3.13 Om riskanalyser - riskhanteringsprocessen

Riskidentifiering

Att identifiera och kartlägga risker som utgör hot mot verksamheten är den första fasen i riskhanterings­arbetet. Risker som har förverkligats i form av skadehändelser och tillbud samt risker som kan drabba verksamheten i framtiden ska listas.

Det är viktigt att ta del av medarbetares kunskap inom respektive område. Kunskap hos alla anställda om de risker som finns i en verksamhet är väsentligt för ett bra riskhanteringsarbete. Ett sätt att öka med­vetenheten om risker och riskhantering är att arbeta med riskinventering och riskanalyser i arbetsmöten.

Riskvärdering

Värdera de identifierade riskerna med avseende på sannolikhet för ett inträffande och konsekvensen av inträffandet.

Utgångspunkterna vid värderingen är

  • hur ofta en risk bedöms förekomma – hur sannolik risken är

  • vilka konsekvenser risken har för verksamheten om den leder till skadehändelser eller tillbud

  • vilken kostnad risken medför

  • vilken betydelse risken har i förhållande till andra risker

En vanlig nivåskala som används går från 1 till 5, där 1 anger lägsta sannolikhet respektive konsekvens och 5 anger högsta.

Sannolikhetsnivå multiplicerat med konsekvensnivå ger händelsens riskvärde. Ett högt riskvärde ger högre prioritet än ett lågt. Prioritetsbedömningar kan göra det lättare att strukturera och värdera risker.

Riskvärderingen ska leda fram till en översikt över vilka risker som hanteras tillräckligt bra och vilka som behöver hanteras bättre.

Riskhantering (riskbehandling)

När riskerna har identifierats, värderats och prioriterats ska de hanteras genom att

  • eliminera risken

  • begränsa risken genom skadeförebyggande och skadebegränsade åtgärder

  • överföra/dela risken, exempelvis genom försäkring eller annat avtal

  • acceptera risken - behålla risken utan att vidta någon ytterligare åtgärd. Riskens påverkan kan till exempel vara minimal, åtgärderna för kostsamma, eller risken ej möjlig att åtgärda eftersom den helt beror på externa händelser. Riskacceptansen kan förändras över tiden.

Notera att även riskacceptans – att inte göra någonting – bedöms som en aktiv åtgärd.

Åtgärdsplaner upprättas och förvaras lokalt på institutionerna. I åtgärdsplaner ska identifierade risker och till dem beslutade och prioriterade åtgärder dokumenteras.

Ingen riskinventering utan åtgärd - även att inte göra någonting (acceptera risken) bedöms i sammanhanget som en åtgärd.

Beslut om åtgärder dokument­eras i åtgärdsplaner.

Uppföljning

Riskanalysen måste regelbundet följas upp och uppdateras.

IT-säkerhetshandboken | Utskriftsvänlig sida | Kontakt