Risikostyring

Risikostyring er alt arbeid som gjøres for å styre risiko.

Arbeidet må gjennomføres kontinuerlig for å ha og opprettholde oversikt over de omstendigheter som kan få betydning for bedriftens resultater og måloppnåelse. Dette betyr:

1 - Kontrollere og styre alle potensielle hendelser eller situasjoner som kan påvirke bedriften negativt.  Dette vil ofte bety å pro-aktivt iverksette tiltak som eliminerer risikoen, eller som gjør at risikoen kommer ned på et akseptabelt nivå.

2 - Kontrollere og styre alle omstendigheter som kan vise seg å bli positive for bedriften. Man kan da vurdere å iverksette tiltak som gjør at disse mulighetene opprettholdes og om mulig forsterkes. 
(Positiv risiko, eller MULIGHETER, har fått utvidet oppmerksomhet i 2015 revisjonen av ISO 9001.)

Hensikten med risikostyring er ikke nødvendigvis å eliminere risiko, men å forstå den så man kan utnytte fordelene og minimere ulempene.

Consolid CLS bruker 3 nivå for å gjennomføre full risikostyring i bedriften:

Nivå 1: Overordnet kritikalitets og verdivurdering (kartlegging av egen virksomhet), og planlegging av større endringer

Nivå 2: Konsekvensanalyse - Beredskap og å sikre virksomhetskontinuitet

Nivå 3: Risikovurderinger på nødvendig detaljnivå

Nivåene henger sammen, men det vil være fullt mulig å kun bruke nivå 2 og 3, eller kun nivå 3 dersom dette er hensiktsmessig.

Nivå 3 vil dekke vanlige risiko- og mulighetsvurderinger. Dette inkluderer vurdering av interne/eksterne forhold og krav og forventninger fra interne og eksterne interessenter.

Under finner du en beskrivelse av de 3 nivåene:

Nivå 1 - Kritikalitet og verdivurdering

Dette er et skjema som utarbeides av ledelsen som har som formål å:

  • Skape en felles forståelse over hvilke aktiva/verdier virksomheten rår over
  • Skape en felles forståelse av verdienes betydning for virksomheten
  • Skape bevissthet til hvilke verdier som på grunn av sin betydning må analyseres for risiko og forretnings-konsekvens (ved eventuelle uønskede hendelser)

Arbeidet skal bidra til en identifikasjon, og gi oversikt over verdienes betydning og kritikalitet for virksomheten. Dette vil gi grunnlag for prioritering og videre analyse.

Eksempler på verdier/aktiva:

  • Omdømme
  • Forhold til omgivelsene (interessenter)
  • Patenter / know-how
  • Løsninger / produkter
  • Kunder
  • Driftsmiljø kunder
  • Driftsmiljø utvikling
  • Personer / Ansatte - Kompetanse
  • Miljø
  • Bygninger / produksjonslokaler
  • IT

Nivå 2 – Konsekvensanalyse

Prosessen er en videreføring på nivå 2 av bedriftens kritikalitet og verdivurdering, og beskriver hvordan uønskede hendelser skal ivaretas for å sikre virksomhetskontinuitet. Dette betyr at bedriftens kritiske virksomhetsfunksjoner vil enten:

  • Fortsette å operere til tross for alvorlige hendelser eller katastrofer som ellers kunne ha avbrutt dem
  • Bli gjenopprettet til operasjonell tilstand innenfor en rimelig kort tid

Prosessen beskriver også hvordan større endringer skal planlegges for å sikre at kjente og potensielle problemer avdekkes og håndteres proaktivt for unngå at avvik, uhell og ulykker oppstår, og dermed sikre bedriften mot tap. Dette kaller vi «endrings-ledelse».

Kontinuitet og beredskap
Konsekvensanalyse omfatter også beredskap – dvs. virksomhetens evne til å håndtere uønskede hendelser av større omfang:

  • Være løpende tilgjengelig så langt som mulig for sine kunder og interessenter (gjennom informasjon og tjenester)
  • Ivareta egen organisasjon og berørte pårørende
  • Gjenopprette sine oppgaver og tjenester
  • Returnere til en normal situasjon

Nivå 3 – Risikovurdering

Prosessen beskriver vurdering og behandling av det enkelte forholdet (på laveste nivå). Dette forholdet kan ha blitt avdekket som et ledd i et overordnet program, for eksempel:

  • Kartlegging i forbindelse med større endringer
  • Periodiske kritikalitets- og verdivurderinger, og:
  • Konsekvensanalyser i forbindelse med disse arbeidene

Forholdet kan også ha blitt avdekket i det daglige arbeidet gjennom for eksempel en observasjon gjort av ansatte i bedriften.

Prosessen omfatter all behandling innenfor bedriftens kontekst. Dette betyr at vurdering av krav og forventninger blant alle aktuelle interne og eksterne interessenter også skal ivaretas.

Hensikten med risikovurderingen er ikke nødvendigvis å eliminere risiko, men å forstå den så man kan utnytte fordelene og minimere ulempene.

Risiko og metoder for å styre denne avhenger av organisasjonens kontekst, situasjon, måten å jobbe på, kultur og kompetanse. Consolid CLS overlater til bedriften å velge foretrukket metode, men leverer med et sett med generelle sannsynlighet/konsekvens-skjema som vil være dekkende for:

A - Personskader
B - Skader på ytre miljø 
C - Økonomiske og materielle forhold
D - Brudd på personvernet

Tilsvarende, et generelt utgangspunkt for MULIGHET for type C – Økonomiske og materielle forhold.

© 2020 Consolid AS