Risk- och sårbarhetsanalyser hjälper oss att skapa robusta, hållbara, effektiva, välfungerande organisationer och företag. När världen blir mer komplex blir förmågan att identifiera, värdera och åtgärda risker och sårbarhet alltmer viktigt. För vi vet att saker kommer att hända som är utanför vår kontroll. Det som är avgörande för vår framgång är vår förmåga att hantera dem. Och för att hantera riskerna måste vi veta vilka de är, vilka som påverkar oss mest och hur motståndskraftiga vi är.
Att bedöma och hantera risker och sårbarhet har alltid varit viktigt för en organisation eller ett företag. De senaste årens (2020–2023) händelser med bl. a. grundstötta skepp, pandemi, krig och attacker mot civil sjöfart har resulterat i varubrister, verksamhetsstörningar, kostnadsökningar m.m. Det har visat på hur viktigt det att göra risk- och sårbarhetsanalyser och agera på det som identifieras – innan de oönskade händelserna inträffar.
Varför gör vi risk- och sårbarhetsanalyser?
För att veta att vi fokuserar på rätt risker och arbetar med rätt saker behöver vi som vanligt göra analyser.
Det finns många skäl att göra risk- och sårbarhetsanalyser. Vi kan behöva:
- upprätthålla viktig verksamhet
- stärka vårt hållbarhetsarbete
- efterleva lagar och regler
- vara en ansvarsfull arbetsplats
- vårda varumärket och bibehålla förtroende
- undvika onödiga merkostnader.
Vad är risk- och sårbarhetsanalyser?
Riskanalyser och sårbarhetsanalyser görs vanligtvis samlat – de kompletterar varandra. De ställer i stor utsträckning samma frågor, men de har något olika perspektiv. Riskanalysen utgår från de risker som kan identifieras, medan sårbarhetsanalysen tar sin utgångspunkt i vad som behöver skyddas i verksamheten.
Riskanalyser
Med risk avses enligt ISO ”osäkerhetens påverkan på det vi vill uppnå”. Riskanalys handlar om att bedöma sannolikheten för att något ska hända och hur stor påverkan det kommer att få på vår verksamhet.
En riskanalys förutsätter:
- en gemensam definition av vad risk innebär
- en metodik för riskanalys
- en gemensam definition av vilka parametrar som är relevanta
Man kan något förenklat säga att det handlar om att bedöma två begrepp:
Kritikalitet
Begreppet beskriver hur allvarliga konsekvenserna är om något händer. Det kan vara verksamhetsavbrott, ökade kostnader m.m. Skalan av konsekvenser kan gå från lätt irritation till att hela verksamheten står still.
Man kan säga att kritikalitet är ett perspektiv inifrån-ut.
Sannolikhet
Hur troligt är det att något händer? Är det något som händer lite då och då, och som vi är ganska vana vid, eller är det saker som är extremt ovanliga? (Det första kan vara lättare variationer i strömförsörjningen och det senaste kan vara ett stort vulkanutbrott som stoppar flygtrafiken.) Under senare år har vi fått omvärdera vad som är sannolikt och inte efter pandemi och krig i vårt närområde. Vi kommer också att i högre grad få uppvärdera sannolikheten för störningar som beror på klimatförändringar.
Man kan säga att sannolikhet är ett perspektiv utifrån-in.
Sårbarhetsanalyser
Med sårbarhet avses i vilken utsträckning något (ett system, ett objekt etc.) kan stå emot och hantera en viss händelse.
Den utgår från ett antal frågor:
- Vad behöver skyddas?
- Vilka hot finns?
- Hur sårbart är det som behöver skyddas?
Ett skäl till att göra sårbarhetsanalyser är att det kan vara svårt att i riskanalysen bedöma sannolikheten för de risker som identifierats. Därför fokuserar sårbarhetsanalysen på att bedöma konsekvenserna om något inträffar, och företagets eller organisationens förmåga att hantera det.
Man kan förenklat säga att sårbarhetsanalysen är en slags analytisk provtryckning av de delar av verksamheten som man bedömer som viktigast att skydda.
När gör vi risk- och sårbarhetsanalyser?
En risk- och sårbarhetsanalys är aldrig statisk. Den måste uppdateras regelbundet eftersom både vi och vår omvärld förändras. Detta innebär att en organisation eller ett företag behöver sätta av tid och resurser för att regelbundet genomföra övergripande risk- och sårbarhetsanalyser. Nästa steg är att vid behov fördjupa sig inom kritiska områden.
Arbetet med risk- och sårbarhetsanalyser behöver ske med bred involvering i hela företaget eller organisationen för att fånga upp alla relevanta aspekter, kunskaper och erfarenheter. Man behöver också skaffa sig fakta från externa källor, något som kan vara både svårt och tidsödande.
Läs mer om risk- och sårbarhetsanalyser
Den här artikeln ska ses som en enkel översikt till begreppet risk- och sårbarhetsanalys, den går inte in på detaljer kring process, parametrar, ansvar etc.
Här på EFFSO Tools finns mer att läsa om robusthet, riskanalys och riskhantering. Det går också att ta del av EFFSO:s webinar om riskhantering inom inköp.
