Internkontroll – informasjonssikkerhet
Internkontroll/styringssystem (Versjon 1.3)
Internkontroll/styringssystem (Versjon 1.3)
Under følger en utdypning av delaktiviteten Godkjenne forslag til risikohåndtering under hovedaktiviteten Risikohåndtering.
Aktiviteten Godkjenne forslag til risikohåndtering starter når beslutningstaker har mottatt et forslag om håndtering av et sett risikoer. Risikoene er normalt tilknyttet en eller flere arbeidsoppgaver eller informasjonssystemer hun eier og har ansvaret for. Forslaget kan også omfatte tiltak som følger av konkrete krav i lover, regler, avtaler o.l.
Bakgrunnen vil ofte være at beslutningstaker har bedt om at noen gjennomfører en analyse av eksterne krav, en risikovurdering og et tilknyttet arbeid for å foreslå håndtering av risikoene. Resultatet er kun beslutningsgrunnlag som skal støtte beslutningstaker i hennes vurderinger.
Beslutningstaker kan selv ha deltatt i arbeidet. Det er likevel ryddig og ofte nødvendig at hun i etterkant foretar en selvstendig sluttvurdering i en egen godkjenningsaktivitet.
Beslutningstaker bør først vurdere kvaliteten på både eventuell analyse av krav, risikovurderingen og arbeidet med å foreslå håndtering. Vurderingen bør tilpasses alvorlighetsgrad og kompleksitet på det saken gjelder.
Kvalitetsvurderingen er samtidig viktig. Behovet for grundighet i den påfølgende vurderingen av restrisiko, kost/nytte og finansiering vil naturlig påvirkes av resultatet av denne innledende kvalitetsvurderingen.
Følgende kan med fordel reflekteres over og ses i sammenheng under kvalitetsvurderingen:
Beslutningstaker bør deretter foreta en vurdering av om restrisikoene er akseptable. Virksomhetens akseptkriterier vil være viktig støtte i vurdering og beslutning. Disse skal være nedfelt i virksomhetens overordnede styrende dokumenter.
Beslutningstaker bør videre alltid merke seg det grunnarbeidet sier om kunnskapsstyrken bak estimerte risikoer og restrisikoer. Hun bør spesielt vurdere om hun bør se nærmere på restrisikoer med høy konsekvens og lav kunnskapsstyrke. Dette indikerer stor usikkerhet i grunnarbeidet om noe som kan få store konsekvenser. Her kan det spesielt være behov for beslutningstakers egen vurdering. Det kan da være nødvendig å gå grundigere inn i analysene bak både risikoene og risikohåndteringen.
Dersom beslutningstaker mener at restrisikoene er akseptable, samtidig som hun selv ikke har fullmakt til å akseptere de høyeste, må hun løfte godkjenningen av de restrisikoene det gjelder, til et høyere beslutningsnivå.
Beslutningstaker bør videre se på kost/nytte-vurderingene i forslaget. Hun må ta stilling til om hun aksepterer vurderingene og støtter valgene de medfører, både når tiltak er foreslått, og når de er avvist. Ved behov må hun gå konkret inn i kost/nytte-vurderingene.
Beslutningstakers hovedfokus bør normalt rettes mot et utvalg av både anbefalte tiltak og tiltak som er identifisert, men ikke anbefalt. Mulige tiltak rundt risikoer med store konsekvenser og identifiserte tiltak som har store direkte kostnader eller vesentlige negative sideeffekter, vil ofte være det viktigste utvalget å se nærmere på.
Direkte kostnader omfatter
Sideeffekter omfatter negativ innvirkning på noen av områdene
Dersom anbefalte tiltak har store sideeffekter, bør beslutningstaker vurdere om hun skal hente inn ekstra synspunkt fra
Beslutningstaker bør også være spesielt oppmerksom på om noen av tiltakene gjør det nødvendig med informasjon, drøfting eller forhandling med de tillitsvalgte. Hun må da sikre egen håndtering av dette før tiltaket godkjennes.
Kost/nytte-vurderinger kan gjennomføres overordnet og enkelt på oversiktlige problemstillinger med lav til moderat kostnad og sideeffekter. De bør i større grad gjennomføres systematisk og faglig ved store risikoer, kompliserte sammenhenger og større kostnader eller sideeffekter. Behovet for systematikk, detaljeringsnivå og dokumentasjon er avhengig av hvor enkelt beslutningstaker kan se svaret, hvor store kostnader som er involvert, og hvilke prinsipp som skal følges i valget.
Kjernen i kost/nytte-vurderingen er at man ser på effekten av tiltaket, og vurderer om risikoreduksjonen (nytten) det gir står i stil med kostnadene. Med kostnader menes både de direkte utgiftene og negative sideeffekter.
Dersom kostnadene er større enn risikoreduksjonen, vil det i et rent kost/nytte-perspektiv være bedre at virksomheten lever med risikoen, og ikke iverksetter tiltaket.
Om valg og godkjenning av tiltak bør gjøres ut fra et rent kost/nytte-prinsipp, eller om, og i hvilken grad, man eventuelt skal ta hensyn til andre prinsipp, bør fremgå av virksomhetens kriterier for å akseptere risiko.
For enkelte arbeidsområder eller risikotyper kan ledelsen for eksempel ha besluttet at virksomheten skal benytte ALARP-prinsippet. Da vil man for enkelte risikoer kunne akseptere tiltak som koster mer enn en ren kost/nytte-vurdering tilsier det burde.
Lov- og regelverk på noen spesifikke fagområder krever bruk av ALARP-prinsippet. På den andre siden signaliserer økonomiregelverket og utredningsinstruksen i staten at valg av tiltak normalt bør skje ut fra et rent kost/nytte-prinsipp.
I de enkelte virksomhetene bør virksomhetens prinsipp velges og tydeliggjøres under utformingen av de overordnede styrende dokumentene. I tillegg bør foranalysen av de enkelte ansvarsområdene avdekke om lover eller regler stiller krav om spesielle prinsipp for de konkrete arbeidsoppgavene. Både de som foreslår håndtering av risikoer og de som godkjenner risikohåndteringen, må forholde seg til dette.
Beslutningstaker må også ta stilling til om kostnadene på tiltakene kan godkjennes innenfor egne budsjetter, eller om hun må sikre budsjett- og ressursmessig dekning hos tiltaksleverandører, hos andre oppgaveeiere eller høyere opp i linjen. Med kostnader menes både kronebeløp i investeringer og drift og tidsbruk av ansatte.
Dersom ett eller flere tiltak medfører store utforutsette kostnader, kan det være nødvendig å koble denne delen av beslutningen til virksomhetens budsjettprosesser. Beslutningstaker bør da vurdere å akseptere eventuelle midlertidige tiltak der det er aktuelt og mulig.
Dersom beslutningen gjelder et fellessystem i virksomheten, bør den som er systemeier, avstemme sin aksept av restrisiko og sideeffekter med de andre oppgaveeierne som benytter systemet. Det er disse som ofte må bære konsekvensene og sideeffektene ved risikoer og tiltak i fellessystem.
Representanter fra de andre oppgaveeierne bør ha blitt involvert i arbeidet med risikovurderinger og forslag til håndtering. De andre oppgaveeierne bør derfor være kjent med arbeidet og kunne ta for seg risikoer som angår dem.
Ved uenighet mellom systemeier og andre oppgaveeiere om hva som kan aksepteres, må aktuelle problemstillinger løftes til et høyere beslutningsnivå.
Dersom beslutningstaker gjennom prosessen over avviser foreslåtte tiltak, bør beslutningen og begrunnelsen dokumenteres på hensiktsmessig måte. Også når forslag er godkjent og finansiert, bør dette dokumenteres. Hva som er hensiktsmessig, må avgjøres ut fra virksomhetens egne krav og beslutningstakers vurdering.
Behandlingen over kan medføre at beslutningstaker må be om nye vurderinger i grunnarbeidet. Årsak og begrunnelse kan være både
Et slikt nytt oppdrag kan gå til de samme som utførte det opprinnelige arbeidet, de samme supplert med ekstra kompetanse, eller til en helt annen gruppe eller person. Dette må være en skjønnsmessig vurdering beslutningstaker gjør ut fra tilgjengelig tid, ressurser og kompetanse. Samtidig vil det oftest være mest kostnadseffektivt å minimum inkludere nøkkelpersoner fra de opprinnelige vurderingene.
Det er uansett avgjørende at det settes av tilstrekkelige ressurser til å gjennomføre arbeidet på det kvalitetsnivå beslutningstaker forventer.
Det er også viktig at et nytt oppdrag får klare tilbakemeldinger fra beslutningstaker om
Når beslutningstaker har godkjent den samlede risikohåndteringen, bør hun peke ut en håndteringsansvarlig som skal planlegge og følge opp den samlede gjennomføringen eller etableringen av de godkjente tiltakene.
I oppdragsbeskrivelsen bør beslutningstaker normalt tydeliggjøre
I mindre virksomheter eller enheter kan håndteringsansvarlig være beslutningstaker selv. Det kan også være den som har ledet den forutgående risikovurderingen, eller noen som var sentrale i arbeidet med å foreslå håndtering. De siste vil ofte være de som har best forutsetninger til å være håndteringsansvarlige. Beslutningstaker kan imidlertid også peke ut andre som har tilgjengelig kapasitet.
────────────────────────────────────────────────────────────────────
────────────────────────────────────────────────────────────────────
