3 Risikostyring
Begrepet risikostyring benyttes innenfor flere områder, f.eks. innen mål- og resultatstyring og økonomistyring, men i denne veilederen knyttes begrepet til arbeidet med å forebygge og håndtere uønskede hendelser med konsekvenser for samfunnssikkerheten.
Samfunnssikkerhetsinstruksen bygger på en oppfatning av at forvaltningen gjennom et målrettet og systematisk arbeid kan redusere sannsynligheten for og konsekvensene av uønskede hendelser i samfunnet, og slik minimere tap og skade for enkeltmennesker og fellesskapet. Kravene til departementene i kap. IV og V av instruksen kan relateres til de ulike trinnene i en risikostyringsprosess. Standarden NS-ISO 31000:2018 EN beskriver en mye benyttet modell for helhetlig risikostyring som kan benyttes som utgangspunkt for arbeidet med samfunnssikkerhet i den grad det er hensiktsmessig innenfor de enkelte fagområder. Figur 1 er basert på denne modellen.
Figur 3.1 Figur 1: De ulike trinnene i en risikostyringsprosess
Risikostyringsprosessen inneholder fem hovedtrinn og tre gjennomgående prosesser:
Bestemmelse av kontekst: Første trinn er å bestemme hva som skal være rammene for prosessen. Med dette menes å definere og avgrense hvilke aktiviteter og områder som skal styres, og på hvilket nivå dette skal skje. For departementene vil samfunnet som helhet, sektoren eller deler av den utgjøre konteksten for risikostyringen, avhengig av hva som er departementets ansvarsområde, og hva det er kritisk å ha kontroll over. Rammene for risikostyringen bør være et klart definert ansvar. Risikostyringen innenfor samfunnssikkerhet skal ikke begrenses til å bare gjelde departementet selv.
Risikoidentifisering: Neste trinn i risikostyringsprosessen er å identifisere hvilke trusler eller farer som under gitte omstendigheter kan føre til tap eller skade innenfor de områdene som risikostyringsprosessen omfatter. Trusler eller farer kan være naturfarer, svikt i tekniske og organisatoriske systemer (ulykker), eller tilsiktede handlinger. For et departement kan det oppstå andre uønskede utfordringer, f.eks. knyttet til tap av omdømme og tillit, men slike problemstillinger alene er ikke tema for denne instruksen.
Risikoanalyse er et sentralt element i risikostyringen. Analysen må bygge på tydelig definerte forutsetninger. Det kan være hensiktsmessig å utforme konkrete scenarioer for å kunne få et tydeligere bilde av komplekse hendelsesforløp, hvilke sårbarheter som finnes innenfor systemet og hvilke følgehendelser og konsekvenser hendelsen kan få. En risikoanalyse skal gi et bilde av hvor sannsynlige hendelsene som analyseres er og hvilke konsekvenser de kan få for ulike samfunnsverdier. Hvor stor grad av usikkerhet det er knyttet til kunnskapsgrunnlaget for vurderingene av sannsynlighet og konsekvens bør fremgå. Analysen bør være tilstrekkelig detaljert til at man kan få et bilde av hvilke sannsynlighets- og konsekvensreduserende tiltak som kan være aktuelle å gjennomføre for å redusere risikoen til et akseptabelt nivå.
Risikoevalueringen: Her tar en stilling til om den risiko som er avdekket er akseptabel eller om det må iverksettes tiltak for å redusere den. Departementet må selv ta stilling til dette.
Risikohåndtering er siste fase i risikostyringsprosessen. Her utformes, besluttes og iverksettes tiltak for å bringe risikoen ned på et akseptabelt nivå. Dette kan være tiltak for å redusere sannsynligheten for at en hendelse skal inntreffe og/eller tiltak som kan redusere konsekvensene av en hendelse dersom den likevel inntreffer. Effekten av tiltakene vurderes i forhold til hva departementet mener er et akseptabelt risikonivå.
I alle faser av prosessen bør man ivareta:
Kommunikasjon og konsultasjon, det vil si å forankre arbeidet i organisasjonene som berøres av aktivitetene (interne og eksterne interessenter). Dette bør gjøres på alle trinn i risikostyringsprosessen. Hensikten er blant annet å sikre at de berørte organisasjonenes synspunkter blir tatt hensyn til, og at aktørene forstår grunnlaget for beslutninger som tas og bakgrunnen for aktiviteter og tiltak.
Overvåking og gjennomgang, det vil si kontroll av at de ulike trinn i risikostyringsprosessen har kvalitet og blir gjennomført på en effektiv måte og at tiltak er egnet. Dette bør være en kontinuerlig og planlagt del av risikostyringsprosessen.
Dokumentasjon og rapportering: Risikostyringsprosess og resultater bør dokumenteres og rapporteres om i organisasjonen. Hensikten er å sikre beslutningsstøtte og god ledelse, og forbedre risikostyringsprosessen. Det må besluttes hvem som skal motta informasjon om hva, hvor ofte og på hvilken måte.