Systematisk risikostyring i en virksomhet Willy Røed Managing the future today Litt om meg selv Doktorgrad i risikostyring/ risikoanalyse 10 år erfaring Konsulenttjenester Forskning og utvikling Brannsikring Willy Røed wr@proactima.com 1
Proactima as Etablert i September 2003 I dag et fagmiljø med ca. 50 medarbeidere Proactima AS (2003) : 28 ansatte Proactima Project Management Group AS (2008): 7 ansatte Proactima Project Services AS (2007): 10 konsulenter (ressurspool) HSE Academy AS (2006): 6 ansatte Kontorer i Stavanger og Oslo 100% eid av ansatte www.universitetsforlaget.no 2
Risikostyring? Risiko Risiko Risikostyring Helhetlig risikostyring Risikostyring legionella 3
Usikkerheter i et selskap Innbrudd/ tyveri? Brann? Legionella? Får vi lån i banken? Ansatte slutter? Får vi solgt produktene hvis...? Vil styret godkjenne planen? Helhetlig risikostyring Likviditet Lover og regler Leverandør -marked Konkurrenter Marked Kreditt Villede handlinger Tap av kompetanse / personell Virksomhetens mål og visjoner Økonomi HMS Samfunnsansvar Omdømme etc Mennesker Utstyr Organisasjon Prosesser Beslutninger Teknologi Oppkjøp Ulykkeshendelser Arbeidsmarked Politiske forhold 4
Agenda Risikoanalyse Helhetlig risikostyring Eksempel fra en virksomhet fokus på Legionella Hva skal risikoanalysen beskrive? Stor stigningsgrad Høy fart Dårlige bremser belysning Årsak r Hendelse Håndslukker Ventilasjon Slutthendelse1 Slutthendelse 2 Personell Miljø Økonomi Omdømme Etc... Konsekvenser Brann X MW Slutthendelse 3 Brann 5 MW Slutthendelse 4 Mindre brann Scenarioer Dårlig sikt.. Glatt vegbane Bred midtlinje Rumlelinje Kollisjon mellom to kjøretøy i en tunnel Vanntåke Slutthendelse n Ikke brann 5
Velg verktøy på et hensiktsmessig detaljnivå Forenklet risikoanalyse Modellbasert risikoanalyse Hva er risiko? Risiko handler om usikkerhet om utfallet av fremtidige aktiviteter. Data, statistikk, historikk Risiko = fremtid Kunnskap Ekspertvurderinger NÅ 6
Risikostyring Med risikostyring forstås alle tiltak og aktiviteter som gjøres for å styre risiko. Formål med risikostyring er å sikre den riktige balansen mellom det å utvikle og skape verdier og det å unngå ulykker, skader og tap. Risikostyring er ikke en ensidig prosess for å redusere risiko i samfunnet eller i en bedrift. Utgangspunktet er selskapets mål Eier: Adm. dir. 1. Bestem mål 2. Vurder hendelser som kan hindre oss i å oppnå målene Targets for COMPANY COMPANY Business risk Ledergruppen Targets for Exploration Targets for Production Targets for HSE Other Targets Exploration Risk Production Risk HSE Risk Other Risk Mellomledere Targets for Site A Targets for Site B Site A Risk Site B Risk Kontraktseiere mot underlev. Targets for Contractor A Targets for Contractor B Risk for Contractor A Risk for Contractor Bl 7
Risikostyring Prod uct Prod uct Prod uct Prod uct Overordnede mål Hendelser Risikoforhold 8
Risikostyringsprosessen Klargjøre hensikt og problemstilling Klargjøre mål og beslutningskriterier Beskrive rammebetingelser Planlegging og informasjonsinnhenting Identifisere uønskede hendelser Sannsynelighet Frekvens Konsekvens Risiko- og sårbarhetsanalyse Etablere samlet risikobilde Vurder mot mål, beslutningskriterier Identifisere og vurdere tiltak Tiltaksanalyse Prioritere og beslutte Implementere, oppfølging og kontroll Risikostyringsprosessen (ISO 31000 utkast) Risikostyring mer enn metoder Etablere overordnet mål og strategi Etablere risikostyringsprosessen Etablere styringsstruktur/roller og ansvar Implementering av støttesystemer Metoder Verktøy Oppfølging Kommunikasjon, trening og utvikling av risikostyringskultur 9
Risikovurdering et verktøy i risikostyringen Problemdefinisjon, informasjonsinnhenting og organisering Valg av analysemetode 1) Planlegging Identifikasjon av mulige initierende hendelser (farer, trusler, muligheter) Årsaksanalysen Risikobilde Konsekvensanalysen 2) Risikovurdering Sammenligning av alternativer, identifisering og vurdering av tiltak Ledelsens vurdering og beslutning 3) Risikohåndtering Risikostyring på ulike nivå i en virksomhet Strategisk risiko Fin. risiko Operasjonell risiko Enterprise risk Prosjektrisiko Finansiell risiko Organis. risiko Eks. anlegg Modifikasjon Operasjon System/ komponent Vedlikehold Eksempel Selskap Nybygg SOX compl. Organis. endringer Nedstengning Storulykker Løfting Vedlikehol d av tekn. utstyr Bytte ventil Prosjektplan Planlegging Årsplan Årsplan HR plan Design, dokumenta sjon Mod. plan Plan Plan Dokument asjon PRA Workshop Risikovurdering Risk Workshop Audit ORA / MoC Risk Workshop QRA TRA HAZID HAZID FME(C)A Sikker jobbanaly se (SJA) Risikobilde Risikomatrise Risikomatrise Risikomatrise Risikomatrise Risikomatrise Risikotall (FAR / PLL / IR) Matrise Risk Matrix High/Med/ Low Tabell Tabell Beslutning / risikoreduksjon Matrise/ diskusjon. Matrise/ prosjektstyring Matrise / diskusjon. Matrise/ diskusjon Akseptkriterier og ALARP Matrise/ diskusjon Matrise/ diskusjon Matrise Diskusjon. Intranet Ledelsesmøter Kommunikasjon/ konsultasj on Prosjekt møte Monthly mtgs Rapport Rapport Report Plans Rapport/ tabell Rapport Rapport/ skjema Overvåkni ng og gjennomg ang Ledergruppen KPI Prosjektledelse, KPI Audit Ledelsen Prosjektled else, KPI HMS Gjennomgang av plan Internrevisjon 10
Velg verktøy på et hensiktsmessig detaljnivå Forenklet risikoanalyse Modellbasert risikoanalyse Utfordringer Definere formålet med prosessen tydelig Hva skal vi se på? Trusler og muligheter? Identifisere og vurdere * En god og åpen prosess Kategorisere: Risiko Usikkerhet Styrbarhet Presentere resultatene Ta beslutning 11
Muligheter Risikomatrise Trusler >20% per year 2 20 3 8 5-20% per year 1 16 15 12 6 1-5% per year 13 10 4 <1% per year 15 7 >1500 700-1500 100-700 <100 <100 100-700 700-1500 >1500 Gevinst Tap Muligheter Styrbarhet Trusler >20% per year 2 20 3 8 5-20% per year 1 16 15 12 6 1-5% per year 13 10 4 <1% per year 15 7 >1500 700-1500 100-700 <100 <100 100-700 700-1500 >1500 Gevinst Høy styrbarhet Medium styrbarhet Tap Lav styrbarhet 12
Risiko, Usikkerhet og styrbarhet Muligheter Trusler >20% per year 2 20 3 8 5-20% per year 1 16 15 12 6 1-5% per year 13 10 4 <1% per year 15 7 >1500 700-1500 100-700 <100 <100 100-700 700-1500 >1500 Gevinst Høy styrbarhet Medium styrbarhet Lav styrbarhet Tap Høy usikkerhet Har kartlagt: Risiko Usikkerhet Styrbarhet Beslutningskriterier: Hvordan ta beslutning? Kost effektivitet? Forventet nåverdi? Føre-var prinsippet? Forsiktighetsprinsippet? Minst mulig men godt nok -prinsippet?. 13
Risikostyring krever ledelsens involvering og aktive engasjement Eksempel: Helhetlig risikostyring i en hotellkjede 14
Virksomhetens mål for neste år Omsetning på X millioner Overskudd på minst Y prosent Turn-over lavere enn Z prosent Ingen fraværsskader for ansatte og kontraktører Ingen alvorlig skade på gjester på grunn av feil gjort av hotellkjeden Etc... Risikoanalyseprosessen 15
Analysens fokus Valg av analysemetode Valg av analysemetode: Grovanalyse gjennomført av en arbeidsgruppe 16
Identifisere initierende hendelser Initierende hendelser Inndeling i OMRÅDER/ DELER: 1) Restaurant 2) Gjesterom 3) Svømmebasseng 4) Ventilasjonsanlegg Inndeling i AKTIVITETER: 1) Drift 2) Vedlikehold 3) Utskiftning/ renovering 4)... Bruk av SJEKKLISTE: P = Presence I = Introduction G = Growth S = Survival... Mer omfattende liste over initierende hendelser Er den komplett? 17
Identifisere initierende hendelser Operasjonell risiko Hotell A Ventilasjonssystemet Hvilke initierende hendelser kan skje her? Identifisere initierende hendelser Brann i ventilasjonsanlegget Fall over rekkverket Utslipp av miljøskadelige kjemikalier fra... Dannelse av aerosoler som inneholder legionella Etc. 18
Valg av hendelse... 3 2 1... 3 2 1 Vokst av legionella...? Dannelse av aerosoler som inneholder legionella...? Spredning av aerosoler som inneholder legionella...? 19
Problemdefinisjon, informasjonsinnhenting og organisering Valg av analysemetode 1) Planlegging Identifikasjon av mulige initierende hendelser (farer, trusler, muligheter) Årsaksanalysen Risikobilde Konsekvensanalysen 2) Risikovurdering Sammenligning av alternativer, identifisering og vurdering av tiltak Ledelsens vurdering og beslutning 3) Risikohåndtering 20
Bruk av spray? Stor hastighet på luften? Temperatur mellom 20 og 50 grader? Ph mellom 3 og 10? Blindgater i prosessen? 21
Slipper ut av vent. systemet? Når frem til personer? Spres ut av bygget? Kan eksponere personer i risikogruppen? Personell Økonomi Miljø Omdømme Etc... Konsekvens 22
Problemdefinisjon, informasjonsinnhenting og organisering Valg av analysemetode 1) Planlegging Identifikasjon av mulige initierende hendelser (farer, trusler, muligheter) Årsaksanalysen Risikobilde Konsekvensanalysen 2) Risikovurdering Sammenligning av alternativer, identifisering og vurdering av tiltak Ledelsens vurdering og beslutning 3) Risikohåndtering Trinn i Initierende Kommentarer/ Kritiske prosessen Årsak hendelse Konsekvens Sannsynlighet antagelser Eksisterende tiltak Nye tiltak styringspunkt Termometer Kjøletårn Spredning av Temperatur aerosoler som mellom 20 og 50 inneholder grader legionella Kan skje hvert år, 1-10 personer syke 2 avhengig av temperaturkontroll 2 Temperaturkontroll med alarm (Biltema) Automatisk Nei, fordi senere trinn kan fjerne bakteriene. logging (dyrt) Dokumenter funnene i en tabell Fokus på det fysiske Kategoriser i forhold til konsekvens og sannsynlighet (evt. styrbarhet/usikkerhet) Mulige tiltak dukker vanligvis opp underveis i diskusjonen 23
Bør enkelte forhold vurderes mer detaljert? Forenklet risikoanalyse Modellbasert risikoanalyse Beslutning Bygge om anlegget? Fjerne blindgater i prosessen? Vedlikeholde dobbelt så ofte? Kjøpe inn...? Legionella vs. Skolding? 24
Contact us: www.proactima.com Managing the future today Willy Røed wr@proactima.com Lett å bruke risikomatriser på feil måte 25
Alternativ 1: Multiplisere kategorinavnene KONSEKVENS Sanns. Kat Inntil 5 døde 1 6-50 døde 2 51-300 døde 3 301-1000 døde 4 >1000 døde 5 > 1 gang per år 5 5 10 15 20 25 1-3 ganger per 10 år 1-3 gang hvert 100 år 4 3 4 3 8 6 12 4 poeng 9 16 12 20 15 1-3 ganger hvert 500 år < en gang per 500 år 2 1 2 1 4 2 6 3 8 5 poeng 4 10 5 Alternativ 2: Forventningsverdi KONSEKVENS Sanns. Kat Inntil 5 døde 2,5 6-50 døde 28 51-300 døde 175 301-1000 døde 650 >1000 døde 1200 > 1 gang per år 2 5 56 350 1300 2400 1-3 ganger per 10 år 1-3 gang hvert 100 år 0,2 0,02 0,5 0,05 5,6 0,56 35 117 poeng 3,5 130 13 240 24 1-3 ganger hvert 500 år < en gang per 500 år 0,004 0,001 0,01 0,0025 0,112 0,028 0,7 0,17 2,6 3,6 poeng 0.65 4,8 1,2 26
Contact us: www.proactima.com Managing the future today Willy Røed wr@proactima.com 27