Hva er håndtering av risiko?

1. Innledning

Etter at en risikovurdering er gjennomført, må det fattes beslutning om hvordan virksomheten skal håndtere de identifiserte risikoene. I praksis er det ikke alltid et like klart skille mellom vurdering og første del av håndteringen av risiko, det vil si å foreslå hvordan risiko bør håndteres.

2. Håndteringsalternativ

Det er i hovedsak fire alternative måter å håndtere en risiko på:

• unngå risiko
• dele risiko
• redusere (modifisere) risiko
• akseptere risiko

Begrepene benyttes på tvers av ulike fagområder og gjelder derfor ikke bare håndtering av risiko innenfor informasjonssikkerhet. Alternativene gjengis omtrent likelydende i flere anerkjente rammeverk og standarder, for eksempel NS-ISO 31000, NS-ISO/IEC 27005 og COSO ERM. NS-ISO 31000 har imidlertid ytterligere detaljert noen av alternativene, slik at det der beskrives syv alternativer for risikohåndtering. Der står det blant annet beskrevet alternative måter å unngå og redusere risiko, og inkludert at man kan ta eller øke risikoen for å kunne dra nytte av en mulighet.

Nedenfor gir vi en kort beskrivelse av hva de fire håndteringsalternativene kan innebære.

2.1 Unngå risiko

Noen ganger kan det være formålstjenlig å stoppe et prosjekt eller en arbeidsoppgave dersom risikoen vurderes som for høy, selv etter at relevante tiltak er iverksatt. Eksempler på dette kan være at et prosjekt stoppes fordi virksomheten ikke har nødvendige ressurser til å iverksette tiltak, eller at kostnadene forbundet med reduksjon av risiko blir så store at prosjektet aldri vil bli lønnsomt.

Å unngå risiko trenger samtidig ikke alltid bety at man slutter med en aktivitet eller legger ned deler av virksomheten. Et eksempel på dette kan være å fysisk flytte et serverrom eller lignende fra kjelleretasjen til et område som ikke er like utsatt for vannlekkasjer. Det nye serverrommet vil likevel være eksponert for andre risikoer dersom det flyttes, men risikoen for at det utsettes for vannskader tilknyttet flom er fjernet.

2.2 Dele risiko

Forsikring er den vanligste formen for deling av risiko. I denne sammenhengen er det verdt å bemerke at staten i svært liten grad forsikrer sine verdier gjennom avtaler med private forsikringsselskap. Staten er selvassurandør, og dette reguleres gjennom Reglement for økonomistyring i staten § 20. Forsikring vil derfor ytterst sjeldent eller aldri være et alternativ for statlige forvaltningsorgan.

Det finnes også andre muligheter for deling av risiko. Mange virksomheter finner det hensiktsmessig å benytte eksterne tjenesteleverandører for deler av virksomheten, og inngå tjenestenivåavtaler (SLA). I slike avtaler kan det for eksempel være klausuler om økonomisk erstatning ved tap av visse typer informasjon, det kan være avtalt økonomisk kompensasjon ved tjenesteavbrudd over en viss tid, og lignende.

Det er viktig å være klar over at virksomhetens ansvar for egne oppgaver og tjenester ikke kan overføres eller flyttes.

2.3 Redusere (modifisere) risiko

Dette handler om å etablere sikkerhetstiltak. Det er viktig å etablere og forvalte varige tiltak som reduserer risiko, ved å redusere konsekvenser av uønskede hendelser eller sannsynligheten for at de inntreffer.

Det er viktig å huske på at tiltak som iverksettes i mange sammenhenger kan ha innvirkning på flere risikoer. Et eksempel på et slikt tiltak kan være et opplærings- og bevisstgjøringsprogram som vil være egnet til å redusere flere risikoer, dersom ulike temaer tas opp. Det er imidlertid viktig å være oppmerksom på at et tiltak som iverksettes for å redusere én risiko, også kan ha en negativ innvirkning på andre risikoer. Et slikt eksempel kan være å ta i bruk kryptering av lagrede data for å sikre konfidensialitet, som kan medføre dårligere ytelse på en server og dermed dårligere tilgjengelighet på informasjon som har høye tilgjengelighetskrav. Hvordan og i hvilken grad tiltakene kan gi negative sideeffekter, må vurderes.

2.4 Akseptere risiko

Dette håndteringsalternativet er i realiteten å ikke gjøre noen endringer basert på den identifiserte risikoen. Dette vil kunne være aktuelt dersom det er i henhold til virksomhetens kriterier for å akseptere risiko. Alternativet vil også kunne velges ved større risikoer etter en veloverveid beslutning av dem som har myndighet til det. Det siste er løsningen når det ikke er aktuelt å velge noen av de andre alternativene, men oppgaven som er opphav til risiko er så viktig at den må gjennomføres.

3. Valg av tiltak

Det kan være mange forskjellige faktorer som påvirker hvilke håndteringsalternativ og tiltak som velges når en risiko skal håndteres. For hver enkelt risiko må man ta høyde for at ulike forhold kan ha avgjørende betydning for valget man står overfor. Dette kan være lover og regelverk, føringer fra ledelsen og kontraktmessige forhold.

På samme måte som at en statlig virksomhet ikke uten videre kan slutte med en aktivitet som overordnet departement har initiert og finansiert gjennom tildelingsbrev, kan heller ikke risikoeier beslutte at enkeltprosjekter eller lignende skal legges ned dersom ledelsen har fattet vedtak om at disse skal gjennomføres. Selv om risikoen tilsynelatende er såpass stor at det kan fremstå lite kost/nytte-effektivt å etablere tiltak, vil det være tilfeller der man rett og slett ikke kan slutte med aktiviteten. I disse tilfellene må risikoen håndteres etter de tre øvrige alternativene.

Videre er det ingenting i veien for å vurdere flere håndteringsalternativ for én risiko. Det kan for eksempel besluttes å etablere ett eller flere sikkerhetstiltak for å redusere konsekvensen, og at den gjenværende risikoen aksepteres. Det kan i noen tilfeller også være hensiktsmessig å dele den gjenværende risikoen via en tjenestenivåavtale.

Valg av håndteringsalternativ og tiltak må ses i sammenheng. Ett håndteringsalternativ eller tiltak kan påvirke flere risikoer, både i positiv og negativ retning. Dette er viktig å huske på når tiltakene velges, planlegges og etableres.