Virksomhetsstyring og internkontrollarbeid på en enkel, effektiv, og hensiktsmessig måte!
Risikoforhold og beredskap
I tråd med prinsippene for systematisk internkontroll, må beredskap defineres som alle proaktive tiltak egnet til å eliminere eller redusere identifiserte risikoer, uavhengig av risikoens natur. Å begrense beredskapsfokuset til kun IKT-sikkerhet, brann eller naturhendelser, gir en ufullstendig og dermed utilstrekkelig risikostyring. Virksomhetens resiliens krever at ledelsen kartlegger og iverksetter tiltak mot alle forhold som kan true oppnåelsen av mål og leveranser, inkludert:
1. Strategiske trusler: Endringer i markedet, nye konkurrenter eller politiske endringer.
2. Operasjonelle sårbarheter: Lav effektivitet, mangelfull kompetanse, eller brudd i kritiske interne prosesser mv.
3. Sikerhets- og miljørisiko: Brann, naturskade, vold/trusler, kjemikalier eller IKT-sikkerhetsbrudd mv.
4. Regulatorisk risiko: Manglende etterlevelse av myndighetskrav, standarder og inngåtte avtaler mv.
Uavhengig av det brede risikoperspektivet er det et ufravikelig lovkrav å etablere rutiner for håndtering av akutte fare- og ulykkessituasjoner. Internkontrollforskriften § 5 pålegger virksomheten å dokumentere rutiner for å ivareta arbeidstakernes helse, miljø og sikkerhet, hvilket inkluderer beredskap mot ulykker og akutte hendelser.
Det lovpålagte beredskapsarbeidet må baseres på en systematisk Risiko- og Sårbarhetsanalyse (ROS-analyse). Denne vurderingen er påkrevd for å identifisere, vurdere og prioritere sannsynlige uønskede hendelser knyttet til virksomhetens drift, lokasjon og farer. Gjennom ROS-analysen må virksomheten særlig vurdere risiko knyttet til:
1.
Brann og eksplosjon: Fare for utvikling, spredning og konsekvenser for liv og eiendom.
2.
Akutte ulykker/personskade: Hendelser som krever øyeblikkelig førstehjelp eller medisinsk assistanse.
3.
Naturskade: Risiko for flom, ras, storm eller andre naturhendelser basert på geografisk plassering.
4.
Utslipp av farlige stoffer: Risiko knyttet til kjemikalier eller andre helse- og miljøfarlige stoffer som brukes eller lagres i virksomheten.
5.
Vold og trusler: Risiko knyttet til personell og psykososialt arbeidsmiljø.
6.
Større driftsavbrudd: Hendelser som kritisk strømstans eller lengre brudd i vannforsyning, spesielt for samfunnskritiske virksomheter.
Basert på disse vurderingene må virksomheten utarbeide konkrete og operative beredskapsplaner. Disse planene skal beskrive ansvarsforhold, varslingsrutiner, tiltak og nødvendig utstyr for å håndtere de identifiserte hendelsene, og skal holdes oppdatert. Sentrale lovpålagte planer inkluderer, men er ikke begrenset til:
1.
Beredskapsplan for brann og eksplosjon: Dette er en grunnleggende plan som detaljerer varslingsrutiner til 110, rømningsveier, samlingsplass, samt bruk og vedlikehold av brannvernutstyr.
2.
Førstehjelps- og ulykkesplan: Plan for akutt håndtering av personskade, inkludert tilgang på førstehjelpsutstyr, opplæring av personell og rutiner for varsling av 113.
3.
Krisesituasjonsplan (ved vold/trusler): Plan som beskriver tiltak ved voldelige eller truende situasjoner, inkludert rutiner for fysisk sikring og oppfølging av ansatte.
4.
Kontinuitetsplan: (Ofte en del av IKT-beredskapen) Denne planen beskriver prosedyrene for gjenoppretting av kritiske systemer og funksjoner etter et større avbrudd, for å sikre at virksomheten raskt kan gjenoppta driften.
Alle beredskapsplaner må testes gjennom jevnlige beredskapsøvelser (minimum årlig) og dokumenteres som en del av internkontrollsystemet.
Risikostyring
Risikostyring er en integrert og fundamental del av godt internkontrollarbeid og god virksomhetsstyring. Det handler om systematisk å identifisere, vurdere og behandle usikkerhet som kan påvirke virksomhetens mål. Uten effektiv risikostyring vil internkontrollen bare være en reaktiv funksjon. Ved å jobbe proaktivt med risiko, sikrer man at kontrolltiltakene rettes mot de mest kritiske truslene mot måloppnåelse, verdiskaping og etterlevelse av lover og regler
Internkontroll er det systematiske arbeidet virksomheten gjør for å sikre at aktiviteter og prosesser foregår på en forsvarlig måte og i tråd med mål, lovkrav og interne retningslinjer. Risikostyringen er selve fundamentet for dette arbeidet. Før man kan bestemme hvilke gjennomførings- og kvalitetssikringsinstrukser man trenger, må man vite hva som kan gå galt og hvor det kan skje. Risikovurderingen fungerer som et diagnostisk verktøy som identifiserer de viktigste farene og truslene, slik at ressursene i internkontrollarbeidet kan kanaliseres dit de gir størst effekt. Uten en risikovurdering risikerer man å kaste bort ressurskrevende tilleggsarbeid innenfor lite kritiske områder, samtidig som man overser kritiske sårbarheter.
Myndighetskrav
Krav til risikostyring er forankret i ulike deler av norsk lovverk, avhengig av virksomhetens art:
Internkontrollforskriften, og hvor forskriften krever at virksomheten systematisk kartlegger farer og problemer, vurderer risikoen og utarbeider planer og tiltak for å redusere den.
Aksjeloven/Allmennaksjeloven, hvor Styrer i norske selskaper har et lovpålagt ansvar for å sørge for forsvarlig organisering og at ledelsen etablerer systemer for internkontroll og risikostyring.
Personopplysningsloven : Krever risikovurdering (gjerne DPIA) for behandlingsaktiviteter med høy risiko for de registrertes rettigheter og friheter.
Disse kravene innebærer at risikostyring ikke er en valgfri øvelse, men en lovpålagt plikt som må dokumenteres og følges opp.
Arbeidet med risikostyring følger av følgende sykliske prosess og som må være integrert i virksomhetens styringssystem:
1. Risikoidentifikasjon:
Dette er det første og mest kritiske steget. Man identifiserer usikkerhetskildene, truslene, og de mulige konsekvensene. Spørsmålet man stiller er: "Hva kan hindre oss i å nå målene eller etterkomme forpliktelsene våre?" Dette gjøres gjennom analyse av prosesser, aktiviteter, intervjuer, sjekklister og erfaring fra tidligere avvik mv.. Man ser etter sårbarheter (Usikkerhet) i systemer, prosesser, aktiviteter og instrukser.
2. Risikovurdering (Analyse og evaluering):
Her kvantifiserer eller kvalifiserer man de identifiserte risikoforhorholdene. Hver identifisert risiko analyseres med tanke på sannsynlighet for at hendelsen inntreffer og konsekvens hvis den inntreffer. Resultatet, som er selve risikonivået, sammenlignes deretter med virksomhetens risikoaksepteptkriterer og som definerer hvor mye risiko virksomheten er villig- eller kan sies å tillates å tåle innenfor de ulike risikoforholdene.
Dette trinnet har som mål å beregne den inherente risikoen (risikoen før nye tiltak er iverksatt) for hvert identifiserte risikoaspekt. Man bruker typisk en risikomatrise for å illustrere dette.
Risikoen for det enkelte risikoforholdet fastsettes ved å multiplisere fastsatt sannsynlighet og konsekvens.
Etter analysen må resultatet evalueres mot virksomhetens risikoakseptkriterier. Dette er terskelen som avgjør om risikoen er akseptabel eller krever behandling:
A. Høy/Kritisk Risiko: Må behandles umiddelbart, og tiltak skal implementeres raskt.
B. Middels Risiko: Må behandles, men kan prioriteres etter de kritiske risikoene.
C. Lav Risiko: Kan aksepteres, men bør overvåkes.
3. Risikobehandling:
Dersom risikonivået er høyere enn akseptabelt, må man iverksette tiltak. Behandlingen innebærer å velge en strategi:
A. Redusere:
Implementere forebyggende tiltak som reduserer sannsynligheten eller konsekvensen.
B. Overføre:
For eksempel gjennom forsikring.
C. Unngå:
Stoppe aktiviteten som skaper risikoen.
D. Akseptere:
Godkjenne risikoen dersom den er lav, eller tiltakene er for dyre i forhold til effekten.
4. Risikoreduserende tiltak (Internkontrolltiltak):
Risikobehandlingen leder direkte til forebyggende tiltak som senere blir en del av det løpende internkontrollarbeidet. Dette kan eksempelvis være etablering av opplærings-, gjennomførings- og kvalitetssikringsinstrukser mv.) Prosessen må overvåkes og gjennomgås jevnlig for å sikre at tiltakene fungerer som tiltenkt, og at risikoen ikke har endret seg.
5. Sjekkliste for risikovurderingen
Følgende punkter er sentrale elementer som må gjennomgås og dokumenteres under en risikovurdering:
1. Definering av mål og omfang:
Har vi klart definert hvilke mål, prosesser eller myndighetskrav risikovurderingen gjelder for (f.eks. hele virksomheten, et spesifikt IT-system, eller en enkelt prosess)?
2. Identifisering av myndighetskrav, aktiviteter og hendelser:
Er alle vesentlige styringsparametre og aktiviteter i prosessen identifisert? Er de mest relevante usikkerhetsmomentene og truslene (f.eks. menneskelig feil, systemsvikt, svindel, naturhendelser) mot hver aktivitet vurdert?
3. Vurdering av eksisterende forebyggende tiltak:
Er virksomhetens nåværende forebyggende tiltak (for eksempel gjennomføringsinstruks, tilgangsstyring, backup) beskrevet og vurdert med hensyn til effektivitet?
4. Analyse av risiko (Før tiltak):
Er sannsynligheten og konsekvensen av hendelsene vurdert før de eksisterende kontrollene tas i betraktning?
5. Analyse av restrisiko (Etter eksisterende tiltak):
Er sannsynligheten og konsekvensen vurdert på nytt basert på effekten av de eksisterende forebyggende tiltak? Dette gir den reelle risikoen.
6. Sammenligning mot akseptkriterier:
Er den gjenværende risikoen sammenlignet med virksomhetens definerte akseptkriterier for å avgjøre om etablering av ytterligere forebyggende tiltak er nødvendig?
7. Dokumentasjon av behandling:
Dersom risikoen er uakseptabel, er det utarbeidet en klar plan for nye risikoreduserende tiltak ?
8. Ansvar og frist:
Er det definert tydelig ansvar for hvem som skal eie og følge opp både risikoen og de nye behandlingstiltakene, samt en klar frist for implementering?
9. Oppfølging og rapportering:
Er det etablert en plan for når risikovurderingen skal gjennomgås på nytt, og hvordan status skal rapporteres?
Trenger du hjelp til å kartlegge din virksomhets kritiske risiko? Kontakt våre eksperter for en gjennomgang av din risikomatrise.
Senest revidert den 30.10.2025
Svein Roar Holt
Tlf: +47 410 40 853
E.post: srh@internkontrollportalen.no
Figur 1: Prosess- og risikovurderinger er det systematiske arbeidet som sikrer godt grunnlag for god risikostyring i virksomheten.
Godt risikostyringsarbeid omdanner usikkerhet til kontrollert og håndtert risiko!