Beskrivelse av risikostyringsprosessen

IM 2015-008V
Beskrivelse av risikostyringsprosessen
Dette vedlegget beskriver de ulike delene av prosessen som fremgår av IM om risikostyring, og hvordan
disse kan gjennomføres. Nyttige tips og verktøy er også beskrevet.
Beskrivelsen av prosessen er generell og skal kunne være til hjelp i risikovurderinger på alle nivåer
organisasjonen.
Risikostyringsprosessen
Risikovurdering
Risikoidentifisering
Risikoanalyse
Risikoevaluering
Risikohåndtering
Monitorering og oppfølgning
Kommunikasjon og innvolvering
Kontekst
Trinn 1: Kontekstanalyse: Innen hvilke rammer skal UDI nå sine mål?
For å kunne identifisere risikoer på et bestemt område må relevante fagpersoner og beslutningstakere
vurdere gjeldende mål mot i hvilken kontekst målene skal oppnås. Med kontekst menes i denne
sammenheng både ytre rammer og interne forhold som har betydning for vår oppgaveløsning.

Eksempler på slike rammer kan være; asylankomster, innkomne saker, regelverksendringer,
politiske føringer/prioriteringer. Relevante interne forhold kan være omorganiseringer, nye
datasystemer, endret arbeidsmetodikk, kompetanse mm.

Med mål mener vi overordnede oppgaver, samfunnsoppdrag, målene som gis gjennom
forutsetninger i Prop.1 S, instruks til UDI, det årlige tildelingsbrevet, UDIs strategi og
virksomhetsplan.
Tips og råd for gjennomføring
En kontekstanalyse skal sikre at de som skal identifisere risikoer har samme oppfatning av nåsituasjonen, både med hensyn til hvilke mål som skal nås og i hvilken kontekst de skal nås. Det kan være
hensiktsmessig å ha en kort diskusjon på bakgrunn av en oppsummering av de mest relevante
kontekstfaktorene på det aktuelle området/avdeling, samt de mest relevante og aktuelle målene. I tillegg
til et særlig blikk for eget ansvarsområde, bør UDIs overordnede ansvar og helhetsperspektivet tas med i
vurderingen av kontekst.
Trinn 2: Identifisere risiko: Ser vi for oss risikoer på et gitt område?
Med utgangspunkt i mål og kontekst skal gruppen vurdere om de mener det kan inntreffe fremtidige
hendelser som vil true måloppnåelsen i deres avdeling/enhet. Gruppen som sammen skal identifisere
risikoer bør ha et felles tidsperspektiv. For enkelte mål vil budsjettår være relevante, mens vi for andre
mål må ha et lengre perspektiv. Det kan videre være til hjelp å bruke en sjekkliste for relevante kategorier
risikoer for å få opp aktuelle hendelser som kan true måloppnåelsen.
Videre inngår det i risikoidentifiseringen å knytte risikoen til årsak. Kilden til risikoen må kunne beskrives.
Hvorfor mener gruppen hendelsen kan inntreffe? Det vil ofte være flere årsaker til at en hendelse kan
inntreffe. Det er nyttig for prosessen å beskrive årsakene til en mulig hendelse utfyllende. Hvilke forhold
knyttet til nå-situasjonen vil kunne trigge hendelsen?
I tillegg skal gruppen beskrive hvilke konsekvenser de mener hendelsen vil kunne få, som er koblet til
mål. Også her vil det kunne være flere konsekvenser av en risikohendelse, og de vil kunne påvirke flere
mål.
Verktøy for å beskrive risiko
For at alle skal ha en klar forståelse av hva risikoen omhandler, og for lettere å identifisere tiltak, må
risikoen beskrives godt. Et hjelpemiddel for å gjøre dette er å sette risikoen inn i en hendelseskjede.
Hendelseskjeden er tatt inn i malen for risikobeskrivelse som skal benyttes i rapportering om risiko i UDI.
Hendelseskjeden:
Årsaker til at
risikoen oppstår
Årsakene må
ha inntruffet /
faktabasert
Risikobeskrivelse
Konsekvenser av
risikoen
Konsekvenser
for UDIs mål
Trinn 3: Analysere risikoene: Hvor vesentlige er risikoene?
Resultatet av trinn 2 skal være en liste over de vesentligste risikoene enheten/avdelingen har identifisert.
Neste trinn er å vurdere hvor vesentlige risikohendelsene er for den aktuelle enheten/avdelingen.
I risikoanalysen skal gruppen vurdere sannsynlighet for at risikohendelsen inntreffer og konsekvens av
at den inntreffer på en skala fra 1-5, for hver av de identifiserte risikoene for sin enhet. Det kan her
benyttes avstemming som et utgangspunkt for en videre diskusjon, men det forutsetter at alle som er med
i avstemningen har et godt nok grunnlag for å vurdere risikoen. Avstemning benyttes ikke på
virksomhetsnivå i UDI. Resultatet skal legges inn i risikokartet.
I vurderingen skal vi ta med eventuelle tiltak som er satt i verk for å redusere risikoens sannsynlighet
og/eller konsekvenser. Tiltak som er planlagt, men ikke satt i verk skal ikke være med i vurderingen.
Vurderingsskalaen for sannsynlighet som benyttes i UDI
Sannsynlighet
Beskrivelse
Svært stor
Blir overrasket om det ikke skjer
Stor
Tror det vil skje
Moderat
Kan skje
Liten
Tror ikke det vil skje
Meget liten
Blir overrasket om det skjer
Vurderingsskalaene for konsekvens
Konsekvensskalaen sier noe om hvor stor konsekvens risikoen har for om vi når målene våre hvis den
inntreffer. Selv om konsekvensene av at vi ikke når et bestemt mål er mer alvorlig enn et annet, kan
risikoene knyttet til de to ulike målene være like store. Vi vurderer konsekvensen opp mot det enkelte mål
og ikke relativt i forhold til andre mål. Konsekvensene kan være knyttet til ulike dimensjoner som ikke er
direkte sammenlignbare. Et eksempel på dette er risiko knyttet til liv og helse eller samfunnssikkerhet vs.
grad av oppnåelse av et målkrav i tildelingsbrevet.
Det er viktig å ha en felles forståelse av hva de ulike nivåene betyr når vi skal vurdere hvor på
konsekvensskalaene risikoen skal plasseres. Det vil si at alle legger det samme i en plassering av en
bestemt risiko fra marginalt til svært alvorlig. Dette er avgjørende for diskusjon i neste trinn i prosessen
som er evaluering av risikoene, herunder risikotoleranse.
Eksemplene under kan brukes som en støtte for å forstå skalaene likt. Dette er ikke faste definisjoner,
men er ment å gi en veiledning og retning i vurderingen. Denne delen av vedlegget vil bli supplert etter at
den årlige risikovurderingen er gjennomført høsten 2015 og vinteren 2016.
Konsekvens
Beskrivelse
Beskrivelse
Beskrivelse
–mål i
tildelingsbrevet/
–liv/helse
–stabil ytelse IKT,
overholdelse av
lover og regler, etc.
virksomhetsplan
Vil trolig ikke Vil trolig ikke kunne
påvirke mål
gi fare for
Marginalt
som beskrevet i
tildelingsbrevet /
personskader
virksomhetsplanen
i noen særlig grad
Liten
Kan påvirke mål
som beskrevet i
tildelingsbrevet,
virksomhetsplanen
Vil kunne gi
fare for
ubetydelige
personskader
Moderat
Det er fare for at vi
ikke når målet som
beskrevet i
tildelingsbrevet,
virksomhetsplanen
Vil kunne
gi fare for
mindre
personskader
Alvorlig
Vi vil ikke nå målet
som beskrevet i
tildelingsbrevet,
virksomhetsplanen
Vi vil være langt fra
å nå (viktige) mål
som beskrevet i
tildelingsbrevet,
Svært alvorlig
virksomhetsplanen.
Vi kunne
gi fare for
personskade
Vil kunne
gi fare for
svært alvorlig
personskade eller
tap av liv
Risikokartet
Etter at sannsynlighet og konsekvens er vurdert, plasseres risikoen inn i risikokartet, se under. Alle
organisatoriske nivåer i UDI skal benytte dette risikokartet. Risikoene bør plasseres i en rute / kategori og
ikke mellom dem.
Sannsynlighet
Svært stor – Blir
overrasket om
det ikke skjer
Stor – Tror det
vil skje
Moderat – Kan
skje
Liten – Tror ikke
det vil skje
Meget liten –
Blir overrasket
om det skjer
Marginalt
Liten
Moderat
Konsekvens
Alvorlig
Svært
alvorlig
Trinn 4: Evaluere risikoene: Skal det settes inn tiltak?
I neste trinn skal det vurderes hvordan risikoene skal håndteres.
Plassering på risikokartet indikerer behov for håndtering. Tabellen under viser behov for håndtering
avhengig av hvor i risikokartet risikoen er plassert. Rødt krever håndtering og eskalering, mens grønt i
mindre grad krever det. De gule risikoene må vurderes nærmere.
På avdelingsnivå eller lavere skal det i tillegg vurderes om risikoen skal løftes/rapporteres til neste nivå.
Alle risikoer som antas å få vesentlige konsekvenser for flere avdelinger eller som er virksomhetskritiske
skal løftes i dialogen om risiko på virksomhetsnivå.
Behov for håndtering
Risikoansvarlig skal vurdere om det skal settes inn tiltak
Risikoen skal overvåkes/monitoreres
Risikoansvarlig skal ta stilling til om risikoen skal eskaleres
Det skal settes inn tiltak eller vurderes overvåkning og rapportering.
x
x
x
x
x
x
Alternativ oppfølging av risiko
UDI kan identifisere risikoer som anses å ha svært alvorlig konsekvens og høy sannsynlighet, men hvor vi
i liten grad kan sette inn ytterligere tiltak som vil gi effekt. Det kan være knyttet til særtrekk ved våre
oppgaver som for eksempel i mottaksdriften eller i håndtering av personopplysninger.
I slike tilfeller kan vi følge dem opp på lavere nivå og eventuelt rapportere disse risikoene til overordnet
departement.
Trinn 5: Håndtering av risikoene: Hvilke tiltak skal settes inn?
Neste trinn i prosessen er å sette inn tiltak for å forhindre at risikoer inntreffer, dele risiko eller begrense
konsekvensene dersom de skulle inntreffe. Ved håndtering av risiko skal risikoansvarlig sikre samordning
med øvrige oppgaver og prosesser.




Mulige tiltak må identifiseres. Det vil her kunne være til hjelp å gå tilbake til årsakene til en risiko
og vurdere om noen av disse kan påvirkes slik at risikoen ikke inntreffer likevel. Det skal videre
vurderes om konsekvensene av risikoen kan begrenses ved å sette inn tiltak.
Det skal vurderes hvilke tiltak som skal settes inn. Dette skal gjøres på grunnlag av en kost-nytte
vurdering. Hva vil de økonomiske/administrative kostnadene ved tiltaket være, vektet mot hvilken
effekt tiltaket forventes å ha. Tidsperspektiv og vurdering av om tiltakene vil gi umiddelbar effekt
eller om de vil gi effekt på lang sikt bør også tas inn i vurderingen.
Tiltakene skal beskrives konkret, med en tiltaksansvarlig og en frist for gjennomføring.
Tiltakene skal iverksettes og følges opp på relevant nivå. Risikoer på avdelingsnivå følges opp og
monitoreres internt. Risiko som berører flere avdelinger eller er virksomhetskritiske vil følges opp
av AUA i de månedlige møtene. Status rapporteres til direktøren. Det kan være en vekselvirkning
mellom hvilket nivå risikoene skal følges opp. Avdelingene skal kommunisere status på sine
risikoer og eventuelle behov for å eskalere risikoer som likevel ikke kan håndteres internt i den
løpende oppfølgingen/dialogen. Risikoer som er fulgt opp på virksomhetsnivå kan også vurderes å
være under kontroll slik at videre oppfølging og monitorering bør plasseres på avdelingsnivå.
Trinn 6: Rapportering og oppfølging
De avdelingsvise risikokartene som utarbeides i den årlige risikovurderingen knyttet til
virksomhetsplanleggingen skal sendes til AUA og brukes som grunnlag for risikoprosessen på
virksomhetsnivå. For å få et best mulig grunnlag for vurdering av risikoer på virksomhetsnivå er det
utarbeidet en mal som skal brukes for rapportering av virksomhetskritiske risikoer til direktøren. Under
beskrives de ulike rapporteringspunktene og hvordan disse er knyttet til selve risikoprosessen.
Rapporteringspunkter
Hva skal beskrives
Hvilke hendelser
utløser risikoen?
Her beskrives hvorfor det er en risiko, hva er det i
omgivelsene som gjør at vi har denne risikoen. Det
er viktig at denne beskrivelsen er faktabasert, ikke
bare noe som vi tror skjer ut fra vage antakelser.
Risiko
Her beskrives risikoen i en kort setning
Hva er konsekvensen
hvis risikoen
inntreffer?
Beskrivelse av hva vil skje hvis risikoen inntreffer.
Hva vil bli påvirket? Kan dette igjen medføre nye
risikoer?
Sannsynlighet og
konsekvens
Dette vil være selve risikokartet
Beskrivelse av
nåsituasjonen
Beskrivelse av hvilke tiltak er allerede satt i verk.
Det er også en mulighet til å beskrive i mer detalj
hva som legges i risikoen.
Vurderinger av tiltak
Hvis avdelingen mener at risikoen bør løftes opp til
virksomhetsnivå skal det komme frem her. Det er
også her vurderinger om tiltak skal settes i verk
beskrives. Hvilke kost/nytte vurderinger er gjort? Er
risikoen på et nivå vi kan akseptere
(risikotoleranse)?
Tiltak
Beskrivelse av de ulike tiltakene som er planlagt
iverksatt. Dette kan godt være tiltak som allerede
står i virksomhetsplanen.
Ansvarlig
På avdelingsnivå kan dette være områder eller
enheter, på virksomhetsnivå vil dette være
avdelinger.
Frist
For hvert tiltak bør det være satt en frist.
Mål risikoen er knyttet
til
Hvilke mål i tildelingsbrev/virksomhetsplanen er
risikoene knyttet til. Hvis det er andre mål enn de
som ligger i virksomhetsplanen skal disse også
beskrives.
Håndtering
Evaluering
Risikoanalyse
Risikoidentifisering
Trinn
På virksomhetsnivå følger AUA opp UDIs risikokart og tilhørende tiltak i de månedlige møtene med
avdelingene om oppfølging av økonomi og UDIs virksomhetsplan. AUA gjør dette på vegne av direktøren.
I forkant av møtene skal avdelingene gjøre en vurdering av effekten av tiltak eller andre forhold som
påvirker risikoene, eventuelt behovet for ytterligere tiltak. De må også vurdere om andre risikoer bør
løftes. AUA skal tilrettelegge for effektiv oppfølging.
DM vurderer det overordnede risikokartet hver måned.