Instruktion för riskhantering

Relevanta dokument
Mall för riskbedömning

Dokumentnamn: Dokumentägare: Karin Wallin. Fastställt av: Ej fastställd

RUTIN FÖR RISKANALYS

Riktlinjer för säkerhetsarbetet vid Uppsala universitet

Riktlinje för riskhantering

Metodbeskrivning - Riskbedömning av lyftanordningar och lyftredskap enligt AFS 2006:6

Vägledning för riskanalys vid farlig verksamhet (LSO 2 kap. 4 )

Metodbeskrivning - Riskbedömning av lyftanordningar och lyftredskap enligt AFS 2006:6

Instruktion för informationssäkerhetsklassning

Föreskrifter och riktlinjer för intern styrning och kontroll på Universitetskanslersämbetet

Miljöriskhantering enligt egenkontrollförordningen.

Anvisningar för intern styrning och kontroll vid Karolinska Institutet

ISO 31000, ny standard i Trafikverket? Lennart Romin

Riskanalys och riskhantering

Reglemente för intern kontroll samt riktlinjer för intern kontroll

Riskutredning Ekhagen

Tillväxtverkets riktlinjer för intern styrning och kontroll

Riskhantering. Tieto PPS AH006, , Sida 1

Intern kontroll - plan för 2017

Frågor att ställa om IK

Riskhantering i processen Investera och reinvestera transportsystemet

METODBESKRIVNING. Riskbedömning för användning av trycksatta anordningar INSPECTA. Revision nr: 1

Internkontrollinstruktion Övergripande beskrivning av hur Kiruna kommun avser att arbeta med intern kontroll

PM OLYCKSRISKER - DETALJPLAN FÖR NÄVEKVARN 3:5

Vägledning RSA EM-hot. Metodstöd vid genomförande av RSA m.a.p. EM-hot

RISKHANTERINGSPROCESSEN

Administrativ säkerhet

Remissyttrande angående vägledningsmaterial om förorenade områden (åtgärdsmål, riskbedömning, åtgärdsutredning, riskvärdering m.m.

Anvisningar för produktkategoriteam

Bilaga Från standard till komponent

Lathund MVA-metoden v.2.0

Informationsärende Riskanalys och Internkontrollplan, slutrapportering 2016

Råd och anvisningar Riskanalyser och riskvärderingar i riskhanteringsprocessen

ANVISNINGAR OCH MALL FÖR RISKANALYS 2016

1.1 VAD ÄR EN RISKANALYS NÄR SKA EN RISKANALYS GÖRAS? HUR GÖR MAN EN RISKANALYS?...

Strategi för SLU:s fastighetsförvaltning

Riskhantering vid laboratoriearbete

KAMP Företagsutveckling

Lokala regler och anvisningar för intern kontroll

Det fria sökandet efter ny kunskap utgör kärnan i ett universitets verksamhet. Inom SLU värnar vi om vetenskaplig integritet och god forskningssed.

Rutin, Riskbedömning inför ändringar

Svenska missionsrådets policy för riskhantering

Riktlinje för riskanalys och intern kontroll

Kommungemensam intern kontrollplan 2014 (KSN ).

Kemikalieolyckors miljökonsekvenser

Uppstartsträff RSA Steg 2

Arbetsdokumentnr: SU Dokumentnamn: Miljöriskbedömning för institutionen MMK Utfärdat av: Baltzar Stevensson Godkänt av: Gunnar Svensson

Riskhantering för administrativa projekt inom Karolinska Institutet

Vattenstämman Vattenskydd och vattentäkter Utveckling av riskbedömningsmetod

Anvisning för riskbedömning vid förändring i verksamheten

Riktlinjer för sociala medier

Styrelsehandling Bilaga 14. Anvisning för intern styrning och kontroll i Bostadsbolaget

RISKANALYS FÖR Humanistiska fakulteten. DATUM: Förslag BESLUTAD AV: Humanistiska fakultetsstyrelsen. KONTAKTPERSON: Mats Andrén

Punkt 11: Riktlinje för riskhantering och intern kontroll

L U N D S U N I V E R S I T E T. Riskanalys och riskhantering

Revisionsrapport. Översiktlig granskning av den interna styrningen och kontrollen * Sammanfattande resultat. Ljusdals kommun

Anvisningar för SLU:s varumärkesarkitektur

Skapa genomförandeplan i LifeCare

Riktlinjer för mottagande av donationer vid Sveriges lantbruksuniversitet

Intern kontrollplan och riskbedömning. Riktlinjer Fastställda i Kommunstyrelsen

RISKANALYS Humanistiska fakulteten. Dnr V 2016/705. DATUM: Förslag till beslut BESLUTAD AV: Humanistiska fakultetsstyrelsen

Intern styrning och kontroll

Riktlinjer för informationssäkerhet

RISKANALYS JMG, Institutionen för journalistik, medier och kommunikation, inkl SOMinstitutet DNR V 2015/965 DATUM:

Riktlinjer för planering, uppföljning, intern kontroll och riskanalys

Allmän studieplan för utbildning på forskarnivå i ämnet: TEKNOLOGI

Riskanalys. till miljönämndens egenkontroll. Miljökontoret. Rapport

Riktlinje för ersättning i samband med uppdrag på ledningsnivå

Utgångsvärden för Riskanalys

Budgetinstruktion för år 2014

Riktlinjer för informationssäkerhet

Väsentlighets- och riskanalys samt internkontrollplan 2019 för kommunstyrelsen

Riktlinjer för korttjänster vid SLU

Sakområde: Kommunikation och media samt Visioner och strategier av övergripande karaktär

Hur hitta georisker? en kreativ övning

Plan för internkontroll med väsentlighets- och riskanalys 2018 för överförmyndarnämnden

Regler och riktlinjer för intern styrning och kontroll vid KI

FORSA en mikrokurs. MSB:s RSA-konferens, WTC,

Anpassade riktlinjer för intern kontroll inom Hälso- och sjukvårdsnämndens ansvarsområde

ISO/IEC och Nyheter

RIKTLINJE RISKANALYS

Internkontrollplan 2019

Anvisning för intern kontroll

Granskning av informationssäkerhet

Patientsäkerhetsberättelse för Hälsan & Arbetslivet

Återkoppling Steg

Riktlinjer för intern styrning och kontroll vid SLU

Riskanalys för signaltekniska anläggningsprojekt

TOMELILLA KOMMUN KOMMUNAL FÖRFATTNINGSSAMLING Nr B 17:1

Ombyggnad och anpassning av lokaler för institutionen för molekylära vetenskaper

Hantering av osäkerheter

Nya regler om styrning och riskhantering

Riktlinjer informationssäkerhetsklassning

Praktisk riskhantering en tulipanaros?*

Intern kontrollplan Kultur- och fritidsnämnd

Kommunledning. Ärendenr: 2016/61 Fastställd: KS Reviderad: KS RIKTLINJE. Intern kontroll

Riktlinjer för intern kontroll

SIS tre produktområden

LUNDS UNIVERSITET. Riskanalys och riskhantering

Ledningssystem för Informationssäkerhet (LIS) vid Linköpings universitet

Transkript:

1(7) Instruktion för riskhantering SLU ua 2014.2.10-129 SLU Säkerhet Anette Lindberg STYRANDE DOKUMENT Sakområde: Säkerhet och informationssäkerhet Dokumenttyp: Anvisning/Instruktion Beslutsfattare: Per-Olov Skatt SLU Säkerhet Handläggare: Anette Lindberg Beslutsdatum: 2014-01-14 Träder i kraft: 2014-01-14 Giltighetstid: tills vidare Bör uppdateras före: [Datum] Ev dokument som upphävs: - Instruktion för riskhantering och avgränsning t med riskhantering är att identifiera, analysera, värdera och behandla de risker som kan komma att påverka verksamheten och dess värden alltför negativt. t med instruktionen är att beskriva processen för riskhantering, genomförandet i stort, ställa tankeväckande frågor och beskriva hur tillhörande mall kan användas. Instruktionen beskriver inte när riskhantering ska genomföras utan på vilket sätt den kan genomföras. Beroende på om hela eller delar av beskriven riskhanteringsprocess ska genomföras kan hela eller delar av instruktionen och mallen användas, se exempel i kapitel Alternativ användning av modellen på sid 7 i detta dokument. Riskhantering Denna instruktion har sitt ursprung i standarden SS-ISO-31000:2009 Riskhantering - Principer och riktlinjer som utgångspunkt och har anpassats till SLU. Riskhanteringsprocessens huvudsakliga delsteg visas i bilden till höger och beskrivs i kommande kapitel. Med en miniatyrbild av standarden vid kapitlens inledning visas vilket delsteg i riskhanteringsprocessen som beskrivs. Instruktionen beskriver även genomförande i stort och på vilket sätt mallen bör fyllas i. SLU, Box 7070, SE-750 07 Uppsala, Sweden tel: +46 (0)18-67 10 00 Org.nr 202100-2817 info@slu.se www.slu.se

Sammanhang och omfattning Riskhantering sker för ett avgränsat område, t.ex. verksamhet, projekt, system, område eller liknande. Detta kallas analysobjekt. För att förstå i vilket sammanhang riskhantering sker, ska analysobjektet identifieras, beskrivas och avgränsas samt och olika parametrar beskrivas. Beskriv analysobjektet, dess speciella omgivning och relationer till andra, eventuella specifika mål och kriterier. Även roller, ansvar och eventuella tidsperspektiv kan beskrivas här. Konsekvens- och sannolikhetsbedömning sker enligt en fyrgradig gradering i kombination med en tiogradig sifferskala för att nyansera bedömningen. Tänk igenom vilken kombination av konsekvens och sannolikhet (risknivå) som kan vara acceptabel för analysobjektet. Namnge analysobjektet och beskriv det kort under Inledande information. Vidare anges datum och vilka personer som har deltagit i arbetet, kompletterat med deras kontaktuppgifter. Under Övrig information antecknas sådant som kan anses relevant för bedömningarna. I de fall egna eller kompletterande kriterier för konsekvens- och sannolikhetsbedömning önskas användas, anges det till höger i tabellerna Konsekvens och Sannolikhet. T.ex. kan ekonomiska värden definieras vid konsekvensbedömningen och tidsaspekter definieras vid sannolikhetsbedömningen. Låg tolerans mot risk fordrar stora insatser vid behandling av risker, medan hög tolerans medför större risk för negativ påverkan. Det är viktigt att göra en avvägning mellan skyddsvärdet, riskbehandlingens kostnader och vad risken skulle innebära om den inträffar. Riskbedömning I riskbedömningen ingår riskidentifiering, riskanalys och riskutvärdering. Riskidentifiering Här identifieras risker i form av händelser som kan leda till skada för analysobjektet och dess värden. Observera att den som är ansvarig för analysobjektet också är ansvarig för risken. 2(7)

För att identifiera risker måste först analysobjektets värden identifieras, vidare kallade skyddsvärden. Skyddsvärde kan vara information, material, varumärke, byggnader, beställningar, nyckelpersoner, beroenden, apparatur osv. Därefter ska risker identifieras i form av händelser riktade mot dessa skyddsvärden. Identifierade skyddsvärden noteras och kompletteras eventuellt med beskrivning, beroenden och prioritering i tabellen Skyddsvärden. I Risklista skrivs risken in i formen Det finns risk för att. Uttryck risken i form av händelse som riktar sig mot analysobjektets skyddsvärden. Skriv risken mellan punkterna så uppdateras risklistan under riskmatrisen automatiskt för de sju första riskerna. För att underlättar kommande bedömning och senare förståelse kan risken beskrivas utförligare under rubriken Beskrivning. Observera att en kedja av händelser kan öka risken. Även sammanhang och tillfälle påverkar konsekvenserna av en potentiell risk. En risk som inträffar vid ett tillfälle kan vara betydligt allvarligare än om den inträffar vid ett annat tillfälle, vilket gör att den kan behöva uttryckas som två olika risker. Även att inte tillvarata en möjlighet kan vara en risk. En risk kan vara mycket svårupptäkt. Eventuellt kan tidpunkt, dess omfattning och utbredning, följdhändelser beskrivas. Nedan listas förslag på frågeställningar vid framtagande av skyddsvärden: Vad är viktigt? Vad är viktigast? Vilka mål, kritiska processer, prioriterade åtaganden och ömma punkter finns? Vad måste alltid fungera alternativt hur länge kan det vara borta? Vad är analysobjektet beroende av? Nedan listas förslag på diskussionsfrågor vid riskidentifiering: Vad kan gå fel? Vad oroar du dig för? Vilka är de fem största riskerna? Vad ligger bakom inträffade incidenter? Fundera kring orsakerna. Vad händer i omvärlden? Finns det konflikter mellan skyddsvärden? För att förtydliga risken kan frågan varför skulle det inträffa ställas. Nedan följer några kategorier på risker som kan användas vid riskidentifiering. Finansiella risker: ränterisk, skatteregler, kreditrisk, valutarisk, kapitalförvaltningsrisk Strategiska risker: legala hot (nya lagar och regelverk, ev. kommande lagstiftning) 3(7)

ny teknik (Cloud-computing) marknad och konkurrenter (marknadsekonomi, marknadstillväxt, priskrig, konkurreraande produkter och tjänster) politisk påverkan (politiska förändringar, EU-påverkan, mediabevakning) social påverkan (samhällsförändring, demografi, förändrat kundbeteende, kundmakt krav protest) Operativa risker: interna processer (processrisker, organisation, management, intern kontroll, strategi) humanfokus (arbetsmiljö, kompetens, resurser, etik och moral) tekniska system (tekniska system, it-säkerhet, it-resurser, tillgänglighet) externa hot (händelser kriser, miljöhot, kriminella hot) Riskanalys t med riskanalysen är att för varje identifierad risk bedöma både konsekvens och sannolikhet, dvs. vilka effekter en inträffad risk skulle få och hur sannolikt det är att risken inträffar. Konsekvens- och sannolikhetsbedömningarna möjliggör en tydlig redovisning och ett jämförande av risker riktade mot analysobjektet. För att kunna göra bedömningen är det viktigt att förstå risken, dess befintliga skydd och eventuella orsaker till att risken inträffar. Det befintliga skyddet beskrivs övergripande. Därefter bedöms konsekvens för analysobjektet om risken inträffar och hur stor sannolikheten är att risken inträffar. Risken bedöms i förhållande till hur värdefullt skyddsvärdet är, dvs. vad det ger för fördel och nytta för analysobjektet och dess verksamhet. Fyll i Befintligt skydd och sedan Inledande konsekvens för risken i risklistan. Bedöm konsekvens utifrån de fördefinierade alternativt de egendefinierade bedömningskriterierna på sidan 1 och därefter sannolikhet på motsvarande sätt. Bedömningen kan kompletteras med förklarande text under rubriken Eventuella kommentarer under riskmatrisen. Här kan även anges om det t.ex. är stor osäkerhet i bedömningen. Skriv in riskens nummer i riskmatrisen utifrån inledande konsekvensoch sannolikhetsbedömning. För att undvika en i förväg bestämd accepterad respektive oaccepterad kombination av konsekvens och sannolikhet för riskerna, är riskmatrisen inte färgsatt i t.ex. rött, gult och grönt i förväg. Lista gärna identifierade risker i tabellen under matrisen för att öka överskådligheten. 1 4(7)

Många faktorer kan påverka konsekvens- och sannolikhetsbedömningen: hur lätt risken upptäcks, hur stor del av analysobjektet som påverkas och hur kraftigt det påverkas, hur länge risken påverkar, vilket geografiskt område som påverkas, hur lätt det är att återställa, konsekvenser för samhället, vid vilken tid på året eller dygnet eftersom olika tidpunkter för inträffande kan ge olika konsekvenser. Riskägare har troligtvis störst insikt om risken och bör vara aktiv i bedömningarna. Riskutvärdering t med riskutvärdering är att identifiera vilka risker som kan accepteras som de är och vilka risker som kräver åtgärder för att risknivån, dvs kombination av konsekvens och sannolikhet, är oacceptabel för analysobjektet. Utifrån bedömd konsekvens och sannolikhet pekas de risker ut som kräver behandling i form av t.ex. åtgärd, fördjupad analys, kontroll, övervakning eller att lyftas till annan nivå inom organisationen. I risklistan redovisas om riskerna ska behandlas vidare. Om svaret är ja, fortsätt med Riskbehandlingen. I annat fall accepteras risken som den är. Om risken får en mycket hög risknivå kan det finnas anledning att lyfta risken inom organisationen. Riskbehandling t med riskbehandling är att hitta åtgärder som påverkar riskens konsekvens och sannolikhet så att risken vidare kan anses acceptabel. Identifiera förslag på åtgärder som kan eliminera, reducera, försäkra eller bevaka de oacceptabla riskerna. En risk kan bemötas av flera åtgärder och en åtgärd kan också bemöta flera risker. Gör en förnyad konsekvens- och sannolikhetsbedömning av risken med de föreslagna åtgärderna inkluderade och avgör om den nya risknivån nu är acceptabel. Om inte, måste åtgärderna modifieras eller kompletteras. Sedan görs en ny konsekvens- och sannolikhetsbedömning tills risknivån anses acceptabel. 5(7)

För de risker som ska behandlas, dvs. ja är angivet i rutan för Behandlas vidare, beskrivs en eller flera åtgärder. Därefter görs en förnyad konsekvens- och sannolikhetsbedömning för att avgöra om åtgärderna är anpassade till att bemöta risken på ett avvägt sätt, dvs. att risknivån blir acceptabel. Om risken fortfarande inte är acceptabel måste åtgärderna korrigeras eller kompletteras med ytterligare åtgärd. Dessutom kan risken behöva lyftas inom organisationen. Riskens slutliga konsekvens- och sannolikhetsbedömning redovisas genom att risknumret skrivs i kursivt format i riskmatrisen och en pil från inledanade bedömning till slutlig bedömning visar hur riskvärdet förändras utifrån föreslagna åtgärder. Åtgärder identifierade i risklistan skrivs in i åtgärdslistan och kopplas mot en eller flera risknummer. Ansvarig för åtgärden anges. Det behöver inte vara samma person som äger risken och inte heller samma som ska utföra åtgärden. Ange när åtgärden ska vara utförd och komplettera med uppföljningsdatum om åtgärden är omfattande, alternativt om den planerade klartiden är långt fram i tiden. Status för åtgärden fylls i, t.ex. ej påbörjad, påbörjad och slutförd. Åtgärdslistan kan med fördel användas i ett uppföljningsdokument. För att identifiera bra åtgärder är det viktigt att förstå orsaken till händelsen och inte bara dess symptom. Använd gärna Toyotas fem varför, dvs. ställ frågan varför skulle det kunna hända fem gånger så finns en stor möjlighet att kommer nära grundorsaken till händelsen. Diskutera även hur gör vi om verksamheten inte fungerar och hur ska vi komma igång igen. Vid val av åtgärder behöver aspekter som kostnadseffektivitet, lätthet i genomförande och tillräckligt bra värderas. Räcker det t.ex. att minska sannolikhet eller konsekvens lite för att risken ska bli acceptabel eller måste risken helt elimineras? Observera att föreslagen åtgärd kan leda till andra risker, antingen för egen eller för annans verksamhet. 6(7)

Alternativ användning av modellen Det är även möjligt att använda den här modellen på annat sätt. Till exempel kan analys behöva genomföras som pekar på risker om viss aktivitet eller liknande genomförs alternativt inte genomförs. Analysobjektet kan vara föreslagen ändring, t.ex. ombyggnation av befintlig byggnad, ekonomisk aspekt på ny verksamhet inom SLU. Beskriv var förändringen kommer genomföras, typ av förändring, berörda grupper osv. Skyddsvärdet kan vara bibehållen verksamhet, bibehållen miljö, säker arbetsmiljö, projektbudget etc. Risker identifieras mot dessa skyddsvärden, t.ex. det finns risk att verksamheten blir olönsam pga för få kunder, det finns risk att utbyggnaden drar över budget pga underleverantörers låga bemanning, det finns risk att verksamheten måste stängas pga att miljökontoret hittar oegentligheter osv. Därefter bedöms konsekvens och eventuellt sannolikhet, åtgärder identifieras och förnyad konsekvens- och eventuell sannolikhetsbedömning genomförs. 7(7)

2024 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss