Dok.id.: 1.3.1.7.0 Metode for beskrivelse av arbeidsprosess og risiko- og Utgave: 1.00 Skrevet av: Camilla Bjørn Gjelder fra: 02.02.2016 Godkjent av: Camilla Bjørn Dok.type: Styringsdokumenter Sidenr: 1 av 8 Hva er risiko Formålet med risikostyring er ikke å eliminere risiko, men å forstå risikoelementene slik at fordelene kan utnyttes og uheldige aspekter begrenses. Dette krever klarhet i forhold til hvilke risikoer du er forberedt på å ta, hvor store de kan være og at du har et system på plass for å håndtere disse. Avdekke risiko for hendelser som kan påvirke organisasjonens måloppnåelse i negativ forstand, samt Legge grunnlag for prioriteringer av risikoreduserende tiltak. S= Sannsynlighet (S) for at hendelsen inntreffer Og K=Konsekvensen (K) dersom hendelsen inntreffer. En risikobasert internkontroll skal gjøre vurderinger av hva som kan gå galt, hvor galt kan det gå, hva er gjort for å unngå at det går galt og er det nok. Identifisering av risiko gjøres rundt fire kontroll-/konsekvensområder: Lover og regler Drift og Tjeneste Økonomi Omdømme Etatene/sentrene står fritt til å bruke egne kontroll-/konsekvensområder i tillegg. Trinn 1: Kartlegging av arbeidsprosesser I første del av prosessen må etatene/sentrene gjøre selvevalueringer. Metoden for dette vil være å kartlegge arbeidsprosesser/systemkartlegging. Den dokumenterte arbeidsprosessen brukes senere i trinn to som verktøy for å avdekke mulige risikofaktorer. Arbeidsprosessene kan også kartlegges ved hjelp av flytskjema om ønskelig. Arbeidsprosessene skal si noe om:
Side : 2 av 8 - Formål: Hvorfor skal noe gjøres? Hva skal effekten av vårt arbeid være? Hvilke behov skal vi tilfredsstille? Hva skal vi oppnå? - Hva er målsettingen for prosessen? Hva er det vi skal levere? - Hvem er involvert i prosessene? For eksempel eksterne/interne aktører (målgruppen for prosessen). - Hvor foregår prosessen? (felt, fylkeshuset, KF etc) - Tidsperiode. - Aktiviteter og oppgaver. Mal for arbeidsprosesser ligger vedlagt og i det elektroniske dokumentstyringsverktøyet (EKhåndboken). Denne delen skal legge grunnlaget for risikoanalysen. Dette er en jobb som bør gjøres før større grupper samles til f.eks workshop/idédugnad. Det vil være opp til ledelsen i etatene/sentrene å vurdere hvem som bør delta i prosessen. Trinn 2: Risikokartlegging Risikokartlegging/risikoidentifisering: hva kan gå galt? Formål: identifisere hvilke ulike uønskede hendelser som kan oppstå. Metode for gjennomføring av risikokartlegging: 1. Risikoidentifisering bør foregå basert på idedugnad. 2. Det bør være en person som er ansvarlig for selve gjennomføringen og sørger for at de øvrige møtedeltagerne har oppmerksomhet på temaet (ass. Etatssjef/senterleder? andre) 3. En referent/støtteprosessleder: som fortløpende legger inn uønskede hendelser i risikomodulen (i det elektroniske verktøyet). Det kan være hensiktsmessig å ha systemet oppe på storskjerm, mens risikovurderingene gjennomføres. Tips til gjennomføring av prosessen: Steg 1: Avgjøre deltakere, roller og ansvar Hvem er relevante deltakere i forhold til vurdering av risiko i de ulike arbeidsprosessene? Steg 2: Etablere felles forståelse for aktuelle arbeidsprosess. Start med en gjennomgang av den aktuelle arbeidsprosessen. Steg 3: Kartlegg risiko i arbeidsprosessen. Gjennomgå arbeidsprosessen skritt for skritt. Hjelpemidler i risikokartleggingen, i tillegg til de beskrevne arbeidsprosessene, kan være: - tegningsgrunnlag, befaring, regelverk, sjekklister, prosedyrer, hendelser (databaser, taus kunnskap), spørreundersøkelser, intervjuer, observasjon, workshops, tidligere analyser, trender/megatrender, teknologisk utvikling, politiske forhold, aviser. Risikokartleggingen og risikoklassifiseringen kan også gjøres manuelt på skjema, for så å legge det inn i systemet i det elektroniske skjemaet i ettertid (anbefales ikke). Skjema er vedlagt.
Side : 3 av 8 Trinn 3: Vurdering av risiko/risikoklassifisering Risikoklassifisering: Hvor galt vil det gå? Hvor ofte skjer det? Når en hendelse er identifisert må hver hendelse vurderes/klassifiseres i forhold til sannsynlighet og konsekvens. Husk: Risiko= Sannsynlighet * Konsekvens. Nå skal de identifiserte risikoene først vurderes ut fra hvor sannsynlig det er at hendelsen inntreffer, for så å vurdere konsekvensen dersom risikoen skulle inntreffe. Det er utarbeidet en skala fra 1-5 på sannsynlighet og konsekvens. Se kapittel 4.2 «Hvor høy må risikoen være for at den utløser behov for tiltak». Det er også utarbeidet en veileder med eksempler til bruk av skalaen knyttet til de fire kontroll/konsekvensområdene som skal vurderes (se tabell 5). Trinn 4: Fra risiko til kontroll Tiltak: Hva er gjort for å unngå at det går galt? Er det nok? Vi har nå oversikt over risikobildet. Er det etablert tiltak (kontroller) som i tilstrekkelig grad reduserer den identifiserte risikoen? Hensikt: dokumentere at en har gjort en vurdering av forholdet mellom: - identifisert risiko (hva kan gå galt) - vurdering av risikoen (hvor galt kan det gå sannsynlighet og konsekvens) og - tiltak og kontroller som er etablert for å redusere risikoen Resultat: oversikt og innsikt i hvorvidt etablerte kontroller reduserer risikoen i tilstrekkelig grad, og om det er etablert overflødige kontroller, eller om det kan etableres kontroller som er mer målrettet og /eller mindre ressurskrevende å gjennomføre. Hvor høy må risikoen være før den utløser behov for tiltak? Når er risikoen så høy at det må igangsettes tiltak? Vi tar utgangspunkt i at R= S x K og at S og K vurderes på en skala fra 1-5.
Side : 4 av 8 Vurdering av sannsynlighet Hvor sannsynlig er det at hendelsen oppstår dersom vi ikke har risikoreduserende tiltak? Sannsynlighet Tall vurdering Hyppighet Omstendighet Sannsynlighet % Meget liten 1 Forventes å finne sted sjeldnere enn en gang per år Hendelsen vil kunne oppstå under spesielle omstendigheter 0-5 % Liten 2 Forventes å inntreffe årlig Hendelsen kan oppstå under sjeldne omstendigheter 5-10 % Moderat 3 Forventes å inntreffe minst kvartalsvis Hendelsen kan oppstå 10-13 % Stor 4 Forventes å inntreffe tilnærmet månedlig Svært stor 5 Forventes å inntreffe nærmes ukentlig Hendelsen kan oppstå under flere omstendigheter Hendelsen vil oppstå under de fleste omstendigheter 30-70 % 70-80 % Tabell 1. Vurdering av sannsynlighet for at en hendelse inntreffer.
Konsekvens Metode for beskrivelse av arbeidsprosess og risiko- og Side : 5 av 8 Vurdering av konsekvens? Hva er konsekvensen ved at hendelsen inntreffer? Hva skal til for å rette opp skaden? Konsekvens Tallvurdering Hjelpetekst Ubetydelig 1 Mindre feil og avvik som ikke påvirker fylkets innbyggere. Lav 2 Feil som blir kjent, men som kun fører til mindre problemer for enkelte av fylkets innbyggere. Moderat 3 Feil som fører til ubehageligheter for flere av fylkets innbyggere. Alvorlig 4 Alvorlige feil som fører til store ubehageligheter for en stor andel av fylkets innbyggere. Svært alvorlig 5 Svært alvorlig feil som fører til store problemer og ubehageligheter for fylkets innbyggere. Tabell 2. Vurdering av konsekvens. Basert på vurderinger av S og K kan risiko plottes inn i et risikokart. Verdiene, altså S x K vil avgjøre om risikoen er grønn, gul, oransje eller rød, og man kan på det viset utarbeide en skala som sier noe om risikobildet i arbeidsprosessene. For eksempel ved sannsynlighet = 2 og konsekvens = 3, vil risiko være 6 (gul). Svært alvorlig 5 (5*1) 10 (5*2) 15 (5*3) 20 (5*4) 25 (5*5) 5 Alvorlig 4 (4*1) 8 (4*2) 12 (4*3) 16 (4*4) 20 (4*5) 4 Moderat 3 (3*1) 6 (3*2) 9 (3*3) 12 (3*4) 15 (3*5) 3 Lav 2 2 (2*1) 4 (2*2) 6 (2*3) 8 (2*8) 10 (2*5) Ubetydelig 1 1 (1*1) 2 (1*2) 3 (1*3) 4 (1*4) 5 (1*5) Meget liten Liten Moderat Stor Svært stor 1 2 3 4 5 Sannsynlighet Tabell 3. Risikomatrise.
Side : 6 av 8 Av matrisen over, kan man utlede følgende skala: Risiko (=S*K) Aktivitet 1-3 Ingen tiltak er påkrevd 4-8 Risikoreduserende tiltak bør iverksettes 9-12 Risikoreduserende tiltak må iverksettes innen... (langsiktig) 12-25 Risikoreduserende tiltak må iverksettes med det samme (strakstiltak) Tabell 4. Tiltaksskala.
Side : 7 av 8 Når kontroll/-konsekvensområdene legges til: Konsekvens Tall vurdering Økonomi Lov og regler Drift og tjeneste Omdømme Ubetydelig 1 Uvesentlige feil i ens regnskapsrapportering. Ingen brudd på lover og regler. Ubetydelig feil og avvik som ikke påvirker innbyggere eller målgruppe for tjeneste/program. Kan ikke få konsekvenser for omdømmet. Lav 2 Uvesentlige feil i ens regnskapsrapportering. Mindre brudd på lover og regler, men som ikke fører til anmerkninger fra tilsynsorgan eller andre sanksjoner. Feil som enkelte av fylkes innbyggere blir kjent med, men som kun fører til problemer for enkelte av fylkets innbyggere og i liten grad påvirker de som er berørt av feilen. Eventuelt målgruppen for tjenesten/program. Får ingen eller liten konsekvens for omdømme. Moderat 3 Risiko for vesentlige feil i ens regnskapsrapportering som kan føre til risiko for feil beslutninger med fare for tap for en. Brudd på lover og regler som kan føre til anmerkninger fra tilsynsorganer, men som ikke fører til andre sanksjoner fra myndigheter eller utgjør vesentlig risiko for erstatningsansvar. Feil som flere av fylkets innbyggere blir kjent med og som fører til problemer for flere av fylkets innbyggere og fører til ubehageligheter. Eventuelt målgruppen for tjenesten/program. Risiko for omdømmetap for en, for eksempel gjennom gjentatte media oppslag, og/eller negativ oppfatning av en blant folk. Alvorlig 4 Vesentlige feil i ens regnskapsrapportering som kan føre til feil beslutninger med fare for betydelig tap for en. Påtalerisiko og risiko for erstatningsansvar. Alvorlig feil som fører til problemer for en stor andel av fylkets innbyggere og som gir innbyggerne store ubehageligheter. Eventuelt målgruppen for tjenesten/program. Stor risiko for omdømmetap. For eksempel ved gjentatte media oppslag som gir negativ omtale av en Svært alvorlig 5 Vesentlige feil i ens regnskapsrapportering og feile beslutninger som fører til vesentlig tap for en. Påtale og betydelig erstatningsansvar. Svært alvorlig feil som fører til store problemer og ubehageligheter for fylkes innbyggere. Eventuelt målgruppen for tjenesten/program. Svært stor risiko for omdømmetap. Tabell 5: Vurdering av konsekvens av kontroll-/konsekvensområdene.
Side : 8 av 8 Kryssreferanser Eksterne referanser