Risikostyring og beredskap – Helhetlig ROS for internkontroll

Risikostyring er en av de mest kritiske komponentene i et velfungerende styringssystem. Det handler ikke om å eliminere all risiko, men om å ha en bevisst og systematisk tilnærming til usikkerhet som kan påvirke virksomhetens evne til å nå sine mål. Ved å identifisere, analysere og håndtere risiko proaktivt, legger virksomheten grunnlaget for informerte beslutninger og langsiktig verdiskaping.

Gjennom risikostyringsprosessen knyttes strategiske ambisjoner sammen med operative realiteter. Dette sikrer at ledelsen og styret har den nødvendige oversikten over trusler og muligheter, og at ressurser settes inn der de gir størst effekt for å beskytte virksomhetens verdier, ansatte og omdømme.

Slik fungerer risikostyringsprosessen

1. Risikoidentifikasjon

Kartlegging av potensielle hendelser eller forhold som kan hindre måloppnåelse eller føre til uønskede hendelser.

2. Analyse og evaluering

Vurdering av sannsynlighet og konsekvens for å fastslå risikonivået og behovet for tiltak.

3. Risikohåndtering

Implementering av tiltak for å redusere, overføre, unngå eller akseptere den identifiserte risikoen.

4. Overvåking og rapportering

Kontinuerlig oppfølging av risikobildet og tiltakenes effekt, samt rapportering til beslutningstakere.

Ansvar og etterlevelse

I henhold til Aksjeloven har styret det overordnede ansvaret for at virksomheten har tilfredsstillende systemer for internkontroll og risikostyring. Dette er ikke bare en lovpålagt plikt, men en forutsetning for forsvarlig drift. En strukturert risikostyring gir styret og daglig leder trygghet for at kritiske områder som økonomi, HMS, IKT-sikkerhet og personvern blir ivaretatt på en systematisk måte.

Risikoforhold og beredskapstiltak

I tråd med prinsippene for systematisk internkontroll, må beredskap defineres som alle proaktive tiltak egnet til å eliminere eller redusere identifiserte risikoer, uavhengig av risikoens natur. Å begrense beredskapsfokuset til kun IKT-sikkerhet, brann eller naturhendelser, gir en ufullstendig og dermed utilstrekkelig risikostyring. Virksomhetens resiliens krever at ledelsen kartlegger og iverksetter tiltak mot alle forhold som kan true oppnåelsen av mål og leveranser, inkludert:

1. Strategiske trusler: Endringer i markedet, nye konkurrenter eller politiske endringer.

2. Operasjonelle sårbarheter: Lav effektivitet, mangelfull kompetanse, eller brudd i kritiske interne prosesser mv.

3. Sikkerhets- og miljørisiko: Brann, naturskade, vold/trusler, kjemikalier eller IKT-sikkerhetsbrudd mv.

4. Regulatorisk risiko: Manglende etterlevelse av myndighetskrav, standarder og inngåtte avvataler mv.

Uavhengig av det brede risikoperspektivet er det et ufravikelig lovkrav å etablere rutiner for håndtering av akutte fare- og ulykkessituasjoner. Internkontrollforskriften § 5 pålegger virksomheten å dokumentere rutiner for å ivareta arbeidstakernes helse, miljø og sikkerhet, hvilket inkluderer beredskap mot ulykker og akutte hendelser.

Det lovpålagte beredskapsarbeidet må baseres på en systematisk Risiko- og Sårbarhetsanalyse (ROS-analyse). Denne vurderingen er påkrevd for å identifisere, vurdere og prioritere sannsynlige uønskede hendelser knyttet til virksomhetens drift, lokasjon og farer. Gjennom ROS-analysen må virksomheten særlig vurdere risiko knyttet til:

1. Brann og eksplosjon: Fare for utvikling, spredning og konsekvenser for liv og eiendom.

2. Akutte ulykker/personskade: Hendelser som krever øyeblikkelig førstehjelp eller medisinsk assistanse.

3. Naturskade: Risiko for flom, ras, storm eller andre naturhendelser basert på geografisk plassering.

4. Utslipp av farlige stoffer: Risiko knyttet til kjemikalier eller andre helse- og miljøfarlige stoffer som brukes eller lagres i virksomheten.

5. Vold og trusler: Risiko knyttet til personell og psykososialt arbeidsmiljø.

6. Større driftsavbrudd: Hendelser som kritisk strømstans eller lengre brudd i vannforsyning, spesielt for samfunnskritiske virksomheter.

Basert på disse vurderingene må virksomheten utarbeide konkrete og operative beredskapsplaner. Disse planene skal beskrive ansvarsforhold, varslingsrutiner, tiltak og nødvendig utstyr for å håndtere de identifiserte hendelsene, og skal holdes oppdatert. Sentrale lovpålagte planer inkluderer, men er ikke begrenset til:

1. Beredskapsplan for brann og eksplosjon: Dette er en grunnleggende plan som detaljerer varslingsrutiner til 110, rømningsveier, samlingsplass, samt bruk og vedlikehold av brannvernutstyr.

2. Førstehjelps- og ulykkesplan: Plan for akutt håndtering av personskade, inkludert tilgang på førstehjelpsutstyr, opplæring av personell og rutiner for varsling av 113.

3. Krisesituasjonsplan (ved vold/trusler): Plan som beskriver tiltak ved voldelige eller truende situasjoner, inkludert rutiner for fysisk sikring og oppfølging av ansatte.

4. Kontinuitetsplan: (Ofte en del av IKT-beredskapen) Denne planen beskriver prosedyrene for gjenoppretting av kritiske systemer og funksjoner etter et større avbrudd, for å sikre at virksomheten raskt kan gjenoppta driften.

Alle beredskapsplaner må testes gjennom jevnlige beredskapsøvelser (minimum årlig) og dokumenteres som en del av internkontrollsystemet.

Lovpålagte myndighetskrav til risikostyring

Risikostyring er en integrert og fundamental del av godt internkontrollarbeid og god virksomhetsstyring. Det handler om systematisk å identifisere, vurdere og behandle usikkerhet som kan påvirke virksomhetens mål. Uten effektiv risikostyring vil internkontrollen bare være en reaktiv funksjon. Ved å jobbe proaktivt med risiko, sikrer man at kontrolltiltakene rettes mot de mest kritiske truslene mot måloppnåelse, verdiskaping og etterlevelse av lover og regler.

Internkontroll er det systematiske arbeidet virksomheten gjør for å sikre at aktiviteter og prosesser foregår på en forsvarlig måte og i tråd med mål, lovkrav og interne retningslinjer. Risikostyringen er selve fundamentet for dette arbeidet. Før man kan bestemme hvilke gjennomførings- og kvalitetssikringsinstrukser man trenger, må man vite hva som kan gå galt og hvor det kan skje. Risikovurderingen fungerer som et diagnostisk verktøy som identifiserer de viktigste farene og truslene, slik at ressursene i internkontrollarbeidet kan kanaliseres dit de gir størst effekt. Uten en risikovurdering risikerer man å kaste bort ressurskrevende tilleggsarbeid innenfor lite kritiske områder, samtidig som man overser kritiske sårbarheter.

Krav til risikostyring er forankret i ulike deler av norsk lovverk, avhengig av virksomhetens art:

Internkontrollforskriften: Forskriften krever at virksomheten systematisk kartlegger farer og problemer, vurderer risikoen og utarbeider planer og tiltak for å redusere den.

Aksjeloven/Allmennaksjeloven: Styrer i norske selskaper har et lovpålagt ansvar for å sørge for forsvarlig organisering og at ledelsen etablerer systemer for internkontroll og risikostyring.

Personopplysningsloven: Krever risikovurdering (gjerne DPIA) for behandlingsaktiviteter med høy risiko for de registrertes rettigheter og friheter.

Disse kravene innebærer at risikostyring ikke er en valgfri øvelse, men en lovpålagt plikt som må dokumenteres og følges opp.

Fra usikkerhet til vurdert og styrt risikoforhold

Arbeidet med risikostyring følger av følgende sykliske prosess og som må være integrert i virksomhetens styringssystem:

1. Risikoidentifikasjon: Dette er det første og mest kritiske steget. Man identifiserer usikkerhetskildene, truslene, og de mulige konsekvensene. Spørsmålet man stiller er: "Hva kan hindre oss i å nå målene eller etterkomme forpliktelsene våre?" Dette gjøres gjennom analyse av prosesser, aktiviteter, intervjuer, sjekklister og erfaring fra tidligere avvik mv. Man ser etter sårbarheter (Usikkerhet) i systemer, prosesser, aktiviteter og instrukser.

2. Risikovurdering (Analyse og evaluering): Her kvantifiserer eller kvalifiserer man de identifiserte risikoforholdene. Hver identifisert risiko analyseres med tanke på sannsynlighet for at hendelsen inntreffer og konsekvens hvis den inntreffer. Resultatet, som er selve risikonivået, sammenlignes deretter med virksomhetens risikoakseptkriterier og som definerer hvor mye risiko virksomheten er villig- eller kan sies å tillates å tåle innenfor de ulike risikoforholdene. Dette trinnet har som mål å beregne den inherente risikoen (risikoen før nye tiltak er iverksatt) for hvert identifiserte risikoaspekt.

3. Risikobehandling: Dersom risikonivået er høyere enn akseptabelt, må man iverksette tiltak. Behandlingen innebærer å velge en strategi:

A. Redusere: Implementere forebyggende tiltak som reduserer sannsynligheten eller konsekvensen.

B. Overføre: For eksempel gjennom forsikring.

C. Unngå: Stoppe aktiviteten som skaper risikoen.

D. Akseptere: Godkjenne risikoen dersom den er lav, eller tiltakene er for dyre i forhold til effekten.

4. Risikoreduserende tiltak (Internkontrolltiltak): Risikobehandlingen leder direkte til forebyggende tiltak som senere blir en del av det løpende internkontrollarbeidet. Dette kan eksempelvis være etablering av opplærings-, gjennomførings- og kvalitetssikringsinstrukser mv. Prosessen må overvåkes og gjennomgås jevnlig for å sikre at tiltakene fungerer som tiltenkt, og at risikoen ikke har endret seg.

Sjekkliste for en effektiv risikovurdering

Følgende punkter er sentrale elementer som må gjennomgås og dokumenteres under en risikovurdering:

1. Definering av mål og omfang: Har vi klart definert hvilke mål, prosesser eller myndighetskrav risikovurderingen gjelder for (f.eks. hele virksomheten, et spesifikt IT-system, eller en enkelt prosess)?

2. Identifisering av myndighetskrav, aktiviteter og hendelser: Er alle vesentlige styringsparametre og aktiviteter i prosessen identifisert? Er de mest relevante usikkerhetsmomentene og truslene (f.eks. menneskelig feil, systemsvikt, svindel, naturhendelser) mot hver aktivitet vurdert?

3. Vurdering av eksisterende forebyggende tiltak: Er virksomhetens nåværende forebyggende tiltak (for eksempel gjennomføringsinstruks, tilgangsstyring, backup) beskrevet og vurdert med hensyn til effektivitet?

4. Analyse av risiko (Før tiltak): Er sannsynligheten og konsekvensen av hendelsene vurdert før de eksisterende kontrollene tas i betraktning?

5. Analyse av restrisiko (Etter eksisterende tiltak): Er sannsynligheten og konsekvensen vurdert på nytt basert på effekten av de eksisterende forebyggende tiltak? Dette gir den reelle risikoen.

6. Sammenligning mot akseptkriterier: Er den gjenværende risikoen sammenlignet med virksomhetens definerte akseptkriterier for å avgjøre om etablering av ytterligere forebyggende tiltak er nødvendig?

7. Dokumentasjon av behandling: Dersom risikoen er uakseptabel, er det utarbeidet en klar plan for nye risikoreduserende tiltak?

8. Ansvar og frist: Er det definert tydelig ansvar for hvem som skal eie og følge opp både risikoen og de nye behandlingstiltakene, samt en klar frist for implementering?

9. Oppfølging og rapportering: Er det etablert en plan for når risikovurderingen skal gjennomgås på nytt, og hvordan status skal rapporteres?