Riskbedömning

När riskerna identifierats fortsätter arbetet med riskbedömningen där det första steget i riskbedömningen är att arbeta fram kriterier att värdera riskerna efter. Kriterier som vanligtvis används vid riskbedömningen är sannolikheten att en händelse inträffar och konsekvensen händelsen kan få på verksamheten om den gör det (Toscha, 2012, s. 25). Det är även vanligt

Målformulering

· Formulera kortsiktiga mål och långsiktiga mål.

 Strategiska mål.

 Operationella mål.

 Finansiella mål.

 Efterlevnadsmål.

· Bryta ner målen till avdelningsnivå.

Identifiering av möjligheter och hot · Sker utifrån målen.

· Identifiera utifrån intern och externa faktorer. · Bör ske regelbundet.

32 att använda sig av hur sårbar verksamheten är om en händelse skulle inträffa och hur fort en händelse påverkar verksamheten, en händelse som inte händer ofta kan ändå skada organisationen ordentligt (COSO, 2012, s. 6-7). Valet av vilka kriterier som ska användas i riskbedömningen bör anpassas efter den verksamhet som drivs eftersom det kan förekomma skillnader kring vad som är viktigt för verksamheten (COSO, 2012, s. 3). Om verksamheten exempelvis drivs inom en bransch där snabba förändringar sker men inte speciellt ofta vilket kan ha stor påverkan på verksamheten kan det vara relevant att använda sig av kriterierna hur fort en risk sker samt vilket konsekvens som risken har på verksamheten. Det är vanligt att verksamheterna använder sig av två kriterier samt att de använder sig av en skala utifrån hur stora ekonomiska kostnader en händelse skulle få på resultatet (Toscha, 2012, s. 36). Skalor som kan användas för att förklara kriterierna kan exempelvis vara hög, medel eller låg alternativ osannolikt, möjlig eller nästan säker (Toscha, 2012, s. 36).

Efter arbetet med att ta fram kriterier sker en bedömning av riskerna utifrån kvalitativa eller kvantitativa bedömningsverktyg, vilket innebär att de ska med hjälp av verktygen försöka avgöra på vilken nivå på skalan som risken kan kopplas till (COSO, 2012, s. 8). Organisationer börjar ofta med att använda sig av något av de kvalitativa verktygen i form av intervjuer, undersökningar, fokusgrupper, enkäter, jämförelser med andra verksamheter och scenarioanalyser med syftet att skapa sig en djupare förståelse om riskerna och deras påverkan på verksamheten (COSO, 2012, s. 8). Intervjuer och undersökningar av dokument handlar om att samla in information från antingen en person eller genom att arbeta med interna och externa dokument som exempelvis revisionsrapporter för att förstå varför riskerna existerar och vad det kan få för påverkan på verksamheten om de inträffar (COSO, 2012, s. 9). Focusgrupper handlar om att personer från samma eller olika avdelningar är med och diskuterar för att få en djupare förståelse om hur risker kan påverka de olika målen och verksamheterna, men ur ett flertal olika perspektiv (Power, 2007, s. 77). Personer som arbetar med andra frågor inom verksamheten kan värdera risker annorlunda vilket kan bero på att de har annan kunskap som ligger till grund för hur de upplever riskerna.

Enkäter handlar om att samla in en stor mängd information från organisationer och sammanställa den i ett verktyg för att sedan kunna göra analyser kring risker och möjligheter och hur de ska bedömas kring vilken påverkan de kan få på verksamheten (COSO, 2012, s. 9). Organisationerna kan även genomföra bedömningar av risker genom att jämföra sig med andra liknande verksamheter (COSO, 2012, s. 9). Det kan till exempel finnas mått som beskriver hur sannolikt det är att en händelse inträffar inom en industri.

Ett verktyg som både kan användas som ett kvalitativt och kvantitativt verktyg är scenarioanalysen. Den går ut på att koppla ihop riskerna med olika scenarion som kan uppstå, försöka bedöma vilken påverkan risken kan få och hur det i sin tur påverkar målet för verksamheten (COSO, 2012, s. 10). I arbetet med scenarioanalysen kan utgångspunkten vara målen för verksamheten som sedan kopplas ihop med riskerna att målen inte nås. För att sedan förstå vilken påverkan riskerna har, kan kriterierna för riskbedömningen användas genom att multiplicera dessa med varandra och få fram ett riskvärde. För att få förståelse om hur scenarioanalysen fungerar se figur 3.

33 Figur 3 Scenarioanalys. Källa: COSO, 2012, s. 12.

Riskbedömningen handlar även om att få en övergripande bild av hur riskerna inom verksamheten påverkar varandra och

andra verksamhetsområden. Det har därför utvecklats verktyg för att få en överblick på riskerna och hur dess påverkan som exempelvis en riskinteraktionskarta (COSO, 2012, s. 12). Genom att få en förståelse om hur riskerna påverkar andra risker kan prioriteringen av riskerna underlättas. I följande tabell 7 beskrivs en sammanfattning av vad som ingår i riskbedömningsarbetet.

4. 2.5. Prioritering av risker

De olika bedömningsverktygen och värderingen av riskerna kan sedan användas som ett underlag att prioritera riskerna som verksamheten påverkas av. Prioriteringen av riskerna sker vanligen i två steg, där det första går ut på att räkna fram riskvärdet på risken genom att multiplicera de olika kriteriernas, sannolikhet, konsekvens, sårbarhet och hur fort risken uppkommer, värde från bedömningsprocessen (COSO, 2012, s. 14). Utifrån riskvärdet kan riskerna sedan bedömas hur allvarliga de är för verksamheten, de med högt riskvärde är de som anses prioriteras högst. När riskerna har prioriterats sker en värdering av hur dessa kan hanteras vilket innebär att de antingen undviks, accepteras, minskas eller delas (COSO, 2004, s. 4). Undvikas innebär att åtgärder skapas för att undvika att risken inträffar genom att exempelvis sluta tillverka en produkt medan när den accepteras hanteras den genom att organisationen använder sig av någon form av skydd som en försäkring för att inte påverkas

Riskbedömning

· Arbeta fram anpassade kriterier för verksamheten.

 Sannolikhet.

 Konsekvens.

 Sårbarhet.

 Hur fort en händelse inträffar. · Ta fram en skala att värdera riskerna efter. · Val av bedömningsverktyg.

 Intervjuer, undersökningar, workshops, enkäter, branschmått och scenarioanalyser.

34 av en stor skada på verksamheten (Toscha, 2012, s. 25). Vidare skriver Toscha (2012, s. 25) att för att minska chansen för att risken ska inträffa kan återgärder skapas till exempel genom att installera ett larm för att minska risken för inbrott. När en risk delas innebär det att risken delas inom organisationen eller med arbetspartners för att tillsammans dela på bördan och kostnaden av risken (Toscha, 2012, s. 25).

Oavsett på vilket sätt organisationen väljer att hantera risken ska dessa åtgärder vara i linje med organisationens risktålighet och riskaptit (Power,

2007, s. 77). Det handlar även om att försöka avgöra vad som är nyttan med att hantera en risk, om det kan anses vara nödvändigt för att minska risken påverkan på verksamheten (Knechel, 2001, s. 152).

I tabell 8 sammanfattas arbetet med prioritering av riskerna.