Risiko - bare negativt?

Etter selv å ha arbeidet med sikkerhetsfaglige problemstillinger og dermed sett på risiko som noe utelukkende negativt, var det uvant å tenke på risiko på en annen måte. I faget Enterprise Risk Management (ERM) ser man mer helhetlig på risiko, ved at risiko også kan bety muligheter for gevinst. Internasjonalt har man vært vitne til paradigmeskifte i hvordan man tenker på risiko. I de senere år har man fått en dreining mot at risikobegrepet "rommer mer" og at det dermed gir økte muligheter for å se risikostyring på nye måter. Vi snakket med Equinor for å høre hvorfor de har valgt å tenke på risiko som noe mer enn bare nedside.

Hvordan tenker man på risiko i det sikkerhetsfaglige miljøet

Det er mange definisjoner av risiko og til tider har det vært sterk uenighet om hva det faktisk er. I normal språkbruk forstås ofte risiko som muligheten for at noe negativt eller uønsket kan skje.

I det sikkerhetsfaglige miljøet er det flere norske standarder som nettopp poengterer dette. Disse standardene blir ofte brukt i forbindelse med risikovurderinger knyttet til tilsiktede uønskede handlinger som terror, sabotasje, etterretning og annen kriminalitet. I så måte er det forståelig at “risiko” blir ensbetydende med noe negativt. Det er for eksempel ikke noe å tjene på at terrorangrep skjer og dermed blir "å våge å ta risikoen" helt feil.

Andre standarder og rammeverk har valgt å vinkle det på en annen måte som gjør at man ser risiko på en mer “nøytral” måte. Risiko blir definert som "virkningen av usikkerhet på oppnåelse av mål". Således kan risiko forstås som noe positivt og negativt. Det kan være positivt å våge å ta risiko slik at man vinner på det eller får en gevinst, for eksempel at man tjene penger på et oppkjøp eller aktivitet.

ISO 31000 er en standard som skal føre til helhetlig risikostyring for ulike type virksomheter. Ett av formålene med denne standarden var å få et felles referansepunkt eller grunnmur for fremtidige metodeveiledere i risiko. Målet var å skape noen grunnleggende prinsipper, samt å sikre en mer enhetlig og konsekvent terminologi slik at man kan snakke det samme språket i og mellom virksomheter. Dette ble også et godt referansepunkt for framtidige ERM-rammeverk.

Hvordan skiller man mellom ulike typer risiko

COSO (Committee of Sponsoring Organisations of the Treadway Commission) skiller mellom "risiko" og "mulighet", der dette er to sider av risikoforståelsen. Risiko blir definert som "sannsynligheten for at en hendelse vil inntreffe og negativt påvirke oppnåelse av mål". Dette samsvarer med den mer "negative" forståelsen av risiko som man ser i standardene knyttet til tilsiktede uønskede handlinger. COSO definerer mulighet som "sannsynligheten for at en hendelse vil inntreffe og positivt påvirke oppnåelse av mål". Dette er den "positive" måten å se på risiko.

COSO har blitt kritisert for at det er rammeverk som passer dårlig til å vurdere nedsiderisiko ettersom hendelser med lav sannsynlighet og høy konsekvens får en lav risikoskår og dermed ikke blir vurdert på lik linje med hendelser som har høy sannsynlighet men lav konsekvens. Men ved å tilpasse rammeverket og risikoaksepten kan man fange opp hendelser med lav sannsynlighet og høy konsekvens. Det handler om at virksomheten er bevisst og at risikoanalysen ikke bare blir en teknisk øvelse, men en kvalitativ vurdering av de ulike momentene knyttet til sannsynlighet og konsekvens.

Vi spurte Equinor om deres argumenter for hvorfor de velger å tenke mer helhetlig på risiko

Eyvind Aven fra Equinor forklarer at grunnen til at de ser på risiko som noe "nøytralt" er at Equinor tar utgangspunkt i finansverden og ikke safety-verden. I finansverden er det en kjent sak at risiko og avkastning henger sammen, der aksjeinvesteringer skal ha høyere forventet avkastning enn statsobligasjoner. Priser kan gå både opp og ned, samme sak med ulike konsekvenser, derfor risiko med opp- og nedside. For safety og security er bildet annerledes siden bedrifter ikke er interessert i slike hendelser og følger av aktivitetene, da blir referanseverdi = 0 hendelser, dvs. kun nedside.

Her er noen av Equinors erfaringer med å benytte et risikobegrep som rommer noe mer:

• Det har skapt et felles språk i Equinor for hva som utgjør en risiko.
• Det har bidratt til en mer helhetlig risikostyring i virksomheten. Det er nødvendig å vurdere ulike forhold på tvers i Equinor og da trenger man begreper som betyr det samme. Dette er med på å forhindre en “silobasert tankegang” om risiko.
• Det har vært enklere å presentere ett helhetlig risikobilde som viser de ulike risikoene Equinor står overfor. Dette gjør at ledelsen får et mer oversiktlig og helhetlig perspektiv på risiko slik at det er lettere å fatte gode beslutninger.
• Muliggjør en virksomhetsstyring som bedre integrerer balansert målstyring og risikostyring.

Det er krevende å endre oppfatning av risiko fra kun å være relatert til negative forhold til også å inkludere oppside. Det første skrittet på veien kan være å samle de relevante fagmiljøene i virksomheten og spørre hva de legger i risikobegrepet og om risikobegrepet bør romme noe mer.