RISIKOSTYRING SETT FRA NFKR s SYNSVINKEL

Transkript

1 RISIKO, NIRF Side 1 RISIKOSTYRING SETT FRA NFKR s SYNSVINKEL Det er sannsynlig at noe usannsynlig vil skje (Aristoteles) Tradisjonelt var betraktning av risiko basert på en analyse av en mulig negativ hendelse, risikoanalyse. Problemet med disse var at vi ikke alltid analyserte de riktige hendelsene. I 1995 kom AS/NZS 4360 Risk Management standarden. Den definerte et system for risikostyring og definerte risiko som noe positivt (mulighet) eller noe negativt (trussel). I 2004 ble denne standarden oppdatert basert på brukerundersøkelser. Positiv risiko ble forsterket. Organisasjoner går glipp av mange muligheter ved å ensidig forkusere på negativ risiko. I 2009 kom ISO Risk management, principles and guidelines. Denne var basert på AS/NZS Standarden ble umiddelbart gjort til nasjonal standard i en rekke land, i Norge NS-ISO Risikostyring, prinsipper og retningslinjer.

2 RISIKO, NIRF Side 2 ISO 31000:2009 var ledsaget av standarden ISO 31010:2009 Risk management, Risk assessment techniques som beskriver 31 metoder for risikoanalyse. Det banebrytende var at vi nå hadde fått en internasjonalt anerkjent norm for oppbygging av et system for risikostyring. Den operative modellen i denne standarden er det viktigste:

3 RISIKO, NIRF Side 3 Bestemmelse av konteksten er det viktigste i denne modellen. Her skal man liste opp alle berørte parter (stakeholders) som påvirkes positivt eller negativt av vår virksomhet og forhold som påvirker oss positivt eller negativt. Konteksten utredes for både interne og eksterne parter. Hensikten med å etablere konteksten, er å få oversikt over alle aktører og berørte, slik at vi har et godt utgangspunkt for risikoidentifikasjon. Svakheten med tradisjonell risikoanalyse, var at man ikke så hva som var viktig å analysere. Det som slo til av hendelser var ofte ikke med i analysene. LNG tankere, Brevik. Den operative modellen gjentas syklisk, gjerne kvartalsvis. Risiko som er identifisert føres gjerne opp i et risiko register. I risiko registeret føres de med størst risiko øverst. Mange kunder er opptatt av 10 på topp.

4 RISIKO, NIRF Side 4 Risiko register Ref. Nr. Risiko navn Risiko eier Beskriv risikoen: Hva kan skje, hvordan kan det skje, hva er konsekvensen? Identifiser eksisterende barrierer (controls) Er eksisterende barrierer tilstrekkelige? Analyse Prioritering Sansynlighet Konsekvens Risiko nivå Forventningsverdi, årlig tap / gevinst Tiltak? Ja / Nei

5 RISIKO, NIRF Side 5 Et generelt krav til risikoanalyser innen HMS finnes i Internkontrollforskriften. Den krever at man skal identifisere trusler og foreta tiltak for å begrense disse. Risikostyring er med andre ord et forskriftskrav i Norge, noe alle organisasjoner er pålagt å utføre. I tillegg til HMS, betrakter vi gjerne risiko innen tekniske forhold, konstruksjon og utvikling omdømme prosjektgjennomføring IT økonomi/finans (COSO Risk- modellen) objektsikkerhet (skade ved forsett) Et problem med å rangere/kvantifisere risiko, er at oppfattelsen av den er subjektiv. Mange mennesker tror at de selv er mindre utsatt for ulykker enn andre er. De fleste er tryggere i bilen når de selv kjører Mange er redde i fly, men ikke i bil som har høyere ulykkesfrekvens. Et av de viktigste målene med risikostyring er å finne frem til de mulige tapene vi ikke kan tåle, og gjøre noe med dem, samt å finne store muligheter.

6 RISIKO, NIRF Side 6 Det er ikke alltid rasjonelle metoder gir det riktigste svaret på hvilke risikoer som skal være gjenstand for tiltak, derfor har vi en kolonne Prioritering i Risk registeret. Som støtte for denne prioriteringen skal det finnes risiko kriterier for organisasjonen, hva vi er villige til å tåle og hvilke muligheter vi bør benytte. Noen typer uønsket risiko kan vi beskytte oss mot, noen typer aksepterer vi og andre kan vi ikke forutse, de er for fjerne. (Dykker i den utbrente skogen) Derfor er det viktig å ha et balansert syn på risikostyring, vi kan ikke gardere oss mot alt. Etablering av et system for risikostyring forutsetter at det finnes et system for kvalitetsstyring i bunn, dette er en videreutvikling. Akkreditert sertifisering (overvåket av myndighetene) av Risk Managers ble etablert i 2006 i Norge. Til nå er 162 personer sertifisert, se på