Risikostyringsprosess - Håndtering - Informasjonssikkerhet og personvern v. 1.1

RisikohåndteringRisiko-evalueringRisiko-analyseRisiko-identifikasjonPlanleggingRisikovurderingHMSInformasjonssikkerhetog personvern

 

Risikohåndtering

Når det er klart hvilke risikoer vi ikke kan akseptere beslutter den som har ansvar for risikoen (leder) hvilke tiltak som skal iverksettes. Tiltakene skal gi informasjon om:

  • hva som skal gjøres og hvilken effekt dette skal gi
  • hvem som skal utføre tiltaket (evt. også hvem som har ansvaret for utførelse dersom dette ikke er samme person)
  • når tiltaket skal være utført
  • overføre risiko (f.eks. tegne en forsikring som sikrer oss mot økonomisk tap som overførere konsekvensen av en økonomisk risiko til forsikringsselskapet)

Beskrivelsen bør si noe om tiltaket skal redusere sannsynlighet, konsenvens eller begge deler. Dersom tiltaket er å "overvåke" situasjonen må beskrivelsen være tydelig på hva som skal overvåkes. Målet med risikohåndteringen er at vi ender opp med en akseptabel restrisiko etter at tiltakene er utført, altså hvor stor verdi sannsynlighet og konsekvens har etter utført tiltak. Risikoeier må sørge for at det ikke blir opprettet tiltak som er paralelle eller overlappende med de tiltakene som allerede eksisterer.

Tiltak som andre skal utføre: Dersom det er behov for å etablere tiltak som andre må utføre, skal dette avklares med den/de det gjelder før tiltaket blir opprettet.

Når tiltakene er utført skal vurderingene av sannsynlighet og/eller konsekvens justeres i ROS-analysen slik at restrisikoen blir riktig.

ROS-analysen bør presenteres for de ansatte (og ledere) denne gjelder. I denne presentasjonen kan det komme opp nye risikoelementer eller justering av vurderingene som er gjort. Dette må oppdateres i risikomodulen.

Det som gjelder spesifikt for informasjonssikkerhet og personvern vil være merket med "Informasjonssikkerhet og personvern:" og denne fargen.

 

Håndtering - alternativer

Det finnes flere måter å håndtere en risiko på:

  • iverksette risikoreduserende tiltak - tiltak som i en eller annen grad reduserer sannsynligheten for at disse skjer eller begrenser konsekvensen dersom hendelsen skulle inntreffe
  • unngå risiko - betyr at vi unngår situasjoner, aktiviteter o.l. som kan lede til den uønskede hendelsen slik at en slik hendelse ikke kan skje
  • akseptere risikoen - vi gjør ingen tiltak men følger med på utviklingen i risikoforholdene og gjøre en ny gjennomgang på et senere tidspunkt
  • overføre risiko (f.eks. tegne en forsikring som sikrer oss mot økonomisk tap som overførere konsekvensen av en økonomisk risiko til forsikringsselskapet)

Obs: Vi kan ikke velge å unngå lovpålagte aktiviteter.

Risikoer som må håndteres "oppover i linjen": ​Dersom risikoen ikke er mulig å håndtere for risikoeier må tiltaket overføres til neste ledernivå (oppover i linjen). Dette vil være aktuelt dersom leder ikke har myndighet til å iverksette tilstrekkelige tiltak. Beslutninger om risikohåndtering skal da gjøres på neste ledernivå.

Risikoer med konsekvenser som strekker seg utover egen virksomhet: Dersom risikoen har konsekvenser for andre deler av organisasjonen enn der hvor risikovurderingen gjøres - informer aktuell leder.

 

Oppfølging

Når tiltakene er utført skal risikoanalysen oppdateres slik at restrisiko blir riktig.

Alle risikoene bør evalueres etter en tid for å se om forutsetningene i analysen endrer seg og om tiltakene har ønsket effekt. Hvor lang tid det bør gå avhenger av usikkerheten knyttet til risikoen  og hvor høy risikoverdien er. Det betyr at vi går tilbake til prosesstegene analyse eller evaluering - se modellen under:

RisikohåndteringRisiko-evalueringRisiko-analyseRisiko-identifikasjonPlanleggingRisikovurderingOppfølging

 

Definisjoner

 

Vedlegg

E-læring: Redigere risiko og opprette tiltak