Hopp til innhold

Difi - Direktoratet for forvaltning og IKT

Digitaliseringsdirektoratet

Internkontroll/styringssystem (Versjon 1.5)

Søkeskjema

Tekststørrelse A+ A a For å endre tekststørrelsen, hold Ctrl-tasten nede og trykk på + for å forstørre eller - for å forminske.
  • Hjelp
  • Kontakt oss
  • Om veilederen
Meny
Hjem » Utdypninger » Risikovurdering » Gjennomføre » Evaluere risikoer
  • Hjem
  • Sammendrag
  • Systematiske aktiviteter
  • Etableringsaktiviteter
  • Utdypninger
    • Risikovurdering
      • Planlegge
      • Gjennomføre
        • Etablere felles referanseramme
        • Felles begrep
        • Obs-områder
        • Identifisere
        • Analysere
        • Evaluere
        • Kunnskapsstyrke
    • Risikohåndtering
    • Måling, evaluering og revisjon
    • Etableringsaktiviteter
  • Godt å vite

Evaluere risikoer

Dette er trinn 6 i metoden for å gjennomføre risikovurderinger.

Målgruppe

  • Prosessledere

Innhold

  • Mål for trinnet
  • Fremgangsmåte
  • Anbefalt dokumentasjon

1 Mål for trinnet

Arbeidsgruppen har

  • evaluert risikoene fra forrige trinn opp mot virksomhetens kriterier for å akseptere risiko
  • synliggjort hvilke risikoer som kan aksepteres slik de er, og hvilke som må håndteres

2 Fremgangsmåte

Arbeidsgruppen skal nå gå gjennom én og én av risikoene fra forrige trinn. Status rundt hver enkelt av dem skal vurderes opp mot virksomhetens kriterier for å akseptere risiko.

Gjennomgangen kan tas sortert på risikostørrelse eller i grupper som naturlig hører sammen.

Referansen under gjennomgangen er virksomhetens kriterier for å akseptere risiko. De vil normalt fremgå av en retningslinje eller lignende fra ledelsen.

For hver risiko vurderes status opp mot virksomhetens egne kriterier. Eksempler på tema som kan være omtalt og dermed kreve vurdering, er:

  • hvor systematisk og grundig arbeid er gjennomført tidligere for å identifisere relevante risikoreduserende tiltak inn mot denne eller tilsvarende risikoer?
  • hvor viktig er arbeidsoppgaven/tjenesten som utføres for virksomhetens primære mål?
  • i hvilken grad er alternative fremgangsmåter for arbeidet/tjenesten vurdert?

Resultatet av evalueringen av hver risiko skal noteres i risikotabellen. Vi anbefaler at man skriver «Kan aksepteres» eller «Ikke akseptabel» i en hensiktsmessig kolonne.

Maler, eksempler og støtteverktøy

  • Eksempel på kriterier for å akseptere risiko finnes i vedlegg B i [EKSEMPEL] Retningslinje: Forstå, vurdere og håndtere operativ risiko (docx)

3 Anbefalt dokumentasjon

Risikonotatet utvides med

  • Resultatet fra risikovurderingen:
    • kort om
      • det generelle risikonivået
      • spesielt høye risikoer
    • kort omtale av og henvisning til risikotabellen
  • Utfordringer under gjennomføringen, i den grad det er relevant

Vedlegg til risikonotatet:

  • Risikotabellen suppleres med resultatet av evalueringen
  • Eventuelt en risikomatrise

─────────────────────────────────────────────────────

  • Neste trinn i metoden
  • Forrige trinn i metoden
  • Hovedsiden til metoden
  • Til toppen av siden

─────────────────────────────────────────────────────

Aktiviteter

Nyttig

  • Maler og eksempler
  • Begrepsliste
  • Regelverkskrav
  • Hva sier ISO/IEC 27001?
  • Virksomhetskontekst
  • Hva sier andre?
  • Endringslogg
  • Kilder
  • Kontakt: redaksjonen@digdir.no
  • Telefon: +47 22 45 10 00
  • E-post: postmottak@digdir.no
  • Org.nr: 991 825 827