Beskrivelse av risikostyringsprosessen
Transcription
Beskrivelse av risikostyringsprosessen
IM 2015-008V Beskrivelse av risikostyringsprosessen Dette vedlegget beskriver de ulike delene av prosessen som fremgår av IM om risikostyring, og hvordan disse kan gjennomføres. Nyttige tips og verktøy er også beskrevet. Beskrivelsen av prosessen er generell og skal kunne være til hjelp i risikovurderinger på alle nivåer organisasjonen. Risikostyringsprosessen Risikovurdering Risikoidentifisering Risikoanalyse Risikoevaluering Risikohåndtering Monitorering og oppfølgning Kommunikasjon og innvolvering Kontekst Trinn 1: Kontekstanalyse: Innen hvilke rammer skal UDI nå sine mål? For å kunne identifisere risikoer på et bestemt område må relevante fagpersoner og beslutningstakere vurdere gjeldende mål mot i hvilken kontekst målene skal oppnås. Med kontekst menes i denne sammenheng både ytre rammer og interne forhold som har betydning for vår oppgaveløsning. Eksempler på slike rammer kan være; asylankomster, innkomne saker, regelverksendringer, politiske føringer/prioriteringer. Relevante interne forhold kan være omorganiseringer, nye datasystemer, endret arbeidsmetodikk, kompetanse mm. Med mål mener vi overordnede oppgaver, samfunnsoppdrag, målene som gis gjennom forutsetninger i Prop.1 S, instruks til UDI, det årlige tildelingsbrevet, UDIs strategi og virksomhetsplan. Tips og råd for gjennomføring En kontekstanalyse skal sikre at de som skal identifisere risikoer har samme oppfatning av nåsituasjonen, både med hensyn til hvilke mål som skal nås og i hvilken kontekst de skal nås. Det kan være hensiktsmessig å ha en kort diskusjon på bakgrunn av en oppsummering av de mest relevante kontekstfaktorene på det aktuelle området/avdeling, samt de mest relevante og aktuelle målene. I tillegg til et særlig blikk for eget ansvarsområde, bør UDIs overordnede ansvar og helhetsperspektivet tas med i vurderingen av kontekst. Trinn 2: Identifisere risiko: Ser vi for oss risikoer på et gitt område? Med utgangspunkt i mål og kontekst skal gruppen vurdere om de mener det kan inntreffe fremtidige hendelser som vil true måloppnåelsen i deres avdeling/enhet. Gruppen som sammen skal identifisere risikoer bør ha et felles tidsperspektiv. For enkelte mål vil budsjettår være relevante, mens vi for andre mål må ha et lengre perspektiv. Det kan videre være til hjelp å bruke en sjekkliste for relevante kategorier risikoer for å få opp aktuelle hendelser som kan true måloppnåelsen. Videre inngår det i risikoidentifiseringen å knytte risikoen til årsak. Kilden til risikoen må kunne beskrives. Hvorfor mener gruppen hendelsen kan inntreffe? Det vil ofte være flere årsaker til at en hendelse kan inntreffe. Det er nyttig for prosessen å beskrive årsakene til en mulig hendelse utfyllende. Hvilke forhold knyttet til nå-situasjonen vil kunne trigge hendelsen? I tillegg skal gruppen beskrive hvilke konsekvenser de mener hendelsen vil kunne få, som er koblet til mål. Også her vil det kunne være flere konsekvenser av en risikohendelse, og de vil kunne påvirke flere mål. Verktøy for å beskrive risiko For at alle skal ha en klar forståelse av hva risikoen omhandler, og for lettere å identifisere tiltak, må risikoen beskrives godt. Et hjelpemiddel for å gjøre dette er å sette risikoen inn i en hendelseskjede. Hendelseskjeden er tatt inn i malen for risikobeskrivelse som skal benyttes i rapportering om risiko i UDI. Hendelseskjeden: Årsaker til at risikoen oppstår Årsakene må ha inntruffet / faktabasert Risikobeskrivelse Konsekvenser av risikoen Konsekvenser for UDIs mål Trinn 3: Analysere risikoene: Hvor vesentlige er risikoene? Resultatet av trinn 2 skal være en liste over de vesentligste risikoene enheten/avdelingen har identifisert. Neste trinn er å vurdere hvor vesentlige risikohendelsene er for den aktuelle enheten/avdelingen. I risikoanalysen skal gruppen vurdere sannsynlighet for at risikohendelsen inntreffer og konsekvens av at den inntreffer på en skala fra 1-5, for hver av de identifiserte risikoene for sin enhet. Det kan her benyttes avstemming som et utgangspunkt for en videre diskusjon, men det forutsetter at alle som er med i avstemningen har et godt nok grunnlag for å vurdere risikoen. Avstemning benyttes ikke på virksomhetsnivå i UDI. Resultatet skal legges inn i risikokartet. I vurderingen skal vi ta med eventuelle tiltak som er satt i verk for å redusere risikoens sannsynlighet og/eller konsekvenser. Tiltak som er planlagt, men ikke satt i verk skal ikke være med i vurderingen. Vurderingsskalaen for sannsynlighet som benyttes i UDI Sannsynlighet Beskrivelse Svært stor Blir overrasket om det ikke skjer Stor Tror det vil skje Moderat Kan skje Liten Tror ikke det vil skje Meget liten Blir overrasket om det skjer Vurderingsskalaene for konsekvens Konsekvensskalaen sier noe om hvor stor konsekvens risikoen har for om vi når målene våre hvis den inntreffer. Selv om konsekvensene av at vi ikke når et bestemt mål er mer alvorlig enn et annet, kan risikoene knyttet til de to ulike målene være like store. Vi vurderer konsekvensen opp mot det enkelte mål og ikke relativt i forhold til andre mål. Konsekvensene kan være knyttet til ulike dimensjoner som ikke er direkte sammenlignbare. Et eksempel på dette er risiko knyttet til liv og helse eller samfunnssikkerhet vs. grad av oppnåelse av et målkrav i tildelingsbrevet. Det er viktig å ha en felles forståelse av hva de ulike nivåene betyr når vi skal vurdere hvor på konsekvensskalaene risikoen skal plasseres. Det vil si at alle legger det samme i en plassering av en bestemt risiko fra marginalt til svært alvorlig. Dette er avgjørende for diskusjon i neste trinn i prosessen som er evaluering av risikoene, herunder risikotoleranse. Eksemplene under kan brukes som en støtte for å forstå skalaene likt. Dette er ikke faste definisjoner, men er ment å gi en veiledning og retning i vurderingen. Denne delen av vedlegget vil bli supplert etter at den årlige risikovurderingen er gjennomført høsten 2015 og vinteren 2016. Konsekvens Beskrivelse Beskrivelse Beskrivelse –mål i tildelingsbrevet/ –liv/helse –stabil ytelse IKT, overholdelse av lover og regler, etc. virksomhetsplan Vil trolig ikke Vil trolig ikke kunne påvirke mål gi fare for Marginalt som beskrevet i tildelingsbrevet / personskader virksomhetsplanen i noen særlig grad Liten Kan påvirke mål som beskrevet i tildelingsbrevet, virksomhetsplanen Vil kunne gi fare for ubetydelige personskader Moderat Det er fare for at vi ikke når målet som beskrevet i tildelingsbrevet, virksomhetsplanen Vil kunne gi fare for mindre personskader Alvorlig Vi vil ikke nå målet som beskrevet i tildelingsbrevet, virksomhetsplanen Vi vil være langt fra å nå (viktige) mål som beskrevet i tildelingsbrevet, Svært alvorlig virksomhetsplanen. Vi kunne gi fare for personskade Vil kunne gi fare for svært alvorlig personskade eller tap av liv Risikokartet Etter at sannsynlighet og konsekvens er vurdert, plasseres risikoen inn i risikokartet, se under. Alle organisatoriske nivåer i UDI skal benytte dette risikokartet. Risikoene bør plasseres i en rute / kategori og ikke mellom dem. Sannsynlighet Svært stor – Blir overrasket om det ikke skjer Stor – Tror det vil skje Moderat – Kan skje Liten – Tror ikke det vil skje Meget liten – Blir overrasket om det skjer Marginalt Liten Moderat Konsekvens Alvorlig Svært alvorlig Trinn 4: Evaluere risikoene: Skal det settes inn tiltak? I neste trinn skal det vurderes hvordan risikoene skal håndteres. Plassering på risikokartet indikerer behov for håndtering. Tabellen under viser behov for håndtering avhengig av hvor i risikokartet risikoen er plassert. Rødt krever håndtering og eskalering, mens grønt i mindre grad krever det. De gule risikoene må vurderes nærmere. På avdelingsnivå eller lavere skal det i tillegg vurderes om risikoen skal løftes/rapporteres til neste nivå. Alle risikoer som antas å få vesentlige konsekvenser for flere avdelinger eller som er virksomhetskritiske skal løftes i dialogen om risiko på virksomhetsnivå. Behov for håndtering Risikoansvarlig skal vurdere om det skal settes inn tiltak Risikoen skal overvåkes/monitoreres Risikoansvarlig skal ta stilling til om risikoen skal eskaleres Det skal settes inn tiltak eller vurderes overvåkning og rapportering. x x x x x x Alternativ oppfølging av risiko UDI kan identifisere risikoer som anses å ha svært alvorlig konsekvens og høy sannsynlighet, men hvor vi i liten grad kan sette inn ytterligere tiltak som vil gi effekt. Det kan være knyttet til særtrekk ved våre oppgaver som for eksempel i mottaksdriften eller i håndtering av personopplysninger. I slike tilfeller kan vi følge dem opp på lavere nivå og eventuelt rapportere disse risikoene til overordnet departement. Trinn 5: Håndtering av risikoene: Hvilke tiltak skal settes inn? Neste trinn i prosessen er å sette inn tiltak for å forhindre at risikoer inntreffer, dele risiko eller begrense konsekvensene dersom de skulle inntreffe. Ved håndtering av risiko skal risikoansvarlig sikre samordning med øvrige oppgaver og prosesser. Mulige tiltak må identifiseres. Det vil her kunne være til hjelp å gå tilbake til årsakene til en risiko og vurdere om noen av disse kan påvirkes slik at risikoen ikke inntreffer likevel. Det skal videre vurderes om konsekvensene av risikoen kan begrenses ved å sette inn tiltak. Det skal vurderes hvilke tiltak som skal settes inn. Dette skal gjøres på grunnlag av en kost-nytte vurdering. Hva vil de økonomiske/administrative kostnadene ved tiltaket være, vektet mot hvilken effekt tiltaket forventes å ha. Tidsperspektiv og vurdering av om tiltakene vil gi umiddelbar effekt eller om de vil gi effekt på lang sikt bør også tas inn i vurderingen. Tiltakene skal beskrives konkret, med en tiltaksansvarlig og en frist for gjennomføring. Tiltakene skal iverksettes og følges opp på relevant nivå. Risikoer på avdelingsnivå følges opp og monitoreres internt. Risiko som berører flere avdelinger eller er virksomhetskritiske vil følges opp av AUA i de månedlige møtene. Status rapporteres til direktøren. Det kan være en vekselvirkning mellom hvilket nivå risikoene skal følges opp. Avdelingene skal kommunisere status på sine risikoer og eventuelle behov for å eskalere risikoer som likevel ikke kan håndteres internt i den løpende oppfølgingen/dialogen. Risikoer som er fulgt opp på virksomhetsnivå kan også vurderes å være under kontroll slik at videre oppfølging og monitorering bør plasseres på avdelingsnivå. Trinn 6: Rapportering og oppfølging De avdelingsvise risikokartene som utarbeides i den årlige risikovurderingen knyttet til virksomhetsplanleggingen skal sendes til AUA og brukes som grunnlag for risikoprosessen på virksomhetsnivå. For å få et best mulig grunnlag for vurdering av risikoer på virksomhetsnivå er det utarbeidet en mal som skal brukes for rapportering av virksomhetskritiske risikoer til direktøren. Under beskrives de ulike rapporteringspunktene og hvordan disse er knyttet til selve risikoprosessen. Rapporteringspunkter Hva skal beskrives Hvilke hendelser utløser risikoen? Her beskrives hvorfor det er en risiko, hva er det i omgivelsene som gjør at vi har denne risikoen. Det er viktig at denne beskrivelsen er faktabasert, ikke bare noe som vi tror skjer ut fra vage antakelser. Risiko Her beskrives risikoen i en kort setning Hva er konsekvensen hvis risikoen inntreffer? Beskrivelse av hva vil skje hvis risikoen inntreffer. Hva vil bli påvirket? Kan dette igjen medføre nye risikoer? Sannsynlighet og konsekvens Dette vil være selve risikokartet Beskrivelse av nåsituasjonen Beskrivelse av hvilke tiltak er allerede satt i verk. Det er også en mulighet til å beskrive i mer detalj hva som legges i risikoen. Vurderinger av tiltak Hvis avdelingen mener at risikoen bør løftes opp til virksomhetsnivå skal det komme frem her. Det er også her vurderinger om tiltak skal settes i verk beskrives. Hvilke kost/nytte vurderinger er gjort? Er risikoen på et nivå vi kan akseptere (risikotoleranse)? Tiltak Beskrivelse av de ulike tiltakene som er planlagt iverksatt. Dette kan godt være tiltak som allerede står i virksomhetsplanen. Ansvarlig På avdelingsnivå kan dette være områder eller enheter, på virksomhetsnivå vil dette være avdelinger. Frist For hvert tiltak bør det være satt en frist. Mål risikoen er knyttet til Hvilke mål i tildelingsbrev/virksomhetsplanen er risikoene knyttet til. Hvis det er andre mål enn de som ligger i virksomhetsplanen skal disse også beskrives. Håndtering Evaluering Risikoanalyse Risikoidentifisering Trinn På virksomhetsnivå følger AUA opp UDIs risikokart og tilhørende tiltak i de månedlige møtene med avdelingene om oppfølging av økonomi og UDIs virksomhetsplan. AUA gjør dette på vegne av direktøren. I forkant av møtene skal avdelingene gjøre en vurdering av effekten av tiltak eller andre forhold som påvirker risikoene, eventuelt behovet for ytterligere tiltak. De må også vurdere om andre risikoer bør løftes. AUA skal tilrettelegge for effektiv oppfølging. DM vurderer det overordnede risikokartet hver måned.