s i Rk Introduktion till risk och riskhantering HENRIK TEHLER
HENRIK TEHLER
INTRODUK TION TILL RISK OCH RISKHANTERING
Kopieringsförbud Detta verk är skyddat av upphovsrättslagen. Kopiering, utöver lärares och studenters begränsade rätt att kopiera för undervisningsändamål enligt Bonus Copyright Access kopieringsavtal, är förbjuden. För information om avtalet hänvisas till utbildningsanordnarens huvudman eller Bonus Copyright Access. Vid utgivning av detta verk som e-bok, är e-boken kopieringsskyddad. Den som bryter mot lagen om upphovsrätt kan åtalas av allmän åklagare och dömas till böter eller fängelse i upp till två år samt bli skyldig att erlägga ersättning till upphovsman eller rättsinnehavare. Studentlitteratur har både digital och traditionell bokutgivning. Studentlitteraturs trycksaker är miljöanpassade, både när det gäller papper och tryckprocess.
Art.nr 45599 ISBN 978-91-44-16124-2 Upplaga 1:1 © Författaren och Studentlitteratur 2023 studentlitteratur.se Studentlitteratur AB, Lund Formgivning inlaga: Henrik Hast Ombrytning inlaga: Anna Åström Formgivning omslag: Francisco Ortega
Printed by Eurographic Group, 2023
3B
Författarfoto: Christian Uhr
INNEHÅLL
01 / Introduktion 9 02 / Nuvarande och historisk utveckling 17
Vår evolution och risk: den interna riskmätaren 18 1600-talet: sannolikheter och spel 20 1700-talet: försäkringar, beslut och en präst 23 1800-talet: den magiska kurvan och massans vishet 26 1900-talet: rationalitet, system och kontroll 29 2000-talet: komplexitet och system-av-system 34 03 / Det nya riskperspektivet 41
Definition av risk och andra begrepp 44 04 / Riskvetenskap 61
Vad är riskvetenskap? 61 Normativ och deskriptiv kunskap 62 Tillämpad och generell riskkunskap 64 Designperspektiv och riskhantering 65 05 / Ett ramverk för analys och bedömning av risk 67
Värderingar och mål 69 Systemmodell 72 Händelser och scenarier 75 Osäkerhet och dess beskrivning 88 Konsekvenser 103 Riskmått 109
I nneh å ll
06 / Riskvärdering 119
Olika kriterier för riskvärdering 119 07 / Sårbarhet, förmåga och robusthet 135
Sårbarhet och robusthet 135 Förmåga 138 08 / Kontinuitetshantering 145
Definition av kontinuitet och kontinuitetshantering 146 Viktiga begrepp inom kontinuitetshantering 149 Acceptabel avbrottstid 150 Kontinuitetsmål 150 Återställningstid 151 Konsekvensanalys 151 Kopplingen mellan kontinuitetshantering och det nya riskperspektivet 155 09 / Hur hanterar människor risk? 167
Maximerad förväntad nytta 170 Aversion mot kunskapsosäkerhet 174 Säkerhetseffekt 178 Förlustaversion och statusquo-bias 179 Inramningseffekter 180 Bedömning av sannolikheter 181 Naturalistiskt beslutsfattande 182 Slutsatser 187 10 / Att beskriva, analysera och utvärdera
riskhantering 189 Att beskriva systemet där riskhantering sker 190 Att beskriva riskhantering 194
6
© FÖRFATTAREN OCH STUDENTLITTERATUR
I nneh å ll
11 / Hur bör man göra? 205
Intern riskhantering 205 Handlingsprogram för skydd mot olyckor 207 Risk- och sårbarhetsanalys 209 Civilt försvar 210 REFERENSER 213 REGISTER 217
© FÖRFATTAREN OCH STUDENTLITTERATUR
7
01
Introduktion De flesta av oss använder begreppet risk i dagligt tal. Vi kommer också ofta i kontakt med begreppet riskhantering på ett eller annat sätt. De sätt vi använder dessa begrepp på kan dock skilja sig mycket åt. I denna bok används en bred tolkning av vad risk och riskhantering innebär som också inkluderar exempelvis kontinuitetshantering och bedömningar av krishanteringsförmåga. Riskhantering är de aktiviteter som genomförs för att skydda något som betraktas som värdefullt när det råder osäkerhet. Det finns alltså två centrala delar i begreppen risk och riskhantering; osäkerhet och något som är värdefullt (vilket kan skadas eller förloras). Denna bok fokuserar på hur man kan bedriva olika typer av aktiviteter, exempelvis genomföra en riskanalys, för att bättre lyckas skydda det som är skyddsvärt, trots stora osäkerheter. Längre fram i texten kommer vi se att detta inte är en enkel uppgift och därför kommer boken inte heller att innehålla detaljerade lösningar för exakt hur detta bör ske i praktiken. I stället är målet att ge läsaren en baskunskap inom området som sedan kan byggas på med mer specifik kunskap, exempelvis rörande specifika metoder för riskanalys. Denna bas kan användas för att utveckla argument för eller emot en viss praxis, att föreslå hur en specifik riskkälla bör hanteras,
© FÖRFATTAREN OCH STUDENTLITTERATUR
9
01
/
I ntroduktion
eller hur riskhantering bör bedrivas i ett visst sammanhang. Att kunna göra detta är ofta svårt, speciellt i föränderliga och komplexa miljöer. Faktum är dock att en viktig anledning till att denna text fokuserar på att lära ut ett antal generella baskunskaper, snarare än specifika metoder för riskhantering, är just att utvecklingen går snabbt framåt och sådana metoder snabbt kan bli obsoleta. Den generella kunskap som vi fokuserar på här kommer förhoppningsvis att vara relevant under en lång tid framöver, och kan användas då man utvecklar mer specifika metoder och angreppssätt. Vidare är denna text skriven med ambitionen att vara användbar inom flera olika områden, inom både offentlig och privat verksamhet. Tonvikten i de exempel som används och det resonemang som förs i texten ligger dock på sådant som är mest förknippat med offentliga aktörer, såsom kommuner, länsstyrelser, regioner och nationella myndigheter. Exempelvis kommer vi inte att gå in i detalj på sådant som specifikt handlar om företags riskhantering, exempelvis det som kallas Enterprise risk management. Boken är skriven både för studenter som vill ha en introduktion till riskhanteringsområdet och för professionella, alltså personer som på ett eller annat sätt kommer i kontakt med riskhantering i sitt arbete. Tanken är också att boken ska vara relevant oavsett vilken typ av hot eller händelser man arbetar med. Eftersom dessa personers bakgrund kan variera väldigt mycket är tanken att boken ska ge dem ett gemensamt fundament att stå på. Det betyder att boken är av grundläggande natur och den förutsätter inte djupare kunskaper inom något specifikt område. Ambitionen är, trots det, att den ska innehålla så mycket användbart material att läsaren ges en djupare förståelse för risk och riskhantering som kan användas för att lösa praktiska problem. Detta innebär att boken går längre i vissa avseenden än vad som traditionellt görs i beskrivningar av olika metoder för riskanalys. Boken utgår exempelvis från en bred definition av risk som gör det möjligt att integrera olika analysmetoder och perspektiv som ofta betraktats som svåra att kombinera. Exempelvis kontinuitetshantering och riskhantering. 10
© FÖRFATTAREN OCH STUDENTLITTERATUR
01
/
I ntroduktion
Vidare är ambitionen att texten genom sitt fokus på att ge ett fundament och en fördjupad förståelse med fokus på användbarhet kan utgöra en del i utvecklingen av riskhantering som en professionell disciplin. En sådan förutsätter en kärna av kunskap som är relevant oavsett tillämpningsområde. Under senare år har en sådan grund vuxit fram och vi menar att den kan utgöra fundamentet för riskhantering som en professionell disciplin. Det finns självklart specifika områden där man har drivit utvecklingen betydligt längre än i andra, exempelvis kärnkraftsområdet. Men det är viktigt att man kan se den gemensamma grunden för olika områden, annars kommer möjligheterna till kunskapsutbyte och kunskapsutveckling att minska. Och detta vore olyckligt då det finns ett behov att stärka professionell riskhantering i dag. Inte minst med tanke på den utveckling vi ser med en uppsjö hot som ibland har katastrofpotential, och ett alltmer komplext samhälle som ställer allt större krav på den som ska hantera risker. Då man ser en bok om risk och riskhantering år 2023 kan man lätt få intrycket av att det är något gammalt och irrelevant som man ska läsa om. Riskhantering är ju förknippat med ingenjörer som räknar på sannolikheten för att ett tekniskt system ska gå sönder. Och det är absolut inte samma sak som när man exempelvis arbetar med uppbyggnaden av ett nytt totalförsvar eller genomför åtgärder för att kunna hantera klimatförändringar. Dessutom finns det betydligt mer moderna och tilltalande begrepp – såsom kontinuitetshantering, resiliens och krishanteringsförmåga – som kan användas. Det stämmer, förvisso, att risk och riskhantering har en stark tradition inom många tekniska discipliner och att det finns otaliga metoder för riskanalys som ofta är utvecklade med fokus på tekniska system. Men, kärnan i den tolkning av risk och riskhantering som vi använder oss av här är bredare än vad som traditionellt har förknippats med begreppen. I denna bok betraktar vi exempelvis kontinuitetshantering som ett sätt att bedriva riskhantering. Detta kan låta konstigt eftersom en anledning till att kontinuitetshantering har utvecklats över huvud taget är att traditionell riskhantering
© FÖRFATTAREN OCH STUDENTLITTERATUR
11
01
/
I ntroduktion
inte är ändamålsenlig i vissa sammanhang. Exempelvis där det till och med kan vara kontraproduktivt att göra sannolikhetsbedömningar enligt traditionell riskanalysmetodik. Vidare betraktar vi situationer där antagonistiska hot är en viktig faktor, exempelvis i samband med totalförsvarsplanering eller i arbete med att hantera hotet från terrorism, som en naturlig del av riskhantering. Riskhantering handlar helt enkelt om att agera förnuftigt i situationer som involverar (stora) osäkerheter och där det finns en möjlighet till (stora) förluster/skador med avseende på något som värdesätts. Vi avslutar inledningen med ett exempel. EXEMPEL 1 EN LITEN TUVA (BRAND) SOM STJÄLPTE E T T STORT L ASS Det första exemplet som vi använder oss av involverar ett stort svenskt företag, Ericsson. Det avviker alltså från det sammanhang som vi i föregående avsnitt skrev skulle vara fokus, det vill säga offentliga aktörers riskhantering. Exemplet illustrerar dock sådant som är generellt för all riskhantering. Den 18 mars 2000 slog en blixt ned i en fabrik i Albuquerque, USA.1 Blixten startade en brand, men den släcktes snabbt och spred sig aldrig utanför rummet i vilken den började. I de flesta organisationer hade en sådan händelse troligtvis inte gett upphov till någon större uppståndelse utanför fabriken. I just detta fall blev dock konsekvenserna enorma. Fabriken ägdes av företaget Philips och rummet där branden startade var ett så kallat renrum, det vill säga en del av anläggningen där man hade mycket höga krav på förekomsten av luftburna föroreningar. Även om branden släcktes snabbt ledde den till stora skador på den utrustning som användes för att tillverka så kallade RF-chips (Radio Frequency chips).
1 Beskrivningen av exemplet är baserad på Norrman och Jansson (2004).
12
© FÖRFATTAREN OCH STUDENTLITTERATUR
01
/
I ntroduktion
RF-chips var en viktig komponent i mobiltelefoner och fabriken i Albuquerque var Ericssons enda leverantör av sådana chips. Det innebar att de drabbades mycket hårt av händelsen. Produktionsavbrottet blev hela sex veckor och efter ett halvår var produktionsvolymerna i fabriken bara 50 procent av dem man hade haft innan. För Ericsson innebar det en brist på miljontals RF-chips. Man kunde helt enkelt inte producera mobiltelefoner eftersom Philips inte kunde leverera, och i slutändan beräknades händelsen ha kostat Ericsson cirka 400 miljoner dollar och bidragit till att Ericsson valde att lämna mobiltelefonmarknaden. Vad har då denna brand med riskhantering i exempelvis kommuner att göra? Även om sammanhanget är mycket olikt innehåller historien om branden sådant som är mycket relevant även i en kommun. För det första illustrerar den en baksida med moderna produktionsmetoder som bygger på ”just-in-time”. Dessa innebär, i korthet, att onödiga lager kan skäras bort och i stället ser man till att en vara produceras och levereras exakt då den behövs. Fördelarna med att inte behöva binda kapital i lager är stora och i dag är detta något som genomsyrar de flesta producerande bolag. Men det innebär också att om något går snett kommer konsekvenserna att märkas snabbare och bli betydligt mer allvarliga än de hade blivit om man hade haft lager eller alternativa sätt att producera varan. Från ett riskhanteringsperspektiv finns det också en annan aspekt som är intressant. Händelsen, alltså branden, uppstod i en fabrik som tillhörde Philips. Det betyder att det var Philips som skötte anläggningen och som fattade beslut om hur produktionen skulle skötas. Kort sagt kan man säga att Philips skötte skyddet avseende bränder i anläggningen. Men det var ju Ericsson som drabbades av de allvarliga konsekvenserna av branden. För Philips märktes knappast branden. Deras intäkter ökade 55 procent under året och branden nämndes inte ens i årsrapporten. Alltså finns det en asymmetri med avseende på riskhantering. Den som drabbas hårt av de konsekvenser som följer av en
© FÖRFATTAREN OCH STUDENTLITTERATUR
13
01
/
I ntroduktion
viss händelse är inte nödvändigtvis den som har möjlighet att förebygga att händelsen inträffar. Detta är något som också är relevant för offentliga aktörer som har ett intresse av att exempelvis olika samhällsviktiga funktioner tillhandahålls, trots att de själva kanske inte kan påverka vilka insatser som genomförs för att undvika att avbrott inträffar. Branden kan också användas för att illustrera vikten av att vara förberedd för olika typer av störningar. Philipsfabriken levererade också till Nokia, en av Ericssons största konkurrenter. Skillnaden mellan hur Nokia och Ericsson hanterade störningen var dock stor. Nokias ledning blev snabbt varse branden och började ett intensivt arbete för att upparbeta andra försörjningsvägar för RF-chips. Man sökte över Europa, Asien och USA för att hitta alternativa leverantörer medan det gick långsamt för Ericsson att agera. I årsrapporten för Nokia år 2000 framgår att deras rörelseresultat för mobiltelefondelen ökade med 57 procent i jämförelse med året innan och slutade på 42 miljarder kronor.2 Ericsson däremot rapporterade en förlust på 24 miljarder kronor för deras mobiltelefon-division vilket var en minskning med 270 procent jämfört med året innan.3 Efter branden beskrev talespersoner för Ericsson det som ”we had no plan B”.4 Slutligen kan branden användas för att illustrera en viktig lärdom rörande riskhantering: även om konsekvenserna av en händelse som inträffat är mycket stora innebär det inte, per automatik, att de val man gjort och som påverkat hanteringen av risk varit dåliga. Tänk dig att du suttit i ledningsgruppen för Ericsson ett år innan branden och någon föreslog att det kunde vara bra att hitta en alternativ leverantör för RF-chips. I efterhand är det självklart en mycket bra idé eftersom vi nu vet vad som hände.
2 Nokias resultat presenteras i euro men har räknats om till kronor. År 2000 kostade en euro ungefär 8,5 kr. 3 Se Ericssons årsrapporter 1999 och 2000, samt Nokias årsrapport 2000. 4 Latour (2001).
14
© FÖRFATTAREN OCH STUDENTLITTERATUR
01
/
I ntroduktion
Men tyvärr har vi inte den lyxen när vi fattar beslut. Beslut måste alltid fattas under osäkerhet, vi kan helt enkelt inte med säkerhet veta om exempelvis en brand uppstår eller ej. Att ett beslut fattas under osäkerhet är dock inte samma sak som att vi inte har möjlighet att fatta bättre eller sämre beslut. Erfaren heten från flera olika områden visar på att en systematisk hantering, såsom informationsinsamling, analys och presentation av beslutsunderlag avseende risk vinner i längden. Tänk dig exempelvis ett försäkringsbolag som inte hade en systematisk hantering av risk. Det bolaget skulle inte finnas kvar. Eller en flygplansutvecklare som inte hade en systematisk riskhantering. En sådan organisation skulle ha fler plan som kraschar än plan som flyger. Att påstå att systematisk hantering av risk är viktigt är inte samma sak som att säga att riskhantering kommer att lyfta alla verksamheter, eller att en systematisk riskhantering kan uppnå vad som helst i vilket sammanhang som helst. Det kan den inte. Det finns självklart gränser. Ett syfte med denna bok är att läsaren ska bli bättre på att bedöma var dessa gränser går och när det, trots allt, kan vara värt att satsa lite mer på systematisk riskhantering.
© FÖRFATTAREN OCH STUDENTLITTERATUR
15
Risk has a very long past, but very short history. /Rosa (1998, s. 15).
02
Nuvarande och historisk utveckling Riskhantering har alltid varit en del av människors vardag. I för historiska tider handlade det exempelvis om risk relaterat till sjukdomar, brist på mat, överfall från vilda djur eller från andra människor. Att överleva handlade i mångt och mycket om att göra avvägningar under osäkerhet. Att ta alltför stora risker var självklart inte bra. Då riskerade man sin egen och kanske till och med sin grupps fortlevnad. Men, att hela tiden undvika situationer som skulle kunna resultera i allvarliga skador eller till och med död gick inte heller. Då skulle man inte kunna överleva eftersom man inte skulle få de potentiella fördelar som ett risktagande kunde föra med sig, exempelvis den mat som ett nedlagt byte genererade. Just denna balans mellan att försöka uppnå något viktigt, exempelvis att skaffa mat, och att skydda sig själv eller något annat man värdesätter är karakteristiskt för vad riskhantering handlar om även i dag. Alla förstår att vi inte kan investera alla våra resurser i ”skydd”, vad nu det skulle innebära. På samma sätt förstår man att det heller inte är klokt att helt bortse från att skydda sig. Ett företag som har en fabrik för att producera exempelvis bilar skulle ju kunna välja att investera i allt möjligt tänkbart skydd i fabriken, bästa © FÖRFATTAREN OCH STUDENTLITTERATUR
17
02
/
N uvarande och historisk utvecklin g
brandskyddet, bästa inbrottsskyddet, bästa översvämningsskyddet och så vidare. Men, om alla pengar går till skydd finns ju inget kvar till att utveckla det som faktiskt är företagets affärsidé, och vanligtvis betyder det att man som företag snart inte finns kvar. På samma sätt förstår man lätt att det heller inte är klokt att helt bortse från skydd, en brand kan ju innebära att man förlorar så mycket att man går i konkurs.
Vår evolution och risk: den interna riskmätaren Det sammanhang som människan har levt i under större delen av vår historia har självklart påverkat hur vi är benägna att hantera risker. Av de cirka 10 000 generationer människor (homo sapiens) som funnits har de allra flesta levt i små grupper, om troligtvis inte fler än 100–200 personer. Miljön de har befunnit sig i har till största delen varit lik en savann. Det är bara cirka fem-sex generationer sedan som elektriciteten och bilen gjorde intåg i vår miljö, bara trefyra generationer har vuxit upp med kärnkraft, och en generation har haft internet som en naturlig del av sin miljö. Dessa tekniska landvinningar och de risker som de innebär har troligtvis inte satt något större avtryck i vår hjärna när det gäller hur vi hanterar risk. I stället är de framsteg rörande riskhantering som vi gjort något som måste läras vidare från generation till generation. Det är ganska självklart att man måste lära sig att bli duktig på att hantera risker i komplicerade tekniska miljöer som exempelvis i kärnkraftverk och när man bygger flygplan. Men eftersom vår förmåga att hantera risker troligtvis har varit ganska viktig ur ett historiskt perspektiv finns det också mycket som är ”förprogrammerat” i vår hjärna. Dock ska vi komma ihåg att denna förprogrammering har kommit till genom evolution i sammanhang som skiljer sig väsentligt från de situationer där vi i dag måste hantera risk. Exempelvis verkar de flesta människor ha en inneboende ”riskmätare” som bara har tre lägen. Egentligen skulle det kanske vara bättre att
18
© FÖRFATTAREN OCH STUDENTLITTERATUR
02
/
N uvarande och historisk utvecklin g
kalla det för en ”osäkerhetsmätare”, men eftersom risk och osäkerhet är intimt förknippade (se kapitel 3) kallar vi den för riskmätaren. De två ytterlägena på denna interna riskmätare innebär att en viss händelse antingen inträffar med säkerhet, eller att den med säkerhet inte kommer att inträffa. Dessa ytterlägen kan observeras då människor agerar som om något inte kommer att inträffa trots att det inte är uteslutet att händelsen faktiskt kan inträffa, bara högst osannolikt. Eller, då människor agerar som om något med säkerhet kommer att inträffa, trots att det inte är uteslutet att händelsen faktiskt inte inträffar. Tänk dig en analys av översvämningar i en kommun där man bedömer att sannolikheten är liten, säg fem procent, att en mycket allvarlig översvämning kommer inträffa inom de kommande tjugo åren. Kommentaren från den ansvarige blir: ”Vad bra, då behöver vi inte bekymra oss om det!” Detta är självklart ett påhittat exempel, men att vi människor har svårt att skilja mellan att ”en händelse kommer inte att inträffa” och ”det är extremt osannolikt att en händelse inträffar” är tydligt. I stället för att fundera vidare på vad konsekvenserna av en översvämning kan tänkas bli och om det trots allt kan vara värt att genomföra någon typ av förbyggande åtgärd avfärdar man snabbt händelsen som att den ”kommer inte att inträffa”. Så här ser den interna riskmätaren ut: Ǵ Läge 1: Händelsen kommer inte att inträffa. Ǵ Läge 2: Händelsen kommer kanske att inträffa. Ǵ Läge 3: Händelsen kommer att inträffa. Detta är självklart en mycket grov och tillspetsad förenkling av hur vi människor tenderar att agera i riskfyllda situationer. Men den fungerar som en bra påminnelse om att det ofta inte kommer sig naturligt för oss att tänka i termer av sannolikheter och inte heller att göra skillnad mellan exempelvis 95 och 97 procents sannolikhet. En så finkalibrerad riskmätare är inte något som vi får med oss från födseln.
© FÖRFATTAREN OCH STUDENTLITTERATUR
19
Henrik Tehler är verksam som professor vid Avdelningen för riskhantering och samhällssäkerhet, Lunds universitet. Han har i över tjugo år bedrivit forskning med fokus på riskhantering i olika sammanhang. Det har handlat om alltifrån brandskydd till skydd av samhällsviktig verksamhet, till exempel arbete som bedrivs hos kommuner, länsstyrelser och nationella myndigheter då man arbetar med risk- och sårbarhetsanalyser.
Introduktion till risk och riskhantering Hur gör man för att lyckas skydda det som är skyddsvärt, trots stora osäkerheter? Den här boken ger en introduktion till ämnet riskhantering, med särskilt fokus på aktiviteter och kunskap som går att omsätta i praktiken när man vill göra exempelvis en riskanalys. Ett viktigt syfte med boken är att föra ut en del av den senaste kunskapen från riskhanteringsforskningen för att göra den praktiskt applicerbar. Boken ger ett antal grundläggande byggstenar som är relevanta oavsett vilken typ av hot man fokuserar på, och oavsett vilken metod för riskanalys man eventuellt är van att arbeta med. Målgruppen är både de som önskar en introduktion till riskhanteringsämnet, exempelvis studenter, och personer som arbetar med olika former av riskhantering, i såväl offentlig som privat regi.
Art.nr 45599
studentlitteratur.se