Riskmatris: Visuellt verktyg att tydliggöra omfattningen av en risk

I många sammanhang och inom många yrken arbetar man med risk och riskhantering.

Risk kan definieras som sannolikheten att en negativ händelse, vars tidpunkt, form eller varaktighet är okända, inträffar.

Risk gäller alltså bristen på säkerhet om resultatet av att göra ett specifikt val.

Riskmatris

Det finns olika sätt att beskriva risk, exempelvis med kvalitativa eller kvantitativa metoder.

I den här artikeln ges en beskrivning av hur man kan beskriva och tydliggöra risk med en riskmatris.

Vad är en Riskmatris?

En riskmatris är ett visuellt verktyg att tydliggöra omfattningen av en viss risk.

Den ena axeln visar sannolikheten för att risken inträffar, medan den andra axeln kan visa exempelvis den negativa händelsens omfattning.

Ofta markeras också de olika rutorna i färgerna grönt för låg risk, gul för mellanhög risk, orange för hög risk och röd för extremt hög risk.

När används riskmatriser?

Riskmatriser kan användas av företag och organisationer som måste arbeta på ett systematiskt sätt med sin riskhantering.

Det finns standardmatriser som används i vissa sammanhang, men det är också fullt möjligt att modifiera befintliga matriser eller skapa egna som passar det specifika syftet.

Riskmatriser används för att avgöra vilken nivå av risk organisationen är beredd att ta vid olika tillfällen.

Detta görs genom att väga risken för att en händelse inträffar mot den beräknade kostnaden för att implementera säkerhetsåtgärder för densamma.

Det kan också finnas sammanhang när organisationer väljer att genomföra eller inte genomföra olika förehavanden baserade på vilken risk dessa tilldelats enligt organisationens riskmatris.

Exempel på riskmatris

En riskmatris kan ha ett antal olika nivåer beroende på i vilken situation den används.

I det nedanstående demonstreras en riskmatris för sannolikheten för sjukskrivning vid olika händelser.

För att exemplifiera riskmatrisens utseende kan man föreställa sig en matris med nio rutor, det vill säga tre gånger tre.

På den lodräta axeln anges sannolikhet, vilket i det här fallet kan vara ”osannolik” på raden längst ned, ”vanlig” på mittenraden och ”mycket vanlig” på raden högst upp.

På den vågräta axeln anges till exempel konsekvens, vilket kan vara ”obehag, men ofarligt” längst till vänster, ”sjukskrivning” i mitten och ”livslånga men” längst till höger.

Färgkodning och namngivning

Riskmatrisen i det ovanstående exemplet kan utvecklas ytterligare genom färgkodning och namngivning.

I rutan längst ned till vänster hamnar alltså händelser som är osannolika och som också kan ge en person obehag, men är ofarliga.

Denna ruta kommer att färgläggas grön.

Händelser som är mycket vanliga och som dessutom ger livslånga men, det vill säga är händelser med hög risk, hamnar i rutan längst upp i högra hörnet.

Denna ruta kommer att färgläggas röd.

Beroende på hur hög man anser att riskerna däremellan är kan man färglägga grön, gul, orange eller rött.

Man kan också namnge rutorna för att göra riskklasserna ännu tydligare.

Exempelvis kan gröna rutor namnges R1, gula R2 och så vidare.

Att prioritera risk

Vid användning av en riskmatris tas hänsyn till en bunt med olika risker.

Att prioritera mellan dessa kan vara svårt om de inte sätts i relation till varandra.

Anledningen till att man ofta färgkodar en riskmatris är således att man försöker prioritera var åtgärder bör införas i första hand och var det är mindre angeläget att agera.

Risker som kategoriserats som röda är oftast de mest brådskande och bör därför hanteras med hög prioritet.

Med hjälp av en riskmatris är också möjligt att fastställa vilka risker som endast kräver övervakning, vilka som är av lägre prioritet och vilka som är risker som inte kräver vidare uppmärksamhet.

Fördelar med riskmatriser

Det finns många fördelar med att göra riskanalyser, där riskmatriser är en del av arbetet med att få förståelse för de föreliggande riskerna.

Syftet med att göra riskanalyser är att kunna implementera rätt åtgärder, men också att prioritera bland möjliga åtgärder.

Riskmatriser är visuellt väldigt enkla att förstå och kan således vara ett bra och lätthanterligt verktyg för att exempelvis sprida kunskap i organisationen gällande olika risker.

Det kan också vara ett tydligt sätt att beskriva olika beslutstaganden baserat på riskanalysen.

Om exempelvis ett beslut tagits att inte tillhandahålla en viss tjänst baserat på hur riskfyllt det är, kan detta förklaras för såväl anställda som kunder med hjälp av en riskmatris.

Riskmatriser är helt enkelt ett av många möjliga verktyg i riskanalysprocessen.

Nackdelar med riskmatriser

En nackdel med att göra riskanalyser är att det kan vara ganska tidskrävande.

Även om inte själva riskmatrisen tar särskilt mycket resurser att ta fram, krävs mycket arbete med att fastställa vilka risker som föreligger, vilken klassificering de bör ha, vilka åtgärder som bör vidtas och så vidare.

Om det tidigare gjorts riskbedömningar i en verksamhet kan det vara bra att utgå från dessa och eventuellt utveckla ytterligare om förändrade omständigheter ändrat sannolikheten för risk.

En annan nackdel är att en riskmatris i vissa sammanhang kan anses vara överdrivet förenklad.

Det kan vara svårt att fastställa den faktiska risken, sannolikheten och konsekvensen av en specifik händelse och därför svårt att placera den i en enkel matris.

Beroende på i vilken situation riskanalysen genomförs kan det således vara bra att komplettera en riskmatris med andra verktyg för att göra analysen så omfattande som möjligt.

Hur man definierar risk

Beroende på sammanhang kan det vara svårt att definiera risk.

En metodik för att underlätta denna definitionsfråga är CASE, vilket är en akronym för Consequence, Asset, Source och Event.

Consequence (konsekvens på svenska) handlar om att fastställa vilka effekter en viss risk kan få för organisationens mål.

Asset (tillgång på svenska) handlar om att få grepp om vilka resurser som kan komma att påverkas, exempelvis är det finansiella resurser eller humankapital.

Source (källa på svenska) gäller bakgrunden till risken – går det att peka ut särskilda faror som kan komma att ligga till grund för denna risk?

Event (händelse på svenska) behandlar den specifika händelse som analyseras.

Genom att använda dessa dimensioner på ett systematiskt sätt vid fastställande av risker i verksamheten, kan man underlätta riskanalysen.

Risk kan vara tvetydigt

Anledningen till att det är viktigt att använda samtliga fyra dimensioner i CASE vid definitionen av risk är att det kan vara svårt att fastställa vad en risk faktiskt är med enbart A och E, det vill säga tillgången och händelsen.

Låt till exempel säga att man försöker fastställa omfattningen av risken för klimatförändringar.

Det finns inte en enskild risk med klimatförändringar.

Vilken eller vilka de är i ett enskilt sammanhang beror i hög grad på organisation, kontext, tidshorisont och så vidare.

Därför är det viktigt att i så hög grad som möjligt specificera vilken risk det är som analyseras, inklusive konsekvenserna av risken, vilka tillgångar som kommer att påverkas, varifrån risken härrör samt vilken specifik händelse som åsyftas.

Sammanfattning

En riskmatris är ett sätt att tydligt och enkelt visualisera vilka risker som finns i en verksamhet.

Som namnet antyder är riskmatrisen ett diagram med två axlar – den ena axeln anger sannolikheten för att den riskfyllda händelsen ska inträffa, medan den andra axeln anger omfattningen av de eventuella konsekvenserna.

Riskmatriser används i samband med riskanalyser i verksamheter där förebyggande arbete förekommer.

Fördelen med riskmatriser är att de tydligt kategoriserar risker utefter deras omfattning, vilket gör det möjligt att fokusera åtgärder där de är som mest krävande.

Samtidigt ger de en överblick av verksamhetens risksituation och är ett möjligt hjälpmedel om man vill förmedla kunskap om risker till andra delar av verksamheten.
En nackdel med riskmatriser är att de kan förefalla överdrivet förenklande, beroende på hur och när de används.

De är trots allt endast ett av flera möjliga verktyg i riskanalysprocessen och bör således hanteras som sådant.