Refleksjoner om risikostyring og risikoanalyse EQS brukerforum 2011 Willy Røed Managing the future today
Willy Røed PhD i risikostyring/ risikoanalyse Mer enn 10 år erfaring Konsulent risikoanalyse Undervisning Forskning og utvikling Beredskap Willy Røed wr@proactima.com
www.universitetsforlaget.no
Agenda Kort presentasjon av Proactima Risiko, risikoanalyse, risikovurdering og risikostyring: Felles forståelse av begreper? Litt om helhetlig risikostyring Mål og mening med risikoanalyser Ulike bransjer, felles utfordringer? Risikoanalyse: Eksempler på anvendelsesområder
Proactima - status Etablert i September 2003 Fagmiljø med over 140 medarbeidere Kontorer i Stavanger, Oslo, Bergen og Trondheim 100% eid av ansatte
Visjon Proactima har som visjon å være en nasjonalt anerkjent leverandør av tjenester innen fagområdet risikostyring, HMS-ledelse og samfunnssikkerhet. Med anerkjent mener vi: Anerkjent hos våre kunder for gode produkter, høy kompetanse og riktig kvalitet på våre tjenester. Anerkjent i samfunnet (fagmiljøet, relevant bransjer, kunder) som et selskap som bidragsyter til utviklingen av fagområder gjennom deltagelse i nasjonale F&U programmer og nyutvikling av produkter og tjenester Anerkjent i bransjen som en attraktiv arbeidsplass som gir gode utviklingsmuligheter, gode rammebetingelser og der det er gøy å jobbe.
Verdier Våre verdier gir føringer for hvordan vi skal jobbe for å realisere våre visjoner og mål. Dette reflekteres i strategien vi velger, hvilke mål vi setter oss, hvordan vi jobber får å nå våre mål så vel som holdningen vi utviser. Integritet Vi skal levere det vi lover. Vi skal følge lover og regler. Vi skal være ærlige og åpne overfor våre kunder, og vi skal ha en ærlig og åpen dialog internt i selskapet. Kompetanse Vi tror et systematisk arbeid med å bygge selskapskompetanse er viktig for å sikre høy kvalitet på produkter og tjenester. Vi tror kontinuerlig læring er viktig for våre ansattes trivsel og utvikling. Balanse Frihet og ansvar; vi ønsker selvstendige ansatte som skal ha stor grad av frihet i utførelsen av sitt arbeid, men som har stor ansvarsfølelse og følger selskapets verdier og holdninger. Individ og fellesskap; vi ønsker at den ansatte skal kunne utvikle og utfolde seg, men samtidig hjelpe andre og bidra til fellesskapet. Arbeid og familie; vi ønsker at ansettelse i Proactima skal kunne kombineres med et godt familieliv.
Tjenester Helhetlig risikostyring Yrkeshygiene og arbeidsmiljø Risiko- og sårbarhetsanalyser Omdømmebygging Beredskapsanalyser, planer, øvelse og trening Kompetansestyring og opplæring Krisekommunikasjon og mediehåndtering Bedriftskultur (fusjon, omstilling styringssystem) Prosesskartlegging, etablering og implementering av styringssystem
Eksempler prosjekter Petroleumstilsynet: Risikonivå i Barentshavet Støtter Ptil (og nasjonalt fagfora) i å utvikle metodikk for å vurdere risikonivå knyttet til aktiviteter i Barentshavet. Tilsvarende for Nordsjøen og Skagerrak To prosjekt: Veien videre etter Deepwater Horizon (boring &brønn + sikkerhet/økonomi) Utenriksdepartementet: Sikkerhetsstyring og Beredskap Støtte UD i å bedre sikkerhetsstyringen og beredskapen i utenrikstjenesten Samferdselsdepartementet: Krisescenarioer i samferdselssektoren Støtte til SD for å bedre kvaliteten i beredskapsarbeidet i departementet, etatene og tilknyttede virksomheter samt bidra til "Strategi for samfunnssikkerhet og beredskap i samferdselssektoren Helsetilsynet i Oslo og Akershus: Faglig støtte Helse midt: Forprosjekt Veileder for risikostyring helse midt Rammeavtale med Oslo Universitetssykehus
Eksempler prosjekter Norges Vassdrag og Energidirektorat (NVE): Veileder ROS analyse Nasjonale retningslinjer for ROS analyser i kraftbransjen Energi Norge: Veileder helhetlig risikostyring Nasjonale retningslinjer for helhetlig risikostyring i kraftbransjen Vegdirektoratet: Risikoanalyse av tunneler Nasjonale retningslinjer for risikoanalyse av tunneler Opplæring av tilsynsetatene: Risikostyring og tilsyn Opplæring av 8 nasjonale tilsyn på mastergradsnivå i samarbeid med UiS NSB: Risikostyring Rammeavtale for å støtte NSB innen risikostyring og beredskap. OFFB (Operatørenes Felles Forening for Beredskap): Beredskapssenter Felles beredskapssenter for nye operatører på norsk sektor BAS 5 2005-2007 (NFR/DSB/NVE): Sårbarhet av samfunnskritisk IKT Etablerte veileder for av samfunnskritisk IKT. Gjennomførte case relatert til offshore e-drift i tillegg til case på helsesektor, kraftsektor, finanssektor Direktoratet for Samfunnssikkerhet og Beredskap (DSB): Nasjonale retningslinjer for bruk av akseptkriterier Utarbeide et faglig grunnlag for og forslag til risikoakseptkriterier for tredjeperson ved regulering av virksomheter og aktiviteter i samfunnet.
Stor spennvidde i vårt fagmiljø Praksis Teori/ akademia Praktisk trening i beredskap og krisehåndtering Publiserer en rekke forskningsartikler hvert år De fleste har mastergrad Ni ansatte med fullført doktorgrad. To pågående
Agenda Kort presentasjon av Proactima Risiko, risikoanalyse, risikovurdering og risikostyring: Felles forståelse av begreper? Litt om helhetlig risikostyring Mål og mening med risikoanalyser Ulike bransjer, felles utfordringer? Risikoanalyse: Eksempler på anvendelsesområder
Er det risiko å kunne gå på vannet?
Risiko Tradisjonell teknisk/naturvitenskapelig tilnærming: Forventet tap (sannsynlighet x konsekvens) Økonomi: Usikkerhet om konsekvens i forhold til forventningsverdien
Risiko definisjoner i standarder ISO 31000: Risk management principles and guidelines NS 5814: Krav til risikovurderinger
Risiko Ingen felles forståelse, men mange definisjoner inneholder to dimensjoner: Hva kan skje? (Hendelser, konsekvenser - negative og/eller positive) Hvor stor sjanse er det for at det skal skje? (Usikkerhet, sannsynligheter, forventningsverdier)
Probability of loss Eksempel på risikomatrise >20% Årlig per year 1-10 år 5-20% per year 16 1-5% per year 10 100 år 10 Sjeldnere enn <1% hvert per 100 yearår 15 7 Lettere skadd <100 KNOK Hardt skadd 100-700 KNOK 1 700-1500 drept Flere >1500 KNOK KNOK drepte Expected financial loss given initiating event (net cost NPV based)
Risikomatrise med trusler, muligheter og styrbarhet Muligheter Trusler >20% per year 2 20 3 8 5-20% per year 1 16 15 12 6 1-5% per year 13 10 4 <1% per year 15 7 >1500 KNOK 700-1500 KNOK 100-700 KNOK <100 KNOK <100 KNOK 100-700 KNOK 700-1500 KNOK >1500 KNOK Gevinst Tap Høy styrbarhet Medium styrbarhet Lav styrbarhet
Risiko = Fremtid (Men historikk kan i noen tilfeller hjelpe oss å beskrive risiko)
Hva er forskjellen på risikoanalyse og risikovurdering?
Risikovurdering/ risikoanalyse + = Risk analysis Risk evaluation Risk assessment + Risikoanalyse Risikoevaluering Risikovurdering = (På linje med blant annet ISO 31000, AS/NZS 4360:2004 og NS 5814:2008)
Hva kartlegger vi i en risikoanalyse? Årsak 1 Årsak 2 Årsak 3 Osv. Uønsket hendelse Konsekvens 1 Konsekvens 2 Konsekvens 3 Osv.
Risikoanalyseprosessen Problemdefinisjon, informasjonsinnhenting og organisering Valg av analysemetode 1) Planlegging Identifikasjon av mulige initierende hendelser (farer, trusler, muligheter) Årsaksanalysen Risikobilde Konsekvensanalysen 2) Risikovurdering Sammenligning av alternativer, identifisering og vurdering av tiltak Ledelsens vurdering og beslutning 3) Risikohåndtering
Risk management Definisjon i ISO 31000: Risk management - principles and guidelines: Risk management = coordinated activities to direct and control an organization with regard to risk
Hva er risikostyring? Med risikostyring forstås alle tiltak og aktiviteter som gjøres for å styre risiko. Formål med risikostyring er å sikre den riktige balansen mellom det å utvikle og skape verdier og det å unngå ulykker, skader og tap. (Aven, 2007) Utforske muligheter Unngå tap, ulykker og katastrofer Helhetlig risikostyring
Fra Magnus Evjes presentasjon (Omsorgsbygg) Risikostyringen må være en del av styringen og ikke eget styringssystem på siden av den etablerte virksomhetsstyringen
Noen ganger er det lett å forstå hva som kan gå galt...
Andre ganger er det ikke fullt så enkelt... Brann i lastebil med mel og margarin, Mont Blanc Tunnelen
Askefast
Agenda Kort presentasjon av Proactima Risiko, risikoanalyse, risikovurdering og risikostyring: Felles forståelse av begreper? Litt om helhetlig risikostyring Mål og mening med risikoanalyser Ulike bransjer, felles utfordringer? Risikoanalyse: Eksempler på anvendelsesområder
Tenk på to hendelser som innebærer risiko 1 2
Helhetlig risikostyring Likviditet Lover og regler Leverandør -marked Konkurrenter Marked Kreditt Arbeidsmarked Ulykkeshendelser Tilsiktede handlinger Tap av kompetans e/ personell Virksomhetens mål og visjoner Økonomi HMS Samfunnsansvar Omdømme etc Mennesker Utstyr Organisasjon Prosesser Beslutninger Teknologi Oppkjøp Politiske forhold
Hva innebærer det? 1. Målstyring 2. Risikostyring Mål for energiselskap Selskapsrisiko Mål for distribusjon Mål for produksjon Mål for handel Øvrige mål Risiko for distribusjon Risiko for produksjon Risiko for handel Øvrig risiko Mål for fjernvarme Mål for vannkraft Risiko for fjernvarme Risiko for vannkraft Mål for kraftverk A Mål for kraftverk B Risiko for kraftverk A Risiko for kraftverk B Stikkord: Beslutningsstøtte og måloppnåelse
Risikoanalyse et verktøy i risikostyringen Uønskede hendelser Strategisk risiko Finansiell risiko Operasjonell risiko Risikoanalyse: Hvilke uønskede hendelser kan hindre oss i å nå våre mål?
Risikostyring i et selskap
Strategisk risiko Finansiell risiko Operasjonell risiko Overordnet Prosjektrisiko (beslutning) Finansiell risiko Eksisterende bygning Kjøletårn Oppgave Prosjektrisiko (gjennomførin g) Eksempel Selskap Nytt anlegg Forsikring Brannsikkerhet Legionella Bytte ventil Bygge ny installasjon 1) Planlegging Årsplan Prosjektplan Forsikringsstrategi Design, dokumentasjo n Vedlikeholdsplan Dokumentasjo n Prosjektplan 2) Risikovurdering Risikomøte (hazid) Prosjektrisikoanalys e (omfang, tid, ressurser) Porteføljestyri ng Samtidige hendelser Hvilke tap kan vi leve med? ROS-analyse (grovanalyse, kvantitativ analyse) Risikomøte/ Hazid, FMECA Sikker jobbanalyse (SJA) Prosjektrisikoanalyse + QRA 3) Risikohåndtering Beslutning/ tiltak Porteføljestyring Kjøpe forsikring Risikoreduser ende tiltak, beredskapsplan Kontrollpunkter, rutiner Diskusjon/ risikoredusere nde tiltak Oppfølging/ prosjektstyring
Risikostyring for hvem? Bedriftens risikostyring Samfunnets risikostyring Strategisk risiko Finansiell risiko Fallende gjenstander Legionella Kredittverdighet Lover/ regler Tilsyn Krav til rapportering Operasjonell risiko
Operasjonell risikostyring Strategisk risiko Finansiell risiko Operasjonell risiko Risikoanalyse i driftsfasen: -SJA - Hazid -Hazop
Agenda Kort presentasjon av Proactima Risiko, risikoanalyse, risikovurdering og risikostyring: Felles forståelse av begreper? Litt om helhetlig risikostyring Mål og mening med risikoanalyser Ulike bransjer, felles utfordringer? Risikoanalyse: Eksempler på anvendelsesområder
Hvordan beslutninger (bør) fattes Interessent - verdier Mål, kriterier og preferanser Analyser og evalueringer Risikoanalyser Beslutningsanalyser Ulykkesgranskning og analyser Sikkerhetsindikatorer Kost/nytte-analyser osv. Beslutningsproblem Beslutningsalternativer Ledelsesgjennomgang og -vurderinger Beslutning og implementering (Aven 2003, Aven m.fl. 2004) Risikoanalyser gjøres for å gi beslutningstaker et godt beslutningsunderlag
I praksis varierende motiver Kan du være så snill og gi meg råd om hvordan vi kan bygge et sikkert anlegg? Hvilke risikoreduserende tiltak bør vi velge? Kan du være så snill og gjøre en risikoanalyse av anlegget vi har bygd? Vi er nødt til å gjøre en risikoanalyse før myndighetene gir oss tillatelse til å åpne, skjønner du!
Agenda Kort presentasjon av Proactima Risiko, risikoanalyse, risikovurdering og risikostyring: Felles forståelse av begreper? Litt om helhetlig risikostyring Mål og mening med risikoanalyser Ulike bransjer, felles utfordringer? Risikoanalyse: Eksempler på anvendelsesområder
Ulik begrepsbruk. Initierende hendelse = Uønsket hendelse Sikkerhetsproblem Fare (HACCP: Hazard analysis of critical control points) Topphendelse Nøds- og ulykkessituasjon (Dimensjonerende hendelser)
Erfaring fra undervisning på studiepoenggivende kurs i risikoanalyse DSB PTIL Arbeidstilsynet Mattilsynet Statens Strålevern Helsetilsynet NSO Vegdirektoratet Klif Mange kursdeltakere trodde: Helt ulike risikoanalysebehov og metoder! Vi trodde: Ulike beslutningsalternativer Ulike uønskede hendelser Ganske lik måte å gjennomføre risikoanalysene på
Vår erfaring Risikoanalyseprosessen er felles Forstå systemet du analyserer Velg metoder som drar nytte av spesialistenes kompetanse Risikoanalyse Planlegging Risikovurdering Risikohåndtering
Risikoanalyse er et fagområde Risikoanalyse må anerkjennes som et eget fagområde Likefullt: En nyttig risikoanalyse forutsetter systemforståelse. La risikoanalytikere og systemeksperter Risikoanalytiker Systemekspert planlegge og gjennomføre analysene sammen som prøver å som prøver å forstå systemet gjennomføre en som analyseres risikoanalyse
Agenda Kort presentasjon av Proactima Risiko, risikoanalyse, risikovurdering og risikostyring: Felles forståelse av begreper? Litt om helhetlig risikostyring Mål og mening med risikoanalyser Ulike bransjer, felles utfordringer? Risikoanalyse: Eksempler på anvendelsesområder
Fokus på ulike prosjektfaser Planlegging Gjennomføring Avslutning Mulighetsfase Konseptfase Forprosjektering Detaljprosjektering Konstruksjon Ferdigstilling 1 2 3 4 5 7 6 Sikkerhetsgjennomgang Konseptrisikoanalyse Dimensjoneringsanalyse Designanalyse SJA As builtanalyse Analyser i drift
Bruk i et utbyggingsprosjekt Valg av hovedkonsept Optimalisering av valgte løsning Bestemme dimensjonerende ulykkeslaster Etablere prioritert tiltaksliste (ALARP, kost/nytte etc.) Krav til sikkerhetssystemer (tilgjengelighet, kapasitet og respons) Innspill til beredskapsanalyse
Bruk av risikoanalyse i planlegging av drift og vedlikehold Scenariobeskrivelsene og konsekvensvurderingene kan brukes i RBI/RCM analyser Gir forståelse for utstyrets oppgave Rangering av utstyr basert på kritikalitet
Barrierefunksjoner og barrieresystemer offshore Detektere gasslekkasje Fjerne gass/olje Hindre antennelse Hindre spredning Evakuere Gassdetektorer Visuell kontroll +++ Sluksystemer Fakkel +++ Tennkildeutkobling +++ Brannvegger Trykkavlastning +++ Livbåter +++ Menneske Organisasjon Teknikk
Kan denne tenkningen overføres til brannvern? Unngå brann Oppdage brann Bekjempe brann Hindre spredning Redde / evakuere Branntilsyn Egne rutiner Regelverk Sikringer +++ Røykvarsler Brannalarmanlegg Sjekkrunder +++ Sprinkleranlegg Lokalt slokkeutstyr Brannvesen +++ Brannvegger Avstandskrav Sprinkleranlegg Brannvesen +++ Egenredning Brannvesen Bygningsmessige forhold +++
Innspill til beredskap Innspill til beredskapsanalyse og beredskapsplanlegging Gir en beskrivelse av risikobildet Beskriver hendelsene som beredskapen må håndtere Gir krav til mht. tilgjengelighet, kapasitet og responstid Gir underlag for øvelse og trening
RISIKOANALYSE BEREDSKAPS- ANALYSE BEREDSKAPS- PLAN BEREDSKAPS- ØVELSER OG - TRENING Hva kan gå galt? Hvordan kan vi fikse problemet hvis det går galt? Hvordan gå frem i praksis? Hvordan forberede oss best mulig? Liste over DFUer Hvilke DFUer er dimensjonerende? Ytelseskrav + løsninger: Kapasitet Responstid Tilgjengelighet Robusthet... Løsninger + Tiltakskort Tabletops Øvelser BCM = Business continuity management
Oppsummering Ulik begrepsbruk: "Halvparten av problemene skyldes at personer bruker samme ord i forskjellige betydninger. Den andre halvparten skyldes at personer bruker forskjellige ord for samme betydning [Kaplan] Helhetlig risikostyring: Sortér hendelser (trusler og muligheter) på en systematisk måte Bruk dette til å styre virksomheten din Da gjør du bevisste og gjennomtenkte valg Ikke gjennomfør risikoanalyser før du kan svare på dette: Hva skal jeg bruke resultatet til?
Willy Røed wr@proactima.com
Kontakt oss: www.proactima.com Managing the future today