Under finner dere noen generelle råd om hva dere bør tenke på når dere driver risikostyring – uavhengig av hvilket nivå det styres på, og om det er et departement eller en virksomhet som driver med risikostyring.
Hva hindrer oss i å nå målene våre og overholde kravene vi står ovenfor? Det er en forutsetning for risikostyringen at dere har oversikt over:
Når det gjelder målene, er det viktig at disse er tydelige og godt formulert. Dette gir et godt utgangspunkt for å vurdere risikoene for ikke å nå målene.
Målene for underliggende statlige virksomheter er gitt fra Storting og departement. Virksomheten operasjonaliserer deretter disse målene til lavere nivå som det er mulig å styre etter.
Stortingsproposisjonen, tildelingsbrev og instruks er viktige dokumenter for virksomheten som gir oversikt over mål og krav for virksomheten, i tillegg til lover og regler.
Virksomhetsleder har det overordnede ansvaret for risikostyringen i virksomheten, men for å ivareta dette ansvaret må øverste leder delegere myndighet og fordele ansvar for risikostyring til ledere på lavere nivåer.
Øverste leder må vite hva han/hun ønsker å få ut av risikostyringen og skape en forståelse for hensikten med risikostyringen i virksomheten. Hvilken verdi skal risikostyringen gi og hvordan skal risikostyringen integreres i mål- og resultatstyringen? Dette er forhold som ledelsen må ta stilling til, og som bør fastsettes i styrende dokumenter og bli kommunisert til linjen. Overordnet departements forventninger til risikostyring er ofte gitt i instruks eller tildelingsbrev.
Enhver leder har ansvar for risikostyring innenfor sitt ansvarsområde. Omfang og frekvens på risikostyringen skal tilpasses egenart, risiko og vesentlighet.
Det finnes flere anerkjente metoder og verktøy som dere kan bruke i risikostyringen. For at nytten skal stå i forhold til kostnaden, er det viktig å dimensjonere og velge en fremgangsmåte ut fra hvilke behov dere har og hva dere ønsker å oppnå med risikostyringen. De ulike metodene har ulike styrker og svakheter. Spørsmål dere kan stille dere som kan ha betydning på valg av metode er:
Type mål/område dere skal risikovurdere kan påvirke valg av metode. Er det risikovurderinger av overordnede mål og strategi? Eller risikovurderinger på operasjonelt nivå? Behovet for dokumentasjon knyttet til risikovurdering av prosjekt eller prosesser vil kanskje være en annen enn for produkter/tjenestenivå, eller brukereffektnivå. Velg den fremgangsmåten som dekker dokumentasjonsbehovet og som blir opplevd å gi størst nytte for virksomheten. Metoder og rammeverk er ment å gi støtte i arbeidet og skal tilpasses virksomhetens behov, og ikke omvendt!
Metoden som presenteres i DFØs metodedokument Risikostyring i staten – håndtering av risiko i mål og resultatstyringen, vil være én blant flere metoder. Se også
Et eksempel på en annen metode som kan egne seg til risikovurdering av mål på aktiviteter og prosesser, er prosesskartlegging.
Spørsmål dere bør stille dere ved prosesskartlegging er:
I tillegg må det være tydelig hvor prosessen starter og stopper, hvem som er involvert i prosessen og hvilke system som er involvert.
Se også:
Det kan være nyttig å planlegge selve gjennomføringen av en risikovurdering godt i forkant av selve vurderingen. Det er også avgjørende for et godt resultat at de rette personene deltar, og at selve risikovurderingen blir fasilitert på en god måte med ressurser som har god kompetanse på risikostyring. Hvem som bør delta i risikovurderingen avhenger av hvilke områder/mål som skal risikovurderes.
Som en hovedregel bør personen som er ansvarlig for målene som skal risikovurderes delta, samt personer som kjenner godt til det aktuelle området. Eksempelvis bør hele ledergruppen delta i risikovurdering av de overordnede målene til virksomheten, mens prosesseier og personer som gir input til prosessen og mottar output av prosessen bør delta i en risikovurdering av vesentlige prosesser.
Formålet er at personene med best forutsetninger for å identifisere, vurdere og håndtere risikoer på det aktuelle nivået deltar. Det vil alltid være en kost/nyttevurdering som ligger til grunn for hvor mange personer som deltar i den aktuelle risikoworkshopen.
I disse lysarkene får dere eksempler på hva en fasilitator bør tenke på før, under og etter gjennomføring av en risikoworkshop.
Utforming av tiltak innebærer å
Til hjelp i arbeidet med å identifisere de «rette» risikoreduserendetiltakene som håndterer de bakenforliggende årsakene til at risikoen oppstår, kan dere bruke ulike type rotårsaksanalyse-teknikker. Målet er å unngå å bare håndtere symptomene. DFØ har veiledning i et par av teknikkene som ofte er brukt i en rotårsaksanalyse.
En av de vanligste fallgruvene i risikostyringen er at risikoreduserende tiltak som blir besluttet, aldri blir utformet selv om de er besluttet eller at de ikke blir tilstrekkelig godt implementert. Da gir risikovurderingen ingen verdi. Det er også svært vanlig at risiko som er identifisert og risikoreduserende tiltak som faktisk blir iverksatt, ikke følges opp. Da får dere ikke verifisert om tiltaket har fungert, og om risikoen er redusert til et akseptabelt nivå.