Domene og webhotell fra OnNet.no

    Denne artikkelen er del 1 av 12 artikler om Risiko- og sårbarhetsanalyser (ROS)

Lesetid (240 ord/min): 5 minutter
Hva er risiko?
Photo by Loic Leray

Definisjon

Risiko er en angivelse av:

hvor stor sannsynligheten er for at en bestemt hendelse skal skje og hva konsekvensene av denne hendelsen vil være.

Nøkkelkomponentene i denne definisjonen er begrepene:

  1. Sannsynlighet: Hvor stor er sannsynligheten (eller frekvensen) for at en risiko eller hendelse skal oppstå? Risikoen blir ofte vurdert ut fra hvor sannsynlig det er at noe skjer. Dette måles gjerne fra sjeldent til svært sannsynlig.

  2. Konsekvens: Hva blir konsekvensene hvis denne hendelsen oppstår? Konsekvenser kan omfatte tap av menneskeliv, økonomiske tap, skade på eiendom eller miljø, tap av omdømme, eller forstyrrelse av normale prosesser.

Siden alle beslutninger kan påvirkes enten positivt eller negativt av en hendelse, må vi skille mellom:

  • Muligheter – positive konsekvenser av en hendelse eller beslutning.
  • Risiko – negativ konsekvenser av en hendelse eller beslutning.

Når vi snakker om risiko så er dette et uttrykk for hvilke negative konsekvenser en bestemt hendelse kan medføre og hva sannsynligheten for at denne hendelsen skal skje er. Vi kan si at risiko er:

Sannsynligheten for at en hendelse skal inntreffe og påvirke måloppnåelsen negativt“.

Både risikoer og muligheter er et resultat av usikkerhet (entropi), og er noe alle selskaper og organisasjoner er omgitt av i større eller mindre grad.

Typer av risiko (risikoformer)

Det finnes mange former for risiko som jeg vil gå igjennom i en egen artikkel om risikoformer. Det store mangfoldet av risiko kan grovsorteres i tre risikoformer, basert på deres opprinnelse eller påvirkning:

  1. Finansiell risiko: Risiko for tap av penger eller ressurser, inkludert markedsrisiko (endringer i markedet).

  2. Operasjonell risiko: Risiko knyttet til daglig drift, som tekniske feil, menneskelige feil, svikt i interne prosesser, eller ekstern påvirkning som naturkatastrofer. Det kan også inkludere cybersikkerhetsrisiko og teknologiske problemer.

  3. Strategisk risiko: Risiko knyttet til organisasjonens strategiske beslutninger eller langsiktige mål. Dette kan omfatte dårlig planlegging, feilaktig strategiimplementering, eller endringer i markedet som påvirker konkurranseevne.

Risikoidentifikasjon – hvordan identifisere risikoen?

Før det er mulig å avgjøre risikoen av noe må vi først vite vite hvilke hendelser som kan medføre en risiko. Vi må med andre ord på forhånd ha foretatt en risikoidentifikasjon. Med risikoidentifikasjon menes:

Å finne de årsakene som kan påvirke virksomheten, en gruppe, person eller beslutning i negativ måte og kartlegge omfanget (skaden/tapet) av denne.

En måte å identifisere risikoen på er å gå igjennom alle potensielle årsak – virkning forhold. For eksempel kan en brann oppstå på grunn av bålbrenning, røyking eller forsøpling.

Risikomåling – hvordan avgjøre risikoens størrelse?

For å avgjøre hvor stor risiko det er forbundet med å treffe en bestemt beslutning må vi foreta en risikomåling. Med risikomåling menes:

En kartlegging av størrelsen av skadeomfanget (konsekvensene) sett i forhold sannsynligheten for at dette skal skje.

Sannsynligheten angis ofte i form av frekvensen av en bestemt risiko. F.eks. at sjansene for at et fly skal styrte er 1 av 1 million flyvninger. Nyere definisjoner benytter også ofte begrepet usikkerhet som erstatning for eller i tillegg til sannsynlighet eller frekvens. Risiko som fagbegrep er dermed et komplekst begrep som krever forståelse langs flere «akser», hvor vi vurderer både sannsynlighet, usikkerhet, konsekvenser og utfall. Risiko er heller ikke en absolutt størrelse – den samme beregnede risiko kan fortolkes, forstås og påvirke svært forskjellig (Aven & Renn, 2010; P. H. Lindøe, 2012; Rausand & Utne, 2009)

Matematisk beregning av risiko

Matematisk sett er risiko definert som en funksjon av konsekvens og sannsynlighet. I de aller fleste tilfeller er denne funksjonen gitt som produktet av sannsynligheten for at hendelsen skjer og konsekvensen av hendelsen:

risiko (R) = sannsynlighet (p) x konsekvens (k)

Den totale risikoeksponeringen kan uttrykkes slik:

R = Σh (p * k)

hvor R er den totale risikoeksponeringen, h er antall hendelser, p er sannsynligheten til en hendelse og k er konsekvens av hver enkelt hendelse i kroner.

Dette innebærer at en risiko kan være stor av to ulike grunner:

  1. Selv om konsekvensene er små, kan hendelsen ha en stor risiko hvis det er veldig sannsynlig at den inntreffer.
  2. Selv om sannsynligheten for at hendelse skal skje er liten, kan hendelsen ha en stor risiko. Dette er tilfellet når konsekvensene av hendelsen hvis den først inntreffer, er katastrofale.

Motsatt kan vi også si at en risiko kan være liten av to ulike grunner. Enten er konsekvensen av hendelsen så liten, at man ikke bryr seg med den. Eller sannsynligheten er så liten at det likevel kan være riktig å ta sjansen på en stor negativ konsekvens. Fra dagliglivet har vi gode eksempler på begge situasjoner.

Alle målinger av risiko har større eller mindre feil, da beregninger ofte er basert på historiske data omkring den samme eller lignende risiko. Et eksempel er 20 skogbranner i løpet av 20 år. Det vil ikke nødvendigvis bety at det brenner en gang per år, men at det for eksempel har brent 10 ganger et år og 10 ganger et annet år.

Risikopersepsjon – hvordan oppfatter vi risikoen?

Hvordan vi oppfatter og håndterer risiko er imidlertid svært forskjellig fra person til person. Hva en person oppfatter som risikofylt kan en annen anse er helt uten risiko. Vi må derfor ta hensyn til vår risikopersepsjon når vi skal vurdere risikoen. Med risikopersepsjon menes:

Hvordan ulike folk oppfatter, bedømmer og reagerer på ulike former for risiko.

Hvordan vi oppfatter risiko formes av både egenskaper ved objektet vi vurderer og av våre personlige egenskaper og følelser.

Hvordan vurderes risiko?

Risikoer vurderes ofte gjennom en risikovurderingsprosess, som tar hensyn til sannsynligheten for at risikoen oppstår og de potensielle konsekvensene. Dette kan gjøres ved hjelp av risikomatriser, hvor risikoer plasseres på en skala fra lav til høy både når det gjelder sannsynlighet og konsekvenser.

  • Lav risiko: Lav sannsynlighet for at noe skjer, og relativt små konsekvenser hvis det gjør det.
  • Høy risiko: Høy sannsynlighet for at noe skjer, og store konsekvenser hvis det gjør det.

Risikostyring og risikohåndtering

Risikostyring og risikohåndtering er prosessen med å identifisere, analysere og håndtere risiko for å redusere sannsynligheten for at en risiko oppstår, eller minimere konsekvensene dersom den oppstår. Dette kan inkludere:

  1. Unngå risiko: Fjerne årsaken til risikoen eller avslutte aktiviteter som skaper risiko.

  2. Redusere risiko: Implementere tiltak som reduserer sannsynligheten for at risikoen inntreffer eller minimerer konsekvensene hvis den gjør det.

  3. Overføre risiko: Overføre risikoen til en tredjepart, for eksempel gjennom forsikring eller kontraktsavtaler.

  4. Akseptere risiko: Akseptere risikoen når kostnadene ved å håndtere den overstiger fordelene ved å redusere den.

Kort sagt er risiko et begrep som favner om mulige negative hendelser og deres konsekvenser, mens risikostyring handler om å håndtere denne usikkerheten på en systematisk og strategisk måte.

For å finne risikokildene og vurdere risikoen er det vanlig å foreta en risiko- og sårbarhetsanalyse (ROS).

Du leser nå artikkelserien: Risiko- og sårbarhetsanalyser (ROS)

  Gå til neste / forrige artikkel i artikkelserien: Risikostyring >>
    Andre artikler i serien er: 
  • Hva er risiko?
  • Risikostyring
  • Risiko og sårbarhetsanalyse (ROS)
  • Risikoformer
  • Risikoprofil og risikoeksponering
  • Risikomatrise
  • Bayesianske nettverk
  • Konsekvensanalyse
  • Risikoreduserende tiltak
  • Risikokultur
  • Beslutning og beslutninglære
  • Risiko typer (Systematisk- og usystematisk risiko)