Av Y. AYSE B. NORDAL, Fagansvarlig – risikostyring, Undervisningsbygg Oslo KF
MSC, BSC METU, Licentiat NHH
Sertifisert – Akkreditert Risk Manager QMCE

Ayse har vært medlem av arbeidsgruppen for utarbeidelse av Veileder for risikostyringsfunksjonen som blir utgitt av IIA Norge.


1. Bakgrunn
En modell er en forenklet fremstilling av variabler, forhold og relasjoner som vi møter i virkeligheten. Modellen kan være fysisk, symbolsk, matematisk, verbal eller grafisk. Uansett form er dens misjon å bidra til at vi forstår et fenomen, og dets påvirkning på andre forhold, slik at vi kan predikere disse variablenes fremtidige utvikling.

Risikomodeller har samme misjon. De bidrar til at vi forstår risikoene, prioriterer de viktigste og estimerer deres fremtidige utvikling. Det finnes ulike modeller i markedet med ulikt sofistikeringsnivå som benyttes for disse formål, eksempelvis finansielle risikomodeller, Monte Carlo simuleringer, Bow Tie analyser og beslutningstreet, men de fleste virksomheter velger en risikomatrise som «modell», siden denne representerer en enkel metode for å visualisere og prioritere risikoene. Utfordringer ved bruk av risikomatriser er forutsetningene som ligger til grunn, og som ofte ikke diskuteres med beslutningstakere.

Hensikten med denne artikkelen er å synliggjøre forutsetningene som ligger bak ulike risikomatrisene og å oppfordre brukerne til å forstå, vurdere og akseptere disse før de tar matrisene i bruk.

2. Utfordringer ved bruk av risikomatriser
2.a.Fargeskalaen på risikomatrisen innebærer indirekte forutsetninger om virksomhetens risikoappetitt.
I følge ISO 31000 «…uttrykkes risiko ofte som en kombinasjon av konsekvensene av en hendelse (inkludert endringer i omstendighetene) og den tilhørende muligheten for at den skal forekomme…»(1)

Den vanligste tilnærmingen til risiko (R) er å definere den som R= Sannsynlighet * Konsekvens, selv om denne definisjonen innebærer flere svakheter siden den ikke tar hensyn til eksempelvis samvariasjonene mellom risikoene og de forsterkende snøballeffektene.


Risikomatrise
Figur 1: Konsekvens

I samsvar med den ovennevnte definisjonen inneholder en risikomatrise en sannsynlighets- og en konsekvensskala. Området under matrisen klassifiseres som lav-, middels- og høyrisikoområder. Figur 1 beskriver den enkleste form av risikomatrise, der grønne, gule og røde celler fremstiller henholdsvis lav, middels og høyrisiko.

I markedet finnes det et stort antall risikomatriser med ulike egenskaper. Med referanse til K. Anderson opplyser Richard Jarrett and Mark Westcott at det er funnet mer enn 800 varianter ved en Google-søk. [4] Det blir enkelte ganger oversett at, til tross for et svakt teoretisk fundament, forsøker disse matrisevariantene å gi et visuelt uttrykk for virksomhetens risikoappetitt.

Risikoappetitt defineres som det nivå av usikkerhet en organisasjon er villig og har evne til å eksponere seg for å kunne gjennomføre sine aktiviteter og realisere sine mål. Risikomatrisen som Figur 1 beskriver forutsetter en risiko-nøytral innstilling. Matrisen inneholder like stort areal for lav-, høy- og middelsrisiko dvs. 33,33 %.

Matrisen i Figur 2 beskriver en helt annetinnstilling til risiko. Kun 14% av arealet er grønt. Dvs. matrisen vil klassifisere brorparten av hendelsene som høy og middelsrisiko-hendelser som ville kreve tiltak.

Risikoaversjon
Risikomatrise
Figur 2: Konsekvens

Stor risikovillighet
Risikomatriser
Figur 3: Konsekvens

En slik matrise ville passe en virksomhet med høy risikoaversjon. Matrisen i Figur 3 fremstiller den motsatte innstilling til risiko. I denne matrisen vil veldig få hendelser klassifiseres som høy-risiko hendelser.

Enhver virksomhet som ønsker å benytte en risikomatrise for å identifisere, rangere og prioritere sine risikoer bør sette seg i matrisens egenskaper. Hvilke forutsetninger har matrisen? Blir sannsynlighet-og konsekvens vektet like i risikoberegningen? Innebærer matrisen prioriteringer vedrørende risikoappetitt eller er den risiko-nøytral? Hvilke antagelser ville passe best for den aktuelle virksomheten? Det, eksempelvis, ville være en stor feil å vurdere HMS-området med en matrise, som er beskrevet i Figur 3, som innebærer stor risikovillighet.

2.b. Risikomatrise samsvarer ikke med virksomhetens risikoforståelse og risikodefinisjon.
Tidligere ble begrepet risiko forbundet utelukkende med uønskede hendelser med negative konsekvenser. I dag defineres begrepet i samsvar med prinsippene for helhetlig risikostyring, med fokus på usikkerheten, som kan påvirke måloppnåelsen og gjennomføringen av virksomhetens strategi. ISO 31000 definerer risikoen som virkningen av usikkerhet knyttet til mål. En virkning er avvik fra det forventede, positivt eller negativt. [5]

COSO, Thought Leadership in ERM, «Risk Assessment in Practice» har i 2012 presentert risikomatrise med muligheter.[6] 

Også det oppdaterte COSO- rammeverket som har nylig vært under høring forsøker en helhetlig tilnærming til risiko. Risiko defineres som muligheten for en hendelse som kan påvirke oppnåelsen av virksomhetens strategi og målsetninger. [7] 

I sine strategidokumenter og målformuleringer forteller mange virksomheter at de ser på risiko som et begrep som innehar både opp-side og nedside. Usikkerheten kan resultere i uønskede hendelser, men den kan også bringe muligheter. Når det gjelder matrisevalg derimot velger de fleste de løsningene som identifiserer og rangerer kun de uønskede hendelsene. Få virksomheter tar i bruk matriser som er beskrevet i Figur 4, som gjør det mulig å kartlegge og rangere både positiv og negativ usikkerhet.

Risikoer og muligheter
Risikomatriser

 

 


Figur 4: Konsekvens

2.c Risikomatrise kan ha logiske brister.
Mange virksomheter er lite grundige når de definerer sannsynlighet- og konsekvensskalaene på risikomatrisen. I enkelte tilfeller kan begrepsbruken og skaleringen inneholde logiske brister. Matrisen i Figur 5, som er i bruk i en rekke virksomheter er et slikt eksempel.

Figur 5

På sannsynlighetsskalaen av denne matrisen blir det laveste nivået definert som usannsynlig. Dette er et vanskelig begrep å operasjonalisere. Begrepet usannsynlig kan tolkes som ikke sannsynlig. Skulle begrepet omfatte «null sannsynlighet» vil risikoen være et punkt på matrisen, dvs. origo. (R= null* konsekvens). Å definere «usannsynlig» risikosom et intervall som denne matrisen gjør ville da innebære en logisk brist.

Skulle begrepet inneholde minimal risiko som er større enn null, da vil den valgte fargeskalaen innebære en logisk brist, siden matrisen klassifiserer hendelsene med en veldig lav sannsynlighet men med svært alvorlige konsekvenser som hendelser med lav risiko. Dette er ikke realistisk. Eksempelvis, i bygg og anleggsvirksomheten er dødsulykkene heldigvis meget sjeldne. De har minimal sannsynlighet. Konsekvensene av slike ulykker i form av arbeidsmiljøkonsekvenser, erstatningskrav og omdømme tap derimot er veldig alvorlige. Det vil da være en logisk brist hvis matrisen i bruk skulle definere slike hendelser som lavrisiko hendelser.

Konklusjon
En risikomatrise er et lavterskel verktøy, som er praktisk å bruke på risikoworkshop, for å definere og følge opp tiltak. Matrisen visualiserer virksomhetens risikoer og prioriteringer. Den representerer en lett forståelig dokumentasjon og utgangspunkt for rapportering.

Det er viktig at risk manager og internrevisor forstår forutsetningene av verktøyet som er i bruk, og det brukes med omhu. Alle instanser som benytter matrisen for analyse- og rapporteringsformål bør informere beslutningstakere om matrisens forutsetninger og mulige svakheter. InternrevisoreN stiller vanligvis kritiske spørsmål om risikoformuleringene, risikohåndteringen og rapporteringsrutinene. Bør egnetheten av risikomatrisen som blir benyttet under risikovurderingen også komme til internrevisorens kritiske søkelys?

I egenskap å være den tredje forsvarslinjen i en virksomhet skal internrevisor gi styrende organer og toppledelsen en objektiv bekreftelse på internkontrollen og risikostyringen i virksomheten.

Kilder:
[1]ISO, ISO 31000:2009, Risk management – Principles and guidelines, 2.1, MERKNAD 4 side: 2

[2] COSO (Committee of Sponsoring Organizations of the Treadway Commission) Internal Control Integrated Framework, Executive Summary, May 2013, side: 4

[3] Y. Ayse B. Nordal, «Modelling Risks – Limitations and Challanges» International May Conference on Strategic Management, 28. mai 2016, Technical Faculty at Bor, University of Belgrade.

[4] Richard Jarrett and Mark Westcott, Quantitative Risk. Dealing with Uncertainties in Policing Serious Crime, Australian National University, ANU-Press, 2010; side: 2

[5] ISO, log.cit. side: 2

[6] COSO, Thought Leadership in ERM “ Risk Assessment in Practice”, October 2012, side:15

[7] COSO ERM Aligning Risk With Strategy and Performance, June 2016, side: 9