksleverandører og fagansvarlig informasjonssikkerhet.
    • Vi kaller risikoeiere og systemeiere fellessystem for beslutningstakere i denne beskrivelsen.

    6.1 Om aktiviteten

    Det bør gjøres en vurdering av hva som kan etableres som nye sikkerhetstiltak i virksomhetens fellessikring, eller inngå i tilleggssikring som beslutningstakere kan velge ut fra behov.

    De interne tiltaksleverandørene bør underveis i dialogen med håndteringsansvarlig vurdere hva virksomheten samlet er best tjent med. De bør i første omgang vurdere om innplasseringen som fellessikring eller tilleggssikring gir vesentlige fordeler med tanke på kostnadseffektiv forvaltning av sikkerhetstiltakene. De bør også gjøre en vurdering av mulige negative sideeffekter for andre beslutningstakere dersom det blir en del av fellessikringen.

    Det bør gjennomføres en helhetsvurdering av hva som er egnet fellessikring, gjerne koordinert av fagansvarlig informasjonssikkerhet. Vurderingen bør i hovedtrekk tilsvare de siste fasene i etableringsaktiveten Etablere fellessikring og synliggjøre tilleggssikring. Det er viktig at negative sideeffekter for andre arbeidsoppgaver og informasjonssystemer blir identifisert og vurdert. Videre at de som blir berørt av sideeffekter, får uttale seg før endelig beslutning tas om hva som skal være fellessikring og tilleggssikring.

    Estimat for kostandene ved de sikkerhetstiltakene som er foreslått innlemmet i fellessikringen bør inngå i beslutningsgrunnlaget. Beslutninger knyttet til innholdet i fellessikringen bør tas av virksomhetsleder eller den vedkommende har delegert ansvaret til.