Ofte stilte spørsmål om risiko og risikovurderinger av virksomheten

På denne siden finner du svar på ofte stilte spørsmål som vi får fra dere som jobber med risiko og risikovurderinger av virksomheten.

Hvordan definerer DFØ «risiko»?

DFØ definerer risiko slik: Forhold eller hendelser som kan inntreffe (men som ikke har inntruffet ennå) og som påvirker måloppnåelsen negativt.

Muntlig blander vi ofte risiko som et forhold eller en hendelse som kan inntreffe og sjansen for og konsekvensen av at en risiko skal inntreffe (risikonivå). I DFØ bruker vi «sannsynlighet» og «konsekvens» som uttrykk for størrelsen/nivået på risikoen. Det er viktig å være tydelig på hva dere legger i begrepet for å unngå misforståelser.

Hva er operasjonell vs. strategisk risiko?

Det er vanskelig å sette et klart og entydig skille mellom strategisk risiko og operasjonell risiko, og det er trolig heller ikke nødvendig.

Forenklet kan vi si at strategisk risiko handler om å gjøre de rette tingene, mens operasjonell risiko handler om å gjøre tingene riktig og effektivt (ha god styring og kontroll med innsatsfaktorer, aktiviteter, prosesser, etc.).

Styring av begge typene risikoer er viktig for god tillit og omdømme til statlige virksomheter og for å ivareta mål og krav stilt til oss, herunder ivareta forvaltningsverdiene på en forsvarlig og god måte. Les mer om beskrivelse av risiko og risikostyring i staten.

Operasjonell risiko

Operasjonell risiko kan omfatte mye og griper inn på overordnet styring og kontroll og andre risikoområder. Dette gjør at det kan være utfordrende å avgrense denne risikoen. Vi i DFØ har i ulike sammenhenger ofte sett til Finanstilsynet og Basel sin definisjon av operasjonell risiko, som er:

«risikoen for tap som følge av utilstrekkelige eller sviktende interne prosesser eller systemer, menneskelige feil, eller eksterne hendelser. Definisjonen omfatter juridisk risiko, men ikke strategisk risiko og omdømmerisiko som må vurderes særskilt.»

Eksempler på områder med operasjonelle risikoer kan være:

  • Brudd på lover og regler, interne eller eksterne
  • Misligheter og korrupsjon
  • Ulykker, feil og skade på verdier/innsatsfaktorer
  • Feil i aktiviteter, prosesser eller systemer

Det handler derfor om å ha oversikt over hva som kan gå vesentlig galt i den operative driften. Statsråder og virksomhetsledere har måttet fratre sin post som følge av at operasjonell risiko har inntruffet. Noen eksempler: Brudd på tilskuddsregelverk (Tilskuddsaken BLD 2012), brudd på interne retningslinjer for mobilbruk i utlandet (Sandbergsaken NFD 2018), feiltolkning av EØS-reglene (Trygdeskandalen Nav 2019).

Operasjonelle risikoer som inntreffer kan få strategiske og virksomhetsovergripende konsekvenser, og påvirke i hvilken grad vi når overordnede mål og ivaretar samfunnsoppdraget på en god måte.

Strategisk risiko

Strategisk risiko knytter seg til virksomhetens overordnede mål og handler om valg, forhold eller hendelser som er vesentlige for virksomhetens måloppnåelse og effekter for målgruppen vi er til for, i dag og i framtiden, og således evnen til å levere på samfunnsoppdraget. Det er ofte mer usikkerhet omkring måloppnåelsen knyttet til effekter, og det gir også mer mening å tenke oppside og muligheter knyttet til denne usikkerheten, og ikke bare nedside, samt ha et flerårig perspektiv.

Eksempler på områder med strategisk risiko:

  • Målgruppe/kunde/bruker
  • Samarbeidspartnere
  • Konkurrenter/parallelle aktører
  • Virkemiddelbruk
  • Organisering, finansierings- og forretningsmodeller
  • Utviklingstrekk/trender som eksempelvis politiske endringer, demografisk utvikling, miljø, digitalisering og ny teknologi som gjør at leveransene blir påvirket og de forventede effektene for målgruppen uteblir.

Risikovurderinger av overordnede mål kan danne grunnlag for å utvikle virksomhetsstrategier og flerårige planer. Strategiske risikoer er også viktig utgangspunkt for å identifisere vesentlige operasjonelle risikoer.

Risikoer knyttet til bruker- og samfunnseffekter kan ofte være vanskelige å identifisere, vurdere og håndtere. Uklare årsak-virkningsforhold og måleutfordringer gjør det utfordrende å plassere ansvar. Det er flere virksomheter som har blitt oppløst, splittet, slått sammen, omorganisert eller fratatt ansvarsområder, nettopp fordi samfunnsoppdraget ikke blir godt nok ivaretatt.

Statlige virksomheter må ha helhetlig risikostyring og både ha et strategisk og operasjonelt perspektiv for bedre beslutningsstøtte, prioriteringer og således måloppnåelse. Hvordan dere grupperer og definerer risikoene er mindre viktig.

Du kan også lese mer om strategisk og operasjonell risiko med utgangspunkt i mål og resultatkjeden på disse to sidene.

Les om bruk av begrepene risikostyring og internkontroll: Sammenhengen mellom risikostyring og internkontroll - DFØ (dfo.no)

Les om hva risiko og risikostyring er og hva som er spesielt med risikostyring i staten: Risikostyring i staten - DFØ (dfo.no)

Hva er forskjellen på en risiko og svakhet/avvik?

Et avvik eller en svakhet er en risiko som allerede har inntruffet (Sannsynlighet>1).

Det kan noen ganger oppleves kunstig å skille mellom svakheter/avvik og risiko, men vær bare bevisst på forskjellen. 

Det er vår erfaring at det kan være nyttig å borre i de svakhetene/avvikene som finnes, for eksempel for lite kapasitet eller feil kompetanse, for å se på hva dette kan føre til - altså hvilke uønskede hendelser (risiko) kan inntreffe som følge av disse svakhetene. Eksempler på slike risikoer kan være lovbrudd, tap av liv og helse og svikt i systemer. Det kan også være nyttig å diskutere hvorfor de samme svakhetene/avvikene oppstår hvert år eller ikke forsvinner. Treffer vi ikke med tiltakene? Er tiltakene mer konsekvensreduserende og reaktive enn sannsynlighetsreduserende og proaktive?

Må vi bruke metoden som beskrives i veilederen deres?

Nei, det finnes ikke én metode som passer like bra til alle formål, og det gjelder også metoden som er beskrevet i veilederen vår (PDF).

Den generelle metoden som presenteres i veilederen må tilpasses det organisatoriske nivået, de målene og de områdene som skal risikovurderes. Det er et tydelig krav i ØR at statlige virksomheter skal vurdere risiko, men det er ikke krav til hvordan dette skal gjøres.

ISO 31010 Risikovurderinger beskriver mange ulike metoder for å vurdere risiko, som SWOT-analyse, brainstorming, rotårsaksanalyse og bow-tie-metodikk. På Standard Norge sine sider kan man finne mer om disse metodene.

Vårt tips: Det er viktig at dere tilpasser metode etter deres behov, og ikke motsatt.

Les mer om veiledere til risikostyring og verktøy til risikostyring.

Metodedokumentet deres ser ut til å være noen år gammelt, har dere noe nyere?

Det stemmer at veileder i risikostyring ikke er oppdatert de senere årene, men den er fortsatt aktuell å lese. I tillegg har vi mer veiledning på fagsidene våre om risikostyring. Det kan du finne her: Veiledere til risikostyring.

Hva er det vi skal risikovurdere?

Hva som skal risikovurderes, når dere skal gjennomføre en risikovurdering av virksomheten, avhenger av hvilket ledernivå i virksomheten som skal gjøre vurderingene, og hvilke mål som tilhører det nivået.

Hvis toppledelsen i en virksomhet skal risikovurdere på virksomhetsnivå, må de ta utgangspunkt i de målene som toppledelse eier. Det kan være overordnede mål, tjenestemål eller strategiske mål. Dersom det er en seksjonsleder som skal gjennomføre risikovurderinger, er det oppgavene og målene som tilhører den enkelte seksjonen som skal risikovurderes. Hvert nivå risikovurderer altså «sine» mål, slik at virksomhetene totalt sett blir dekket.

For at risikovurderingene skal bli en integrert del av virksomhetsstyringen, er det viktig at de målene som risikovurderes er blant de målene som hvert nivå måles på og rapporterer på i den ordinære styringslinjen.

Vårt tips: For at dere skal lykkes med å få en god prosess rundt risikovurderinger, må dere være enige om hvilke mål dere risikovurderer. Dette er det lurt å tydeliggjøre og presisere før vurderingene starter, slik at dere ikke snakker forbi hverandre.

Les mer om hvilke mål i virksomheten dere bør risikovurdere.

Må vi finne kritiske suksessfaktorer for å finne risikoer?

I metoden vi beskriver i veiledningen vår er identifisering av kritiske suksessfaktorer (KSF) ett av de åtte stegene, men det er ikke et krav å følge denne metoden, eller å følge alle åtte stegene i den.

Det er viktig at metoden dere bruker tilpasses deres behov, og ikke motsatt. Når det er sagt, gjør inngangen via kritiske suksessfaktorer risikovurderinger mer positivt ladet. Det kan også være enklere å identifisere risikoer med den inngangen.

Hva er forskjellen på iboende og gjenværende risiko?

Iboende risiko er nivået på risikoen når man ikke tar hensyn til de ulike tiltakene og kontrollaktivitetene som er etablert for å redusere den.

Gjenværende risiko er nivået på risikoen når man tar hensyn til de tiltakene og kontrollaktivitetene som er iverksatt

Hva dere bruker kommer an på hva dere ønsker å belyse og hva som har mest betydning for dere: sannsynlighet, konsekvens eller begge deler?

Vårt tips: Det viktigste er at dere er bevisste hva dere velger og er konsekvente i en og samme risikovurdering

Les mer om risikostyring.

Hvordan skal vi bruke fargematrisen (varmekartet)?

Risikovurderinger er ingen eksakt vitenskap. Risikomatrisen i veiledningen vår er ment som et støtteverktøy for kommunikasjon, diskusjon og bevisstgjøring, og det er ikke noen matematisk formel som gir et fasitsvar på om en risiko er rød, gul eller grønn. Matrisen skal være et hjelpemiddel for å få til gode diskusjoner om hva ledelsen legger i risikoene, hva risikoen egentlig er, hvordan de tenker rundt sannsynlighet og konsekvens og hvordan de vurderer risikoene i forhold til hverandre.

Se våre eksempler på risikovurderingsverktøy. 

Hvor ofte skal vi gjøre risikovurderinger?

Det finnes ingen faste krav eller regler for hvor ofte en skal gjøre risikovurderinger, men det kan være lurt å skille mellom årlige eller halvårlige risikovurderinger knyttet til utarbeidelse av styrende dokumenter eller rapportering til departement, og løpende risikovurderinger knyttet til daglig styring og drift.

Når vi snakker om ledergruppens risikovurderinger for virksomheten som helhet, er det naturlig at dette skjer minst en gang i året eller ved vesentlige endringer. En slik jobb krever tid og innsats fra både stab, ledergruppen og alle ansatte, og det vil ikke være hensiktsmessig å gjøre slike vurderinger for ofte. Risikovurderinger for hele virksomheten vil også ligge på et slikt nivå, at de ikke vil være utsatt for store løpende endringer.

Når det er snakk om risikovurderinger på lavere nivåer, som en del av den daglige driften, skjer risikovurderinger daglig, ukentlig og månedlig, gjerne i forbindelse med intern rapportering og oppfølging. Risikovurderingene er da integrert som en del av den daglige styringen.

Når er det lurt å gjøre risikovurderinger?

Svaret kommer an på hva som skal riskovurderes. Årlige risikovurderinger bør gjennomføres på tidspunkt som passer med øvrige styringsprosesser i virksomheten eller med statsbudsjettprosessen.

Risikovurderingene av virksomheten som helhet skal hjelpe dere med å peke på de områdene som trenger særlig oppmerksomhet og oppfølging framover for at dere skal få god måloppnåelse. Det kan derfor være lurt tidsmessig å gjennomføre risikovurderinger i forbindelse med plan- og budsjettprosessen.

Se også risikostyring i virksomhetsstyringen.

Hvem arrangerer kurs om risikostyring?

Vi legger ut alle kommende kurs og seminarer på denne siden: Kurs og seminarer.

Standard Norge har regelmessig nettkurs i ISO 31000 Risikostyring

Ulike veiledningsaktører har veiledning knyttet til risikostyring av ulike områder. Vi har linket til aktuelle statlige veiledere på denne siden: Veiledere til risikostyring

Se mer veiledning om hvordan drive god risikostyring
Oppdatert: 27. april 2022

Kontakt

Har du spørsmål om innholdet på denne siden, send en e-post til styring [at] dfo.no.

Fant du det du lette etter?

Det beklager vi!

Hva lette du etter? Bruk gjerne stikkord