HMS- og GDPR-arbeid er en del av virksomhetens internkontrollarbeid. Kjernen i alt arbeid med internkontroll er gjennomføring av systematiske aktiviteter. De viktigste gjøremålene i dette arbeidet er:
Risiko blir oftest uttrykt som kombinasjonen av konsekvens og tilhørende sannsynlighet ved hendelser som kan påvirke måloppnåelse. Det er flere metoder for risikoanalyse, bl.a. ROS-metoden. Fellestrekk for de mest anvendte metodene er lav brukerterskel og bred medvirkning fra virksomhetens ansatte. De fleste metoder og verktøy for risikovurdering har 3 steg eller faser:
1. Risikovurdering
Risikovurdering er «hjertet» i internkontrollen. Risiko som angår informasjonssikkerhet må identifiseres, analyseres og evalueres. Risikovurderinger må gjennomføres i tilstrekkelig omfang og på hensiktsmessig detaljeringsnivå og kan gjelde
- Hele virksomheten på strategisk nivå
- Enkelte arbeidsoppgaver eller prosesser, eller
- Spesifikke informasjonssystemer
- Alle virksomheter skal vurdere risiko mht til personvernkonsekvenser (GDPR)
Det er lederens ansvar å sørge for at det gjennomføres nødvendige risikovurderinger innenfor eget ansvarsområde.
2. Risikoanalyse inkl. sikker jobbanalyse (SHA)
Det andre steget i risikovurderingen er risikoanalyse. Risikoanalyse handler om å utvikle en forståelse av risikoene. Formålet er å kunne fastslå mulig konsekvens og tilhørende sannsynlighet på hendelser identifisert i forrige steg. Det er dette som er den egentlige risikoen.
Risikoanalysen omfatter en vurdering av både årsakene og kildene til hendelsene, hvilke konsekvenser de kan få, samt sannsynligheten for at disse konsekvensene skal forekomme. Den ansvarlige må ta stilling til hvordan risiko skal håndteres og iverksette nødvendige tiltak. Tiltakene skal utarbeides og iverksettes i samsvar med fastlagte kriterier for akseptert risiko. Last ned risikoanalysemal.
Risikoanalysen kan utføres med varierende detaljeringsnivå, avhengig av risikoen, formålet med analysen og hvilken informasjon, grunnlagsdata og ressurser som er tilgjengelig.
Risikoanalyse i din bedrift – konkrete eksempler
3. Risikoevaluering
Det tredje steget i risikovurderingen er risikoevaluering. Formålet med risikoevalueringen er å gi støtte til kommende beslutninger om hvilke risikoer som må håndteres, og hvilken prioritet håndteringen av dem bør gis.
Risikoevalueringen består i å sammenligne risikonivået som ble avdekket i risikoanalysen i steget foran, med risikokriterier som ble bestemt før risikovurderingen startet. I en internkontrollsammenheng som vår vil dette være de kriterier ledelsen har besluttet i den overordnede styringen av informasjonssikkerhet.
I enkelte tilfeller kan risikoevalueringen medføre en beslutning om å gjennomføre en videre analyse. Risikoevalueringen kan også ende i en anbefaling om å ikke håndtere risikoene på en annen måte enn ved å fortsette med eksisterende tiltak.
Overvåking, måling, evaluering og revisjon
Overvåking og hendelseshåndtering er «vakta» i internkontrollen. Gjennom tekniske og manuelle rutiner må vesentlige feil, avvik og uønskede hendelser avdekkes og følges opp sammen med andre identifiserte punkter som medfører en eller annen form for risiko. Les mer om digital avviksbehandling her.
Måling, evaluering og revisjon er «kontrolløren» i internkontrollen og legges inn som rutiner i handlingsplan/årshjul. Hensikten med målinger er å teste om tiltak fungerer og om pålegg blir etterlevd og må gjennomføres både ved etablering og bruk av tiltak. Tiltak legges inn som en aktivitet i handlingsplan/årshjul med en ansvarlig person for å utbedre eller redusere risiko for hendelse og gjerne med en konkret frist. Les mer om digital handlingsplan og HMS-årshjul her.
Kilde: Bl.a. Difi.no