Hvordan drive god risikostyring

Hva hindrer oss i å nå målene våre og overholde kravene vi står ovenfor? Det er en forutsetning for risikostyringen at dere har oversikt over:

• mål på ulike nivå, det gjelder både ulike nivåer i organisasjonshierarkiet og nivåer i resultatkjeden
• krav på ulike nivå, både eksterne og interne, i form av eksterne lover og regler, krav, rammer og forutsetninger eller interne krav og retningslinjer

Når det gjelder målene, er det viktig at disse er tydelige og godt formulert. Dette gir et godt utgangspunkt for å vurdere risikoene for ikke å nå målene.

Virksomhetsleder har det overordnede ansvaret for risikostyringen i virksomheten, men for å ivareta dette ansvaret må øverste leder delegere myndighet og fordele ansvar for risikostyring til ledere på lavere nivåer. 

Øverste leder må vite hva han/hun ønsker å få ut av risikostyringen og skape en forståelse for hensikten med risikostyringen i virksomheten. Hvilken verdi skal risikostyringen gi og hvordan skal risikostyringen integreres i mål- og resultatstyringen? Dette er forhold som ledelsen må ta stilling til, og som bør fastsettes i styrende dokumenter og bli kommunisert til linjen.

Enhver leder har ansvar for risikostyring innenfor sitt ansvarsområde. Omfang og frekvens på risikostyringen skal tilpasses egenart, risiko og vesentlighet.

Det finnes flere anerkjente metoder og verktøy som dere kan bruke i risikostyringen. For at nytten skal stå i forhold til kostnaden, er det viktig å dimensjonere og velge en fremgangsmåte ut fra hvilke behov dere har og hva dere ønsker å oppnå med risikostyringen. De ulike metodene har ulike styrker og svakheter. Spørsmål dere kan stille dere som kan ha betydning på valg av metode er:

• Hvilket behov har dere for å dokumentere hvilke forutsetninger som ligger til grunn for risikovurderingen?
• Hva ønsker dere å kommunisere og til hvem?
• Hvilket kunnskapsgrunnlag har dere på området dere skal risikovurdere?

Type mål/område dere skal risikovurdere kan påvirke valg av metode. Er det risikovurderinger av overordnede mål og strategi? Eller risikovurderinger på operasjonelt nivå? Behovet for dokumentasjon knyttet til risikovurdering av prosjekt eller prosesser vil kanskje være en annen enn for produkter/tjenestenivå, eller brukereffektnivå. Velg den fremgangsmåten som dekker dokumentasjonsbehovet og som blir opplevd å gi størst nytte for virksomheten. Metoder og rammeverk er ment å gi støtte i arbeidet og skal tilpasses virksomhetens behov, og ikke omvendt!

Metoden som presenteres i DFØs metodedokument Risikostyring i staten – håndtering av risiko i mål og resultatstyringen, vil være én blant flere metoder. Se også

• verktøy for å gjennomføre og dokumentere en slik risikovurdering på våre nettsider
• ISO-standarden 31010, som gir eksempler på over 30 metoder og teknikker for å identifisere og vurdere risiko

Et eksempel på en annen metode som kan egne seg til risikovurdering av mål på aktiviteter og prosesser, er prosesskartlegging. 

Spørsmål dere bør stille dere ved prosesskartlegging er:

• Hva er målet for prosessen?
• Hva kan gå galt i prosessen / hvilke risikoer kan oppstå (i forhold til hva som er målet i prosessen)?
• Hvilke kontrollaktiviteter er på plass?
• Hvilke kontroller mangler eller er overflødige? I tillegg må det være tydelig hvor prosessen starter og stopper, hvem som er involvert i prosessen og hvilke system som er involvert.

Se også:

• Veiledning i prosesskartlegging (docx) (bruk av risikovurderinger i prosjekt,- program-, og porteføljestyring er også god praksis)
• Les mer om risikostyring i prosjekter på prosjektveiviseren.no

Det kan være nyttig å planlegge selve gjennomføringen av en risikovurdering godt i forkant av selve vurderingen. Det er også avgjørende for et godt resultat at de rette personene deltar, og at selve risikovurderingen blir fasilitert på en god måte med ressurser som har god kompetanse på risikostyring. Hvem som bør delta i risikovurderingen avhenger av hvilke områder/mål som skal risikovurderes. 

Som en hovedregel bør personen som er ansvarlig for målene som skal risikovurderes delta, samt personer som kjenner godt til det aktuelle området. Eksempelvis bør hele ledergruppen delta i risikovurdering av de overordnende målene til virksomheten, mens prosesseier og personer som gir input til prosessen og mottar output av prosessen bør delta i en risikovurdering av vesentlige prosesser. 

Formålet er at personene med best forutsetninger for å identifisere, vurdere og håndtere risikoer på det aktuelle nivået deltar. Det vil alltid være en kost/nyttevurdering som ligger til grunn for hvor mange personer som deltar i den aktuelle risikoworkshopen.

I disse lysarkene får dere eksempler på hva en fasilitator bør tenke på før, under og etter gjennomføring av en risikoworkshop.

Se eksempler på  hva en fasilitator bør tenke på før, under og etter gjennomføring av en risikoworkshop (pptx).

Utforming av tiltak innebærer å

• identifisere aktuelle tiltak som kan redusere den aktuelle risikoen til et akseptabelt nivå 
• vurdere og prioritere mulige tiltak ut fra en kost–nyttevurdering

Til hjelp i arbeidet med å identifisere de «rette» risikoreduserendetiltakene som håndterer de bakenforliggende årsakene til at risikoen oppstår, kan dere bruke ulike type rotårsaksanalyse-teknikker. Målet er å unngå å bare håndtere symptomene. DFØ har veiledning i et par av teknikkene som ofte er brukt i en rotårsaksanalyse.

• Se miniveileder i rotårsaksanalyse (docx)

En av de vanligste fallgruvene i risikostyringen er at risikoreduserende tiltak som blir besluttet, aldri blir utformet selv om de er besluttet eller at de ikke blir tilstrekkelig godt implementert. Da gir risikovurderingen ingen verdi. Det er også svært vanlig at risiko og risikoreduserende tiltak som faktisk blir iverksatt, ikke følges opp. Da får dere ikke verifisert om tiltaket har fungert, og om risikoen er redusert til et akseptabelt nivå.