Når et tiltak er valgt, må det utformes og beskrives. Å utforme et tiltak kan innebære både å utforme nye tiltak og å forbedre eksisterende tiltak.

Å utforme og oppdatere tiltak vil være en aktivitet som utføres på ulike nivåer i virksomheten. På virksomhetsnivå vil behovet for å utforme/ oppdatere tiltak ofte identifiseres i tilknytning til den overordnede risikovurderingen. På lavere nivåer vil behovet for å utforme og oppdatere tiltak fremkomme som et resultat av risikovurderinger på avdelings- og/eller seksjonsnivå.

For den enkelte prosess vil behovet for å utforme eller oppdatere ulike typer tiltak gjerne identifiseres i forbindelse med periodiske risikovurderinger og
gjennomganger av vesentlige prosesser, og i forbindelse med etablering av nye prosesser. 

Prosesskartlegging kan også være et nyttig verktøy når ulike tiltak skal vurderes.

Det er ledelsen som beslutter hvordan arbeidet med å utforme tiltak skal skje. Ved større tiltak kan det være behov for å nedsette prosjekter, arbeidsgrupper eller lignende, men arbeidet kan også legges direkte som en oppgave i linjen. Ved større tiltak vil det være hensiktsmessig å nedfelle mer formaliserte rammer for arbeidet i en godkjent plan. Hvor formelt dette gjøres, må tilpasses tiltakets omfang og kompleksitet. Eksempelvis vil det å utforme et nytt IKT-system kreve mer formelle rammer for arbeidet enn det å utforme nye avstemmingsrutiner eller utbedrede godkjenningsprosedyrer.

Generelt og uavhengig av hvor og på hvilket nivå i virksomheten utforming og oppdatering av risikoreduserende tiltak skjer, vil arbeidet foregå i tre trinn:

1. Identifisere aktuelle tiltak
2. Vurdere, prioritere og beslutte tiltak
3. Utforme og dokumentere besluttede tiltak

4.3.1 Identifisere aktuelle tiltak

Når gjenværende risiko er vurdert til å være for høy, det vil si utenfor virksomhetens risikotoleranse, kan det skyldes flere forhold. Det er derfor viktig at virksomheten ikke trekker forhastede slutninger om hva som kan være aktuelle og relevante tiltak for å håndtere risikoen. For at tiltaket skal være effektivt, må det håndtere kjernen i problemet, det vil si den opprinnelige årsaken til risikoen.

For risikoer der årsaksbildet er komplekst eller uklart, kan det være aktuelt å gjøre en nærmere analyse, slik at rotårsaken¹ til problemet eller risikoen identifiseres. 

Erfaringsvis kan det være hensiktsmessig å involvere personer som utfører aktiviteten eller på annen måte er involvert i prosessen, når rotårsaken skal analyseres. Det kommer av at disse personene ofte kjenner området best, og derfor har best grunnlag for å komme opp med både risikoer, sannsynlige årsakssammenhenger, mangler ved eksisterende tiltak og forslag til nye tiltak.

Når det skal tas stilling til mulige tiltak, bør det vurderes hva som er hensiktsmessige typer av tiltak ut fra hva som er formålet med tiltaket. Det finnes mange ulike typer av tiltak. Noen tiltak har som formål å forhindre at feil inntreffer (forebyggende/preventive), mens andre har som formål å avdekke feil slik at disse kan korrigeres (avdekkende/oppdagende).

Uavhengig av om tiltak er forebyggende eller avdekkende, kan tiltak grupperes i ulike kategorier. En mulig måte å gruppere eller kategorisere ulike typer tiltak på er å skille mellom tiltak som er overvåkende, tiltak som er generelle/virksomhetsgjennomgripende, og tiltak som er spesifikke. Ofte omtales tiltak i internkontrollsammenheng som kontroller og/eller kontrollaktiviteter. 

Overvåkende kontroller har som formål å sikre at fastsatte kontrollaktiviteter av ulikt slag gjennomføres som forutsatt, eksempelvis stikkprøvekontroll av at kontroller i prosessene gjennomføres som beskrevet i prosedyrer e.l. Generelle kontroller (også kalt virksomhetsovergripende kontroller) omfatter hele virksomheten og har som formål å sikre enhetlighet og helhet på tvers av prosesser. Slike kontroller inkluderer blant annet fullmakter og etiske retningslinjer. 

En annen gruppe av tiltak er spesifikke kontroller, som utgjør kontrollaktiviteter i prosessene som har som formål å forebygge, avdekke eller korrigerer feil og avvik i prosessene. Slike kontroller inkluderer blant annet bank- avstemminger og sidemannskontroll ved saksbehandling mv.

Når aktuelle tiltak skal identifiseres, må det gjøres ut fra hva som er mulig eller hensiktsmessig i den aktuelle prosessen. For prosesser som støttes av IT-systemer, for eksempel et saksbehandlingssystem, vil det være mulig å bygge inn automatiserte kontroller, som gyldighetskontroller for data som registreres. I andre tilfeller kan det være mest hensiktsmessig å bygge inn manuelle kontroller, som sidemannskontroller.

Risikovurderingen gir viktige innspill som er av betydning for vurderingen av hva som vil være aktuelle og egnede risikoreduserende tiltak. Det er likevel viktig å være oppmerksom på at ikke alle tiltak vil ha eksplisitt opphav i en risikovurdering. Økonomiregelverket stiller for eksempel flere eksplisitte krav til kontroller knyttet til regnskapsføring, anskaffelser, mv. Tilsvarende stilles det også krav gjennom annet lov- og regelverk. Eksempelvis vil rutinene for en regnskapsprosess bidra til å redusere risiko, men flere av kontrollene vil likevel ha sitt utspring i konkrete krav som fremgår av lover og regler.

Internt og eksternt fastsatte rapporteringskrav vil også kunne gi opphav til ulike typer kontrolltiltak som skal sikre kvalitet og pålitelighet i rapporterte data. Dessuten vil det kunne oppstå avvik og feil som må håndteres umiddelbart via ulike former for risikoreduserende tiltak.

4.3.2 Vurdere, prioritere og beslutte tiltak

Det er viktig at beslutninger om hvilke tiltak som skal iverksettes, fattes på riktig nivå i virksomheten og av personer som har myndighet til å fatte slike beslutninger. Noen beslutninger må fattes på virksomhetsledernivå, mens andre kan fattes på et lavere nivå.

Når ledelsen skal prioritere ulike alternativer for risikohåndtering, vil tiltakets virkning på henholdsvis sannsynlighet for og konsekvens av risikoen måtte vurderes. Effekten av tiltaket vil måtte ses i sammenheng med risikobildet. Dersom hovedårsaken til at risikoen befinner seg utenfor risikotoleransen, er at sannsynligheten er høy, vil det være mest hensiktsmessig å vurdere tiltak som virker sannsynlighetsreduserende. 

Dersom hovedårsaken til at risikoen er utenfor risikotoleransen, er at konsekvensen er høy, vil det trolig være mest hensiktsmessig å vurdere tiltak som virker konsekvensreduserende.

Når tiltak skal vurderes opp mot hverandre, vil det være viktig å få opp et bilde av det relative forholdet mellom kost og nytte² ved ulike alternative tiltak. Kost–nytte-vurderinger klargjør hvilke effekter og verdier de ulike tiltakene kan forventes å ha, og kostnaden og realiserbarheten ved å innføre de enkelte tiltakene. Kost–nytte-vurderinger kan være alt fra komplekse og omfattende kvantitative og kvalitative analyser til enkle kvalitative vurderinger. 

Hvor omfattende vurderingene gjøres, vil avhenge av forhold som størrelsen på tiltaket, herunder tiltakets kostnad og kompleksitet. For større beslutninger bør kost–nytte-vurdering ved de alternative tiltakene som er identifisert, dokumenteres i beslutningsgrunnlaget.

I mange tilfeller er informasjon om effekter og nytte ikke tilgjengelig, og ledelsen må bygge beslutningene sine på kvalitative vurderinger, erfaring og skjønn. Kostnadssiden er ofte enklere å vurdere, for her finnes det gjerne mer presise erfaringstall og data. I noen tilfeller kan det være hensiktsmessig å benytte eksterne kvalitetssikrere for å gjennomgå og vurdere kost–nytte-vurderinger. Det er mest aktuelt for tiltak som omfatter mange parter, områder eller prosesser, eller tiltak som har store kostnadsmessige konsekvenser, siden kompleksiteten i kost–nytte-vurderingen kan være stor. 

Det kan også være tilfeller der mindre kostbare tiltak som ikke påvirker andre forhold, kan iverksettes uten omfattende kost–nytte-vurderinger. Eksempelvis kan ledelsen se behovet for en ny rapport på et område for å kunne ta bedre beslutninger. En enkel kvalitativ vurdering av at nytten overstiger kostnaden ved utviklingen av en slik rapport, vil være tilstrekkelig gitt at eksisterende IKT-systemer enkelt kan produsere en slik rapport.

I skjemaet nedenfor vises et eksempel på hvordan ledelsen kan dokumentere sine kost–nytte-vurderinger i forbindelse med nye tiltak av større betydning.

Når virksomheten skal avgjøre hvilke tiltak som skal prioriteres, bør den vurdere alternative tiltak opp mot hvilke tiltak som allerede er etablert, og hvordan disse er innrettet. Dette innebærer blant annet å vurdere hvordan sammensetningen av forebyggende versus avdekkende kontroller er, og hvordan bruken av manuelle versus automatiserte kontroller er. 

Virksomheter som har stor grad av overvåkende og avdekkende/oppdagende kontroller, bør vurdere om det er mulig og hensiktsmessig i større grad å etablere forebyggende kontroller. Det vil trolig også være hensiktsmessig å vurdere å ta i bruk automatiserte kontroller fremfor manuelle kontroller. Automatiserte kontroller vil ofte gi bedre og mer effektiv kontroll, men bruken må vurderes opp mot kostnaden ved å etablere slike kontroller. Dette poenget er illustrert i figuren nedenfor.

Når virksomheten skal beslutte hvilke tiltak som skal utformes, er det viktig å være oppmerksom på at tiltak på ett nivå, ett område eller i én prosess vil kunne påvirke tiltak på andre nivåer, områder eller prosesser. Eksempelvis vil et tiltak om å anskaffe et nytt IKT-system kreve flere ulike nye tiltak andre steder i virksomheten. Det kan dreie seg om tiltak i form av oppdatering av prosedyrer, opplæring, behov for nye automatiserte kontroller, nye manuelle kontroller, bortfall av tidligere brukte kontroller, mv. 

Derfor er det, i forbindelse med valg av nye tiltak, viktig å se helheten og vurdere konsekvenser av å etablere tiltak på tvers av prosesser og virksomheten for øvrig. På denne måten er det mulig å forhindre at håndtering av risiko på ett sted i virksomheten bidrar til at risikoer andre steder i virksomheten ikke blir håndtert. Et helhetsperspektiv er også viktig for å forhindre at kontroller ubevisst dupliseres eller overdimensjoneres.

4.3.3 Utforme og dokumentere besluttede tiltak

Når det er besluttet hvilke tiltak som skal håndtere den aktuelle risikoen, må tiltakene utformes. Å utforme tiltak kan for eksempel gå ut på å:

• utarbeide eller oppdatere beskrivelser av kontroller som skal gjennomføres. Slike beskrivelser kan omfatte hvem som skal gjøre kontrollen, når kontrollen skal gjennomføres, hvordan kontrollen skal gjennomføres, og hvordan kontrollen skal dokumenteres
• utarbeide nye dokumenter i form av prosedyrer, policydokumenter o.l., blant annet utforme det konkrete innholdet i dokumentet eller oppdatere eksisterende dokumenter
• utarbeide kurs eller oppdatere opplæringsprogrammer for medarbeidere
• utarbeide kravspesifikasjon og utvikle ny modul i saksbehandlingssystemet

Ofte kan det være hensiktsmessig å fastsette en plan for hvordan aktuelle tiltak konkret skal utformes, herunder å tildele ansvar og roller for dette arbeidet for å sikre gjennomføringskraft. Om det er behov for en plan, og hvor omfattende denne planen skal være, vil avhenge av type tiltak. Tiltak kan være store, kostbare og kompliserte i form av at de er mer virksomhetsovergripende og/eller påvirker flere andre forhold i virksomheten. 

Å utforme tiltak i form av for eksempel å anskaffe et nytt eller oppdatere et eksisterende IKT-system vil kunne kreve omfattende planer og store ressurser på tvers av virksomheten, og vil omfatte mange parter og dessuten strekke seg over tid. Å innføre en ny spesifikk kontroll i en prosess innenfor eget ansvarsområde vil derimot ikke nødvendigvis ha et tilsvarende behov for en plan knyttet til utformingen.

I forbindelse med at en virksomhet skal utforme besluttede tiltak, bør den også vurdere om det bør gjennomføres tester/stikkprøver eller etableres styringsparametere som gjør det mulig å følge opp effekten av nye eller forbedrede internkontrolltiltak. Ofte vil det være naturlig å vurdere om det skal rapporteres på tiltak som reduserer kritisk risiko i den ordinære løpende styringen.

4.3.4 Oppsummering

Etter å ha gjennomført steget utforming har virksomheten identifisert hvilke tiltak som kan være aktuelle for å håndtere risikoen. Videre er de aktuelle tiltakene vurdert og prioritert, og basert på en kost–nytte-vurdering er det besluttet hvilke tiltak som skal velges for å håndtere risikoen. Besluttede tiltak er utformet og beskrevet. Neste steg blir å implementere tiltakene for å sikre gjennomføring.

¹Med rotårsak menes her den opprinnelige og bakenforliggende årsaken til problemet, risikoen mv. som er den egentlige årsaken i første instans.
²Verdi og nytte anses i denne sammenheng som synonymer. Kostnaden er ett av elementene i vurderingen av hvor realiserbart tiltaket er (dersom kostnaden er høy, reduseres realiserbarheten). Andre elementer kan være kompetanse, kapasitet, tid, tekniske begrensninger, mv.