Design, gjennomføring og viderebruk av risikoanalyser. Per Myrseth 7. november 2013

Like dokumenter
Helhetlig risikostyring i praksis

e-navigasjon Fra brukerkrav til konsekvenser Lars Vollen

Helhetlig risikostyring i praksis

Hva er risikostyring?

Sikkerhet, risikoanalyse og testing: Begrepsmessig avklaring

Erfaringer fra en Prosjektleder som fikk «overflow»

Asset Management. Compliance og Operasjonell Risiko. Asle Bistrup Eide. Presentasjon i VFF den 28. november 2012

NIRF Finansnettverk. Trond Erik Bergersen

Risikomodenhet en enkel modell. Ayse Nordal & Ole Martin Kjørstad K&R DAGENE

organisasjonsanalyse på tre nivåer

Helhetlig risikostyring og informasjonssikkerhet. Knut Håkon T. Mørch PricewaterhouseCoopers Tlf.

Kapittel 1 Forankring av IT-ansvar Kapittel 2 Oppgaver og ansvar i foretakets ledelseshierarki

5. desember Vanlige problemer og utfordringer i møtet med helhetlig risikostyring. Agenda

Komposisjon av risikomodeller:

Infrastructure (DECRIS)

Aggregering av risiko - behov og utfordringer i risikostyringen

Cyberspace og implikasjoner for sikkerhet

INF 5120 Obligatorisk oppgave Nr 2

Risikovurdering av elektriske anlegg

Kontinuitet for IKT systemer

DESIGNSTRATEGI I MØTET MED EN ORGANISASJON

Strategiske og operasjonelle risikoanalyser

Fører elektronisk samhandling til en digital tidsbombe

Er evnen like stor som viljen i Norge?

Retningslinjer for risikostyring ved HiOA Dato siste revisjon:

God internkontroll i en mindre bank, er det mulig? Problemstillinger og mulige løsninger

Planleggingsfasen.. Estimering av kostnader i IT-prosjekter. Gjennomføringen. Hvor gode er vi til å planlegge (estimere kostnader) ihht Standish Group

Dataforvaltning og digitalisering. Stein Ivar Rødland IT-sjef Stavanger kommune

Trondheim, SEMINAR: TA GREP OM ENERGIEN MED NS-EN ISO 50001:2018

En praktisk anvendelse av ITIL rammeverket

Retningslinjer for aggregering av risiko. Ketil Stølen

BI strategi rasjonale og metode. Fred Anda. Managing Partner NextBridge Advisory 8. november 2016

RS402 Revisjon i foretak som benytter serviceorganisasjon

Norsox. Dokumentets to deler

Gjermund Vidhammer Avdelingsleder Governance, risk & compliance

Et verktøy for bedre risikoanalyse i krisesituasjoner

Nye ITS-løsninger gir utfordringer gjøre?

Semicolon II, Seman-sk interoperabilitet og konsekvenser for arkiv.

Nye krav i ISO 9001, hvilke er de og hvordan implementere disse i TQM? Ragna Karoline Aasen

IT-lederkonferansen (Hvorfor) er norske virksomheter digitale sinker? Invitasjon til diskusjon basert på en pågående undersøkelse

Styresak Vedlegg 5. Prosessbeskrivelse risikostyring

Pilotprosjekt Nord-Norge

Maritime Navigation and Information Services. MarNIS. Sikker sjøtransport Forskningens utfordringer. Veritas 12. mars 2009

IT Service Management

Konfigurasjonsstyring i NAV. Johannes Buverud

Styret i en virksomhet har et lovfestet

Hva kjennetegner god Risikostyring?

Fra risikoanalyse til sikkerhetsforberedende handling

Kategoristyring av innkjøpsarbeidet

ISO Syscom brukerforum 2013 Jørn Erik Hornseth og Torbjørn Remmen

Koordinering og prioritering av IT-tiltak i helse- og omsorgssektoren

FAOS-prinsipper. Hva har helsesektoren gjort med dem?

Sentral Policy Basert Autorisasjonsløsning

ROADMAP FOR DIGITALISERING

Koordinatorskolen. Risiko og risikoforståelse

Opprettet Opprettet av Hege Myklebust Vurdering startet Tiltak besluttet Avsluttet

Når beste praksis rammeverk bidrar til bedre governance. Ingar Brauti, RC Fornebu Consulting AS

NSG seminar om forskningsfinansiering og fordelingsmekanismer innen medisinsk og helsefaglig forskning

NOVUG 3 februar 2009

STANDARDISERINGSRÅDETS ARBEID

Erfaringer og eksempler fra Nord-Europas største implementering av SAP BPC for konsolidering. Stig Skoglund Leading Consultant Statoil

Syscom Brukerforum 2013

PAS 55 kvalitetsstandard for anleggsforvaltning i infrastrukturselskaper. Elsikkerhetskonferansen 2013 NEK

Never Waste a good crisis Compliance i en krisesituasjon

Data Governance SAS FANS

Tor Solbjørg (diplom. IR, statsautorisert revisor) Revisjonssjef Helse Nord RHF

Håndtering av forurensede sedimenter fra tradisjonell risikoanalyse til LCA

Metadata for samordning og samhandling

Hva betyr tjenesteorientert arkitektur for sikkerhet?

1. Kort forklaring av felles risikovurderingsmetodikk Oppsummering av risikovurderingene... 2

PROSJEKTPLAN FORPROSJEKT

Integrering av IT i virksomhetens helhetlige risikostyring

Uke 7. Magnus Li INF /

Eksplisitt risikometode for bruk i byggeprosjekter

Detaljert Risikorapport ID 413

Statusrapport fra Sykehusinnkjøp divisjon vest per august 2019

Common Safety Methods

DIGITALE KONSEKVENSER AV EN KOMMUNE- SAMMENSLÅING. Grete Kvernland-Berg 25. April 2017

Norsk senter for prosjektledelse. Forutsetninger for å lykkes med prosjektbasert ledelse. 20. februar 2003

Risikoakseptkriterier og farelogg

KIS - Ekspertseminar om BankID

Måling av informasjonssikkerhet i norske virksomheter

Risikoområde HMS Opprettet Opprettet av Martin Hauge Vurdering startet Martin Hauge Tiltak besluttet

Fylkesmannen i Buskerud 22. august Risikostyring i statlige virksomheter. Direktør Marianne Andreassen

Med kvalitet menes: WIKIPEDIA. STORE NORSKE LEKSIKON

Vedlikeholdsstyring i et digitalt perspektiv Eli Sivertsen Maintech konferansen 2018

Strategi med kunden i fokus

Standardisering og gjenbruk / sambruk av IT-komponenter i offentlig sektor

Risiko- og sårbarhetsanalyser: vær og veg. Arne Gussiås, Region midt

Rammeverk for risikostyring i Helse Midt-Norge

Ny ISO 9001:2015. Disclaimer:

BUSINESS SERVICE MANAGEMENT

Aktuarrollen Mai 2012

PILAR 3 BASEL II 2009 Gothia Finans AS

Hvordan gjennomføre og dokumentere risikovurderingen i en mindre bank

Risikokultur grunnmuren i risikostyring

Risiko og Sårbarhetsanalyse på NTNU. Presentasjons av prosess

Litt om meg selv. Helhetlig risikostyring en utfordring. Willy Røed. PhD i risikoanalyse. Konsulent risikoanalyse Forskning og utvikling Brannsikring

Programstyre IKT nytt østfoldsykehus

1. Forord Innholdsfortegnelse innledning Funksjonelle egenskaper og krav Spesifikke krav av delsystemer...

Transkript:

Design, gjennomføring og viderebruk av risikoanalyser Per Myrseth

Agenda Intro Design og gjennomføring Viderebruk av risikoanalyser Mulighetsrommet ved bruk av verktøystøtte og semantiske teknologier Oppsummering 2

Intro 3

Oppgaven fra Ketil: dvs bestillingen hva er egentlig en god strategi eller metodikk for å kombinerer, komponere eller aggregere risikoanalyser? hvordan slår man sammen risker og hvilket granularitetsnivå skal man velge, og i hvilken grad kan dette gjøres automatisk? Min bakgrunn: - Deltaker, verifikatør eller ansvarlig for ca 10 større risikoanalyser siste par årene i kraftbransjen og offentlig sektor. - Ang risikoanalyser: Har stor tro på nytteverdien av god datakvalitet, semantiske teknologier, ad hoc spørringer og gode informasjonsmodeller. 4

Risk management framework Policy (objective, purpose) Process (identify, assess, mitigate) Informasjonsmodell Infrastructure, tools Risk culture, skills, competencies Risk reporting and communication Structure (roles, responsibilities) 5

Design og gjennomføring 6

Aktiviteter Planlegging/ etablering av kontekst Kritikalitetsanalyse Risikoanalyse Identifisering Analyse Tiltaksplan Måldefinisjon Skalaer for sannsynlighet, kritikalitet og konsekvens Detaljert plan Designe Oversikt over IT-systemer / tjenester Bedømming av systemenes kritikalitet Fylle med innhold Liste over identifiserte risikoer Gruppering av risikoer ihht risikokategori og IT-system Bruke Risikoer vurdert mht sannsynlighet og konsekvens mot mål Prioritering av risikoer ihht risikonivå Forslag til tiltak for prioriterte risikoer Bedømming av risikoreduserende effekt Informasjonsmodell 7

Del av informasjonsmodell: Eksempel på risiko-vektor Risk vektor Risk x Risk attributt Typiske attributter i vektoren ID Sannsynlighet Navn Konsekvens Beskrivelse Tiltak 1-n Risikomål 1-n Sannsynlighet e. tiltak Prosjekt Konsekvens e. tiltak Prosjektfase Tidspunkt 1-n Ansvarlig/roller Periode 1-n Utstyr/asset Leveransemål Sted Effektmål Relasjon til andre risiki 1-n Kategori Teknisk Economic Commercial Operational Political Hvem/org.nivå får trøbbel med nattesøvn 8

Aggregering for ett risikomål med egnet skala => beslutningsstøtte => beslutningsstøtte A B C D E F G H I A B C D E F G H I A B C D E F G H I Avgrensning, metodevalg, tolkning av virkeligheten Datakvalitet Risiko identifikasjon Virkeligheten Virkeligheten Virkeligheten 9

Risk er ofte overlappende R2 R3 R4 R5 R1 R6 R7 R8 R9 R11 R10 Virkeligheten 10

Viderebruk av risikoanalyser 11

Aggregering mellom ulike risikomål og ulike skalaer Risikomål: Omdømme, compliance og finans Risikomål Operasjonell risiko Prosjekt/ FOU IKT drift A B C D E F G H I A B C D E F G H I A B C D E F G H I Asset Bøtte med risiko 12

Aggregering mellom ulike risikomål og ulike skalaer Risikomål: Omdømme, compliance og finans Risikomål Risk x Risk x Risk x A B C D E F G H I A B C D E F G H I A B C D E F G H I Risk x Bøtte med risiko 13

Screendump av EasyRisk Manager 14

Matematisk kalkulasjon av risk for en bucket 1, 2 3 Bucket 4 5 Takk: Rolf Lervik 15

Mulighetsrommet ved bruk av verktøystøtte og semantiske teknologier 16

Aggregeringsnivåer: Hierarkiske modeller i form av ontologier Avdeling, divisjon, virksomhet, konsern Utstyr/asset, sub-komponent, samling assets Geografi, lokasjon, område, land Tidsperiode, sekund, uke, mnd, år. Asset Geografi Organisasjon Tid Risk x

Ad hoc spørring Spørremotor Visualisering og rapportering Logikk og mønster for automatikk Bucket kalkulasjoner Org. Asset Geo Tid Risk x Risk x Risk x A B C D E F G H I A B C D E F G H I A B C D E F G H I Risk x

Oppsummering Spørsmålene: - hva er egentlig en god strategi eller metodikk for å kombinerer, komponere eller aggregere risikoanalyser? - hvordan slår man sammen risker og hvilket granularitetsnivå skal man velge, og i hvilken grad kan dette gjøres automatisk? Svar: 1. Sett risikoanalyser sammen til en informasjonskube 2. Sørge for at den enkelte risiko har stor rikdom av attributter og dimensjon knyttet til seg. 3. Samle risikoer i grupper/buckets og definer egenskaper på gruppene 4. Lag veldefinerte ontologier for organisasjon, geografi, asset-nedbrytninger osv som kobles til den enkelte risiko 5. Anskaff en semantisk søkemotor og visualseringsengine. 6. Vær kritisk til de svar systemet gir deg. Vær kritisk til: nivå av datakvalitet valg av spørring bruk av logikk og automatikk. Kombiner: God IT støtte kloke hoder sunn fornuft god tolkning Resultat: Litt trøbbel med nattesøvnen Gode beslutninger. 19

www.dnvkema.com

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding