Risker kan vara svåra att upptäcka, och därtill ännu svårare att förbereda sig för och hantera på ett lämpligt sätt. Om man ställs inför konsekvenser som man inte hade planerat för kan det kräva både tid och pengar att lösa. Samtidigt kan det leda till onödig oro och panik att överdriva och att överreagera på risker, vilket kan göra mer skada än nytta. Det här gör en risk och konsekvensanalys till ett viktigt verktyg för många företag och organisationer. Det kan hjälpa en att identifiera och förstå risker i ens omgivning, och att minimera de konsekvenser som skulle kunna påverka ens planer. Genom att hantera risker och dess konsekvenser på ett logiskt sätt kan man ta reda på vilka prioriteringar man bör göra, vad man kan och inte kan kontrollera samt tackla de problem och konsekvenser som ändå uppstår på ett bättre sätt.
Att bedöma risker kan ibland kännas som en väldigt subjektiv uppgift och det kan vara farligt att vara allt för vag eller till och med gissa sig fram. Att göra en risk och konsekvensanalys är inte något man gör på fem minuter, men är en nödvändig aktivitet för att inte skapa ännu mera risk. En risk och konsekvensanalys identifierar alla de risker som har potential att påverka företagen och dess verksamheter. Den kalkylerar konsekvenser och sannolikheten för att specifika situationer ska uppstå. Den här texten tittar närmre på risk och konsekvensanalysen, när den bör användas och hur man går tillväga.
Vad är en risk och konsekvensanalys?
Risker är någonting som existerar överallt. De kan vara stora eller små, enkla eller komplexa och mer eller mindre allvarliga. En risk består av två stycken delar, nämligen sannolikheten för att någonting ska gå fel samt de negativa konsekvenser som skulle följa om det faktiskt gick fel. Det är först när man är medveten om alla potentiella risker i ens omgivning som man kan göra sin miljö så riskfri som möjligt. Även fast det inte är bra att överdriva risker så bör man alltid planera och förbereda sig så gott det går inför riskfyllda situationer. Om man har ansvar för andra människor och medarbetare så är man dessutom skyldig att minimera risker i dessa personers arbetsmiljö och vardag. Därtill kan man ofta spara stora summor pengar och andra resurser genom att förhindra risker, istället för att vänta på att en risk ska ske och sedan behöva betala för det i efterhand. Beroende på vilken typ av risk det gäller kan det nämligen bli väldigt dyrt.
En risk och konsekvensanalys är den process där man bedömer sannolikheten för och konsekvenserna av risker som kan uppstå. Resultaten av analysen används sedan för att prioritera risker. Hur man prioriterar de olika riskerna baseras på hur allvarliga eller viktiga de är samt hur betydelsefulla de är för företaget eller ett visst projekt. Analysen informerar chefer och arbetsledare om hur och var resurser bör fördelas.
När man gör en risk och konsekvensanalys bör man alltid vara noggrann med att beskriva varför analysen behövs, vilken del av företaget analysen avser samt vad det specifika syftet med analysen är. Därtill måste man också ange vem inom företaget som kan komma att påverkas och hur. Det är viktigt att man anpassar risk och konsekvensanalysen så att den passar den situation eller nivå av företaget som den avser. Därtill bör man inkludera olika medarbetare och parter i arbetet med analysen, så som anställda från olika avdelningar samt skyddsombud. Ett skyddsombud är någon som representerar till exempel företagets medarbetare. Det ska helst vara någon som är insatt i arbetet och som har en del kunskap om arbetsmiljön.
När man bör göra en risk och konsekvensanalys
Det finns olika varianter av risk och konsekvensanalysen, som passar bra för olika tillfällen. Det finns några tillfällen där man som ledare alltid bör se till att göra en risk och konsekvensanalys, för att på så sätt säkerställa en säker arbetsmiljö enligt rådande arbetslagar och -regler. Exempel på situationer och händelser där en risk och konsekvensanalys kan vara nödvändig eller användbar är:
- När nya rutiner, regler, instruktioner eller metoder ska implementeras i verksamheten
- När företaget installerar nya maskiner eller annan ny utrustning
- Vid flytt, nybyggnad eller ombyggnad av arbetsplatsen
- Om företagets organisationsstruktur förändras på ett sådant omfattande sätt att personalstyrkan förändras mycket eller om man till exempel slår ihop två eller fler avdelningar eller företag
- Inför användning av farliga substanser, kemiska produkter och brandfarliga ämnen och artiklar
- När man planerar ett nytt projekt, för att kunna förutse och förhindra eventuella problem
- När man ska bestämma om ett visst projekt bör bli av eller ej
- När man ska förbättra säkerheten på arbetsplatsen
- När man behöver förbereda sig inför naturkatastrofer
- När man planerar för förändringar i företagsmiljön, så som nya konkurrenter på marknaden eller nya statliga regleringar.
Skillnad mellan risk och konsekvensanalys och analys av affärseffekter
Det kan vara lätt att blanda ihop risk och konsekvensanalysen med den så kallade Analysen av affärseffekter. En analys av affärseffekter (förkortat BIA på engelska för Business Impact Analysis) bedömer det ekonomiska belopp som ett företag riskerar att antingen förlora eller vinna under vissa definierade omständigheter. Analysen utgår från värsta tänkbara scenarier och gör det möjligt att förstå situationen i fråga och med vilken hastighet man kan förvänta sig förlusten (eller vinsten) under fasta förhållanden. En analys av affärseffekter används för att identifiera omfattningen av finansiella och operativa konsekvenser som härrör från olika risker i affärsmiljön. Analysen gör att man kan förstå hur ens företag skulle klara sig under exempelvis ett driftstopp och därtill beräkna återhämtningstiden för ens tjänster.
En risk och konsekvensanalys identifierar å andra sidan alla möjliga risker som skulle kunna påverka ett företag och dess verksamhet. Den här sortens analys syftar till att kvantifiera både konsekvenserna och sannolikheten för att risken ska uppstå. På så sätt fokuserar risk och konsekvensanalysen mycket på själva orsakerna som ligger bakom eventuella störningar och risker, eftersom det är genom orsakerna man kan räkna ut sannolikheten. Det är som sagt ett värdefullt verktyg för att identifiera hot av olika slag och vidta nödvändiga åtgärder för att reducera riskerna till en acceptabel nivå. Den mest grundläggande skillnaden mellan dessa två analysverktyg, vilka båda är viktiga för många företag, är att analysen av affärseffekter inte direkt fokuserar på sannolikheten för olika risker, utan istället bara utgår från värsta tänkbara scenario.
Så går man tillväga
Det finns som sagt olika tillvägagångssätt för att genomföra en risk och konsekvensanalys. Hur omfattande analysen bör vara beror på vad det är man analyserar, hur stora och allvarliga riskerna skulle kunna vara och vilken typ av verksamhet det gäller. Dessa faktorer bestämmer också hur många individer som bör vara delaktiga i risk och konsekvensanalysen. I det här avsnittet beskrivs ett av tillvägagångssätten för att utföra den här sortens analys. Först beskrivs riskanalysen och därefter konsekvensanalysen.
Så analyserar man riskerna i risk och konsekvensanalysen
Det här tillvägagångssättet följer fem stycken steg för att analysera risker.
Steg 1. Identifiera risker
I det första steget börjar man identifiera alla möjliga risker och faror, det vill säga det som skulle kunna orsaka någon eller något skada. Arbetsgivare har en juridisk skyldighet att bedöma hälso- och säkerhetsrisker som de anställda kan ställas inför. Därför bör man med jämna mellanrum och vid de situationer som nämndes tidigare kontrollera för möjliga ekonomiska, fysiska, mentala, kemiska och biologiska faror och risker. Här följer exempel på en vanlig klassificering av risker:
- Ekonomiska risker: Förlust av kapital, dåliga investeringar, inkomstbortfall på grund av störningar med mera.
- Fysiska risker: Lyfta tunga objekt, dåliga arbetsställningar, fall och olyckor, oväsen, damm och smuts samt användning av maskiner och annan utrustning.
- Mentala risker: För tung arbetsbelastning, för många timmar, arbete med väldigt krävande kunder, mobbning på arbetsplatsen med mera. Denna typen av risker kallas också för ”psykosociala” risker, och påverkar mental hälsa och förekommer inom förhållanden och relationer på arbetsplatsen.
- Kemiska risker: Asbest, rengöringsmedel, aerosoler, med mera.
- Biologiska risker: Exempelvis olika infektiösa sjukdomar som kan drabba anställda inom sjukvården (hepatit, tuberkulos etc.)
Steg 2. Avgör vem som kan drabbas av risken och hur
För att identifiera vem som kan drabbas av en risk så börjar man med att titta på företagets fast anställda. Därefter utreder man de som företaget anställer som konsulter, företagets besökare och kunder samt andra människor som befinner sig på arbetsplatsen då och då. Arbetsgivare måste undersöka rutiner i alla de miljöer och platser där dess anställda arbetar. Det kan till exempel gälla:
- I en matbutik kan risker existera vid repetitiva uppgifter och rutiner vid kassorna, vid tunga lyft på lagret, halkrisker om något är utspillt på golvet med mera. De anställda riskerar också att bemötas på ett otrevligt eller till och med våldsamt sätt av butikens kunder, eller av inkräktare på kvällstid.
- På kontor finns det risk för att de kontorsanställda upplever en dålig luft, sitter vid icke ergonomiska skrivbord och stolar och spenderar mycket tid framför en skärm. Varje arbetsplats bör anpassas specifikt efter den som sitter där och jobbar.
Steg 3. Bedöm riskerna och vidta åtgärder
Det här steget innebär att arbetsgivarna måste överväga hur sannolikt det är att varje risk kan orsaka skada. Detta kommer att avgöra huruvida man som arbetsgivare bör vidta åtgärder för att minska risknivån. Även efter att alla försiktighetsåtgärder har vidtagits så kvarstå det vanligtvis en viss risk. Arbetsgivare måste besluta om varje återstående risk bedöms vara fortsatt hög, medium eller låg.
Steg 4. Dokumentera analysen
Arbetsgivare som har fem eller fler anställda måste i regel dokumentera de viktigaste resultaten av riskanalysen. Denna dokumentation bör innehålla uppgifter om samtliga eventuella risker som har identifierats i riskbedömningen och de åtgärder som har vidtagits för att minska eller eliminera risken helt. Dokumentationen fungerar som bevis för att analysen har utförts och används sedan som grund för en senare granskning av arbetsplatsen. Riskbedömningen är ett arbetsdokument som alla anställda ständigt borde ha tillgång till.
Steg 5. Utvärdera riskanalysen
En riskanalys bör utvärderas och även revideras för att på så sätt säkerställa att de säkerhetsföreskrifter man kommit överens om efterföljs, av såväl arbetsgivare som anställda.
Konsekvensanalysen
Eftersom alla företag är olika så finns det heller inte ett enda rätt sätt att göra en konsekvensanalys på. I allmänhet kan processen brytas ner i tre steg, men det är också möjligt att lägga till fler steg, ändra ordningen eller i vissa fall ta bort steg.
Steg 1. Förbered analysen
Hur bra en konsekvensanalys blir beror ofta till stor del på hur bra man har förberett analysen. Det bästa är om man använder sig av samma team som vid riskanalysen, eftersom att riskanalysen i praktiken sitter ihop med konsekvensanalysen. Man bör se till så att det team man använder besitter all kunskap och kompetens som krävs för att kunna göra en noggrann analys. Det är viktigt att analysen har ett tydligt mål och att man kommunicerar mål, syfte och omfattning av analysen till samtliga deltagare. Ibland kan man behöva ta hjälp av en extern konsult.
Steg 2. Samla in information
Nästa steg går ut på att samla in all tillgänglig information om de områden och situationer som kan komma att påverkas av en risk eller händelse. Man kan till exempel behöva lista flera olika avdelningar, processer, kundgrupper, strategier med mera. Det finns två huvudsakliga sätt att samla in informationen på, nämligen genom frågeformulär och genom datainsamlande intervjuer. Båda metoderna har fördelar såväl som nackdelar, vilket är anledningen till varför många väljer att kombinera dem båda.
Steg 3. Utvärdera den insamlade informationen
Det sista steget är att utvärdera och förstå den information som man har samlat in. Riskerna och konsekvenserna rangordnas efter hur allvarliga och omfattande de är, samt hur stor sannolikheten är för att de ska ske. De risker som löper högst risk att inträffa och där konsekvenserna skulle vara mycket allvarliga rangordnas högst och deras åtgärder prioriteras. Den här typen av risker bör man alltid åtgärda direkt. Slutligen dokumenterar man även konsekvensanalysen och beskriver de metoder som använts, vilka resultat man fått och anger de rekommendationer för åtgärder som analysen resulterat i.
Bästa praxis och lärdomar
Det är viktigt att anpassa bedömningskriterierna i analysen efter den aktuella situationen eller projektet som ska analyseras. När man analyserar riskerna och konsekvenserna bör man använda metoder och verktyg som är lämpliga för just den analysen. Därtill ska man alltid se till att dokumentera syftet med sin risk och konsekvensanalys och för varje enskild riskbedömning eftersom förhållandena eller miljön kan komma att ändras och då påverka bedömningen. Syftet hjälper dessutom till med att kommunicera riskens betydelse.
När man gör en risk och konsekvensanalys är det viktigt att man är specifik för just det område analysen gäller för. Samtidigt måste man dock också kunna applicera ett systemperspektiv på analysen. Det beror på att saker och ting ofta hänger ihop, även när det inte är direkt uppenbart, och dagens processer blir därtill allt mer komplexa och beroende av varandra.
Slutligen bör man skräddarsy sin metod för att prioritera riskerna efter situationen eller projektet i fråga. Man matchar helt enkelt prioriteringarna med det existerande bedömningsbehovet. Behov kan till exempel inkludera tidsbrist som en prioriteringsfaktor, hur lätt det är att identifiera risken eller förmågan att ha förståelse för risker som har många olika potentiella konsekvenser samtidigt. Varje riskområde kommer ha olika prioriteringar.
Slutsats
En risk och konsekvensanalys är ett vedertaget sätt för att identifiera och bedöma risker och dess efterföljande negativa påverkan på ett företag, del av företagets verksamhet eller ett projekt. Den här typen av analys gör det möjligt att utvärdera de risker man misstänker samt avgöra hur stor sannolikheten är för att riskerna kommer ske. En risk består nämligen av två viktiga delar. Den utgörs till en del av just sannolikheten för att risken kommer hända, och till en del av konsekvenser som skulle kunna inträffa om risken skedde. Med hjälp av en risk och konsekvensanalys kan man ta välinformerade beslut, prioritera åtgärder och därmed göra sin verksamhet, lönsamhet och arbetsmiljö säkrare för alla inblandade.
Det finns olika sätt att göra en risk och konsekvensanalys på. En del kombinerar de två medan andra först gör en riskanalys och sedan en efterföljande konsekvensanalys. På så sätt kan en risk och konsekvensanalys bestå av olika många steg, ha varierande omfattning och inkludera få eller många deltagare. Det viktigaste är att man inkluderar ett brett och kompetent team för analysen, och gärna såväl arbetsgivare som anställda. I teamet ska det också helst ingå ett skyddsombud, vilket är en person som representerar de medarbetare som troligtvis skulle drabbas av risken och dess konsekvenser om det inträffade.
När man har genomfört risk och konsekvensanalysen har man förhoppningsvis den information som behövs för att kunna undvika så mycket risk som möjligt, och minimera de risker som återstår. För de risker som återstår kan man till exempel välja att sprida ut risken eller göra så mycket som möjligt för att mildra dess konsekvenser om risken inte går att förhindra. En risk och konsekvensanalys bör alltid dokumenteras, dels för att man ska kunna hänvisa till den under arbetets gång och dels för att kunna göra utvärderingar och ändringar allt eftersom att arbetsförhållanden skiftar.