Kontakta oss

Blogg

Företagets riskhantering

Allt företagande är förknippat med risker. Ju mer medveten man som ägare/ledare är om vilka risksituationer som på olika sätt kan uppstå och hur de kan hanteras, desto säkrare blir företagets verksamhet. Ett lämpligt sätt att nå detta är att löpande och regelbundet genomföra riskanalyser.

Varför genomföra en riskanalys?

En riskanalys är ett strukturerat sätt att identifiera och värdera risker som kan förknippas med olika områden i företagets verksamhet, som till exempelvis företagets organisation, verksamhet, processer, projekt eller IT-system.

Syftet med en riskanalys är att:

  • Identifiera förhållanden där organisationen riskerar att inte uppnå sina mål eller drabbas av skada och/eller förluster
  • Ta fram underlag för vilka säkerhetsåtgärder som behöver vidtas.
  • Skapa en medvetenhet om risker

En riskanalys går ut på att svara på följande frågor:

  • Vilka oönskade händelser kan inträffa?
  • Vad blir konsekvenserna?
  • Hur troligt är det?

När ska en riskanalys genomföras?

Riskanalyser gör man inför en ny situation eller en förändring, men också regelbundet även om det verkar som att ingen förändring har skett. När och hur ofta riskanalyser ska genomföras varierar beroende på förtegets verksamhet, men det är alltid bra att ha etablerade rutiner för regelbunden riskanalys.

Exempel på tillfällen som motiverar en riskanalys är:

  • Vid anskaffning eller upphandling av IT-relaterade system och tjänster.
  • Vid förändringar som kan påverka säkerheten i IT-system och tjänster.
  • När IT-drift ska läggas ut/outsourcas.Förändringar i organisationen (t.ex. arbetssätt, personal, lokaler).Förändringar i omvärlden (tex förändrad hotbild, nyupptäckta sårbarheter).
  • Nya eller förändrade uppdrag/tjänster/uppgifter.

Riskanalysen behöver kanske också omfatta informationsklassning omföretaget hanterar känslig/hemlig eller på annat sätt sekretessklassad information.

Bestäm hur riskanalysen ska genomföras

En riskanalys kan med fördel genomföras i en workshop, som då också inkluderar och engagerar personalen i riskarbetet. Genomförandet består i huvudsak av tre delar:

  • identifiering av risker,
  • värdering av risker och
  • åtgärdsförslag.

Identifiera risker

Identifiering av risker görs lämpligen i form av brainstorming i en strukturerad kreativ process, där deltagarna tar fram tänkbara hot och oönskade händelser

Exempel på ursprung till hot kan vara:

  • Människa (avsiktliga hot: riktade och oriktade attacker, interna och externa hot, olika typer av motiv m.m. oavsiktliga hot: brister i utbildning, felaktigt handhavande, stress, slarv med mera)
  • Teknik (fel och buggar i mjukvara/hårdvara, installationsfel, fel i konfiguration, elavbrott med mera)
  • Natur (brand, översvämning, storm, kyla med mera.)
  • Administration (brister i, eller avsaknad av, interna styrdokument och rutiner, oklar ansvarsfördelning, felaktiga beslut med mera.)

Värdera risker

Vid riskvärderingen diskuterar man konsekvenser av en viss risksituation samt sannolikheten att den verkligen uppstår.

Föreslå åtgärder

Syftet med att göra riskanalyser är att bland annat att identifiera åtgärder för att hantera riskerna. Men glöm då inte att också utse vem/vilka som har ansvaret för att beslutade åtgärder verkligen genomförs.

Försök också att få så brett perspektiv som möjligt på företagets riskhantering genom att ta in externa rådgivare i processen. Vi har lång och gedigen erfarenhet från riskhantering, så kontakta oss gärna.

www.ownership4.com

Dela:

Vi är två konsulter med gedigen kompetens och lång erfarenhet från företagande och näringsliv. Vår mission är att vara en aktiv rådgivare till ägarledda företag.

Facebook-f Linkedin-in
Matts Back
  • +46 70 317 34 59
Håkan Stenson
  • +46 70 874 11 61

Hemsida & Design av Intendit Webbyrå