Riskhantering – vad och varför?

I ett tidigare inlägg på denna blogg diskuterade Magnus Andersson vad som menas med ”rätt säkerhet”. Om vi pratar om vad som är ”rätt säkerhetsåtgärder” anser jag att det inte kan avgöras utan att titta på ekonomin. Vilka åtgärder man vidtar mot en specifik risk bör helt enkelt avgöras genom bedömning av åtgärdernas lönsamhet. Det här blogginlägget lyfter några tankar kring lönsam riskhantering och vad som är ”rätt säkerhet”.

Riskhantering

Alla har något som behöver skyddas. För organisationer är det – förutom liv och hälsa – egendom, information, processer och rykte. De hot och risker man vill skydda sig emot behöver hanteras på ett systematiskt och - inte minst - lönsamt sätt.

Riskhantering är att systematiskt inventera och analysera olika risktyper samt att förebygga, upptäcka och avhjälpa skador (riskutfall) i en organisations verksamhet. Alla organisationer gör mer eller mindre av riskhantering, och det sker mer eller mindre medvetet. Hög verkningsgrad i riskhanteringen förutsätter hög riskmedvetenhet. Man behöver en realistisk riskuppfattning för att inte över- eller underreagera på de hot verksamheten exponeras för.

Den klassiska innebörden av ”risk” är produkten av sannolikheten för en händelse och konsekvenserna av händelsen (R = P * Q). Det finns ett antal alternativa definitioner, men dessa är oftast mindre användbara i praktiken.

Den vanligaste indelningen av ”risk” är mellan affärsrisker och operativa risker:

* Affärsrisker är risker direkt kopplade till affärsverksamheten, som marknadsrisker, motpartsrisker, strategiska risker, produktrisker, kursrisker, ränterisker etc.
* Operativa risker är ”allt annat”, exempelvis risker till följd av icke ändamålsenliga eller misslyckade processer, mänskliga fel (medvetna eller omedvetna), felaktiga system eller externa händelser.

I informations- och IT-riskhanteringen ligger fokus på de operativa riskerna. Dessa hanteras i säkerhetsarbetet.

Säkerhetsarbete

Säkerhet är dels resultat av grundläggande egenskaper hos verksamheten som sådan, dels resultat av åtgärder (skydd) som minskar verksamhetens risk när det behövs, dvs. resultatet av säkerhetsarbetet. Risker som en verksamhet identifierat kan hållas under kontroll på följande principiella sätt:

1. Säkerhetsarbete = utveckla och tillämpa skyddsåtgärder,
- åtgärder som eliminerar orsakerna till oönskade händelser
- åtgärder som reducerar konsekvenserna av oönskade händelser
---- åtgärder i förväg (proaktiva åtgärder)
---- åtgärder när händelserna inträffat (reaktiva åtgärder)
2. medvetet acceptera risker,
3. undvika risker, t ex genom att avstå från viss verksamhet,
4. helt eller delvis överföra risker till andra, t.ex. försäkringsbolag eller leverantörer.

Rätt säkerhet är lönsam!

En åtgärd är lönsam om värdet av kostnader och andra negativa konsekvenser av åtgärden är lägre än värdet av nyttan av åtgärden, främst den sannolikhetsminskning och/eller konsekvensminskning som skyddet medför. Det kan finnas andra positiva konsekvenser, som rationaliseringseffekter och reklamvärdet av verksamhetens säkerhetsfokus.

Problemen vid lönsamhetskalkyleringen är att inte alla faktorer är entydigt bestämda i tiden eller möjliga att uttrycka helt och fullt i ekonomiska termer. Men man får göra så gott man kan och försöka ”konvertera” åtgärdernas förväntade plus och minus till en gemensam skala. Ofta funkar ”pengar” bra.

Lönsamhet beräknas lämpligen med verksamhetens normala investeringsbedömningsmetod.



0 kommentarer :: Riskhantering – vad och varför?

Skicka en kommentar