Virksomhetsstyring og internkontrollarbeid på en enkel, effektiv, og hensiktsmessig måte!
Risikostyring er en integrert og fundamental del av godt internkontrollarbeid og god virksomhetsstyring. Det handler om systematisk å identifisere, vurdere og behandle usikkerhet som kan påvirke virksomhetens mål. Uten effektiv risikostyring vil internkontrollen bare være en reaktiv funksjon. Ved å jobbe proaktivt med risiko, sikrer man at kontrolltiltakene rettes mot de mest kritiske truslene mot måloppnåelse, verdiskaping og etterlevelse av lover og regler
Internkontroll er det systematiske arbeidet virksomheten gjør for å sikre at aktiviteter og prosesser foregår på en forsvarlig måte og i tråd med mål, lovkrav og interne retningslinjer. Risikostyringen er selve fundamentet for dette arbeidet. Før man kan bestemme hvilke gjennomførings- og kvalitetssikringsinstrukser man trenger, må man vite hva som kan gå galt og hvor det kan skje. Risikovurderingen fungerer som et diagnostisk verktøy som identifiserer de viktigste farene og truslene, slik at ressursene i internkontrollarbeidet kan kanaliseres dit de gir størst effekt. Uten en risikovurdering risikerer man å kaste bort ressurskrevende tilleggsarbeid innenfor lite kritiske områder, samtidig som man overser kritiske sårbarheter.
Myndighetskrav
Krav til risikostyring er forankret i ulike deler av norsk lovverk, avhengig av virksomhetens art:
Internkontrollforskriften, og hvor forskriften krever at virksomheten systematisk kartlegger farer og problemer, vurderer risikoen og utarbeider planer og tiltak for å redusere den.
Aksjeloven/Allmennaksjeloven, hvor Styrer i norske selskaper har et lovpålagt ansvar for å sørge for forsvarlig organisering og at ledelsen etablerer systemer for internkontroll og risikostyring.
Personopplysningsloven : Krever risikovurdering (gjerne DPIA) for behandlingsaktiviteter med høy risiko for de registrertes rettigheter og friheter.
Disse kravene innebærer at risikostyring ikke er en valgfri øvelse, men en lovpålagt plikt som må dokumenteres og følges opp.
Arbeidet med risikostyring følger av følgende sykliske prosess og som må være integrert i virksomhetens styringssystem:
1. Risikoidentifikasjon:
Dette er det første og mest kritiske steget. Man identifiserer usikkerhetskildene, truslene, og de mulige konsekvensene. Spørsmålet man stiller er: "Hva kan hindre oss i å nå målene eller etterkomme forpliktelsene våre?" Dette gjøres gjennom analyse av prosesser, aktiviteter, intervjuer, sjekklister og erfaring fra tidligere avvik mv.. Man ser etter sårbarheter (Usikkerhet) i systemer, prosesser, aktiviteter og instrukser.
2. Risikovurdering (Analyse og evaluering):
Her kvantifiserer eller kvalifiserer man de identifiserte risikoforhorholdene. Hver identifisert risiko analyseres med tanke på sannsynlighet for at hendelsen inntreffer og konsekvens hvis den inntreffer. Resultatet, som er selve risikonivået, sammenlignes deretter med virksomhetens risikoaksepteptkriterer og som definerer hvor mye risiko virksomheten er villig- eller kan sies å tillates å tåle innenfor de ulike risikoforholdene.
Dette trinnet har som mål å beregne den inherente risikoen (risikoen før nye tiltak er iverksatt) for hvert identifiserte risikoaspekt. Man bruker typisk en risikomatrise for å illustrere dette.
Risikoen for det enkelte risikoforholdet fastsettes ved å multiplisere fastsatt sannsynlighet og konsekvens.
Etter analysen må resultatet evalueres mot virksomhetens risikoakseptkriterier. Dette er terskelen som avgjør om risikoen er akseptabel eller krever behandling:
1. Høy/Kritisk Risiko: Må behandles umiddelbart, og tiltak skal implementeres raskt.
2. Middels Risiko: Må behandles, men kan prioriteres etter de kritiske risikoene.
3. Lav Risiko: Kan aksepteres, men bør overvåkes.
3. Risikobehandling:
Dersom risikonivået er høyere enn akseptabelt, må man iverksette tiltak. Behandlingen innebærer å velge en strategi:
a. Redusere:
Implementere forebyggende tiltak som reduserer sannsynligheten eller konsekvensen.
b. Overføre:
For eksempel gjennom forsikring.
c. Unngå:
Stoppe aktiviteten som skaper risikoen.
d. Akseptere:
Godkjenne risikoen dersom den er lav, eller tiltakene er for dyre i forhold til effekten.
4. Risikoreduserende tiltak (Internkontrolltiltak):
Risikobehandlingen leder direkte til forebyggende tiltak som senere blir en del av det løpende internkontrollarbeidet. Dette kan eksempelvis være etablering av opplærings-, gjennomførings- og kvalitetssikringsinstrukser mv.) Prosessen må overvåkes og gjennomgås jevnlig for å sikre at tiltakene fungerer som tiltenkt, og at risikoen ikke har endret seg.
5. Sjekkliste for risikovurderingen
Følgende punkter er sentrale elementer som må gjennomgås og dokumenteres under en risikovurdering:
1. Definering av mål og omfang:
Har vi klart definert hvilke mål, prosesser eller myndighetskrav risikovurderingen gjelder for (f.eks. hele virksomheten, et spesifikt IT-system, eller en enkelt prosess)?
2. Identifisering av myndighetskrav, aktiviteter og hendelser:
Er alle vesentlige styringsparametre og aktiviteter i prosessen identifisert? Er de mest relevante usikkerhetsmomentene og truslene (f.eks. menneskelig feil, systemsvikt, svindel, naturhendelser) mot hver aktivitet vurdert?
3. Vurdering av eksisterende forebyggende tiltak:
Er virksomhetens nåværende forebyggende tiltak (for eksempel gjennomføringsinstruks, tilgangsstyring, backup) beskrevet og vurdert med hensyn til effektivitet?
4. Analyse av risiko (Før tiltak):
Er sannsynligheten og konsekvensen av hendelsene vurdert før de eksisterende kontrollene tas i betraktning?
5. Analyse av restrisiko (Etter eksisterende tiltak):
Er sannsynligheten og konsekvensen vurdert på nytt basert på effekten av de eksisterende forebyggende tiltak? Dette gir den reelle risikoen.
6. Sammenligning mot akseptkriterier:
Er den gjenværende risikoen sammenlignet med virksomhetens definerte akseptkriterier for å avgjøre om etablering av ytterligere forebyggende tiltak er nødvendig?
7. Dokumentasjon av behandling:
Dersom risikoen er uakseptabel, er det utarbeidet en klar plan for nye risikoreduserende tiltak ?
8. Ansvar og frist:
Er det definert tydelig ansvar for hvem som skal eie og følge opp både risikoen og de nye behandlingstiltakene, samt en klar frist for implementering?
9. Oppfølging og rapportering:
Er det etablert en plan for når risikovurderingen skal gjennomgås på nytt, og hvordan status skal rapporteres?
Senest revidert den 30.10.2025
Svein Roar Holt
Tlf: +47 410 40 853
E.post: srh@internkontrollportalen.no
Godt risikostyringsarbeid omdanner usikkerhet til kontrollert og håndtert risiko!