Risiko- og sårbarhetsanalyse
En risiko- eller sårbarhetsanalyse brukes til å avdekke trusler mot organisasjonen, og bestemmer hvordan organisasjonen skal bruke ressursene sine for å redusere risiko og sårbarhet.
Risikoanalyse som styringsverktøy
Når man er en del av en organisasjon, særlig hvis man sitter i ledelsen eller styret, er det viktig å være klar over hvilke risikoer organisasjonen er utsatt for. Da er det nyttig å gjøre en risikoanalyse. En risikoanalyse har tre hovedmål:
- Identifiserer risiko og ulike hendelser som kan påvirke organisasjonen.
- Vurdere sannsynligheten for de ulike hendelsene.
- Beslutte og prioritere hvilke tiltak som skal settes i verk, både for å redusere risikoen og hvis hendelsen skjer.
Eksempel på Risikoanalyse
Sak XX24 Risikovurdering for VÅ R Organisasjon 1
Last ned som PDF
Risiko og hendelser kan være:
- at organisasjonen mister inntekter
- at noen i organisasjonen bryter loven
- digitale innbrudd og hacking
- misbruk av organisasjonens sosiale medier eller logo
Hendelsene kan gis farge etter hvor alvorlige konsekvensene er. Rødt for veldig alvorlig, gul for litt alvorlig og grønn for mindre alvorlig.
Sannsynligheten for hendelsene sier noe om organisasjonen tror at hendelsen skjer. Her kan man også sette farger på de ulike sannsynlighetene. Rødt for veldig sannsynlig, gul for litt sannsynlig og grønn for mindre sannsynlig.
Tiltak som skal settes i verk er hva organisasjonen gjør for at hendelsen ikke skal skje, og hva som skal gjøres hvis hendelsen skjer likevel. Hvis organisasjonen er redd for hacking, er det naturlig å sette inn tiltak for ekstra sikkerhet på datasystemer og nettverk. Hvis organisasjonen likevel blir hacket, kan tiltak være kontakte datatilsynet for veiledning.
Alvorlighet og sannsynlighet gir til sammen prioritering
Når organisasjonen har funnet alle risikoer og hendelser, og satt sannsynligheten for at det kommer til å skje, vil resultatet være en prioriteringsliste som sier noe om hvor organisasjonen må bruke ressurser. Et eksempel:
- En organisasjon får mesteparten av inntektene sine fra en stiftelse som deler ut midler hvert år. Konsekvensene av å miste midler fra denne stiftelsen er veldig alvorlig, altså rød. Organisasjonen har fått høre at stiftelsen vurderer å endre på vedtektene sine, slik at organisasjonen ikke lenger kan søke. Sannsynligheten for at pengene forsvinner er høy, altså også rød. Den samlede vurderingen blir derfor at dette må prioriteres høyt, og organisasjonen må bruke tid og ressurser på å minimere konsekvensene. Organisasjonen må søke støtte andre steder.
- En organisasjon har en datamaskin som alle som holder foredrag bruker. På datamaskinen ligger også en liste med alle medlemmene i organisasjonen, og e-postadressene deres. Organisasjonen vil ikke at denne informasjonen skal gå tapt, og konsekvensen er alvorlig, altså rød. Organisasjonen mener at alle som bruker datamaskinen er ansvarlige, og at sannsynligheten for at den skal bli glemt, stjålet eller mistet er høy, også rød. Samlet vurdering blir rød, og organisasjonen må bruke tid og ressurser på tiltak. Forebyggende tiltak kan være:
- Backup av data
- Passordsikkerhet
Hvem bruker risikoanalyse?
En risikoanalyse kan gjøres i både store og små organisasjoner, det er opp til hver enkelt om det er noe som er nødvendig. Ofte er det store og mellomstore organisasjoner som bruker risikoanalyse som styringsverktøy. Slik kan man gå frem:
- Organisasjonens ledere kommer sammen og lager et utkast til risikoanalyse, med hendelser, sannsynlighet, samlet vurdering og tiltak.
- Utkastet sendes ut på høring i organisasjonen, sånn at alle kan komme med innspill.
- Lederne tar innspillene inn i analysen.
- Den ferdige riskoanalysen legges frem for styret i organisasjonen og vedtas der.
Ansvar for oppfølging av risikoanalysen ligger som regel hos lederen eller lederne av organisasjonen. Det er de som sikrer at tiltakene blir satt i verk, og at organisasjonen bruker ressurser etter hvilken prioritering som settes i analysen. Når det er behov for det, orienterer ledelsen til styret om status på arbeidet.
Risiko ved arrangementer
Risikoanalyser kan også brukes på enkelt- arrangementer. Når mange mennesker samles, er det bra å ha. Hva er risikoen for og konsekvensen av at noen skader seg, for eksempel? Et tiltak kan være å kontakte Røde Kors Hjelpekorps, som kan være til stede og hjelpe til å begrense konsekvensene skulle en skade oppstå. Eller hva om man ikke klarer å rekruttere nok frivillige? Hva er back up- planen da? Dette er problemstillinger en risikoanalyse kan svare ut.
En risikoanalyse av et arrangement bør gjøres tidlig i planleggingen. Den kan være med på å bestemme om arrangementet skal gjennomføres eller ikke. Hvis analysen avdekker for mange hendelser med for stor sannsynlighet, og organisasjonen ikke har ressurser til å følge opp alle prioriteringene, kan det hende avlysning eller å stoppe planleggingen er det beste alternativet. En risikoanalyse skal ikke brukes til å drepe gode ideer! Så det er viktig å ikke overdrive risiko, eller gjøre analysen for omfattende. Det er en rekke hendelser som kan påvirke en organisasjon eller et arrangement, men som ikke skal prioriteres. Vi kan ikke se inn i fremtiden, men med en god risikoanalyse stiller vi bedre forberedt og får bedre arrangementer.