ISAP ISAP ETT KOMPLETT VERKTYG FÖR RISKSTYRNING OCH BESLUTSSTÖD

Transkript

1 ISAP ISAP ETT KOMPLETT VERKTYG FÖR RISKSTYRNING OCH BESLUTSSTÖD

2 Produktionsrisker Partnerrisker Leverantörsrisker HMS-risker Detta är några av de många risker som är förenat med affärsverksamhet. Oavsett om ditt syfte är att vinna marknadsandelar, behålla din position, eventuellt trappa ned på verksamheten på ett kontrollerat sätt, utsätts du alltid för risker. ALLA FÖRETAG SOM DRIVER AFFÄRSVERKSAMHET UTSÄTTER SIG SAMTIDIGT FÖR RISKER. Alla tillfällen och beslut, faktiskt alla aspekter ända ner till företagets existens, är i grunden förenat med risker Finansiella risker Strategiska risker Säkerhetsrisker Operationella risker Miljörisker Misstroenderisker Informationsrisker Teknologirisker Produktrisker Skillnaden mellan de som når sina mål och de som inte gör det, eller de som eventuellt går under, ligger inte i huruvida de är utsatta för risker eller inte - tvärtom. De som gör det är i regel de som tar risker och utnyttjar möjligheterna. Skillnaden ligger rätt och slätt i hur riskerna och möjligheterna blir identifierade, behandlade och uppföljda. Det handlar om att vara förberedd och ha kontroll ("corporate governance") det handlar om att kunna styra risker och möjligheter. Ledaren för en av Europas mobiltelefonproducenter har uttalat att han leder bolaget efter följande prioriteringar: Första prioritet: strategisk analys- och planering Andra prioritet: riskstyrning Revision Risk Incidenter Frågeschema Registrera svar Frågeschema Registrera svar Nya Rapporter Rapporter Åtgärdsrapport Rapporter Hotvärdering Analys 2

3 ISAP ETT VERKTYG FÖR RISKSTYRNING ISAP är en applikation för effektiv risk- och möjlighetsstyrning och därmed också kvalitetssäkring. Om du som leder ska kunna ta ansvaret för att säkra verksamhetens värdekedjor, affärsprocesser och system, behöver du ett verktyg som kan hjälpa dig på ett enkelt och målmedvetet sätt. Detta är precis vad ISAP erbjuder. vägen från system, via kontor och avdelning till divisions- och koncernnivå. Användaren väljer själv tidpunkt, direkt i applikationen, på vilken nivå i organisationen man önskar att ta ut status, översikt över incidenter eller andra typer av rapporter. På detta sätt kan verksamhetens affärsledning och fackansvariga vid en vald tidpunkt, få en uppdaterad översikt över riskstatus och riskutveckling med önskad detaljgrad och på önskad organisatorisk nivå. SÅ FUNGERAR ISAP ISAP består av 3 huvudmoduler: Risk (risk- och sårbarhetsanalyser; riskprofiler) Revision och uppföljning (inkl. åtgärdsplaner) Incidentapportering (rapportering av incidenter och affärsmässiga konsekvenser; statistik) Applikationen ger affärsledning och fackmässigt beslutsstöd i arbetet med att styra verksamhetens risker i enlighet med det som verksamheten själv definierar som en önskad eller acceptabel risknivå. ISAP är därför också ett verktyg som aktivt bidrar till verksamhetens tillgångar och värdeförvaltning. ISAP ETT LEDNINGS INFOR- MATIONS SYSTEM (LIS) ISAP kan implementeras centralt och decentralt både i större och mindre verksamheter. Applikationen samlar in data på ett decentraliserat plan för att på så sätt få en enkel och snabb översikt över riskstatusen och särskilda incidenter (realiserade risker) för alla delar av verksamheten. Genom att lägga in verksamhetens organisationsstruktur i applikationen, ger ISAP möjlighet att identifiera, bedöma och styra organisationens risker hela Applikationen är uppbyggd så, att den kan adressera de riskområden som vid varje tidpunkt var relevanta för den enskilda verksamheten. Detta görs genom att applikationen knyts till databaser med information och innehåll som baserar sig på de interna och externa krav och mål (ambitionsnivå) som verksamheten själv har bestämt att den ska eller försöka följa och uppfylla. Informationen kan på ett enkelt sätt anpassas i applikationens underliggande databas- och tabellstruktur. Med detta utgångsläge kan verksamheten t.ex. göra uppföljnings- och revisionshandlingar som enkelt och effektivt ger svar på status inom de enskilda riskområdena. Där det eventuellt skulle finnas avvikelser, ger ISAP möjlighet att ta ut åtgärdsrapporter. ISAP kan skapa en mängd rapporter med olika detaljgrad. De detaljerade rapporterna är speciellt ämnade för de fackligt ansvariga i verksamheten. De mer överordnade rapporterna ger verksamhetsledningen den kunskap den behöver för att göra de strategiska och affärsmässiga prioriteringarna. 3

4 "positiva" statusrapporter för att förhandla fram rabatter i förbindelse med inköp av olika försäkringar. Verksamheter som använder ISAP, blir själva sittande på en värdefull riskkompetens på olika riskområden. Samtidigt får de erfarenhet av genomförande av riskrevisioner och en ovärderlig översikt över oacceptabla/oönskade incidenter och deras affärsmässiga konsekvenser genom incidentapporteringssystemet. ANVÄNDNING AV ISAP GER AVKASTNING Användning av ISAP förenklar och effektiviserar riskkartläggning i jämförelse med traditionella pappersbaserade metoder. Detta ger en stor effektiviseringsvinst. Där man tidigare använt extern hjälp för att kartlägga och bedöma risker blir man genom att använda ISAP, mer självhjälpt och detta är något som ger stora kostnadsbesparingar. ISAP har visat sig vara ett utmärkt verktyg för att lyfta medvetenheten om risker i organisationer. Detta eftersom man med hjälp av aktuella frågor på ett målrelaterat sätt når flera anställda till lägre kostnader än tidigare. Verksamheter som använder ISAP kan använda MER OM VARJE ENSKILD MODUL I ISAP REVISIONSMODULEN (analys och uppföljning) Verksamheter har ett antal interna och externa krav och riktlinjer som skall uppfyllas eller eftersträvas. Många av dessa är relaterade till olika risker som verksamheten är utsatt för som följd av den aktivitet den bedriver (dvs. verksamhetens potentiella risker). Det är ledningens ansvar att se efter och följa upp att nödvändiga åtgärder och handlingar är implementerade för att möta riskerna samt efterleva krav, riktlinjer och standards. Alla krav, riktlinjer, standards, instruktioner och processbeskrivningar mm. som förutsätts för att möta potentiella risker, kan läggas in i ISAP. Applikationens revisionsmodul kan därefter användas för att genomföra revisioner och analyser av status inom de olika områdena. ISAP är därför väl lämpad för egenkontroll. 4,0 Statusrapport Revision 3,5 3,0 2,5 2,0 1,5 1,0 0,5 Avdelningsstatus Ambitionsnivå 0,0 Informationssäkerhet Organisatoriskt förhållande Miljö Externa partners Organisationens snitt 4

5 Flexibiliteten i applikationen sörjer för att revisionen kan göras målstyrt och specificerat i förhållande till önskade revisionsområden, organisationsnivåer och tjänstekategorier. Resultaten från revisionen/analysen körs direkt ut i olika typer av rapporter. Enheter på olika organisationsnivåer kan jämföras inte bara mot vedertagna krav och standarder, utan också mot andra enheter på samma organisationsnivå och mot verksamheten som helhet. Detta ger en i högsta grad utmärkt översikt över verksamhetens totala riskstatus och exponering. Resultat och avvikelser läses enkelt igenom med hjälp av valfria grafiska rapporter. Där avvikelse förekommer, kan åtgärdsrapporter tas fram ur systemet. Dessa rapporter talar om vad som måste göras för att nå önskad nivå. Rapporterna ger också förslag till inbördes prioritering av de korrigerade åtgärderna. RISK- OCH SÅRBAR- HETSMODULEN Med hjälp av denna modul kan verksamheten göra risk- och sårbarhetsanalyser samt enskilda riskutvärderingar. Dessa skapar förutsättningar för utarbetande av riskprofiler för verksamhetens värdekedjor, affärsprocesser, system mm. Denna ledningsorienterade modul består av frågor där ställning tas till vilka hot som anses som mest relevanta för verksamheten. På detta sätt får man fram en riskprofil, presenterat på ett översiktligtoch klargörande sätt i form av olika rapporter och grafiska framställningar. Resultaten som fås fram genom denna ISAPmodul möjliggör för verksamheten att göra rätt prioriteringar med hänsyn till hur resurserna bör sättas in. Därmed kan man enskilt styra riskerna till en acceptabel nivå med hjälp av riskreducerande åtgärder. 4,0 Riskprofil Avdelningsvis 3,5 3,0 2,5 2,0 1,5 1,0 0,5 0,0 R & D Produktion Administration IT Informationsrisk Produktionsrisk Miljörisk Operationella risker Säkerhetsrisk Strategiska risker Finansiella risker 5

6 INCIDENTMODULEN (INCIDENTAPPORTERING OCH REGISTRERING) IISAP s incidentmodul (rapportering och registrering) kan verksamheten registrera uppkomna incidenter och tillbud (med andra ord utlöst risk), som direkt eller indirekt har haft negativa konsekvenser för verksamheten. Registrering av incidenter och deras affärsmässiga konsekvenser för verksamheten medför bättre översikt över fel, incidenter och missöden som kan uppstå. Förutom att få fram översikt över vilka ekonomiska eller andra affärsmässiga konsekvenser detta får, ger rapporteringen viktig historisk information för senare uppdatering och värdering av verksamhetens risk och sårbarhet. I rapportdelen i incidentmodulen kan verksamheten också följa utvecklingen av olika slag av incidenter såväl inom system, affärsprocesser, värdekedjor som på organisationsnivåer. Modulen kan också fortlöpande ge rapporter om utvecklingen inom valda tidsperioder. Statistik inrapporterade incidenter, procentvis fördelning Statistik Incidenter med beloppsmässig påverkan Avbrott i datakommunikation 6% Mänskliga fel 4% Datavirus 2% Brand 8% Stöld på kontoret 41% Avbrott i datakommunikation SEK Mänskliga fel SEK Datavirus SEK Brand SEK Stöld på kontoret SEK Datakriminalitet 1% Datakriminalitet SEK Svinn 10% Svinn SEK Interna missförhållanden 12% Interna missförhållanden SEK Skadeverkan 16% Skadeverkan SEK

7 KUNDLISTA AIS Norge AS distribuerar idag ISAP via distributörer i Norge, Sverige, Finland, Belgien, Nederländerna och Luxemburg. Inom kort kommer flera länder i Europa att följa trenden. Mer än 100 kunder inom så väl privata- som offentliga verksamheter använder applikationen. Volvo är för tillfället den största användaren av ISAP, med användare världen över. NÅGRA AV VÅRA KUNDER: Aker Maritime Thomson Multi Media (tidigare Alcatel) Bærum kommun Bodø kummun Computer Devices International (USA) Cobea AB (Sverige) Danisco EDB (Danmark) Girobank (Danmark) ICA Handlarnas AB (Sverige) Justisdepartementet (Norge) MeritaNordbanken/Nordea (Sverige, Finland) Metsä-Botnia OY (Finland) Nordlandsbanken Nycomed Amersham Imaging AS Oslo kommun Posten AB (Sverige) SCOPE N.V. (Belgien) SEB (Sverige) SFT Siemens A/S Siemens AG (Tyskland) SpareBank 1 Nord-Norge State Institute of IT (Litauen) Statens Innkrevningssentral Statens kartverk Statoil Gas Transport Stockholms stad (Sverige) Telenor Bedrift, avd produktutveckling Universitetet i Bergen Vesta Forsikring Volvo 7

8 ADVANCED INFORMATION SECURITY SVERIGE AB ENEBYBERGSVÄGEN 10 A S DANDERYD TEL: FAX: URL: