Riskanalys och riskhantering

En riskanalys är det första man gör i en riskhanteringsprocess. En riskanalys består av riskidentifiering, riskskattning och riskvärdering.

Process för riskanalys

Processen kan se ut på följande sätt:

Process för riskanalys och riskhantering

Inledningsvis identifierar man riskerna. Denna riskidentifikation följer ofta förutbestämda checklistor. När man har identifierat  riskerna utser man ansvariga som får utreda riskerna ytterligare. I nästa steg uppskattar man sannolikheten för att varje risk ska inträffa. Därefter bedöms konsekvenserna av riskerna genom en värdering. Efter riskanalysen följer olika steg av riskhantering (åtgärder och uppföljning).

Konsekvenserna

Ytterst har alla risker en ekonomisk konsekvens. Och ur ett legalt perspektiv talar man ofta om tre huvudkategorier av risker; personskador, egendomsskador och förmögenhetsskador:

Risker och konsekvenser

Personskador och egendomsskador har i slutändan en ekonomisk påverkan på precis samma sätt som förmögenhetsskadorna, men det är ändå viktigt att särskilja slagen åt av flera skäl. Det främsta skälet är att personskador och egendomsskador är lättare att hantera med försäkringar än förmögenhetsskador. Vidare finns det ofta lagar som ställer krav på riskanalyser i de fall då det föreligger risk för personskador. Fall av personskador kan i vissa fall även leda till straff vilken är ännu en anledning att särbehandla dessa konsekvenser. Egendomsskador är inte fullt lika hårt reglerade, men även här kan finnas styrande lagar, exempelvis försäkringsplikt. Förmögenhetsskadorna samlar upp alla andra riskkonsekvenser som kan föreligga, exempelvis konsekvens av försening, utebliven försäljning eller valutafluktuationer.

Metoder för riskanalys

Det finns ett stort antal standardiserade metoder för riskanalys, varav några av de viktigaste är:

• FRAP, Facilitated Risk Analysis Process
• PRA, Project Risk (and Contingency) Analysis
• PEST, Political, Economic, Social, and Technological analysis
• SWOT-analys (oftast i kombination med PEST-analys)
• PHA , Process Hazards Analysis
• Ändringsanalys
• Kontraktsriskanalys
• FMEA, Failure Modes and Effects Analysis
• FMECA, Failure Mode, Effects, and Criticality Analysis
• Hazid, Hazard Identification
• Hazop, Hazard and operability study
• What-If
• QRA, Quantitative Risk Analysis

Flera av dessa metoder, i synnerhet de tekniskt inriktade, tar inte sikte på de ekonomiska konsekvenserna utan riktar främst in sig på sådan risker som kan ha personskadekonsekvenser.

Riskvärderingen

Vid skattning och värdering av risker är de centrala begreppen sannolikhet och konsekvens. Sannolikhet är helt enkelt en procentsats som motsvarar det antalet gånger på hundra som risken kommer att inträffa. Konsekvens kan man beskriva på olika sätt. Antingen genom att åsätta den ett monetärt värde eller ett poängvärde som motsvarar konsekvensens kritikalitet. Slutligen värderas risken till produkten av sannolikhet multiplicerat med konsekvens.

I många riskvärderingar presenterar man sannolikheter och konsekvenser i olika typer av matriser, exempelvis:

Riskanalys i matrisform

Eller:

Statistisk riskvärdering

Vissa typer av risker kan man värdera utifrån historiska data. Statistisk analys kan ge inköparen förväntade medelvärden, spridningar och prognoser. Några använda modeller är:

• Glidande medelvärden
• Viktade glidande medelvärden
• Exponentiell utjämningsmetodik
• Regression

Några vanliga användningsområden i inköparens värld kan vara:

• Prognosticerade valutakurser samt spridning
• Prognosticerad påverkan av indexklausuler samt spridning
• Utvärdering av spotköp versus terminsköp
• Värdering av förväntad felfrekvens eller kassationsfrekvens

Leverantörsbedömning

Det är nästan regel än undantag att en leverantörsbedömning innehåller en stor andel riskbedömningar. Detta har på många företag lett till att man använder leverantörsrisken som en metod för att klassificera leverantörer. Exempelvis är det inom läkemedel och medicinteknik vanligt att klassificera leverantörer efter risk för personskador, vilket beror på den stränga myndighetskontrollen. I andra branscher kan det istället vara affärsrisker eller risk för leveransavbrott etc. som styr klassifikationen.

Riskanalys av kontrakt

För en inköpare är en av de absolut vanligaste riskanalysen den så kallade kontraktsriskanalysen. Denna börjar ibland redan under en förstudie när man studerar vad och hur man ska köpa något. Sen förfinar man den under inköpsprocessens gång. Som mest intensiv blir den i ett upphandlingsskede, där man först gör analyser av framtaget avtalsutkast. När väl anbud inkommit gör man en riskanalys av de olika leverantörsalternativen.

Kontraktsriskanalysen kan göras på olika plan. Exempelvis brukar man titta på de rena avtalsformuleringarna ur ett rättsligt perspektiv. Vidare studeras avtalspartens ekonomiska stabilitet. Andra vanliga omvärldsfaktorer att analysera  är valutor, löner och inflation. Slutligen beslutas vilka typer av säkerheter, dvs borgensförbindelser, försäkringar etc.  som men behöver.

Riskreducering och riskeliminering

De allra flesta inköpare väljer att att reducera risker i större eller mindre grad. Graden av riskbenägenhet varierar dock mycket mellan olika branscher, företag, produktområden och individer. Inköparen talar ofta om att sälja risker, där sälja innebär att någon annan övertar risken mot betalning. Risken kan säljas till bank, försäkringsbolag, leverantör eller vilken annan person som helst.

Att sälja en risk är förknippat med en kostnad där riskens mottagare utöver sin kalkylerade kostnad vill göra en vinst. Med andra ord kan det bli dyrt att sälja alla sina risker. Här måste inköparen göra ett noggrant val av vilka risker hen ska sälja och vilka hen ska behålla. En grundregel för inköparen brukar vara att behålla risker hen kan bemästra, vid ett eventuellt utfall, medan svårbemästrade risker bör säljas.

Ett annat kriterium är om det överhuvudtaget är möjligt att sälja en risk. Ett krav för säljbarhet är att risken är tydligt definierbar. Det kan visa sig vara svårt att sälja risker härrörande ur sociala eller kulturella faktorer. En annan svårighet med riskförsäljning är att det kan vara svårt för mottagaren att bedöma sannolikheter. Det i sin tur kan leda till att priset blir alltför högt.

Det finns ett antal standardiserade metoder för riskreducering. Dessa kan delas in i två huvudgrupper. Den första gruppen är riskreducering som bygger på att en annan part övertar riskerna (s.k. riskförsäljning). Den andra är riskledning, dvs att genom olika system och kontroller följa upp verksamheten. Det gör man genom att titta på följande aspekter:

• Försäkringar
• Borgensförbindelser (bankgarantier, moderbolagsgarantier etc.)
• Terminskontrakt, hedgingavtal
• Remburser (L/C)
• Depositionsavtal
• Avtalsbestämmelser (i leverantörsavtalet)
• Omkonstruktion (för tekniska risker)
• Säkerhetssystem (för tekniska risker)
• Säkerhetsinstruktioner (för tekniska risker)
• Leveransbevakning, leveransledning
• Säkerhetslager
• Kvalitetssystem
• Kvalitetskontroller, besiktningar
• Informationssystem