Riskhantering

Modulen för riskhantering stödjer riskhanteringsprocessen och kan kopplas till organisationsdelar, processer, strategier, resurser eller externa parter – därmed ges stöd för de flesta riskmetoder som t ex strategi, operationell, ERM, aggregerad riskportfölj.

Risker identifieras, bedöms, hanteras genom förebyggande åtgärder eller koppling till kontroller. Godkännandeprocess sätts upp enligt valda parametrar. Riskrapport skapas vilken även kan schemaläggas. Stöd för aggregering av risker. För varje risk beräknas ett nyckeltal vilket underlättar kommunikation i organisationen. Riskregistret ges ett resultat för helheten.

Prep & ID

I detta förberedande riskhanteringssteg identifieras de risker som ska bedömas. En rad verktyg stödjer detta. Koppling kan göras till bl a mål, incidenter, hot, sårbarheter, existerande kontroller och riskbibliotek.

Omfattningen specificeras av vilka organisatoriska delar som ingår, vilket kan visualiseras i diagram.  Syfte och metod beskrivs. Team och ansvar specificeras.

Riskregistret konfigureras med perioder och behörigheter samt godkännandeprocess.

Risker identifieras och motiveras varför just denna risk är utvald. Riskägare utses.

RIskbedömning

Här bedöms den identifierade risken. Ytterligare kategoriseringar och beskrivningar kan göras. Koppling till t ex berörda organisationsdelar, processer, tillgångar.

Bedömning kan göras kvantifierbart eller kvalitativt. Skalor och kategorier för sannolikhet, konsekvens, påverkan, konfigureras dynamiskt.

En kvalitativ risk kan bedömas t ex i skalor 1-4 och presenteras i en riskmatris. Riskvärdet kan omräknas till procent vilket underlättar riskrapportering.

Kvantifierbara risker kan ges värden för sannolikhetsutfall, t ex maximalt-mest troligt-minst och visualiseras – så kallad BETA-fördelning.

Det samlade riskregistret kan ges en övergripande bedömning t ex utifrån en fördefinierad skala.

Riskhantering

I hanteringssteget ges möjlighet att skapa förebyggande åtgärder för riskhantering. Två huvudmetoder används.

  1. Riskreducering genom att skapa en förebyggande åtgärd. Här kan kostnad beräknas, typ anges, ansvarig för åtgärden, koppling till andra risker som denna åtgärd reducerar, förfallodatum.
  2. Riskreducering genom att koppla till en kontroll. Kontrollen kan väljas ur kontrollbiblioteket. Vanlig metod inom kontroll och revision.

När risken har hanterats finns möjlighet att göra en ny riskbedömning efter att planerade åtgärder är införda. Detta brukar kallas nettorisk och den ursprungliga bedömningen bruttorisk.

Aggregering

Aggregering av risker görs genom att skapa ett nytt riskregister, t ex på högsta nivå i organisationen. Underliggande enheters risker kan kopplas till respektive aggregerad risk.

Vid aggregering används iFACTS funktionalitet för konnektivitet. Här visualiseras alla delar i informationsmodellen t ex organisationer, processer, tillgångar, risker, hot, incidenter etc. och dessa kan kopplas till den aggregerade risken tillsammans med sitt resultat. Visualiseras genom beroendediagram.

Riskrapport

Riskrapporten kan skapas från alla ingående delar i riskarbetet, t ex beskrivning, syfte, analys, team, risker, resultat, godkännande.

Rapporten byggs via verktyget SSRS och kan kopplas till behörigheter och distribueras till relevanta delar inom organisationen.

Riskrapporten kan även kopplas till ett uppföljnings- eller rapporteringstillfälle.

Skeppsbron 3, Malmö, Sverige | +46-40-10 77 99 | info@ifacts.se |

FAQ