Risk- och sårbarhetsanalyser hjälper oss att skapa robusta, hållbara, effektiva, välfungerande organisationer och företag. När världen blir mer komplex blir förmågan att identifiera, värdera och åtgärda risker och sårbarhet alltmer viktigt. För vi vet att saker kommer att hända som är utanför vår kontroll. Det som är avgörande för vår framgång är vår förmåga att hantera dem. Och för att hantera riskerna måste vi veta vilka de är, vilka som påverkar oss mest och hur motståndskraftiga vi är.
Att bedöma och hantera risker och sårbarhet har alltid varit viktigt för en organisation eller ett företag. De senaste årens (2020–2023) händelser med bl. a. grundstötta skepp, pandemi, krig och attacker mot civil sjöfart har resulterat i varubrister, verksamhetsstörningar, kostnadsökningar m.m. Det har visat på hur viktigt det att göra risk- och sårbarhetsanalyser och agera på det som identifieras – innan de oönskade händelserna inträffar.
För att veta att vi fokuserar på rätt risker och arbetar med rätt saker behöver vi som vanligt göra analyser.
Det finns många skäl att göra risk- och sårbarhetsanalyser. Vi kan behöva:
Riskanalyser och sårbarhetsanalyser görs vanligtvis samlat – de kompletterar varandra. De ställer i stor utsträckning samma frågor, men de har något olika perspektiv. Riskanalysen utgår från de risker som kan identifieras, medan sårbarhetsanalysen tar sin utgångspunkt i vad som behöver skyddas i verksamheten.
Med risk avses enligt ISO ”osäkerhetens påverkan på det vi vill uppnå”. Riskanalys handlar om att bedöma sannolikheten för att något ska hända och hur stor påverkan det kommer att få på vår verksamhet.
En riskanalys förutsätter:
Man kan något förenklat säga att det handlar om att bedöma två begrepp:
Begreppet beskriver hur allvarliga konsekvenserna är om något händer. Det kan vara verksamhetsavbrott, ökade kostnader m.m. Skalan av konsekvenser kan gå från lätt irritation till att hela verksamheten står still.
Man kan säga att kritikalitet är ett perspektiv inifrån-ut.
Hur troligt är det att något händer? Är det något som händer lite då och då, och som vi är ganska vana vid, eller är det saker som är extremt ovanliga? (Det första kan vara lättare variationer i strömförsörjningen och det senaste kan vara ett stort vulkanutbrott som stoppar flygtrafiken.) Under senare år har vi fått omvärdera vad som är sannolikt och inte efter pandemi och krig i vårt närområde. Vi kommer också att i högre grad få uppvärdera sannolikheten för störningar som beror på klimatförändringar.
Man kan säga att sannolikhet är ett perspektiv utifrån-in.
Med sårbarhet avses i vilken utsträckning något (ett system, ett objekt etc.) kan stå emot och hantera en viss händelse.
Den utgår från ett antal frågor:
Ett skäl till att göra sårbarhetsanalyser är att det kan vara svårt att i riskanalysen bedöma sannolikheten för de risker som identifierats. Därför fokuserar sårbarhetsanalysen på att bedöma konsekvenserna om något inträffar, och företagets eller organisationens förmåga att hantera det.
Man kan förenklat säga att sårbarhetsanalysen är en slags analytisk provtryckning av de delar av verksamheten som man bedömer som viktigast att skydda.
En risk- och sårbarhetsanalys är aldrig statisk. Den måste uppdateras regelbundet eftersom både vi och vår omvärld förändras. Detta innebär att en organisation eller ett företag behöver sätta av tid och resurser för att regelbundet genomföra övergripande risk- och sårbarhetsanalyser. Nästa steg är att vid behov fördjupa sig inom kritiska områden.
Arbetet med risk- och sårbarhetsanalyser behöver ske med bred involvering i hela företaget eller organisationen för att fånga upp alla relevanta aspekter, kunskaper och erfarenheter. Man behöver också skaffa sig fakta från externa källor, något som kan vara både svårt och tidsödande.
Den här artikeln ska ses som en enkel översikt till begreppet risk- och sårbarhetsanalys, den går inte in på detaljer kring process, parametrar, ansvar etc.
Här på EFFSO Tools finns mer att läsa om robusthet, riskanalys och riskhantering. Det går också att ta del av EFFSO:s webinar om riskhantering inom inköp.
Skriven av: Per-Arne Jonsson, seniorkonsult på EFFSO
Försörjningsstabilitet är en av de faktorer som bygger en organisations robusthet, dvs. förmåga att hantera störningar i omgivningen. Det handlar om att skapa stabila försörjningskedjor av varor och tjänster. Inköp spelar en viktig roll i det arbetet när det gäller att hantera valet mellan en och flera leverantörer, geografi och relationen med våra leverantörer.
Att skapa robusthet innebär att vi agerar på det som vår analys visar. Det är inte ett arbete som görs en gång – det är något som måste ske regelbundet som en naturlig del av verksamheten. Omvärlden förändras och det gör även vårt företag eller vår organisation. Det är det som robusthet handlar om – att hantera förändring. Bäst är om vi kan agera innan det händer något!
Ingen har undkommit de senaste årens turbulens på energimarknaden. Spelplanen har förändrats och de strategier och tillvägagångssätt som gav ett bra resultat för några år sedan behöver ses över och anpassas till en ny verklighet. De lyckligt lottade som säkrade upp sitt elpris innan energikrisen har under 2022 och 2023 kunnat räkna hem stora besparingar…