Redigerer Risiko (avsnitt)

==Risikoanalyse==
{{Utdypende artikkel|Risikoanalyse}}

Risiko kan analyseres gjennom en risikobeskrivelse som gir et [[kvalitativ metode|kvalitativ]] eller [[kvantitativ metode|kvantitativ]] bilde av risikoen.<ref name=":10">{{Kilde www|url=https://www.regjeringen.no/no/dokumenter/nou-2018-17/id2622043/?ch=6|tittel=NOU 2018: 17|besøksdato=2023-11-01|dato=2018-12-12|etternavn=Finansdepartementet|språk=no|verk=Regjeringen.no}}</ref>  En risikoanalyse er slik professor i risikovitenskap [[Terje Aven]] (2023) skriver en systematisk prosess som identifiserer risikokilder, trusler, farer og muligheter.<ref>{{Kilde oppslagsverk|tittel=risikobeskrivelse|url=https://snl.no/risikobeskrivelse|oppslagsverk=Store norske leksikon|dato=2023-01-26|besøksdato=2023-11-03|språk=no|fornavn=Terje|etternavn=Aven}}</ref>  Analysen gir en forståelse for hvordan hendelsene kan skje og hva konsekvensene kan være. Risikoanalysen brukes vanligvis som grunnlag for å informere beslutningstakerne uten å fortelle beslutningstakerne hvilke avgjørelser som skal tas.<ref>{{Kilde artikkel|tittel=An Emerging New Risk Analysis Science: Foundations and Implications|publikasjon=Risk Analysis|doi=10.1111/risa.12899|url=https://onlinelibrary.wiley.com/doi/10.1111/risa.12899|dato=2018|fornavn=Terje|etternavn=Aven|serie=5|språk=en|bind=38|sider=876–888|issn=0272-4332|besøksdato=9. november 2023}}</ref> 

En risikoanalyse kan etter ISO 31000 være kvalitativ, semikvantitativ eller kvantitativ.<ref name=":1" /> En kvalitativ risikoanalyse nøyer seg med å klassifisere frekvensene eller sannsynlighetene for at en hendelse skal inntreffe i kategoriene lav, moderat eller høy. En semikvantitativ risikoanalyse gir de samme gruppene tallverdier og bruker disse til å beregne risikokategoriseringene for de ulike scenarioene. En kvantitativ risikoanalyse tallfester sannsynligheter og konsekvenser i målbare størrelser, for eksempel i ulykkesfrekvens, antall skadde, antall drepte eller miljøskader.{{Sfn|Rausand & Utne|2009|p=7}}

En risikoanalyse basert på ISO 31000, starter ofte med en risikoidentifikasjon: Å finne, gjenkjenne og registrere risikoer. Risikoidentifikasjon handler om å identifisere risikokilder, hendelser, deres årsaker og deres potensielle konsekvenser, og ISO 31000 beskriver dette som de første trinnet i en risikovurderingsprosess, før risikoanalyse og risikoevaluering.<ref name=":1" /> I sikkerhetssammenheng, hvor risikokilder er kjent som farer, er dette trinnet kjent som fareidentifisering.<ref name=":7" />

Etter at farene eller risikokildene er identifisert, foretas det etter ISO 31000 ofte en konsekvensanalyse. I risikofaget kan [[konsekvens]]er defineres som «[[effekt]]en av hendelser, med hensyn til definerte [[verdier]] (som menneskers liv og helse, miljø og økonomi), som skal dekke ulike tilstander, hendelser, barrierer og utfall. Konsekvensene er ofte sett i relasjon til noe som er negativt til en referanseverdi (planlagte verdier, mål og lignende), og fokuset er ofte på negative, uønskede konsekvenser».{{sfn|Aven|2020|p=265}} Et eksempel på en konsekvens kan være knyttet til en klimarisiko. Konsekvensen kan være at [[klimagass]]utslipp i atmosfæren gir store effekter på [[økosystem]]et, økonomien og menneskers liv og helse. Referanseverdien i dette eksempelet blir nåværende tilstand.<ref name=":10" />

Konsekvensvurdering legger typisk vekt på å identifisere alle relevante konsekvenser innenfor det omfanget som er definert. Det vil i slike evaluering finnes årsaker som risikofaktorer og risikokilder. For å evaluere usikkerheten til konsekvensene som er vurdert, er det slik Aven (2018) utdyper, vanlig å bruke sannsynligheter.<ref name=":10" /> Vurdering av sårbarhet er et aspekt ved risiko og konsekvensvurderinger.<ref>Aven, Terje: {{snl|sårbarhet|Sårbarhet}} (2023)</ref> Det motsatte av sårbarhet er robusthet eller [[resiliens]] (motstandsdyktighet). Sårbarheter i et system er ofte et resultat av hvor robust systemet er mot ulike risikokilder. Robusthet blir ikke bare viktig for konsekvensvurderingen, men også for å vurdere tiltak som reduserer konsekvensene.<ref>Aven, Terje: {{snl|resiliens – risikofag|Resiliens – risikofag}} (2022)</ref>

=== Usikkerhetsvurderinger ===
[[Fil:Black Swan at Martin Mere.JPG|miniatyr|upright|«[[svart svane-teorien|Svart svane]]», en risikometafor for uventede hendelser med lav sannsynlighet.]]

Usikkerhet vil i en risikofaglig kontekst bety å ha ufullstendig eller upresis informasjon om en størrelse, eller hvorvidt en hendelse vil inntreffe eller ikke. Usikkerhet kan slik Aven (2023) skriver måles i to hovedkategorier: Epistemisk usikkerhet handler om usikkerhet i [[kunnskap]], mens aleatorisk usikkerhet beskrives gjennom usikkerhet i [[variasjon]] og modelleres ved sannsynlighetsmodeller.<ref>{{Kilde oppslagsverk|tittel=usikkerhet|url=https://snl.no/usikkerhet|oppslagsverk=Store norske leksikon|dato=2023-01-26|besøksdato=2023-11-01|språk=no|fornavn=Terje|etternavn=Aven}}</ref>

Usikkerheter kan uttrykkes i tre hovedkategorier:<ref name=":10" />
#gjennom sannsynligheter,
#gjennom bakgrunnskunnskap og hvor sterk bakgrunnskunnskapen er,
#gjennom overraskelser i forhold til kunnskapsgrunnlaget.

I en usikkerhetsvurdering er det vanlig å ta med de hendelsene som en antar har størst sannsynlighet for å inntreffe. Vurderingen skal også ta med det som i risikofaget omtales som en «[[svart svane-teorien|svart svane]]». En svart svane kan basert på Aven (2015) klassifiseres i tre hovedkategorier:<ref name=":11">{{Kilde artikkel|tittel=Implications of black swans to the foundations and practice of risk assessment and management|publikasjon=Reliability Engineering & System Safety|doi=10.1016/j.ress.2014.10.004|url=https://www.sciencedirect.com/science/article/pii/S0951832014002440|dato=2015-02-01|fornavn=Terje|etternavn=Aven|språk=en|bind=134|sider=83–91|issn=0951-8320|besøksdato=2023-11-01}}</ref>
#ukjente-ukjente (hendelser som ingen kjenner til),
#ukjente-kjente (hendelser som er ukjent for de som gjennomfører en analyse, men kjent for andre),
#hendelser som er neglisjerbare, fordi sannsynligheten er så lav at ingen tror en slik hendelse vil forekomme.
Særlig kategori 2 og 3 kan være aktuelle å få en bevisstgjøring på at hendelsene kan inntreffe, særlig dersom de kombineres med lavt kunnskapsgrunnlag.<ref name=":10" /> Hendelser som det er knyttet store usikkerheter til, vil slik Aven (2015) skriver være viktige å få med i en risikoanalyse. Dette gjelder særlig om hendelsene kan påføre større konsekvenser.<ref name=":11" />

=== Risikomatriser ===
{{Utdypende artikkel|Risikomatrise}}
[[Fil:Risikomatrise.png|miniatyr|Risikomatrise som viser akseptkriterier til risiko ved å plotte inn sannsynlighet og konsekvens til en risiko. Grønn risiko gir normalt aksept for risikoen, gul risiko bør det vurderes risikoreduserende tiltak, rød risiko gir normalt ikke akseptabel risiko.]]

Risikovurderinger fremstilles ofte gjennom [[risikomatrise]]r, som plasserer [[sannsynlighet]]ene og konsekvensene i oppgitte skalaer i en [[matrise]] (tabell). Risikomatriser brukes innen [[risikostyring]] i mange [[virksomhet]]er. Risikomatriser forenkler og visualiserer risikobildet, slik at risikoer kan rangeres i forhold til hverandre. Risikomatriser viser både risikoaksept og hvilke risikoer som må håndteres først i risikostyringen.

Risikoaksept kan slik risikoforsker Jan Nijs Dujim (2015) beskriver sees fra fargerangeringen:<ref>{{Kilde artikkel|tittel=Recommendations on the use and design of risk matrices|publikasjon=Safety Science|doi=10.1016/j.ssci.2015.02.014|url=https://www.sciencedirect.com/science/article/pii/S0925753515000429|dato=2015-07-01|fornavn=Nijs Jan|etternavn=Duijm|bind=76|sider=21–31|issn=0925-7535|besøksdato=2023-10-02}}</ref>    
#Rød farge vil vanligvis ikke gi akseptabel risiko, og det bør utføres risikoreduserende tiltak.
#Gul farge (ALARP – ''as low as reasonably practicable'') er normalt akseptabel risiko, men det bør vurderes å utføre risikoreduserende tiltak.
#Grønn gir normalt en generell aksept for risikoen.

Risikomatriser viser i hovedsak bare til forventningsverdier til risikoene, og det blir ikke nødvendigvis tatt hensyn til det fulle «risikopotensialet». En risikokilde kan forårsake mange [[scenario|scenarier]] eller konsekvenser. Førsteamanuensis innen risikoanalyse Anthony Cox fremhever at en risikomatrise ikke fremhever dette på en god måte.<ref>{{Kilde artikkel|tittel=What's Wrong with Risk Matrices?|publikasjon=Risk Analysis|url=https://onlinelibrary.wiley.com/doi/10.1111/j.1539-6924.2008.01030.x|forfattere=Cox, Anthony Louis|bind=Volum 28|hefte=Nummer 2|sider=497-512}}</ref> Risikomatriser kan også plassere to hendelser likt, men vurderingsgrunnlaget for risikoene kan være vidt forskjellig. Lav kunnskap til en forventet verdi kan kamuflere viktige sider av risikoen som ikke blir reflektert i matrisen, noe Aven og Thekdi (2022) hevder kan påvirke hvordan risikoen blir håndtert videre i risikostyringen.<ref>{{Kilde bok|tittel=Risk science: an introduction|etternavn=Aven|fornavn=Terje|etternavn2=Thekdi|fornavn2=Shital|dato=2022|utgiver=Routledge, Taylor & Francis Group|isbn=978-0-367-74268-3|utgivelsessted=London & New York}}</ref>