Skip to end of metadata
Go to start of metadata

You are viewing an old version of this page. View the current version.

Compare with Current View Page History

« Previous Version 11 Next »

Konsekvensakser

Når en risiko er registrert, skal denne evalueres. En risiko evalueres først etter sannsynliget, deretter etter valgte konsekvenstyper:

  • HMS

  • Miljø

  • Kvalitet/prosess

  • Informasjonssikkerhet

  • Persondata

  • Beredskap/nødsituasjoner. 

NY evaluering / RE-evaluering

Når man først har definert en risiko, kan denne evalueres flere steder i organisasjonen. Det kan være sammen risiko som skal evaluers på ulike prosesser, eller ulike avdelinger / lokasjoner, eller samme risiko på ulike Aktiva (feks. programvare).

Utfall

Når en og samme risiko evalueres mot ulike områder av virksomeheten kaller vi det utfall. Altså en og samme risiko evalueres med ulikt utfall.

NB! For hvert nytt utfall av en risiko må det gjøres en ny evaluering. Utfallet tagges i ved evaluering under overskriften “Tilknytning” Utfallet må da være unikt i forhold til forgående utfall. For hvert utfall skal det så senere kun re-evalueres. Altså - dersom man skal gjøre et evaluering av et utfall som allerede er evaluert skal man re-evaluere denne risikoen. Som dette bildet illustrerer:

En NY evaluering benytter pluss ikonet og RE evaluering benytter “gjenta” ikonet. Når man RE-evaluerer vil man opparbeide historikk og sannsynlighet og konsekvens og kunne se grafer på risiko-utfallets utvikling i tillegg til alle tiltak som er implementert over tid og hvilken effekt disse har fått.

Et utfall kan være basert på ulike organisasjon som vist i bildet over, men også ulike prosesser, leverandører, kontekst, aktiva og flere andre datatyper i systemet.

Dersom man får en epost med påminnelse om at man må “revurdere” eller “reevaluere” en risiko betyr det at man RE evaluerer det aktuelle utfallet og bygger opp historikken for nettopp dette utfallet.

Risikoreduksjon / utnytte muligheter

Dersom man ved evaluering IKKE aksepterer en restrisiko må man redusere risikoen / utnytte muligheten på en (eller begge) av disse to måtene

  • opprettes tiltak for å redusere risiko og realisere muligheter.

  • referere til sikringstiltak/barrierer som er på plass for å forebygge risikoen.

Ved risikoevaluering

  • Når en risiko evalueres for første gang, genererer systemet en egen risikoevaluering som vil arve de taggede organisasjonselementene og prosessene fra sin "mor", selve risikoen. Denne handlingen letter arbeidet, men du bør fortsatt sjekke om taggingen er riktig slik at utfallet blir riktig. Du kan selvfølgelig endre dem. Velg riktig sannsynlighet og estimert verdi for hver relevant konsekvensakse. Du må fylle ut minst én konsekvensakse.

  • Du kan velge om du vil evaluere "Muligheter". Det vil gjøre den positive skalaen 1-5 synlig ved evaluering.

  • Du kan også velge å sette en målevaluering. Den aktiverer en ny matrise nøyaktig som den nåværende evalueringen, men lar brukeren angi en mål-/målevalueringsverdi. Over tid er det meningen at du skal lukke dette gapet.

  • For hvert konsekvensaksevalg må du bestemme om gjenværende risiko aksepteres eller ikke. Hvis én ikke er merket, må du velge en løsning på slutten av skjemaet. Det betyr, hva gjør du med resten av risikoen/mulighet. For å redusere risiko og utnytte muligheter, legg til tiltak og kontroller.

Starte evaluering – åpne risikogruppen

Se flytdiagram i egen artikkel hvordan man utfører evalueringer på ulike steder i systemet

Ved evaluere fyll inn relevante data og muligheter som

  • Arving eier, org. og deltaker fra risiko

  • Planlegg neste evaluering

  • Angi målrisiko eller ei

  • Er risikoen signifikant?

  • Definer løsning for restrisiko etc

Hvis vesentlig, definere løsning for restrisiko gjennom å lage tiltak og referere til barrierer

Evalueringsfelter forklart

Seksjon1 - metainfo

Tittel

  • Systemet kopierer inn tittelen fra selve risikoen - kan endres om ønskelig

Beskrivelse

  • Om ønskelig kan man her beskrive evalueringen nærmere: hvorfor, endring, situasjon, prosjekt, er det peroidisk evaluering etc.

Neste evaluering

  • Systemet setter automatisk neste evaluering til ett år frem i tid. Kan endres ved evaluering.

Eier

  • Her legges automatisk inn den personen som er eier av risikoen - kan endres.

Stedfortredere

  • Her kopieres inn de som er stedfortredere i selve risikoen - kan redigeres

Deltakere

  • Her kopieres deltakerne fra selve risikoen inn - kan redigeres

Seksjon 2 - Tilknyttet

Her kan man når man lager en NY evaluering velge å kopiere med seg relevante data som er tagget for selve risikoen. Alle kan endres ved behov. Det anbefales å IKKE endre noen tilknytninger ved REevaluering fordi da vil “utfallet” endre seg. I disse tilfeller er det oftest best å lage en NY evaluering med en annen kombinasjon for det aktuelle utfallet. Bruk gjerne Tittel/Beskrivelse for å tydeligere om det er ulike utfall for samme risiko.

Sårbarheter

  • Dette feltet er et rent tekstfelt som brukes for å beskrive sårbarhet(er) - ofte i forbindelse med informasjonssikkerhetsrisikoer

Prosjekt

  • Prosjekt er kopiert fra selve risikoen og er låst for endring

Seksjon 3 - valg

I denne seksjonen tar man valg som har disse forklaringene

Signifikant

Det kan være ulike grunner til at man krysser av for at en evaluering er signifikant. Det kan f.eks være at risikoen

  • er utløst av et lovkrav

  • er utløst av en policy på høyt nivå

  • av en eller annen grunn er virksomhetskritisk mht feks produksjon, leveranse av råvarer, gjennomføring av prosjekter etc

Evalueringer som er signifikante kan filtreres fram i Analyse Dashbordet

Vurdere muligheter

  • Ved å krysse av her vil man også få synlig den positive konsekvens aksen for de som har dette og man kan gjøre et positivt valg. I standard oppsett gjelder dette blant annet for

    • kvalitet

    • ytre miljø

    • helse og sikkerhet

    • informasjonssikkerhet

  • det er mulig å ved bruk av Risikomatrisebyggeren under “Systemverktøy” menyen å definere hvilke konsekvens kategorier som skal ha denne opsjonen.

Ønsket situsajon

  • Dette valget gjør et ekstra matrise-sett synlig for hver konskvens akse og for sannsynlighet slik at man kan definere en ønsket situasjon for risikoevalueringen, eller “mål-risiko” som noen også kaller det. Det gjør det lettere å senår man kan akspetere rest-risiko

Miljøaspekt vurdering

  • Dersom denne evalueringen gjelder et miljøaspekt (ikke miljørisiko), velges denne. Dersom risikoen er krysset av for denne vil evalueringen automatisk arve valget.

  • Det gjør at man kan skille disse ut i Analyseverktøyet.

  • Husk da på at Sannsynlighet har da betydningen “Mengde”

Oversikt over evalueringene

  • Bruk Hjem siden i risikomodulen for raskt å se på mine eller min enhets risiko/vurderinger

  • I prosesskartet vil det komme frem en synliggjøring av vurderingene

  • Analyse Dashboard gir oversikt over hele organisasjonens risikovurderinger, man kan se/filtrere all organisasjonens risikovurderinger per: 

    • Firma, avdeling, prosess, type, gruppe

    • Et gitt øyeblikksbilde på ønsket tidspunkt

    • Kan filtrere og vise kun prosjektrisiko

    • Klikke på tallet i en matrise for å vise detaljer om risikoene i tabellen til høyre

    • Veksle til ID for å lettere finne din risikovurdering

  • Graf av risikovurderingene over tid – se om risikobildet har endret seg over tid, se innvirkning av gjennomførte tiltak

Gruppering – og synliggjøring i prosesskart

Videoer som forklarer riskoevalueringer

Evaluere og re-evaluere risikoer:
https://youtu.be/q74WNRhfo7E

Re-evaluering fra Analyse dashbord:
https://youtu.be/FLSyByz5mgo

Risiskoevaluere Miljøaspekt:
https://youtu.be/JzALJVGE5tw

  • No labels