Hvad er en risikoanalyse og risikovurdering?
Resultatet af en risikoanalyse er en risikovurdering. I en risikovurdering bliver en organisations potentielle trusler og udfordringer kortlagt. En risikovurdering er i sig selv brugbar, til at give et billede af trusler en organisation står overfor. Men risikovurderingen giver størst værdi, hvis der ud fra hver risici lægges en klar handlingsplan. På den måde kan en potentiel trussel hurtigt og effektivt blive afværget, eller ligefrem blive til en udviklingsmulighed for organisationen.
En nyttig risikovurdering forudsætter en grundig og systematisk risikoanalyse. Det er ikke kun for at sikre at vurderingen er sandfærdig, men også at den senere kan sammenlignes med senere risikoanalyser.
Lav din egen risikoanalyse
En risikoanalyse kan være en værdifuld, men omfattende opgave, hvis hele organisationen skal analyseres. Derfor kan en risikoanalyse sagtens også gennemføres med fokus på nogle af organisationens områder eller niveauer.
Et eksempel på en risikoanalyse er, at analysere risiciene i en organisations strategiske niveau. I dette eksempel vil ledelsen tit stå for analysen, hvor den overordnede strategi og mål for virksomheden vil blive analyseret for risici. Hvilke risici er der eksempelvis, ved at investere mere i én produktkategori, fremfor i flere?
En risikoanalyse kan inddeles i 3 faser:
Forberedelse
Inden en risikoanalysen skal foretages, er det vigtigt at gøre sig nogle forberedelser. Først og fremmest skal ledelsen sikre at der er afsat tid og ressourcer til analysen. Arbejdet med en risikovurdering er ligesom en forsikring: Man betaler til et uheld, som ikke er sket, men potentielt kan ske, og som kan have store konsekvenser. Start derfor med at sikre at topledelsen er involveret og accepterer investeringen. I samme proces kan risikoanalysens omfang blive defineres. Skal hele organisationens undersøges? Eller er det et afgrænset område?
Teamet
Derefter skal det rette team samles. I teamet skal der som minimum indgå en projektleder, som står for projektets fremdrift. Heri varetage mødeindkaldelser, opfølgning på opgaver mv. Resten af teamet skal være relevante medarbejdere, som har indsigt i organisationens virke. Størrelsen af teamet afhænger af organisationens størrelse og risikoanalysens omfang. Det er dog anbefalelsesværdigt at inddrage en bred medarbejdergruppe, som har forskellige vinkler og indsigt i virksomheden. På den måde kan blinde vinkler spottes og faldgruber i analysen undviges.
Fordelingen af ansvar
Hvert medlem af teamet skal have fordelt et ansvarsområde for analysen. Fordelingen af ansvar er ikke kun vigtigt for det indbyrdes samarbejde, men også for at sikre, at de rette personer er sat på den rette opgave.
Risici, trusler og sårbarhed
I en risikoanalyse bliver risici fundet og beskrevet. Men en reel vurderingen af deres konsekvenser kan være svært. For hvor stor en konsekvens har et dårlig brand image? Eller et indbrud med tab af værdifulde værktøjer?
Der er grundlæggende to metoder til at lave en analyse: Kvantitativ og kvalitativ. I den kvantitative metode vil hver risici blive kvantificeret i form af tal. Det kan være økonomiske konsekvenser, medarbejder tab, mv. Fordelen ved den kvantitative metode er at hver riscis økonomiske konsekvenser bliver tydelig for alle. Og resultaterne kan nemt indekseres i forhold til hinanden. Ulempen er at processen kan tage uhensigtsmæssig lang tid og ikke alle risici, kan beregnes til faktuelle tal.
Kvalitativ metode
Den anden metode er at bruge en kvalitativ metode. Her defineres en skala og med hver sin betegnelse. Eksempelvis: A. Ødelæggende. B. Meget alvorligt. C. Alvorligt. D. Mindre alvorligt. E. Beskedent.
Fordelen ved en kvalitativ metode er, at den er hurtig at anvende og skalaen er nem at aflæse. Ulempen er at vurderingen kan blive subjektiv og resultaterne dermed mindre brugbare.
Risikoanalysen kan med fordel udfyldes i et skema. Det giver et nemt overblik over alle opdagede risici:
| Skala | Betegnelse | Beskrivelse |
| A | Ødelæggende | Tab på mere end xx. kr. Nøglepersoner stopper Vigtigste kunde afbryder samarbejde IT hacking |
| B | Meget alvorligt | Tab på mellem x-y kr. Dårligt omtale i pressen Alvorlige skader på essentielle aktiver Indbrud |
| C | Alvorligt | Tab på mellem x-y kr. Tab af større kunde/indtjeningskilde Skader på aktiver |
| D | Mindre alvorligt |
Tab på mellem x-y kr. Potentiel ny konkurrent på markedet |
| E |
Beskedent
|
Forglemmelser af mindre karakter
|
Forskellige risici har forskellige grader af sandsynlighed for at ske. Denne sandsynlighed beskrives i en trusselsvurdering. Her skal teamet gennemgå skemaet og vurdere hvor stor sandsynligheden er, fra høj til lav, for at en risici bliver til en realitet. Her bliver truslens indgange også fundet. Er det eksempelvis en intern trussel (IT, medarbejdere, ledelse mv.) eller en ekstern (samarbejdspartnere, forsyningskanaler, hackere mv.).
Med en sårbarhedsvurdering bliver truslen for hver risici vurderet. Her er fokus om organisationen er sikret imod trusler eller er sårbar overfor dem. Er IT sikkerheden eksempelvis i orden? Er fortrolig viden om organisationen tilgængelig for de forkerte?
Et eksempel på en risikoanalyse med trussel- og sårbarhedsvurdering:
| Skala | Betegnelse | Beskrivelse | Trussels Indgang | Trusselsniveau (sandsynlighed) | Sårbarhedsvurdering |
| A | Ødelæggende | Hacking af interne servere | Ekstern | Mellem | Høj |
Handlingsplan
En handlingsplan bør fungere ligesom et kort over flugtveje i en bygning gør. Det er strategier som effektivt afvikler truslen og som alle i virksomheden er indforståede med. En god handlingsplan kan blive forskellen på en krise og en konkurs.
Når hver risici er blevet vurderet og analyseret, bør den risikovurderingen blive præsenteret for ledelsen og/eller andre relevante personer. De rette løsninger skal findes til hver risici og det kræver ressourcer. Derfor er det anbefalet at risikovurderingen præsenteres til virksomhedens ansvarshavende. Ødelæggende og meget alvorlige trusler bør elimineres med det samme, hvis muligt. Hvis ikke, skal der lægges en konkret handlingsplan for scenarier hvor risicien bliver en realitet. Et scenarier kunne eksempelvis være dårlig omtale i medierne. Da skal forudbestemt person i organisationen være klar til at gribe truslen og, baseret på den aftalte handlingsplan, håndtere sagen.
Undgå faldgruberne i en risikovurdering ved at følge disse 3 råd:
1. Afgræns risikoanalysen
En risikoanalyse kan som sagt blive en omfattende opgave, særligt hvis den ikke afgrænses. Det er at foretrække en afgrænset, men kvalitetsfuld, risikoanalyse på særlige udvalgte områder af en virksomhed. Fremfor en bred og udetaljeret risikoanalyse på mange områder/niveauer.
2. Systematiske metoder sikre en god risikoanalyse
En risikoanalyse bør udarbejdes på data og faglige, velbegrundede indsigter. Det kræver et dygtigt og erfarent team, men også at analysen udarbejdes med de rette metoder. Om den kvalitative eller kvantitative metode vælges, er op til teamet. Men teamets aftalte skala skal følges og være beskrevet, så alle er indforståede med skalaens værdier.
En systematisk tilgang til en risikoanalyse sikre, at analysen kan sammenlignes med efterfølgende analyser. Analysen kaster dermed ikke kun en handlingsplan af sig, men også et benchmark for risici for organisationen i fremtiden.
3. Husk handlingsplanen
En risikovurdering giver overblik over en virksomheds forestående trusler og risici. Men vurderingens største værdi ligger gemt i handlingsplanen, som løfter vurderingen fra et risici overblik til et aktivt værktøj for organisationen. Handlingsplanen er sidste skridt i risikoanalysen, men det første skridt i at sikre en organisation fra potentielle ødelæggende trusler. Husk derfor at gemme eller bruge ressourcer på denne del.
Udbyttet af en risikovurdering
Med en tydelig og defineret risikovurdering, kan trusler forudsiges og håndteres inden de forekommer. For organisationen ligger der værdifulde indsigter i sårbarheder som organisationen har, og muligheden for at forbedre dem. En risikovurdering vil ofte være et intern værktøj, men det kan også sikre et bedre samarbejde med kunder eller samarbejdspartnere. I vurderingen kan potentielle trusler blive italesat, som kunderne potentielt også bekymre sig om. Eksempelvis databehandling, fortrolighedsaftaler, markedsudviklinger mv. Da kan organisationen tidligt ikke kun behandle truslen selv, men også finde den rette kommunikation til at imødekomme bekymringen hos kunderne.
