Kost-effektivitets-vurdering
Overordnet tilnærming
Når risikovurderingene er gjennomført kan resultatene være en lang liste med risikoreduserende tiltak. Det vil ofte være urealistisk å gjennomføre alle, og prioritering blir nødvendig. Prioriteringen bør baseres på hvor stor risikoreduserende effekt hvert tiltak eller hver tiltakspakke har, vurdert opp mot kostnaden ved å innføre dem.
| Liten effekt | Stor effekt | |
| Dyre tiltak | Prioriteres ikke | Beslutningen tas høyere oppe i organisasjonen |
| Billige tiltak | Prioriteres dersom gruppen mener det er hensiktsmessig | Gjennomføres |
Figuren viser at:
- Billige tiltak med risikoreduserende effekt bør prioriteres
- Dyre tiltak som i liten grad endrer risiko bør ikke prioriteres
- Dyre tiltak med stor risikoreduserende effekt krever beslutning på tilstrekkelig høyt nivå i organisasjonen
Kvalitativ metode for å vurdere kostnader med tiltak opp mot nytte
Med kvalitativ metode menes at kostnader og forventet risikoreduserende effekt deles inn i forhåndsbestemte kategorier.
Fremgangsmåte:
1. Sett sammen tiltakspakker (enkelttiltak eller kombinasjoner av tiltak) og identifiser hvilke uønskede hendelser i risikovurderingene som påvirkes av hver tiltakspakke.
2. Vurder risiko ved dagens situasjon, det vil si uten nye tiltak. Benytt gjerne en risikomatrise med lilla, blå, grå og rosa fargekoder for risikokategoriene, slik det fremgår av Veileder til internkontroll for informasjonssikkerhet.
3. Oppdater risikovurderingene med hver tiltakspakke iverksatt. Ved å vurdere endring i risiko synliggjøres hver tiltakspakkes risikoreduserende effekt.
4. Ranger tiltakspakkene etter risikoreduserende effekt. Bruk følgende kategorier, med begrunnelse for hver tiltakspakke:
- God risikoreduserende effekt
- Middels risikoreduserende effekt
- Dårlig risikoreduserende effekt
5. Gjør et kostnadsoverslag for hver tiltakspakke og kategoriser etter tabellen under
Kostnadskategorier
| Kostnadskategori | Kostnadsoversalg (NOK) |
| Veldig lav kostnad | < 100 000 |
| Lav kostnad | ≥ 100 000 og < 1 million |
| Middels kostnad | ≥ 1 million og < 10 millioner |
| Høy kostnad | ≥ 10 millioner |
Kost-effektivitetskategorier
Kostnadsoverslagene og forventet risikoreduserende effekt for hver tiltakspakke sammenfattes som vist i de to høyre kolonnene i tabellen under. Kombinasjonene av kostnadsoverslag og forventet risikoreduserende effekt angir hvilken kostnadseffektivitetskategori hver tiltakspakke havner i, jf. første kolonne.
| Kost-effektivitets- kategorier |
Beskrivelse av kost-effektivitetskategori | Risiko-reduserende effekt | Kostnads-overslag (NOK) |
| 1 | Tiltakspakker med veldig lav kostnad og god eller middels risikoreduserende effekt. | God | Veldig lav |
| Middels | Veldig lav | ||
| 2 | Tiltakspakker med lav til middels kostnad og god risikoreduserende effekt, samt tiltakspakker med lav kostnad og middels risikoreduserende effekt. | God | Lav |
| God | Middels | ||
| Middels | Lav | ||
| 3 | Tiltakspakker med middels kostnad og middels risikoreduserende effekt, tiltak med høy kostnad og god risikoreduserende effekt, samt tiltak med veldig lav til lav kostnad, men dårlig risikoreduserende effekt. | Middels | Middels |
| God | Høy | ||
| Dårlig | Veldig lav | ||
| Dårlig | Lav | ||
| 4 | Tiltak med høy kostnad og middels risikoreduserende effekt, samt tiltak med middels til høy kostnad og dårlig risikoreduserende effekt. | Middels | Høy |
| Dårlig | Middels | ||
| Dårlig | Høy |
Kostnadseffektiviteten er avtagende fra kategori 1 til kategori 4. Med det menes at «risikoreduksjonen per investerte krone» avtar fra kategori 1 til kategori 4. Kategoriseringen viser hvilke tiltak som er mest hensiktsmessig å innføre, gitt forutsetningene i risikovurderingen og kostnadsoverslagene. Tiltak i de laveste kategoriene bør prioriteres høyt, mens tiltak i de høyeste kategoriene kan prioriteres lavere.
Kvantitativ metode for å vurdere kostnader med tiltak opp mot nytte
Ved beslutninger om store investeringer i risikoreduserende tiltak kan det være aktuelt å gjennomføre en mer detaljert analyse enn beskrevet over. Se Veileder i samfunnsøkonomiske analyser utgitt av Direktoratet for Økonomiforvaltning (DFØ). Slike analyser krever spesialistkompetanse. Det kan innhentes ekstern bistand dersom virksomheten ikke har denne kompetansen internt.
Om regelverkskravet
Kravet om å vurdere nytten av sikkerhetstiltak opp mot kostnaden ved å innføre tiltakene følger av forskrift om kraftomsetning og nettjenester § 4-6 første ledd tredje setning: «Nettselskapet skal velge løsninger som gir høyest sikkerhetsnivå i AMS så lenge kostnaden er forsvarlig etter en kost/nyttevurdering». Dette prinsippet omtales gjerne som ALARP-prinsippet, der ALARP står for «As low as reasonably practicable». Prinsippet innebærer en omvendt bevisbyrde: Risikoreduserende tiltak skal identifiseres og tiltakene skal innføres med mindre det kan dokumenteres at nytten av tiltakene ikke står i forhold til kostnaden de innebærer. At et tiltak er kostbart kan dermed ikke brukes som argument for ikke å gjennomføre tiltaket dersom tiltaket forventes å ha vesentlig risikoreduserende effekt.
Begrensninger
Merk at verken den kvalitative eller den kvantitative metoden beskrevet over vil gi entydige svar på om tiltakspakkene skal gjennomføres eller ikke. Det er ikke mulig å «regne seg frem til» eksakt hvilke sikkerhetstiltak som bør gjennomføres, blant annet siden alle analyser inneholder forutsetninger, antagelser og usikkerhetsfaktorer, og siden tiltak kan ha andre fordeler/ulemper enn de som er tatt med i vurderingen. Dette er grunnen til at ledelsene i selskapene må gjøre vanskelige avveininger.