Internkontroll/styringssystem (Versjon 1.5)
Dette er en beskrivelse av delaktivitetene under Risikohåndtering. Det er vist til maler, eksempler og støttedokument samt utdypende beskrivelser under aktiviteter som har slike.
Når risikoer skal håndteres, har man grovt sett fire hovedalternativ
Tiltakene som eventuelt iverksettes, kan være noe man gjør én gang, eller noe man etablerer permanent og som skal virke over tid. De varige tiltakene skal forebygge, oppdage eller reagere på uønskede hendelser som kan gi uønskede konsekvenser. Ofte vil det være hensiktsmessig å kombinere engangstiltak og varige tiltak når man skal håndtere en risiko. Man kan også som et bevisst valg akseptere risikoen uten nye tiltak.
Ved valg og utforming av tiltak må man ofte finne pragmatiske kompromiss. De ulike risikoeiere og systemeiere av fellessystemer må få en tilfredsstillende balanse mellom restrisiko på den ene siden og sikkerhetsmessig effekt, direkte kostnad og eventuelle negative sideeffekter ved de enkelte tiltakene på den andre siden.
Samtidig må virksomheten samlet få en kostnadseffektiv helhet og drift av sikkerhetsarbeidet. Utfordringen her er å unngå å pålegge alle i virksomheten sikkerhetstiltak de har liten nytte av, og som gir negative sideeffekter. Da kan sideeffektene i for stor grad gi negativ innvirkning på måloppnåelsen og effektiviteten i det virksomheten primært skal drive med.
De pragmatiske kompromissene må uansett etableres innenfor virksomhetsledelsens kriterier for å akseptere risiko. Kriteriene bør være tydeliggjort som er en del av virksomhetens overordnede styrende dokumenter. Utarbeidingen av disse er beskrevet under hovedaktiviteten Ledelsens styring og oppfølging.
Under følger en beskrivelse av hver av de systematiske aktivitetene. Risikoeiere og systemeiere fellessystem må systematisk få gjennomført følgende aktiviteter:
Tiltaksleverandørene må gjennomføre følgende aktiviteter som oppfølging av dette:
*****
Ansvarlig for gjennomføring:
Til slutt i risikovurderinger, under trinnet evaluering, skal man avklare hvilke risikoer som kan aksepteres, og hvilke som krever mer håndtering. Det siste innebærer at flere risikoreduserende tiltak må vurderes. Evalueringen skjer ut fra de kriterier virksomhetsledelsen har bestemt, og som er nedfelt i de overordnede styrende dokumentene.
Dersom evalueringen viser et behov for mer risikohåndtering, bør aktiviteten Foreslå håndtering av risikoer iverksettes. Aktiviteten må gjennomføres på oppdrag fra den samme risikoeier eller systemeier av fellessystem som hadde ansvaret for risikovurderingen. Arbeidet bør ledes av en utpekt prosessleder. Det kan med fordel ledes og gjennomføres av de samme som utførte risikovurderingen, eventuelt styrket med representanter fra sentrale tiltaksleverandører.
Oppdraget eller mandatet som ble gitt for risikovurderingen, vil i mange sammenhenger omfatte både Planlegge risikovurdering, Gjennomføre risikovurdering og Foreslå håndtering av risikoer. De tre aktivitetene gjennomføres da sammenhengende i en sekvens. At de strukturmessig tilhører to forskjellige hovedaktiviteter, har ingen betydning.
På samme måte som for Gjennomføre risikovurdering har vi utarbeidet en systematisk fremgangsmåte som kan brukes som utgangspunkt når man skal foreslå håndtering av risikoer. I praksis vil dette være en forlengelse av metoden vi foreslår for å gjennomføre risikovurderinger, og vi kaller dette metoden for å foreslå håndtering av risikoer.
Metoden er en fleksibel «standardvariant». Det er også her svært viktig at prosessleder tilpasser bruken til de risikoer som konkret skal behandles. Tilpasningen gjelder både fokus, prosessteg, detaljeringsnivå, tidsbruk mv.
Arbeidet bør inkludere forslag til konkrete tiltak som følger av eksterne krav i regler og avtaler. Disse skal være identifisert i aktiviteten Analysere eksterne krav under Risikovurdering. De bør også være hensyntatt under selve risikovurderingen.
Arbeidet med å foreslå håndtering av risikoer er ellers en systematisk gjennomgang av identifiserte risikoer som ikke kan aksepteres uten nærmere vurdering. Man bør starte med de største og arbeide seg nedover i listen. Grunnlaget er analysen fra risikovurderingen. Der det er nødvendig, bør man foreta en grundigere analyse.
For hver risiko må man vurdere om det finnes aktuelle tiltak for å unngå, dele eller redusere risikoen. Kost/nytte av de aktuelle tiltakene bør deretter vurderes ut fra faktorene
Så må de beste tiltakene eller den beste kombinasjonen velges. Virksomhetens kriterier for å akseptere risiko bør være førende. For å vise effekten av forslagene bør man for hver risiko synliggjøre estimert restrisiko. Der det er behov, bør man i tillegg vurdere midlertidige tiltak inntil endelig løsning er på plass.
Når alle risikoer er behandlet, bør man til slutt si noe overordnet om kvaliteten på arbeidet og kunnskapsstyrken bak de nye estimatene på restrisiko. Kunnskapsstyrken ved spesielle risikoer kan ved behov kommenteres spesielt.
*****
Ansvarlig for gjennomføring:
En fremlagt analyse av eksterne krav, en risikovurdering og et tilhørende forslag til håndtering av risikoer må godkjennes av den risikoeier som har fått delegert det operative ansvaret. Det er hun som er beslutningstaker. Det nevnte grunnarbeidet er kun et beslutningsgrunnlag som skal støtte beslutningstaker i sine vurderinger.
Selv om risikoeier har deltatt i hele eller deler av grunnarbeidet, er det likevel ryddig og ofte nødvendig at hun i etterkant foretar en selvstendig sluttvurdering i en egen godkjenningsaktivitet. Det sikrer nødvendig refleksjon rundt beslutningene.
Beslutningstaker bør først ta stilling til kvaliteten på arbeidet. Behovet for grundighet i resten av godkjenningsaktiviteten vil naturlig påvirkes av denne kvalitetsvurderingen.
Beslutningstaker bør videre foreta en vurdering av om de ulike restrisikoene er akseptable. Her bør hun spesielt være oppmerksom på kunnskapsstyrken bak. Ved lav kunnskapsstyrke eller annen usikkerhet rundt det som foreslås, bør beslutningstaker kanskje se nærmere på de vurderingene som ligger bak. Hun bør også vurdere kost/nytte på foreslåtte tiltak og ved behov hente inn synspunkt fra andre om eventuelle negative sideeffekter. Beslutningstaker må også sikre finansieringen av det som godkjennes.
En systemeier for et fellessystem i virksomheten må avstemme sin vurdering med andre oppgaveeiere som benytter systemet. Ved uenighet mellom oppgaveeiere må aktuelle problemstillinger eskaleres og løftes til et høyere beslutningsnivå.
Det samme vil være tilfelle dersom beslutningstaker ikke har myndighet til å akseptere risikoer på et høyt nivå, om hun ikke klarer å finansiere tiltak i henhold til virksomhetsledelsens kriterier for håndtering av risikoer, mv. Også slike problemstillinger må løftes gjennom linjen og håndteres som en del av Ledelsens styring og oppfølging.
Beslutningstaker må ved behov sørge for at det blir gjort nye vurderinger i grunnarbeidet. Når forslagene er godkjent og finansiert, bør hun peke ut en håndteringsansvarlig som skal planlegge og følge opp den samlede gjennomføringen eller etableringen av tiltakene. Vi kaller det å iverksette godkjente tiltak.
*****
Ansvarlig for gjennomføring:
Aktiviteten Iverksette godkjente tiltak utføres av en håndteringsansvarlig. Før oppstart skal tiltakene være godkjent av den risikoeieren som har ansvaret for risikovurderingene, og som har pekt ut håndteringsansvarlig.
Håndteringsansvarlig må først utforme en konkret handlingsplan for gjennomføring eller etablering av de godkjente tiltakene. Planen må oftest utformes i dialog med dem som skal gjennomføre aktivitetene. Planleggingen bør følge god praksis for prosjekt- og aktivitetsplanlegging generelt, og vektlegge tid, kost og forventet effekt av tiltakene.
Håndteringsansvarlig må avtale frister og hva som konkret skal gjøres, med dem som faktisk skal gjennomføre aktivitetene i handlingsplanen. Vi kaller dem tiltaksleverandører. Formalisering og detaljeringsnivå bør tilpasses
Håndteringsansvarliges handlingsplan bør godkjennes av risikoeier før den iverksettes. Håndteringsansvarlig bør systematisk følge opp fremdriften, og rapportere til risikoeier eller systemeier fellessystem som avtalt.
*****
Ansvarlig for gjennomføring:
Konkrete tiltak utformes, settes i verk og vedlikeholdes av tiltaksleverandører. En virksomhet kan ha både interne og eksterne tiltaksleverandører med ansvar for tiltak innen ulike tiltaksområder. Dette kan være ulike sider ved organisatoriske, menneskelige, teknologiske og fysiske tiltak.
Den som eier en arbeidsoppgave eller som er systemeier for et fellessystem, kan også selv være tiltaksleverandør. Slike tiltak vil ofte være retningslinjer for gjennomføring av oppgaven, bruken av systemet eller lignende. Det kan også være veiledninger, kurs og andre tiltak under kompetanse- og kulturutvikling.
Tiltaksleverandører skal utforme og implementere tiltak i samsvar med avtaler gjort med ulike håndteringsansvarlige under aktiviteten Iverksette godkjente tiltak. Det samme skal de gjøre som følge av etableringsaktiviteten Etablere fellessikring og synliggjøre tilleggssikring, eller når disse blir oppdatert i aktiviteten Oppdatere fellessikring og tilleggssikring.
Tiltakene må testes slik det er avtalt. Det bør ut fra behov skje under både utforming, implementering, gjennomføring og i kontinuerlig bruk.
Dersom målinger under etablering eller senere drift viser at tiltakene ikke fungerer som avtalt, må de justeres. Dette bør inngå i avtalt vedlikehold. Utstyrskomponenter o.l. må også jevnlig testes og oppgraderes slik at de fungerer som avtalt.
*****
Ansvarlig for gjennomføring:
De ulike tiltakene en håndteringsansvarlig ber om, kan i utgangspunktet etableres som del av virksomhetens fellessikring eller som tilleggssikring som risikoeierne kan velge ut fra behov.
De interne tiltaksleverandørene bør underveis i dialogen med håndteringsansvarlig systematisk vurdere hva virksomheten samlet er best tjent med. De bør i første omgang vurdere om innplasseringen som fellessikring eller tilleggssikring gir vesentlige forskjeller med hensyn til kostnadseffektiv drift av sikkerhetsarbeidet. De bør også gjøre en enkel vurdering av potensielle negative sideeffekter for andre oppgave- og systemeiere dersom tiltaket blir en del av fellessikringen.
Dersom sideeffektene i utgangspunktet anses små, eller kostnadsvurderingen klart taler for en endring i fellessikringen, bør spørsmålet om en slik endring oversendes til virksomhetens fagansvarlig informasjonssikkerhet.
Dersom fagansvarlig informasjonssikkerhet er enig, bør han initiere og lede en litt grundigere vurderingsprosess. Vurderingen bør i hovedtrekk tilsvare de siste fasene i delaktiveten Etablere fellessikring og synliggjøre tilleggssikring. Det sentrale er at negative sideeffekter for andre arbeidsoppgaver og informasjonssystemer blir ordentlig identifisert. Videre at de som blir berørt av sideeffekter, får uttale seg før endelig beslutning tas om hva som skal være fellessikring og tilleggssikring. Slike beslutninger bør tas av virksomhetsleder eller den hun har pekt ut.
For at beslutningstaker skal få et godt nok beslutningsgrunnlag, bør også kostnadene ved de foreslåtte tiltakene estimeres.
────────────────────────────────────────────────────────────────────
────────────────────────────────────────────────────────────────────