Hopp til innhold

Difi - Direktoratet for forvaltning og IKT

Digitaliseringsdirektoratet

Internkontroll/styringssystem (Versjon 1.5)

Søkeskjema

Tekststørrelse A+ A a For å endre tekststørrelsen, hold Ctrl-tasten nede og trykk på + for å forstørre eller - for å forminske.
  • Hjelp
  • Kontakt oss
  • Om veilederen
Meny
Hjem » Utdypninger » Risikohåndtering » Iverksette godkjente tiltak
  • Hjem
  • Sammendrag
  • Systematiske aktiviteter
  • Etableringsaktiviteter
  • Utdypninger
    • Risikovurdering
    • Risikohåndtering
      • Foreslå håndtering
      • Godkjenne forslag
      • Iverksette tiltak
    • Måling, evaluering og revisjon
    • Etableringsaktiviteter
  • Godt å vite

Iverksette godkjente tiltak

Under følger en utdypning av delaktiviteten Iverksette godkjente tiltak under hovedaktiviteten Risikohåndtering.

Målgruppe

  • Håndteringsansvarlige, det vil si de som har fått i oppdrag av en risikoeier å planlegge og følge opp den samlede gjennomføringen eller etableringen av et sett av godkjente tiltak.

Innhold

  • Utgangspunkt og bakgrunn
  • Etablere handlingsplan
  • Avtale gjennomføring
  • Godkjenne handlingsplan og avtaler
  • Følge opp gjennomføring
  • Håndtere endringer underveis
  • Testing og evaluering

1 Utgangspunkt og bakgrunn

Aktiviteten Iverksette godkjente tiltak starter når en håndteringsansvarlig har fått et oppdrag fra en risikoeier. Vi kaller disse for oppdragsgiver her.

Bakgrunnen er at en oppdragsgiver har godkjent en liste over tiltak som skal gjennomføres eller etableres.

2 Etablere handlingsplan

Håndteringsansvarlig må først utforme en konkret handlingsplan for gjennomføring eller etablering av de godkjente tiltakene. Tiltak som skal gjennomføres som engangstiltak, er ofte naturlige aktiviteter som kan legges rett inn i handlingsplanen. Tiltak som skal etableres for å fungere over tid, må ofte omformuleres til aktiviteter som skal utforme og etablere tiltakene. Det er disse utformings- og etableringsaktivitetene som da legges inn i handlingsplanen.

Aktiviteter som er store og omfattende, må i praksis kanskje organiseres som egne prosjekter. Om de da skal kalles aktiviteter eller prosjekter i handlingsplanen, må håndteringsansvarlig selv avgjøre.

2.1 Involvering i arbeidet

En handlingsplan må oftest utformes i dialog med dem som skal gjennomføre aktivitetene. Hvem dette er, vil ofte fremgå av den tiltakslisten risikoeier har godkjent. Ellers må disse utpekes som en del av planleggingen her. Det kan i utgangspunktet være både interne og eksterne tiltaksleverandører samt personer i risikoeiers egen linje. I enkelte tilfeller kan håndteringsansvarlig selv ta ansvaret for konkrete aktiviteter i handlingsplanen.

2.2 Innholdet i handlingsplanen

Handlingsplanen bør som minimum inneholde

  • oversikt over hvilke aktiviteter som skal gjennomføres
  • hvem som har ansvaret for at de blir gjennomført
  • frister for ferdigstillelse

Det vil normalt også være behov for en synlig kobling mellom aktivitetene i handlingsplanen og de godkjente tiltakene som er utgangspunktet for arbeidet. En enkel måte å løse dette på er å legge de aktuelle tiltaksnumrene fra den godkjente tiltakslisten inn som en kommentar til de enkelte aktivitetene i handlingsplanen.

2.3 Fokus og gruppering i planen

Planleggingen bør i hovedsak følge god praksis for prosjekt- og aktivitetsplanlegging generelt og legge vekt på tid, kost og forventet effekt av tiltakene. Tiltak innrettet mot håndtering av de største risikoene, tiltak med størst effekt og tiltak med stor kostnad og kompleksitet er viktigst å ha god styring på.

Dersom det er svært mange likeartede tiltak som skal utformes og etableres, kan det være hensiktsmessig å gruppere arbeidet med disse i noen færre aktiviteter i handlingsplanen. Ved behov for slik gruppering bør håndteringsansvarlig, i samråd med de aktuelle tiltaksleverandørene, vurdere hvilken gruppering som er hensiktsmessig.

2.4 Handlingsplan i anskaffelser og systemutvikling

Dersom ett eller flere av tiltakene medfører en ny anskaffelse, må regelverket for offentlige anskaffelser følges. I handlingsplanen vil tiltaket eller gruppen av tiltak da ofte bli et anskaffelsesprosjekt ledet av en intern person.

Dersom alle tiltakene er krav i en anskaffelses- eller systemutviklingsprosess, må handlingsplanen og det videre avtale- og oppfølgingsarbeidet utformes og følges opp tilpasset den fremgangsmåten som benyttes i disse prosessene.

3 Avtale gjennomføring

Håndteringsansvarlig må som en del av planleggingen gjøre avtaler med dem som skal gjennomføre aktivitetene i handlingsplanen. Formalisering og detaljeringsnivå kan variere og bør tilpasses

  • risikoenes størrelse og tiltakets viktighet
  • omfang og kompleksitet på det som skal gjøres
  • hvem som skal være ansvarlig
  • hvordan virksomheten har organisert seg internt

3.1 Varierende behov for formalitet i avtalene

For gjennomføring eller etablering av enkle eller standardiserte tiltak internt i en virksomhet kan det ofte være nok med en kort oppdragsbeskrivelse med tidsfrister som partene i en e-post uttrykker enighet om. I de helt enkleste interne tilfellene kan aksept av planen i seg selv være «avtale nok».

Ved store risikoer eller mer komplekse eller omfattende tiltak bør det vurderes om det er behov for mer formelle avtaler, eller en egen prosjektetablering i samsvar med virksomhetens ordinære prosjektrutiner.

Aktuelt innhold i avtaler som krever litt formalisering, er
beskrivelse av hva som konkret skal gjøres eller etableres
frister for sluttleveranse og eventuelle milepæler
hvordan oppfølging av fremdriften skal skje
eventuell kostnad og budsjettdekning
ansvar og vilkår ved eventuell permanent drift og vedlikehold av tiltakene
hvordan oppdragsgiver skal involveres ved sentrale valg i utforming eller innføring som kan få konsekvenser for risikoreduserende effekt, sideeffekter eller kostnad
eventuelle krav til testing, måling eller evaluering av tiltakene både under gjennomføring eller etablering, ved ferdigstillelse og i en eventuell driftsfase

Konkretisering bør skje i dialog med dem som skal gjennomføre eller etablere tiltakene.

3.2 Bruk av eksterne tiltaksleverandører

Dersom det skal benyttes eksterne tiltaksleverandører, bør oppdraget formaliseres i samsvar med det avtaleregime med eksterne som virksomheten benytter.

Ved bruk av eksterne tiltaksleverandører vil mange virksomheter ha interne koordinatorer på virksomhetsnivå for ulike tiltaksområder. Håndteringsansvarlig, eller de som får ansvaret for konkrete aktiviteter ut mot eksterne, må da samarbeide eller ha dialog med virksomhetens koordinatorer.

4 Godkjenne handlingsplan og avtaler

Når håndteringsansvarlig er ferdig med handlingsplan og avtaler, må disse godkjennes av oppdragsgiver og eventuelle beslutningstakere hos tiltaksleverandørene. For at dette skal skje effektivt, bør både håndteringsansvarlig og tiltaksleverandørenes representanter ha gjennomført nødvendig løpende dialog med sine overordnede underveis.

Handlingsplanen med tilhørende avtaler for de ulike aktivitetene bør sendes oppdragsgiver som vedlegg til et kort notat. Både notat og godkjenning bør dokumenteres på en hensiktsmessig måte.

Dersom godkjenning ikke kan skje av noen av partene, må håndteringsansvarlig gjøre nødvendige endringer.

5 Følge opp gjennomføring

Selve gjennomføringen av aktivitetene må deretter skje i samsvar med handlingsplanen og inngåtte avtaler. Håndteringsansvarlig bør systematisk følge opp fremdriften i samsvar med plan og avtaler. Nødvendig rapportering bør skje til oppdragsgiver i samsvar med gitte føringer.

6 Håndtere endringer underveis

I noen sammenhenger kan man bli nødt til å foreta justeringer underveis i forhold til hva som var avtalt. Alle slike endringer av vesentlig karakter bør godkjennes av oppdragsgiver.

Før en endringssak legges frem for oppdragsgiver, bør håndteringsansvarlig sørge for en klargjøring av hvordan endringen påvirker

  • tiltakene og restrisikoene
  • investerings- og driftskostnader
  • sideeffekter

Håndteringsansvarlig kan i slike situasjoner ha behov for en dialog med sentrale aktører både fra risikovurderingen, fra dem som kom med forslag til håndtering, og fra organisasjonen forøvrig.

Håndteringsansvarlig bør basert på dette legge frem et forslag for risikoeier om at justeringen skal aksepteres, eller at man bør gjøre deler av aktiviteten Foreslå håndtering på nytt.

7 Testing og evaluering

Etter hvert som aktivitetene i handlingsplanen blir ferdig, bør håndteringsansvarlig sikre gjennomføring av eventuell sluttesting. Han må sjekke at det som var avtalt, er utført eller levert.

Håndteringsansvarlig bør spesielt være oppmerksom på om det er samsvar mellom sluttresultatet og det som var forventet i tiltakslisten rundt effekt av tiltakene og graden av sideeffekter.

Vesentlige avvik bør rapporteres til risikoeier i samsvar med gitte føringer. Generelt bør håndteringsansvarlig som minimum lage et kort notat til risikoeier når hele handlingsplanen er gjennomført. Notatet bør kort oppsummere vesentlige avvik.

────────────────────────────────────────────────────────────────────

Til toppen av siden

────────────────────────────────────────────────────────────────────

Aktiviteter

Nyttig

  • Maler og eksempler
  • Begrepsliste
  • Regelverkskrav
  • Hva sier ISO/IEC 27001?
  • Virksomhetskontekst
  • Hva sier andre?
  • Endringslogg
  • Kilder
  • Kontakt: redaksjonen@digdir.no
  • Telefon: +47 22 45 10 00
  • E-post: postmottak@digdir.no
  • Org.nr: 991 825 827