Riskanalys

Vad är riskanalys?

Organisationer utsätts ofta för otaliga hot som åtföljs av risker. En risk består av chansen att hotet blir verklighet och konsekvenserna av detta hot. Ofta uppmärksammas hoten i tid och hanteras med tillräckligt genomtänkta åtgärder, men ibland drabbas organisationer av betydande förluster på grund av dålig riskhantering, vilket inkluderar riskanalys. Riskanalys hjälper organisationer att kartlägga hoten och följa vilka möjliga lämpliga åtgärder som vidtas.

En metod för att identifiera hot är SWOT-analysen. Med denna analys bestäms styrkor, svagheter, möjligheter och hot. Därefter måste det fastställas hur stor risken är att hotet blir verklighet och vilka konsekvenser detta skulle ha för organisatoriska processer. Därefter måste det bedömas om kostnaderna för åtgärderna överväger kostnaderna för händelsen eller konsekvensen.

Former för riskanalys

I allmänhet skiljer sig två typer av riskanalyser åt:
I en kvantitativ riskanalys beräknas de finansiella riskerna av ett hot baserat på teoretiska modeller. I en kvantitativ riskanalys uttrycks riskerna alltid i mätbara kriterier. Ofta är det datorn som simulerar riskerna på ett sådant sätt. Kvantitativ riskanalys används av investerare som syftar till att motivera en investering genom att visa förhållandet mellan risk och avkastning.

I kvalitativa riskanalyser görs uppskattningar av risker löpande. Kvalitativa riskanalyser antar ofta möjliga scenarier som ofta följer ett ”worst case” och ”best case” scenario. Det ger bättre inblick i människors beteende och kultur i en organisation. Kvalitativa riskanalyser uppträder oftare i små företag. Hoten uppskattas ofta med hjälp av tumregler eller genom ”magkänsla”.

Det är viktigt att det finns ett riktigt balans mellan kvantitativ och kvalitativ riskhantering. Statistiska data bidrar till att uppskatta (finansiella) risker, men den mänskliga faktorn är också mycket viktig. Detta kan ge insikt om varför människor gjorde eller inte utförde vissa åtgärder tidigare, hur de närmade sig riskerna eller hur organisationen kultur förändrades.

Riskfaktorer

Ett antal risker är desamma för många organisationer. Dessa kan vara risken för förluster av kunder, men också risken för att företagsprocesser misslyckas eller felaktiga beslut fattas. Övriga risker är relaterade till en viss bransch eller ett företag.

Många faktorer leder till att en organisation utsätts för risker. Här skiljer sig interna och externa faktorer.

Externa faktorer

• Demografiska faktorer
• Sociologiska utvecklingen
• Politiska situationer
• Ekonomiska faktorer
• Naturliga orsaker
• Teknisk utveckling

Interna faktorer

• Organisationskultur
• Personal och risk
• Intern organisation
• Teknologi

Åtgärder efter riskanalys

Huruvida faktiska åtgärder vidtas efter att en risk har identifierats beror på ett antal faktorer. När riskerna har identifierats kan de ingå i en riskbedömningsmatris. Ett exempel på en sådan matris ges nedan. Genom att fylla i matrisen får man en bra översikt över vilka hot och risker som prioriteras. Sannolikheten för att risken blir verklighet är representerad på Y-axeln. X-axeln ger indikation om vilken inverkan det förväntade hotet kommer att ha på affärsprocessen eller organisationen som helhet. De olika hoten kan tilldelas en färg baserat på hur brådskande de är.

När alla risker har kartlagts kan åtgärder vidtas. Olika typer av åtgärder som kan vidtas är:

Undvika

Att undvika risker är något som händer ofta. När en verksamhet eller affärsprocess inom en organisation innebär för stora risker kan beslut fattas om att avveckla verksamheten eller processen, justera den eller ”out sourca”. Dessa åtgärder är förebyggande.

Minska/reducera

Att minska riskerna kan uppstå på flera sätt. En ofta förekommande åtgärd som vidtas är att teckna försäkringar. Att ta itu med orsaken till hotet hör också till riskreducering. Åtgärderna är repressiva, skadan är begränsad.

Transferera

När hela organisationen är riskutsatt kan valet också göras att outsourca hela verksamheten. Den berörda partens som tar över bär också de finansiella riskerna.

Acceptans

Om risken är för liten eller inte uppväger de positiva resultaten, kommer ytterligare åtgärder inte omedelbart  att vidtas. I så fall accepteras de möjliga konsekvenserna. Även när risken inte kan undvikas, reduceras eller outsourcas, kan t.ex en ekonomichef besluta att acceptera risken. Att acceptera en risk betyder inte att risken inte kan påverkas. Det kan också vara ett alternativ att ta itu med risken vid en senare tidpunkt.

Utvärdering och integration

Riskhantering är en kontinuerlig process eftersom organisationernas miljö förändras ständigt. Därför kräver arbetet effektiv bevakning. Det är möjligt att åtgärden efter en viss tid inte ger tillräckligt skydd mot hotet. Den effekt som åtgärden har på riskprofilen är i sådana fall minimal i så fall och måste uppdateras.

Riskinformationen som blir tillgänglig efter analyserna kan användas för beslut som kommer att fattas i framtiden. I varje nytt stort projekt eller en annan betydande process eller ett beslut måste riskerna för att minimera den negativa effekten övervägas.

Grundläggande säkerhet

Som det framkommit är inte alla hot samma för varje organisation, men vissa hot återkommer oftare än andra. Riskanalys kritiseras ofta för att vara subjektiv, inkonsekvent, tidskrävande och monoton. Därför är det bra att hålla sig till en ”lägstanivå” som tillvägagångssätt. Det innebär att ett system med allmänna säkerhetsåtgärder definieras för den genomsnittliga organisationen eller för den genomsnittliga affärsprocessen. Genom att implementera dessa ”lägstanivåer” kan organisationer försvara sig mot ett antal ofta förekommande risker. ”lägstanivåer” erbjuder en minimal skyddsnivå för en organisation eller process under normala omständigheter.

För att sammanfatta

För att upprätthålla en tillräcklig konkurrensposition, men också för att upprätthålla starkt kassaflöde eller lönsamhet är det av stor betydelse för organisationer att riskerna blir begripliga. När alla risker identifieras är det viktigt att dessa risker prioriteras. Detta kan göras med hjälp av en riskmatris. När det visar sig att risken kräver förutses, kan åtgärder vidtas. Vilken åtgärd som bäst passar det specifika hotet visas i analyser som visar hur stor sannolikhet för att hotet blir verklighet. Genom att observera och mäta risker uppnås information som kan användas för framtida beslut.

Mer information

1. Vose, D. (2008). Risk analysis: a quantitative guide. John Wiley & Sons.
2. Schott, J. R. (2016). Matrix analysis for statistics. John Wiley & Sons.