For å endre tekststørrelsen, hold Ctrl/Cmd-tasten nede og trykk på + for å forstørre eller - for å forminske

Hvordan gjennomføre VTS-analyser?

Generelt

En VTS-analyse kan gjennomføres alene uten et dataverktøy, eller bedre, i et samarbeid i virksomheten med støtte i et dataverktøy. Beskrivelsen under utdyper fremgangsmåten i det siste alternativet.

 

Fordi man bruker et dataverktøy vil man automatisk bli ledet igjennom prosessen steg for steg. Dette til tross for at du også kan hoppe frem og tilbake i prosessen ved behov. Prosessen i VTS-analyseverktøyet er en operasjonalisering av VTS-metoden og følger NS 5832 Krav til sikringsrisikoanalyse. Utover å følge standarden gir verktøyet deg mer faglig innhold og gir deg en rettledning og beskrivelse av hva du bør gjøre i ulike faser av analysen. I tillegg gjør verktøyet deg i stand til å kommunisere og lagre resultatene på en effektiv og hensiktsmessig måte. Det gjør det enklere å revidere analysen og holde den oppdatert over tid.

 

Det er viktig å presisere at standarden NS5832 nettopp er en standard og ikke en operasjonalisering av en metode. Dette er en viktig forskjell. Standarden egner seg ikke til å utføre sikringsrisikoanalyser. Det er sentrale momenter som mangler. Det er et rammeverk. Standarden er et krav til metodene som utvikles og brukes, mens metoden er en operasjonalisering av prosessen som brukes for å gjennomføre en sikringsrisikoanalyse.

 

Før analysen

Før man starter prosessen med å utarbeide en sikringsrisikoanalyse må man identifisere om vi har et informasjonsproblem. Et informasjonsproblem er en situasjon hvor det er stor usikkerhet knyttet til mulige negative konsekvenser av en aktivitet eller eksistens.

 

Vi må også vurdere om det vi ønsker å analysere egner seg til en analyse. I en situasjon hvor man vet hva problemet er i tillegg til at man vet hvordan problemet må løses er det ikke behov for en analyse. Et eksempel på dette er en gullsmedforretning som har og bruker et hvelv, men hvor ansatte ikke låser hvelvet. Her er problemet at de ansatte ikke bruker hvelvet riktig enten på grunn av manglende kunnskap eller andre grunner. Her trenger man ikke gjennomføre en sikringsrisikosanalyse for å forstå at rutiner og praksis må endres slik at verdisaker blir låst inn forsvarlig i hvelvet under og etter arbeidstid. Andre ting som også må vurderes er om metoden og verktøyet egner seg til jobben.

 

Når vi har kommet frem til at det er hensiktsmessig med en sikringsrisikoanalyse må man vurdere omfanget av analysen. Hva skal med, og hva bør utelates? Hvilke tidsbegrensninger har man, om noen? Hvem er interessentene i analysen? Videre må prosessen planlegges og klargjøres. Hvem skal for eksempel lede og delta i prosessen?

Sist men ikke minst så må også forhold som valg og beskrivelse av ulike nivåer i de ulike skalaene bestemmes. Et eksempel på dette er hvor mange nivåer skal skalaene for verdi, trussel, sårbarhet og risiko ha, og hva betyr det for eksempel at verdien vurderes som HØY?

 

Under analysen - prosesshjulet

  • Verdivurdering

I verdivurderingen identifiseres og vektes de verdiene som skal være grunnlaget for sikringsrisikoanalysen. I motsetning til andre metoder så starter prosessen med å identifisere hva som skal sikres og hvor viktig disse verdiene er for de som eier, forvalter eller på andre måter drar fordeler av disse verdiene. Om man i denne fasen ikke klarer å identifisere noen verdier eller at disse vurderes som spesielt viktige så kan prosessen stoppes allerede her. Årsaken til dette er at det i dette tilfelle heller ikke eksisterer noen trussel eller sårbarhet. Dermed eksisterer det heller ingen risiko.

 

  • Sikringsmål

For at analytikeren som gjennomfører analysen skal ha en riktig forståelse av den videre prosessen så er det viktig at hun får noen føringer. Disse føringene kan beskrives som sikringsmål. Sikringsmål er en beskrivelse av hva som er ønsket sluttilstand for verdiene som nettopp har blitt identifisert og vektet. Det er viktig å presisere at dette ikke er det samme som akseptkriterier for risiko. Formålet er å styre fokuset til analytikeren, ikke forsøke å få beslutningstakere til å forplikte seg på hva som er akseptabel risiko før man vet hva risikoen er og hva slags konsekvenser ulike strategier og tiltak har for virksomheten og aktiviteten som vurderes. Et eksempel på dette er om man har en 0-visjon, det vil si ingen tap eller skade på verdier, så vil analytikeren ha et bredere og mer omfattende perspektiv når både trussel og sårbarhet vurderes. Om målsetningen med sikringstiltakene kun er å unngå katastrofale hendelser så blir omfanget og fokuset annerledes.

 

  • Trussel

Trusselvurderingen fokuserer på hvilke personer og/eller grupper som har, eller kan ha, interesse av å påvirke verdiene som har blitt identifisert og vektet. Det sentrale her er å identifisere hvem disse er, samt hvor farlige de eventuelt er for dere og verdiene deres. På samme måte som i verdivurderingen vektes aktørene i en skala etter at de er identifisert og vurdert.

 

  • Scenarioer

Nært knyttet til selve trusselvurderingen er arbeidet med å identifisere og vurdere trusselaktørenes modus operandi. Det vil si hvordan de ulike aktørene som er identifisert og vektet vil gå frem for å negativt påvirke verdiene deres. I denne fasen av prosessen er det viktig å være detaljert på hvordan dette kan skje. Om dette ikke er eksplisitt så vil det være svært vanskelig å vurdere sårbarheten på en god måte.

 

Scenarioene som velges ut til å være med i den videre prosessen er også de som til slutt vurderes i risikovurderingen.

 

  • Sårbarhet

I sårbarhetsvurderingen ser man på de utvalgte scenarioene og vurderer følgende spørsmål: Eksisterer det relevante sikringstiltak som kan stoppe dette modus operandi? Om det gjør det, har vi disse på plass? Om svaret er ja, fungerer de etter hensikten? På den måten vil man systematisk kunne avdekke alle relevante tiltak og hvor effektive de eventuelt er. Når dette er gjort vurderes eventuelle tiltak samlet for å konkludere på hvor sårbar man er for et gitt scenario.

 

  • Risiko

Etter at man har vurdert alle relevante faktorer innenfor verdi, trussel og sårbarhet så samler man konklusjonen fra de ulike delvurderingene i risikovurderingen. Her går man igjennom hvert enkelt scenario og gjennomfører en skjønnsmessig vurdering av all informasjon som er tilgjengelig. Man konkluderer her hva man vurderer risikoen til å være i dagens tilstand.

 

Her gjennomfører man også den første vurderingen på om risikoen som er avdekket er akseptabel eller ikke. Om den ikke er akseptabel vil man gå videre i prosessen. Om man vurderer den som akseptabel opprettholder man de tiltak man eventuelt har på plass allerede og fortsetter arbeidet med å overvåke og styre sikringsrisikoen knyttet til den aktuelle aktiviteten.

 

  • Strategi

Om risikoen ikke aksepteres blir neste steg å vurdere ulike strategier for å håndtere sikringsrisikoen. Med strategi menes veivalg. Eksempel på dette kan være om man temporært eller permanent skal unngå aktiviteten som skaper risiko. Et annet eksempel kan være en strategi der hvor man reduserer noe av risikoen gjennom sikkerhets og beredskapstiltak, i tillegg til å samarbeide med andre parter som kan utføre deler av aktiviteten som skaper risiko for virksomheten.

 

  • Tiltak

Når strategi er valgt kan man innenfor rammene av denne strategien velge konkrete tiltak. Det er også i denne fasen hvor man kan komme med konkrete løsninger på hvordan risikoen skal håndteres. Det vil nå også være naturlig å innhente forslag til løsninger og konkrete tilbud fra ulike leverandører.

 

Det er i dette steget man også ser hvilke konsekvenser valg av ulike sikringsmål vil ha.

 

  • Revurdering av sikringsmål

Om man etter verdivurderingen valgte en 0-visjon så vil man kanskje etter å ha blitt opplyst om hva slags konsekvenser dette vil få ha et ønske om å revurdere disse målene. Disse konsekvensene kan både være økonomisk, men også gi store begrensninger i virksomhetens aktivitet.

 

Det vil kanskje derfor være et ønske om å gjøre justeringer i både målsetning med sikringstiltakene, men også hva som er akseptabel risiko.

 

Det er derfor ikke unaturlig å revidere både strategi og tiltak.

 

Etter analysen

Når analysen er gjennomført vil tiltak som er besluttet innført implementeres. Arbeidet fra sikringsrisikoanalysen føres nå over i virksomhetens risikostyringsprosess.

 

Fordi analysen er utarbeidet og lagret elektronisk i et dataverktøy vil det være enklere å gjøre justeringer om det skulle være behov for dette.

 

En annen og viktigere fordel er at om analysen skal justeres og oppdateres over tid så kan man gjøre det uten å starte helt på nytt. Om det er endringer i faktorene verdi, trussel, sårbarhet, eller om interne og/eller eksterne rammefaktorer skulle endre seg. Ved bruk av verktøyet vil det være enklere og mer oversiktlig å holde analysen relevant og oppdatert.

 

Avslutningsvis er det viktig å nevne at å gjennomføre denne typen sikringsrisikoanalyser fremdeles krever kunnskap om innholdet i analysene, men du vil støttes i fremdrift og struktur.