Er risikoanalysen din tilpasset dagens kriminalitetsbilde?
19. mar 2021
Lesetid: 3 min
Kriminalitetsbildet har endret seg de senere årene, og truslene mot virksomhetene likeså. Villede hendelser som terror, organisert kriminalitet og informasjonstyveri setter risikovurderingen vår på nye prøver. En VTS-analyse er godt egnet til å håndtere de nye utfordringene.
Vi er gjerne vant til å kartlegge risiko i forhold til fare.Næringslivet, det offentlige og interesseorganisasjoner er nå i større grad mål for villede hendelser, eller det vi til daglig kaller kriminalitet. Både teknologi og eksponering internasjonalt gir nye muligheter for kriminelle nettverk til å utnytte sårbarheter i hver enkelt bedrift. Ny kriminalitet oppstår, og verdier som før ikke var attraktive, er nå omsettbar på det kriminelle markedet.
Mange næringsdrivende og offentlige virksomheter kjenner dette på kroppen. Kriminalitets- og sikkerhetsundersøkelsen (KRISINO), som NSR gjennomfører, avdekket i 2015 at 70% av virksomhetene i undersøkelsen hadde mottatt faktura for varer eller tjenester de aldri hadde bestilt.
Hvordan vurderer vi risikoen for disse nye typene kriminalitet? Jeg vil hevde at VTS-analysen er mer egnet til å avdekke risiko for villede hendelser enn den tradisjonelle proaktive metoden.
VTS-analysen bygger på NS 5830-serien, som brukes av blant annet politiet, og den kan teoretisk framstilles slik:
Verdi x Trussel x Sårbarhet = Risiko
Her er det er verdivurderingen som legger grunnlaget for hvor mye ressurser man bruker til sikring. Hvis vi ikke har noe av verdi, eksisterer heller ikke noen trussel eller sårbarhet (noe som multipliseres med null, blir alltid null). Dermed finnes heller ingen risiko.
Hva skiller VTS-analysen fra annen risikoanalyse?
Metoden starter med å identifisere hva som skal sikres og hvor viktig disse verdiene er for dem som eier, forvalter eller på andre måter drar fordeler av disse verdiene. Om man i denne fasen ikke klarer å identifisere noen verdier, eller at disse vurderes som ikke spesielt viktige, kan prosessen stoppes allerede her.
Sikringsmål er en beskrivelse av hva som er ønsket sluttilstand for verdiene som nettopp har blitt identifisert og vektet.
Trusselvurderingen kartlegger hvilke personer og/eller grupper som har, eller kan ha, interesse av å påvirke verdiene som har blitt identifisert og vektet. Noe av VTS-analysens særpreg er at man på dette stadiet lager scenarier med detaljerte beskrivelser av hvordan aktørene som er identifisert vil gå frem for å påvirke verdiene deres negativt. Når vi så vurderer sårbarheten, ser vi om det eksisterer sikringstiltak som er egnet til å begrense utviklingen i hvert enkelt scenario.
Risikovurdering
Etter at man har vurdert alle relevante faktorer innenfor verdi, trussel og sårbarhet, samler man konklusjonen fra de ulike delvurderingene i risikovurderingen. Her går man igjennom hvert enkelt scenario og gjennomfører en skjønnsmessig vurdering av all informasjon som er tilgjengelig. Da får man et konkret risikobilde for dagens situasjon.
Man vurderer også om risikoen er akseptabel. Er den ikke det går man videre i prosessen.
Hold følge med den kriminelle
Arbeidet fra sikringsrisikoanalysen føres nå over i virksomhetens risikostyringsprosess og blir operativ. Her kunne dette arbeidet endt, og dessverre er det slik i en del virksomheter. Analysen blir liggende i en skuff og viser et øyeblikksbilde som ganske fort blir utdatert når forutsetninger endres, slik som
- nye produkter
- nye produksjonsmetoder
- nye samarbeid
- nye leverandører
- ny lovgivning.
Enhver slik endring vil skape nye sårbarheter og vil kreve oppdatert analyse for å møte den kriminelles evne til stadig å tilpasse seg.
Har du utarbeidet og lagret analysen elektronisk i et verktøy egnet til dette formålet, vil det være enkelt å gjøre justeringer når det trengs. Jeg vil også framheve de positive effektene dette har når det gjelder å kommunisere risiko - enten det er til ledelse eller organisasjon.
Hvis du vil vite mer om VTS-analyse og hvordan du gjør den systematisk og effektivt, vil jeg anbefale deg å besøke VTSanalyse.no.
Oppdatert: 19. mar 2021
Publisert: 20. jun 2018