Versions Compared

Old Version 11

changes.mady.by.user Erich Must Wessel

Saved on

compared with

New Version 12

changes.mady.by.user Erich Must Wessel

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

...

Når man først har definert en risiko, kan denne f.eks evalueres flere steder i organisasjonen ved å NY-evaluere flere ganger og velge ulike avdelinger i org.listen hver gang. Det kan altså være sammen risiko som skal evaluers evalueres på ulike prosesser, eller ulike avdelinger / lokasjoner, eller samme risiko på ulike Aktiva (feks. programvare).

...

Når en og samme risiko evalueres mot ulike områder av virksomeheten kaller vi det ulike utfall. Altså en og samme risiko evalueres med flere NY evalueringer med ulikt utfall.

NB! For hvert nytt utfall av en risiko må altså det gjøres en ny NY evaluering. Utfallet tagges i ved evaluering under overskriften “Tilknytning”. Utfallet må da være unikt i forhold til forgående andre utfall. For hvert utfall skal det så senere kun reRE-evalueres uten å gjøre endringer i Tilknytningsfeltene. Altså - dersom man skal gjøre et en evaluering av et utfall som allerede er evaluert skal man reRE-evaluere denne risikoen . Som (ikke NY evaluering) som dette bildet illustrerer:

...

En NY evaluering benytter pluss ikonet og RE evaluering benytter “gjenta” ikonet. Når man RE-evaluerer vil man opparbeide historikk og på dette utfallet for sannsynlighet og konsekvens og kunne se grafer på risiko-utfallets utvikling i tillegg til . I tillegg vil man kunne se alle tiltak som er implementert over tid og hvilken effekt disse har fått.

Et utfall kan altså være basert på ulike organisasjon som vist i bildet over, men også ulike prosesser, leverandører, kontekst, aktiva og flere andre datatyper i systemet.

Dersom man får en epost med påminnelse om at man må “revurdere” eller “reevaluere” en risiko betyr det at man RE evaluerer det aktuelle utfallet og bygger opp historikken for nettopp dette utfallet.

Risikoreduksjon / utnytte muligheter ved restrisiko

Dersom man ved evaluering IKKE aksepterer en restrisiko må man (systemet krever) redusere risikoen / utnytte muligheten med en (eller begge) av disse to måtene:

  • opprettes tiltak for å redusere risiko og realisere muligheter.

  • referere til sikringstiltak/barrierer som er på plass for å forebygge risikoen.

...

  • Når en risiko evalueres for første gang (NY evaluering), genererer systemet en egen risikoevaluering som vil arve de valgte taggede organisasjonselementene og prosessene fra sin "mor", selve risikoen. Denne handlingen letter arbeidet, men du bør fortsatt sjekke om taggingen er riktig slik at utfallet blir riktig. Du kan selvfølgelig endre dem. Velg riktig sannsynlighet og estimert verdi for hver relevant konsekvensakse. Du må fylle ut minst én konsekvensakse.

  • Du kan velge om du vil evaluere "Muligheter". Det vil gjøre den positive skalaen 1-5 synlig ved evaluering.

  • Du kan også velge å sette en Ønsket sitauasjon” (målevaluering). Den aktiverer en ny matrise nøyaktig som den nåværende evalueringen, men lar brukeren angi en ønsket/mål-/målevalueringsverdiverdi. Over tid er det meningen at du skal skal man jobbe mot å lukke dette gapet.

  • For hvert konsekvensaksevalg må du man bestemme om gjenværende risiko aksepteres man kan Aksepter restrisiko eller ikke. Hvis én ikke er merket, må du velge en løsning med tiltak på slutten av skjemaet . Det -det betyr, hva gjør du med resten av risikoen/mulighet. For å redusere risiko og utnytte muligheter, legg til tiltak og/eller kontroller.

...

Evaluering av risikoer

Se flytdiagram flytsskjema i egen artikkel under hvordan man utfører evalueringer på ulike steder i systemet

Ved evaluere fyll inn relevante data og muligheter som

  • Arving eier, org. og deltaker fra risiko

  • Planlegg neste evaluering

  • Angi målrisiko eller ei

  • Er risikoen signifikant?

  • Definer løsning for restrisiko etc

Hvis vesentlig, definere løsning for restrisiko gjennom å lage tiltak og referere til barrierer

Evalueringsfelter forklart

Seksjon1 - metainfo

...

Tittel

  • Systemet kopierer inn tittelen fra selve risikoen - kan endres om ønskelig

...

  • Her kopieres deltakerne fra selve risikoen inn - kan redigeres

Seksjon 2 - Tilknyttet

...

Her kan man når man lager en NY evaluering velge å kopiere med seg relevante data som er tagget for selve risikoen. Alle kan endres ved behov. Det anbefales å IKKE endre noen tilknytninger ved REevaluering fordi da vil “utfallet” endre seg. I disse tilfeller er det oftest best å lage en NY evaluering med en annen kombinasjon for det aktuelle utfallet. Bruk gjerne Tittel/Beskrivelse for å tydeligere om det er ulike utfall for samme risiko.

...

  • Prosjekt er kopiert fra selve risikoen og er låst for endring

Seksjon 3 - valg

...

I denne seksjonen tar man valg som har disse forklaringene

...