FASE 2 AV 4 I IS-SYKLUSEN
Risikovurdering er fase 2 i IS-modellens™ sykliske firfase-modell, og bindeleddet mellom prosesskartleggingen i fase 1 og instruksforfattingen i fase 3. Hver kartlagt prosess skal gjennom en strukturert risikovurdering som identifiserer hvor sannsynligheten for svikt er høyest – og hvor konsekvensene rammer hardest.
Prosess- og risikovurderingsfasen handler om å omsette virksomhetens prosesskart til en prioritert handlingsliste. Hva må sikres med bindende instrukser? Hvor er det forsvarlig å la prosessen flyte uten formell dokumentasjon? Hvilke barrierer må etableres for å redusere både sannsynlighet og konsekvens? Resultatet er en risikobasert plan som styrer hele IS-modellens™ videre arbeid.
Denne pillar-siden gir deg den komplette guiden til strukturert risikovurdering – fra identifisering av risikoobjekt til ferdig dokumentert risikomatrise med tiltakspakke som tåler tilsyn fra Arbeidstilsynet, Datatilsynet og andre tilsynsmyndigheter.
👇 Hopp til hovedinnholdet og kom i gang med risikovurderingen
Nøkkelfakta om risikovurdering
Kort fortalt for ledere
1. Hva er risikovurdering i IS-modellen™?
Risikovurdering er den systematiske prosessen der virksomheten identifiserer, analyserer og prioriterer risiko knyttet til hver av sine kartlagte prosesser. I IS-modellen™ utgjør dette fase 2 i den sykliske firfase-modellen og fungerer som bindeleddet mellom prosesskartleggingen i fase 1 og instruksforfattingen i fase 3. Uten en strukturert risikovurdering har virksomheten ikke grunnlag for å avgjøre hvilke prosesser som krever bindende instrukser, og hvilke som kan håndteres med veiledende dokumentasjon.
I IS-modellens™ kontekst går risikovurderingen lenger enn klassisk HMS-orientert risikoanalyse. Mens internkontrollforskriften § 5 nr. 6 fokuserer på risiko for skade på liv, helse og miljø, omfatter IS-modellens™ risikovurdering også andre risikodimensjoner: økonomi, omdømme, juridisk eksponering, IKT-sikkerhet, personvern og strategisk måloppnåelse. Dette helhetsperspektivet er nødvendig fordi virksomhetens største risiko ofte ligger i støtteprosesser som tradisjonelle HMS-vurderinger overser.
Begrepet risiko har en presis definisjon i ISO 31000:2018 og DFØs veiledning: "forhold eller hendelser som kan inntreffe og som påvirker måloppnåelsen negativt". Risiko måles som kombinasjonen av sannsynlighet (hvor ofte/sannsynlig hendelsen kan inntreffe) og konsekvens (hvor alvorlig påvirkning hendelsen vil ha hvis den inntreffer). Begge dimensjoner må vurderes konkret og kunne dokumenteres – ikke baseres på intuisjon eller generelle antagelser.
I IS-modellens™ syklus tar fase 2 utgangspunkt i prosesskartet fra fase 1 og gjennomfører en strukturert risikovurdering for hver prosess. Resultatet er en risikomatrise som visualiserer hvor virksomheten har størst eksponering, og som styrer prioriteringen av instruksforfatting i fase 3. Prosesser med høy risiko (rødsone) skal alltid omsettes til bindende instrukser. Prosesser med moderat risiko (gulsone) kan vurderes for instruks eller veiledning. Prosesser med lav risiko (grønnsone) kan håndteres med generell oversikt.
Det er viktig å skille mellom risikostyring og risikovurdering. Risikostyring er det overordnede systemet som integrerer risiko i alle styringsbeslutninger – det handler om kultur, struktur og kontinuitet. Risikovurdering er det konkrete metodiske verktøyet som gjennomføres på enkeltprosesser eller områder. Risikostyring er rammen, risikovurdering er praksisen. Begge er nødvendige, men bare én av dem er tema for denne pillar-siden.
For styret er risikovurderinger særlig viktige fordi de er det mest synlige beviset på at tilsynsplikten etter aksjeloven §§ 6-12 og 6-13 er oppfylt. Et styre som ikke kan vise frem dokumenterte risikovurderinger ved tilsyn eller revisjon, har et stort problem – uansett hvor mange dokumenter som ellers er produsert. IS-modellens™ tilnærming gjør denne dokumentasjonen til en innebygd del av styringsprosessen, ikke et separat byråkrati.
2. Risikovurderingens fem steg – fra kontekst til tiltak
En strukturert risikovurdering følger fem distinkte steg som kan tilpasses virksomhetens kompleksitet, men som alltid må utføres i denne rekkefølgen:
Steg 1 – Etablering av kontekst
Før vurderingen starter, må kontekst og avgrensning fastsettes. Hvilken prosess eller hvilket område skal vurderes? Hvilke mål er knyttet til prosessen? Hvilke interessenter blir påvirket av risiko? Hvilken risikoaksept har virksomheten for dette området? Uten tydelig kontekst blir vurderingen vag og lite handlingskraftig. DFØ understreker at risikoer skal vurderes i lys av "de målene som tilhører det nivået" som vurderer.
Steg 2 – Identifisering av risiko
I dette steget identifiseres mulige uønskede hendelser som kan inntreffe i prosessen. Metoder inkluderer brainstorming, intervjuer, gjennomgang av tidligere avvik, bransjedata og scenariotenking. Det er viktig å være systematisk og inkludere både sannsynlige og lite sannsynlige hendelser med høy konsekvens. Erfaring fra AvvikStandard™ er en gullgruve – tidligere avvik forteller hvor risikoen faktisk har materialisert seg.
Steg 3 – Analyse av risiko
Hver identifisert risiko analyseres med hensyn til sannsynlighet og konsekvens. Sannsynlighet beskrives gjerne på en 5-trinns skala (svært lav til svært høy) basert på frekvens, eksponering og historiske data. Konsekvens vurderes tilsvarende på en 5-trinns skala basert på alvorlighet for liv/helse, økonomi, omdømme, juridisk eksponering eller måloppnåelse. Resultatet plottes inn i en risikomatrise.
Steg 4 – Evaluering av risiko
I dette steget sammenlignes risikoens nivå med virksomhetens risikoaksept. Risiko i grønnsone aksepteres uten ytterligere tiltak. Risiko i gulsone vurderes for tiltak avhengig av kost-nytte. Risiko i rødsone krever alltid tiltak. Evalueringen handler ikke bare om enkeltrisiko, men om sammensatt risiko der flere risikoer kan kumulere seg. To gule risikoer i samme prosess kan tilsammen utgjøre en rødsonerisiko.
Steg 5 – Behandling av risiko
For hver risiko som krever tiltak, velges en behandlingsstrategi: unngå, redusere, overføre eller akseptere. Tiltak skal være konkrete, ansvarsplasserte og tidsbestemte. I IS-modellen™ gjøres dette gjennom instruksforfatting som er tema for fase 3 (Aktivitetsorganisering). Tiltakspakken fra risikovurderingen mater direkte inn i instrukshierarkiet og blir bindende plikter for organisasjonen.
Etter at de fem stegene er gjennomført, dokumenteres resultatet i en risikorapport som arkiveres som vedlegg til styringssystemet. Rapporten skal kunne forelegges styret, ledelsens gjennomgang, internrevisor og eksterne tilsynsmyndigheter.
3. Risikomatrisen – sannsynlighet × konsekvens visualisert
Risikomatrisen er det praktiske verktøyet som omsetter analysen til prioritering. En typisk 5×5-matrise har sannsynlighet på y-aksen og konsekvens på x-aksen, med fargesonene grønn (lav risiko), gul (moderat risiko) og rød (høy risiko) plassert diagonalt:
- Grønnsone (lav risiko): Sannsynlighet 1–2 × Konsekvens 1–2. Aksepteres normalt uten ytterligere tiltak. Dokumenteres som "vurdert og akseptert".
- Gulsone (moderat risiko): Sannsynlighet 2–4 × Konsekvens 2–4 (varierer). Tiltak vurderes i kost-nytte-perspektiv. Kan kreve veiledende prosedyrer eller mindre instrukser.
- Rødsone (høy risiko): Sannsynlighet 3–5 × Konsekvens 4–5. Krever alltid tiltak. I IS-modellen™ utløser dette automatisk en bindende instruks i fase 3.
Risikomatrisens gråsone er der mange virksomheter feiler. Når en risiko er på grensen mellom gul og rød, eller mellom grønn og gul, er det fristende å plassere den lavt for å unngå tiltak. IS-modellens™ ufravikelighetsprinsipp setter en stopper for dette: en risiko som ligger i gulsone øvre del bør gis samme alvor som rødsone nedre del. Tvilsfortolkning skal alltid gå til fordel for forsvarlighet.
Det er også viktig å skille mellom iboende risiko (risikoen før tiltak) og residual risiko (risikoen etter at tiltak er etablert). Begge skal dokumenteres. Iboende risiko viser hvor stor risikoen ville vært uten styring – den er ofte sjokkartet høy og motiverer til handling. Residual risiko viser hva som gjenstår etter tiltak – og er det som bestemmer om virksomheten lever innenfor risikoaksepten.
I praksis bruker IS-modellen™ risikomatrisen som det operative verktøyet i overgangen fra fase 2 til fase 3. Hver risiko i rødsone og øvre gulsone går videre som "krav til instruks" i fase 3 (Aktivitetsorganisering). Hver risiko i nedre gulsone vurderes for veiledning. Hver risiko i grønnsone dokumenteres som akseptert. Slik blir risikomatrisen ikke et statisk dokument, men en handlingsplan som styrer instruksforfattingen.
Det finnes også varianter av risikomatrisen som tilpasses ulike risikodimensjoner. For HMS-orientert vurdering brukes ofte en tradisjonell sannsynlighet × konsekvens-matrise. For personvern (DPIA) brukes en utvidet matrise som også vurderer eksponering for de registrertes rettigheter. For finansiell risiko brukes ofte heat maps med flere konsekvensdimensjoner (likviditet, kredittrisiko, markedsrisiko). IS-modellen™ er dimensjonsuavhengig – metoden er den samme, men kategoriseringen tilpasses risikoens natur.
En viktig praksis er å skille mellom risikoaksept-nivåer på ulike organisasjonsnivåer. Operativt personell kan akseptere lavrisiko (grønnsone). Linjeleder kan akseptere moderat risiko (nedre gulsone). Daglig leder må akseptere øvre gulsone. Styret må involveres i rødsone-aksept. Dette nivådifferensierte beslutningsmønsteret beskytter virksomheten mot at risiko blir akseptert av personer uten tilstrekkelig myndighet, og er en sentral del av navet (Virksomhetsorganisering) i IS-modellen™.
4. Praktisk tilnærming – slik gjennomfører du risikovurderingen
Risikovurdering i IS-modellens™ ramme følger en strukturert metode som tilpasses virksomhetens størrelse og risikobilde. For mindre virksomheter kan en strukturert workshop med ledelse og verneombud være tilstrekkelig. For større organisasjoner trengs formelle metoder som SWOT, brainstorming, bow-tie-analyse eller bowtie. ISO 31010 beskriver over 30 ulike teknikker for risikovurdering – metoden velges etter behov, ikke etter mote.
Steg 1 – Velg risikoobjekt og avgrens. Ta utgangspunkt i én konkret prosess fra prosesskartet. Eksempler: rekrutteringsprosessen, fakturering, sykefraværsoppfølging, leveransekvalitet, IKT-driftsrutiner. Avgrens tydelig: starter prosessen ved kunderegistrering eller ved kontraktsignering? Slutter den ved fakturering eller ved innbetaling? Tydelig avgrensning forebygger at vurderingen blir for stor og uhåndterbar.
Steg 2 – Sett sammen vurderingsteam. Risikovurdering uten operativ kunnskap blir abstrakt. Inkluder linjeleder for prosessen, en eller to ansatte som faktisk utfører den, og en moderator (gjerne internkontrollansvarlig). For HMS-relaterte prosesser inkluderer du verneombud. For IKT-prosesser inkluderer du IT-ansvarlig. Internkontrollforskriften § 4 setter krav om medvirkning fra ansatte.
Steg 3 – Identifiser uønskede hendelser. Bruk strukturert idémyldring for å identifisere alle mulige uønskede hendelser i prosessen. Spør: Hva kan gå galt? Hvor er det historisk gått galt? Hva har konkurrenter eller bransjeaktører opplevd? Hvilke avvik er meldt i avvikssystemet? Lag en uttømmende liste – det er bedre å avvise en hendelse i analysen enn å glemme den.
Steg 4 – Analyser sannsynlighet og konsekvens. For hver hendelse: vurder sannsynlighet på 5-trinns skala (1 = svært lav, sjelden, kanskje hvert 10. år; 5 = svært høy, ukentlig eller daglig). Vurder konsekvens på 5-trinns skala for relevant kategori: liv/helse, økonomi, omdømme, juridisk, miljø, måloppnåelse. Bruk konkrete kriterier – ikke "føler" – og dokumenter begrunnelsen. Plot resultatet inn i risikomatrisen.
Steg 5 – Vurder eksisterende tiltak. For hver hendelse: hvilke tiltak finnes allerede? Er de effektive? Hva er residual risiko etter eksisterende tiltak? Mange risikovurderinger glemmer dette steget og analyserer iboende risiko som om ingen tiltak fantes. Dette gir feil bilde og fører til overdimensjonering av tiltakspakken.
Steg 6 – Foreslå nye tiltak. For hver risiko som ligger over risikoaksept etter eksisterende tiltak: foreslå nye tiltak. Tiltak rangeres etter effektivitet: eliminere risikoen (best), redusere sannsynlighet, redusere konsekvens, overføre (forsikring), akseptere (verst). I IS-modellens™ tilnærming utløser hver rødsonerisiko automatisk en bindende instruks i fase 3.
Steg 7 – Dokumenter og forankr. Risikovurderingen dokumenteres skriftlig med kontekst, identifiserte risikoer, sannsynlighet, konsekvens, eksisterende tiltak, residual risiko og foreslåtte nye tiltak. Forankring skjer ved at vurderingen forelegges nærmeste leder, og at tiltakspakken integreres i fase 3 (Aktivitetsorganisering). Risikorapporten arkiveres som vedlegg til styringssystemet.
Etter at vurderingen er ferdig, går prosessen videre til fase 3 (Aktivitetsorganisering) der risikofunnene omsettes til bindende instrukser. Det er denne overgangen som gjør IS-modellens™ risikovurderinger praktiske – ikke arkiverte, men handlingsdrivende.
5. Vanlige feil ved risikovurdering – og hvordan unngå dem
Erfaring fra tilsynspraksis og rådgivningsoppdrag avdekker noen typiske feil som gjentar seg på tvers av bransjer:
Feil 1: Vurderingen utføres uten operativ kunnskap. En stab eller konsulent utarbeider risikovurderingen alene, uten input fra de som faktisk utfører prosessen. Resultatet blir teoretisk korrekt, men fanger ikke opp den reelle driftsrisikoen. Korrekt tilnærming: linjeleder og operativt personell må være med i vurderingen – ikke bare høres etterpå.
Feil 2: For grov skala. Sannsynlighet og konsekvens vurderes på 3-trinns skala (lav, middels, høy). Dette gir for grov differensiering – nesten alt havner i "middels". Korrekt tilnærming: bruk minimum 5-trinns skala med konkrete kriterier for hvert trinn. Skalaen skal kunne forklares til en ny ansatt og gi samme resultat.
Feil 3: Iboende vs. residual risiko blandes sammen. Risikovurderingen analyserer iboende risiko, men dokumenterer det som om eksisterende tiltak ikke finnes. Resultatet er overestimert risiko og overdimensjonert tiltakspakke. Korrekt tilnærming: dokumenter både iboende og residual eksplisitt, slik at det er tydelig hva som styres og hva som er igjen etter styring.
Feil 4: Risikovurderingen oppdateres ikke. Etter førstegangsvurdering legges rapporten i et arkiv og hentes frem først ved neste tilsyn. Korrekt tilnærming: revider minst årlig som del av ledelsens gjennomgang. Reviderer ekstra ved organisasjonsendringer, nye tjenester, endringer i regulatorisk rammeverk og når avvikssystemet viser nye mønstre.
Feil 5: Manglende kobling til avviksdata. Risikovurderingen bygges på antagelser om hva som kan gå galt, mens avvikssystemet viser hva som faktisk har gått galt. Når disse to systemene ikke snakker sammen, mister virksomheten den viktigste empiriske kilden for risikovurdering. Korrekt tilnærming: gjennomgå avvikstrender før hver risikovurdering, og bruk dem som direkte input.
Feil 6: For abstrakt risikoformulering. Risikoen formuleres som "manglende kompetanse" eller "dårlige rutiner" – så generelt at det ikke gir grunnlag for konkrete tiltak. Korrekt tilnærming: formuler hver risiko som en spesifikk hendelse med årsak og konsekvens. Eksempel: "Saksbehandler glemmer å sjekke bakgrunnsopplysninger ved nyansettelse, fordi sjekklisten ikke brukes konsekvent, med konsekvens av at uegnet kandidat ansettes."
Feil 7: Tiltak uten ansvarsplassering og tidsfrist. Risikovurderingen identifiserer behov for tiltak, men plasserer ikke ansvar og setter ikke tidsfrist. Resultatet er at tiltakene aldri blir gjennomført. Korrekt tilnærming: hvert tiltak skal ha navngitt ansvarlig, tidsfrist og oppfølgingspunkt. Uten dette er tiltakspakken bare en intensjonserklæring.
Feil 8: Ingen kobling til instrukshierarki. Risikofunn omsettes ikke til bindende instrukser, men forblir separate "anbefalinger". Korrekt tilnærming: i IS-modellen™ utløser hver rødsonerisiko automatisk en instruks. Det er denne automatikken som gjør risikovurderingen handlingskraftig.
Feil 9: Risikoaksept uten styreforankring. Vurderingsteamet beslutter alene at en gulsonerisiko aksepteres uten å løfte saken til styre eller daglig leder. Korrekt tilnærming: risikoaksept i øvre gulsone og rødsone skal alltid være styrets eller daglig leders beslutning – og dokumenteres som sådan. Operativt personell kan analysere og foreslå, men ikke akseptere risiko på vegne av virksomheten.
Feil 10: Manglende dokumentasjon av begrunnelse. Risikoen plasseres i matrisen, men det dokumenteres ikke hvorfor sannsynligheten ble vurdert til 3 og ikke 4, eller hvorfor konsekvensen ble vurdert til 2 og ikke 3. Når vurderingen skal revideres et år senere, eller forelegges revisor, mangler det grunnlag for diskusjon og oppdatering. Korrekt tilnærming: dokumenter alltid begrunnelsen for hver vurdering – med konkrete fakta, ikke generelle uttalelser.
Feil 11: Risikovurderingen er for omfattende. I sin iver etter å være grundig, lager virksomheten et risikoregister med 200+ enkeltrisikoer fordelt på alle prosesser. Resultatet blir uleselig for ledelsen og uoperativt for de som skal følge opp tiltak. Korrekt tilnærming: aggregere risiko på fornuftig nivå. Enkeltrisikoer kan grupperes til risikotemaer (f.eks. "kompetansemangel", "leverandøravhengighet", "datasikkerhet"), og hovedfokuset legges på de 20-30 mest kritiske risikoene som faktisk styrer prioriteringene.
Felles for alle disse feilene er at de svekker risikovurderingens evne til å være handlingsdrivende. En risikovurdering som ikke fører til konkrete tiltak, dokumenterte prioriteringer og styrt forflytning av risikobildet over tid, har ikke styringsverdi – uansett hvor mange dokumenter som er produsert. IS-modellens™ tilnærming er nettopp å bygge inn disse koblingene fra start, slik at risikovurderingen blir et levende styringsverktøy.
6. Hvordan risikovurdering kobler IS-syklusen sammen
Risikovurderingsfasen står ikke alene. Den henter innspill fra fase 1 og leverer output til fase 3, og er samtidig sentral i samspillet med fase 4 (kontroll og overvåking) og navet (Virksomhetsorganisering). Virkningskjeden er den samme uansett virksomhetstype:
Fra fase 1 (Aktivitetsidentifisering): Hver kartlagt prosess fra prosesskartleggingen blir et risikoobjekt for fase 2. Uten et tydelig prosesskart blir risikovurderingen abstrakt – fordi det ikke er klart hva som skal vurderes. Med kartet på plass kan vurderingen gjøres systematisk prosess for prosess. Dette er grunnen til at IS-syklusen alltid starter med kartleggingen.
Til fase 3 (Aktivitetsorganisering): Risikofunnene fra fase 2 mater direkte inn i instruksforfattingen. Hver rødsonerisiko utløser en bindende instruks. Hver gulsonerisiko vurderes for instruks eller veiledning. Instruks-Sjekken™ PRO er verktøyet som operasjonaliserer denne overgangen. Slik blir risikovurderingen handlingsdrivende, ikke beskrivende.
Fra fase 4 (Kontroll og overvåking): Funn fra avvikssystemet og ledelsens gjennomgang mates tilbake til risikovurderingsfasen for ny syklus. Avvik som gjentar seg signalerer at risikovurderingen har vært for optimistisk – sannsynligheten er undervurdert eller eksisterende tiltak er ineffektive. Dette er den sykliske kontinuiteten i IS-modellen™.
Til navet (Virksomhetsorganisering): Tiltakspakken fra risikovurderingen krever ansvarsplassering. Hvert tiltak må ha en eier med formell rolle, ansvar og myndighet. Dette koblingsarbeidet skjer i navet (Virksomhetsorganisering) som binder alle fasene sammen via ansvar og myndighet.
Den sykliske strukturen er det viktigste designvalget i IS-modellen™. Mange tradisjonelle styringssystemer behandler risikovurdering som et periodisk prosjekt – gjennomføres en gang i året, arkiveres og glemmes. IS-modellens™ sykliske design tvinger frem kontinuerlig oppdatering ved å bygge inn tilbakemeldingsløyfer fra avvikshåndtering og kontroll tilbake til ny risikovurdering. Slik blir risikovurderingen et levende styringsverktøy, ikke et arkivdokument.
For styret er denne syklusen særlig viktig. Et dokumentert system for risikovurdering med tydelig kobling til prosesskart, instrukser og kontroll, er sentralt bevis på at styret har oppfylt sitt tilsynsansvar etter aksjeloven §§ 6-12 og 6-13. Vurderingen som tilsynsmyndigheter, revisorer og domstoler gjør, flyttes fra "har dere tenkt på risiko?" til "kan dere vise hvordan dere har vurdert, prioritert og styrt?". Det er nettopp denne forflytningen IS-modellen™ er bygget for – og det er i fase 2 dette skiftet faktisk skjer.
Avslutningsvis: risikovurdering er ikke en byråkratisk øvelse, men startpunktet for forsvarlig styring. Et godt prosesskart uten risikovurdering gir deg oversikt uten prioritering. Et risikoregister uten kobling til instrukser gir deg lister uten handling. IS-modellens™ fase 2 binder disse sammen og gjør prioriteringen til konkrete plikter for organisasjonen. Investeringen i strukturerte, dokumenterte risikovurderinger er en av de viktigste enkeltbeslutningene styret kan ta for å sikre forsvarlig virksomhetsstyring og redusere personlig styreansvar etter aksjeloven § 17-1.
IS-syklusen – navigér mellom fasene
IS-modellen™ er en syklisk firfase-modell med Virksomhetsorganisering (ansvar/myndighet) i sentrum. Klikk på fasene for å lese mer.
© Internkontroll AS · IS-modellen™ er en syklisk styringsmodell der funn fra fase 4 (Kontroll og overvåking) mater tilbake til fase 1 (Aktivitetsidentifisering) for kontinuerlig forbedring.
Ofte stilte spørsmål om risikovurdering
Hva er risikovurdering?
Risikovurdering er den systematiske prosessen for å identifisere, analysere og prioritere risiko i en virksomhet eller prosess. I IS-modellens™ syklus er risikovurdering fase 2, og bindeleddet mellom prosesskartlegging (fase 1) og instruksforfatting (fase 3). Resultatet er en dokumentert risikomatrise med tilhørende tiltakspakke som styrer virksomhetens prioriteringer.
Hva er forskjellen på risikostyring og risikovurdering?
Risikostyring er det overordnede systemet for å integrere risiko i alle styringsbeslutninger – kultur, struktur og kontinuitet. Risikovurdering er det konkrete metodiske verktøyet som gjennomføres på enkeltprosesser eller områder. Risikostyring er rammen, risikovurdering er praksisen. Begge er nødvendige.
Er risikovurdering lovpålagt?
Ja. Internkontrollforskriften § 5 nr. 6 krever at virksomheten skal kartlegge farer og vurdere risiko. Arbeidsmiljøloven § 3-1 stiller tilsvarende krav. GDPR art. 35 krever vurdering av personvernkonsekvenser (DPIA). Sikkerhetsloven, finansforetaksloven og bransjespesifikke regler stiller strengere krav. Aksjeloven § 6-12 forutsetter implisitt at styret påser at risikovurdering er på plass.
Hvor ofte skal risikovurdering gjennomføres?
Minimum årlig som del av ledelsens gjennomgang. I tillegg ved alle vesentlige endringer: organisasjonsendringer, nye tjenester eller produkter, endringer i regulatorisk rammeverk, betydelige avvikstrender og endringer i markedssituasjonen. For visse prosesser (sikkerhet, personvern) gjelder strengere krav om kontinuerlig vurdering.
Hvem er ansvarlig for risikovurderingen?
Linjeleder for prosessen har det operative ansvaret, med støtte fra internkontrollansvarlig. Daglig leder har det overordnede ansvaret. Styret har et tilsynsansvar etter aksjeloven §§ 6-12 og 6-13, og må kunne dokumentere at risikovurderinger er gjennomført og oppdateres. Ansatte skal medvirke jf. internkontrollforskriften § 4.
Hva er forskjellen på iboende og residual risiko?
Iboende risiko er risikoen før tiltak er implementert – hvor stor risikoen ville vært uten styring. Residual risiko er risikoen etter at eksisterende tiltak er etablert – det som faktisk gjenstår. Begge skal dokumenteres. Iboende risiko motiverer tiltak. Residual risiko viser om virksomheten lever innenfor risikoaksepten.
Hva er en risikomatrise?
En risikomatrise er det visuelle verktøyet som plotter sannsynlighet (y-akse) mot konsekvens (x-akse) på en 5×5-skala. Sonene grønn (lav risiko), gul (moderat risiko) og rød (høy risiko) markerer hvilke risikoer som krever tiltak. I IS-modellen™ utløser hver rødsonerisiko automatisk en bindende instruks i fase 3.
Hvilke standarder regulerer risikovurdering?
ISO 31000:2018 er den internasjonale standarden for risikostyring. ISO 31010 beskriver over 30 ulike teknikker for risikovurdering. COSO ERM-rammeverket gir et alternativt rammeverk. DFØ har norsk veiledning for statlig sektor. NS 5814 dekker risikoanalyse. IS-modellen™ supplerer disse standardene med operativ instruksjonsbasert tilnærming.
Hvilken skala bør brukes for sannsynlighet og konsekvens?
Minimum 5-trinns skala for begge dimensjoner. 3-trinns skala (lav/middels/høy) gir for grov differensiering – nesten alt havner i "middels". 5-trinns skala krever konkrete kriterier for hvert trinn. Eksempel sannsynlighet: 1=kanskje hvert 10. år, 2=hvert 3-5 år, 3=årlig, 4=månedlig, 5=ukentlig eller oftere.
Hvordan skal risikovurderingen dokumenteres?
Risikorapporten skal inneholde kontekst og avgrensning, identifiserte risikoer, sannsynlighet og konsekvens for hver, eksisterende tiltak, residual risiko, foreslåtte nye tiltak med ansvarlig og frist, samt risikoaksept-beslutning. Rapporten arkiveres som vedlegg til styringssystemet og forelegges ledelse, styre og ev. revisor. I IS-modellen™ knyttes hver rødsonerisiko til en konkret instruks i fase 3.
Om forfatterne
Skaper av IS-modellen™ og AvvikStandard™. Ekspert på strategisk virksomhetsstyring, governance og instruksbasert internkontroll. Har bygget Norges ledende digitale GRC-plattform for SMB og offentlig sektor.
Jurist med spesialisering innen arbeidsrett, kontraktsrett og forretningsjuss. Ekspert på operativ etterlevelse, HR-juss og organisatorisk risikostyring – med særlig fokus på menneskelig faktor og praktisk implementering av styringsverktøy.
Risikovurdering™ PRO
Strukturert risikovurdering med matrise, tiltakspakke og JSON-eksport. Ferdig dokumentasjon for tilsyn, revisjon og ledelsens gjennomgang.
Bruk verktøyet →RisikoBarriere-Testeren™ PRO
Stresstest av eksisterende barrierer og tiltak. Avdekker svakheter i risikobehandlingen før de materialiseres.
Bruk verktøyet →Relatert i IS-syklusen
- ← Tilbake til IS-modellen™
- Virksomhetsorganisering (nav)
- ← Fase 1: Aktivitetsidentifisering
- → Fase 3: Aktivitetsorganisering
- Fase 4: Kontroll og overvåking
Relaterte fagsider
Lovhenvisninger
Trenger du rådgivning?
Vi hjelper deg med virksomhetsstyring, internkontroll, HMS og GDPR.
Ta kontakt med oss →