Hopp til innhold

Risikoanalyse

Fra Wikipedia, den frie encyklopedi

Risiko kan analyseres gjennom en risikobeskrivelse som gir en kvalitativ eller kvantitativ bilde av risikoen.[1] Risikobeskrivelsen kan si noe om hvor stor eller liten risikoen vurderes å være og den bygger på et resultat av en risikoanalyse. Beskrivelsen vurderer vanligvis farer og trusler til hendelsene og konsekvensene av disse.[2] Risikoanalysen skal være en systematisk prosess hvor det skal identifiseres risikokilder, trusler, farer og muligheter. Det skal gis en forståelse ovenfor hvordan hendelsene kan skje og hva konsekvensene kan være. En risikovurdering har som mål å skape kunnskap om risikoen som vurderes. En risikovurdering skal informere beslutningstakerne, men den skal ikke fortelle beslutningstakerne hvilke avgjørelser som skal tas.[3]

Risikovurdering kan være kvalitativ, semikvantitativ eller kvantitativ:[4]

  • Kvalitative tilnærminger er basert på kvalitative beskrivelser av risikoer og baserer seg på dømmekraft for å vurdere dens betydning.
  • Semi-kvantitative tilnærminger bruker numeriske vurderingsskalaer for å gruppere konsekvensene og sannsynlighetene for hendelser i kategorier som «høy», «middels» og «lav». De kan bruke en risikomatrise (tabell) for å vurdere betydningen av bestemte kombinasjoner av sannsynlighet og konsekvens
  • Kvantitative tilnærminger, inkludert kvantitativ risikovurdering (QRA) og probabilistisk risikovurdering (PRA), estimere sannsynligheter og konsekvenser i passende enheter, kombinere dem til risikomålinger, og evaluere dem ved å bruke numeriske risikokriterier.

Risikoidentifikasjon

[rediger | rediger kilde]

Risikoidentifikasjon er prosessen med å finne, gjenkjenne og registrere risikoer. Det involverer identifisering av risikokilder, hendelser, deres årsaker og deres potensielle konsekvenser. Den internasjonale standarden ISO 31000 beskriver dette som de første trinnet i en risikovurderingsprosess, før risikoanalyse og risikoevaluering.[4] I sikkerhetssammenheng, hvor risikokilder er kjent som farer, er dette trinnet kjent som fareidentifisering.

Det finnes mange metoder for å identifisere risikoer, inkludert: [4]

  • Sjekklister basert på tidligere data eller teoretiske modeller.
  • Teambaserte metoder som systematisk vurderer mulige avvik fra normal drift, for eksempel HAZOP, FMEA og SWIFT.
  • Empiriske metoder, som testing og modellering for å identifisere hva som kan skje under spesielle omstendigheter.
  • Teknikker som oppmuntrer til tenkning om fremtidens muligheter, for eksempel scenarioanalyse.
  • Ekspervurderinger som brainstorming, intervjuer og revisjoner.
  • Evidensbaserte metoder, som litteraturgjennomganger og analyse av historiske data.

Noen ganger er metoder for risikoidentifikasjon begrenset til å identifisere og dokumentere risikoer som skal analyseres og evalueres andre steder. Mange risikoidentifikasjonsmetoder vurderer også om kontrolltiltak er tilstrekkelig og anbefaling av forbedringer. Derfor fungerer de som frittstående kvalitative risikovurderingsteknikker. En risikoanalyse kan beskrive risiko og hvor stor den er ved å gi uttrykk for hvor trolig det er at en uønsket hendelse oppstår.[5]

Risikoanalyse

[rediger | rediger kilde]

Risikoanalyse kan omfatte å:[5]

Risikoanalyse bruker ofte data om sannsynligheter og konsekvenser av tidligere hendelser. Der hvor det har vært få hendelser, eller i sammenheng med systemer som ennå ikke er operative og det finnes lite tidligere erfaring, kan ulike analytiske metoder brukes for å estimere sannsynlighetene og konsekvensene.

  • Teoretiske modeller, som Monte Carlo-simulering og programvare for kvantitativ risikovurdering.
  • Logiske modeller, som Bayesiansk nettverk, feiltreanalyse og hendelsestreanalyse
  • Ekspertvurdering, slik som absolutt sannsynlighetsvurdering eller Delphi-metoden.

Risiko vil hos noen bli sett på som noe som er objektivt, mens andre vil se på risiko som en sosial konstruksjon gjennom ren subjektivitet. Psykologen Paul Slovic fremhever at farer er reelle, men at risikovurderinger er iboende subjektive.[6][7] Dette innebærer at risikovurderinger ansees som subjektive.[8][9][6] Hovedargument for at risikovurderingene er subjektive er at risiko handler om fremtidige hendelser som det er usikkerheter til vil inntreffe eller ikke. Det finnes ingen objektiv sannhet for om en hendelse vil inntreffe eller konsekvenser hendelsen vil gi, men det finnes større eller mindre grad av kunnskap om risikoen som vurderes.

Risikovurderinger brukes for alle typer aktiviteter og virksomheter; i sikkerhetsfag, økonomi, teknologi, medisin, lov og rett, klima, biologi og flere andre. De ulike fagmiljøene har ulike tilnærminger til hvordan risiko vurderes. Generelt gjennomføres en risikovurdering ved å uføre en konsekvensanalyse og deretter analysere usikkerhetene/sannsynlighetene for at slike hendelser inntreffer.

Konsekvensvurderinger

[rediger | rediger kilde]

Konsekvenser i en risikokontekst kan defineres som «effekten av hendelser, med hensyn til definerte verdier (som menneskers liv og helse, miljø og økonomi), som skal dekke ulike tilstander, hendelser, barrier og utfall. Konsekvensene er ofte sett i relasjon til noe som er negativt til en referanseverdi (planlagte verdier, mål og lignende) og fokuset er ofte om negative, uønskede konsekvenser».[10] Et eksempel på en konsekvens kan være knyttet til en klimarisiko. Konsekvensen her kan være at klimagasser øker og gir store effekter på økosystemet, økonomien og til menneskers liv og helse. Referanseverdien i dette eksempelet blir nåværende tilstand.[1]

En sentral oppgave i en konsekvensvurdering er å identifisere alle relevante konsekvenser innenfor det omfanget som er definert. Det vil i slike evaluering finnes årsaker som risikofaktorer og risikokilder. For å evaluere usikkerheten til konsekvensene som er vurdert er det vanlig å bruke sannsynligheter.[1] Vurdering av sårbarhet er et aspekt ved risiko og konsekvensvurderinger.[11] Det motsatte av sårbarhet er robusthet og resiliens. Sårbarheter til et system er ofte et resultat av hvor robust eller resilient systemet er mot ulike risikokilder. Robusthet og resiliens blir dermed sentrale tiltak å analysere i en konsekvensvurdering, samtidig som disse konseptene er viktige for å redusere konsekvensene av en hendelse.[12]

Usikkerhetsvurderinger

[rediger | rediger kilde]
«Svart svane», en risikometafor for uventede hendelser med lav sannsynlighet.

Usikkerhet i en risikofaglig kontekst dreier seg om å ikke vite en sann verdi av en størrelse eller en fremtidig konsekvens av en aktivitet. Usikkerhet vil bety å ha ufullstendig eller ikke presis informasjon eller kunnskap om en størrelse eller hvorvidt man vet om en hendelse vil inntreffe eller ikke. Usikkerhet kan måles i to hovedkategorier, epistemisk og aleatorisk. Epistemisk usikkerhet handler om usikkerhet i kunnskap, mens aleatorisk usikkerhet beskrives gjennom usikkerhet i variasjon og modelleres ved sannsynlighetsmodeller.[13] Usikkerheter kan uttrykkes i tre hovedkategorier; 1. gjennom sannsynligheter, 2. gjennom bakgrunnskunnskap og hvor sterk bakgrunnskunnskapen er og 3. gjennom overraskelser i forhold til kunnskapsgrunnlaget.[1]

I en usikkerhetsvurdering er det vanlig å ta med de hendelsene som en antar har størst sannsynlighet for å ramme systemet som skal analyseres. Det er også viktig å inkludere det som i risikofaget omtales som en svart svane. En svart svane kan klassifiseres i tre hovedkategorier; 1. ukjente-ukjente (hendelser som ingen kjenner til), 2. ukjente-kjente (hendelser som er ukjent for «vår analyse», men kjent for andre), 3. hendelser som er neglisjerbare fordi sannsynligheten er så lav at ingen tror en slik hendelse vil forekomme.[14] Særlig kategori 2 og 3 av svart svane kan være aktuelle å få en bevisstgjøring på at hendelsene kan inntreffe, særlig dersom de kombineres med lavt kunnskapsgrunnlag.[1] Det vil være viktig å ta med hendelser i en risikoanalyse som det er knyttet store usikkerheter til, særlig dersom hendelsene også kan påføre større konsekvenser.[14]

Ulykkesrisiko

[rediger | rediger kilde]

Ulykkesrisiko handler om arbeidsulykker og større, akutte ulykker.

En risikoanalyse av et system gjennomføres som en serie av trinn. Hvilke trinn som inngår, avhenger av hvor komplekst analyseobjektet er og målsettingen med analysen.

Trinn 1: Forberedelse til analysen
Trinn 2: Systembeskrivelse og omfang av analysen
Trinn 3: Avdekke farekilder og mulige uønskede hendelser
Trinn 4: Utvelgelse av relevante og typiske uønskede hendelser
Trinn 5: Bestemme konsekvensene av de ulike uønskede hendelsene
Trinn 6: Bestemme frekvensene til de ulike uønskede hendelsene
Trinn 7: Gjennomføre følsomhets- og usikkerhetsanalyser
Trinn 8: Risikobilde og rapportering

Risikoanalyse innenfor økonomi

[rediger | rediger kilde]

Innenfor økonomi tar vi gjerne risiko for å oppnå gevinster.

Konsekvensbegrepet beskriver hva som vil være resultatet når hendelsen inntreffer, primært som et kronebeløp.

Den totale risikoeksponeringen kan uttrykkes slik:

R = Σh (p * k)

hvor R er den totale risikoeksponeringen, h er antall hendelser, p er sannsynligheten til en hendelse og k er konsekvens av hver enkelt hendelse i kroner.

Referanser

[rediger | rediger kilde]
  1. ^ a b c d e Finansdepartementet (12. desember 2018). «NOU 2018: 17». Regjeringen.no (på norsk). Besøkt 1. november 2023. 
  2. ^ Aven, Terje (26. januar 2023). «risikobeskrivelse». Store norske leksikon (på norsk). Besøkt 3. november 2023. 
  3. ^ Aven, Terje (2018). «An Emerging New Risk Analysis Science: Foundations and Implications». Risk Analysis. 5 (på engelsk). 38: 876–888. ISSN 0272-4332. doi:10.1111/risa.12899. Besøkt 9. november 2023. 
  4. ^ a b c 14:00-17:00. «ISO 31000:2018». ISO (på engelsk). Besøkt 10. februar 2024. 
  5. ^ a b 14:00-17:00 (1. juli 2019). «IEC 31010:2019». ISO (på engelsk). Besøkt 24. november 2023. 
  6. ^ a b Slovic, Paul (1999). «Trust, emotion, sex, politics, and science: surveying the risk-assessment battlefield». Risk Analysis. 4 (på engelsk). 19: 689–701. doi:10.1023/A:1007041821623. Besøkt 5. november 2023. 
  7. ^ Hansson, Sven Ove (Mars 2010). «Risk: objective or subjective, facts or values». Journal of Risk Research. 2 (på engelsk). 13: 231–238. ISSN 1366-9877. doi:10.1080/13669870903126226. Besøkt 5. november 2023. 
  8. ^ Solberg, Øivind; Njå, Ove (Oktober 2012). «Reflections on the ontological status of risk». Journal of Risk Research. 9 (på engelsk). 15: 1201–1215. ISSN 1366-9877. doi:10.1080/13669877.2012.713385. Besøkt 5. november 2023. 
  9. ^ Busmundrud, Odd; Maal, Maren; Hagness Kiran, Jo; Endregard, Monica (2015). «Tilnærminger til risikovurderinger for tilsiktede uønskede handlinger» (PDF). Forsvarets forskningsinstitutt. Arkivert fra originalen (PDF) 5. november 2023. Besøkt 5. november 2023. 
  10. ^ Aven 2020, s. 265.
  11. ^ Aven, Terje: (no) «Sårbarhet» i Store norske leksikon (2023)
  12. ^ Aven, Terje: (no) «Resiliens – risikofag» i Store norske leksikon (2022)
  13. ^ Aven, Terje (26. januar 2023). «usikkerhet». Store norske leksikon (på norsk). Besøkt 1. november 2023. 
  14. ^ a b Aven, Terje (1. februar 2015). «Implications of black swans to the foundations and practice of risk assessment and management». Reliability Engineering & System Safety (på engelsk). 134: 83–91. ISSN 0951-8320. doi:10.1016/j.ress.2014.10.004. Besøkt 1. november 2023. 
  • Rausand, M. og Utne, I. B. (2022). Risikoanalyse. Teori og metoder, 2. utgave. Fagbokforlaget. 
  • Aven, T., Røed, W., Wiencke, H.S. (2017). Risikoanalyse, 2. utgave. Universitetsforlaget. 
  • NS 5814: 2021. Risikovurderinger
  • Terje Aven (1994). Pålitelighet og risikoanalyse. Universitetsforlaget.  [282 sider]