Risiko innebærer at hendelser som kan inntreffe vil medføre uønskede eller negative konsekvenser.[2] Risiko vil ha en grad av usikkerhet; en kan ikke vite sikkert om den uønskede hendelsen vil inntreffe eller hvilke konsekvenser den vil medføre.[1] Risiko kan beskrives som negative konsekvenser knyttet til en fremtidig hendelse, hvor det er usikkerheter til om hendelsen vil inntreffe, samt hvor alvorlige konsekvensene vil bli. Konsekvensene knyttes vanligvis til liv og helse, miljø og økonomi.[3]
Det motsatte av risiko beskrives som sikkerhet. Ved høy sikkerhet er det lav risiko, og ved høy risiko er sikkerheten lav.
Når det er etablert en forståelse av hva risiko er, kan risiko brukes som utgangspunkt i en risikoanalyse. I risikoanalysen beskrives hendelser som kan inntreffe, hvor det vurderes sannsynlighet/usikkerhet til hendelsene sammen med alvorlighetsgraden. En risikoanalyse brukes til å formidle risikonivået til beslutningstakere eller til interessenter som blir eksponert for risikoen. Risikopersepsjon handler om hvordan risiko blir forstått av de som blir berørt av den. For at risikoen skal bli forstått på en god måte er prinsipper for risikokommunikasjon sentralt. Risikoanalysen brukes som grunnlag for risikostyring. Risikostyring handler om hvordan risiko bør håndteres ved å balansere sikkerhetshensyn og fremdrift.
Risikoanalyse og risikostyring brukes for alle typer aktiviteter og virksomheter; i sikkerhetsfag, økonomi, teknologi, medisin, lov og rett, klima, biologi og flere andre. De ulike fagmiljøene har ulike tilnærminger til hvordan risiko vurderes. Risiko som begrep har en lang historie, men som akademisk fag er det ungt. Undervisning i risikofaget startet i slutten av 1970-årene.[4]
Etymologi
Det er flere mulige forklaringer på hvor det moderne risikobegrepet kommer fra, men det knyttes ofte til sjøfarten. Filosofen François Ewald fører risikobegrepet tilbake til middelalderen, da det ble brukt i forbindelse med sjøforsikring.[5] Historikeren Peter L. Bernstein antar at begrepet risiko kommer fra det italienske ordet risicare, som betyr «å våge». Opprinnelig ble ordet brukt for å varsle sjømenn at klipper eller skjær var i farlig nærhet.[6] Sosiologen Anthony Giddens mener at begrepet kan fra det spanske eller portugisiske ordet riesgo eller risco, som brukes om å seile i farlige farvann.[7]British Medical Association, foreslår at opphavet er det greske ordet rhiza, som brukes om farer ved å seile for nære klipper under vanskelige seilingsforhold.[8]
Mulige opphavsord til det moderne risikobegrepet[9]
Risiko ble opprinnelig betraktet som naturkrefter, som stormer, oversvømmelser og andre hendelser styrt av «Guds vilje», utenfor menneskets kontroll. Slik risiko ble forstått, hadde mennesker begrenset mulighet til å anslå sannsynlighet for slike hendelser og hvilke tiltak som var nødvendige for å begrense konsekvensene av dem. Fra tidlig moderne tid har definisjonen av risiko blitt utvidet til farer som også er menneskeskapte, for eksempel som følge av industrialiseringen.[10]
Under den industrielle revolusjon oppsto teorier om sannsynlighet og statistikk som bidro til å utvikle risikoanalyse til en vitenskap, som gjorde det mulig å anslå risiko i målbare størrelser. Forventningsverdier og sannsynlighetsberegning ble en viktig del av risikokonseptet. Forståelsen av risiko ble også utviklet fra kun å handle om negative hendelser og farer utenfor vår kontroll, til å bli en mer integrert del av menneskets hverdag, der en tar risiko for å oppnå positive resultater. Forsikringsperspektivet på risiko er et eksempel på dette. Dette perspektivet så på risiko som både en mulighet eller sannsynlighet på den ene siden, og tap og skade på den andre siden. Forsikring tillot industrien å ta større risiko ved å kunne håndtere tap.[10]
I siste del av 1900-tallet ble risikoforståelsen også utvidet til å gjelde mer globale, mindre identifiserbare og mindre styrbare enn hva de har vært tidligere.[10] Sosiologen Ulrich Beck kaller utviklingen for en refleksiv modernitet hvor samfunnet har beveget seg inn i det som omtales for et risikosamfunn.[11] «Risikosamfunnet» beskriver hvordan nye risikoer, skapt av vitenskapelige og samfunnsmessige endringer, som atomulykker, klimaendringer og genetisk modifiserte organismer, siden andre verdenskrig delvis har overskygget de gamle eksterne eller naturlige farene som pest, jordskjelv og hungersnød.[12]
Definisjoner
Det finnes mange definisjoner på risiko. Felles for definisjonene er at risiko innebærer konsekvenser og usikkerhet knyttet til en virksomhet/aktivitet/hendelse. I tabellen nedenfor oppsummeres noen av de mest brukte definisjonene:
«Risiko er potensialet for realisering av uønskede, negative konsekvenser av en hendelse» (Risk is the potential for realization of unwanted,negative consequences of an event)
«Risiko er eksponering for en mulighet (f.eks. forekomsten av et tap) hvorav minst ett er usikkert» (Risk is exposure to a proposition (e.g., the occurrence of a loss) of which one is uncertain)
«Risiko er usikkerhet om og alvorlighetsgraden av konsekvensene av en aktivitet med hensyn til noe som mennesker verdsetter» (Risk is uncertainty about and severity of the consequences of an activity with respect to something that humans value)
«Risiko er forekomster av noen spesifiserte konsekvenser av en aktivitet med tilhørende usikkerheter» (Risk is the occurrences of some specified consequences of the activity and associated uncertainties)
«Risiko er avviket fra en referanseverdi med tilhørende usikkerheter» (Risk is the deviation from a reference value and associated uncertainties)
Risiko vil hos noen bli sett på som noe objektivt, mens andre vil se på risiko som subjektive, sosiale konstruksjoner. Psykologen Paul Slovic ser farer som reele, mens risikovurderinger er iboende subjektive.[17][18] Risiko handler om fremtidige hendelser, som det er usikkert hvorvidt vil inntreffe. Det finnes ingen objektiv sannhet for om en hendelse vil inntreffe eller konsekvenser hendelsen vil gi, men det finnes større eller mindre grad av kunnskap om risikoen som vurderes.[17][19][20]
Skille mellom risiko og fare
Et viktig skille i risikokommunikasjonsarbeid er forholdet mellom begrepene «risiko» og «fare». En fare er normalt definert som potensialet for å skade et mål eller menneskers helse eller miljø, mens risiko også omfatter sannsynligheten/usikkerheten for eksponering og omfanget av skade. At disse avgjørende begrepene blir misforstått, er et vanlig problem innenfor risikokommunikasjonsarbeid.[21]
Avgrensning mellom risiko- og pålitelighetsfag
Pålitelighetsfaget, eller pålitelighetsteknikk, er en disiplin som fokuserer på å forstå, analysere og forbedre påliteligheten til systemer, produkter eller tjenester. Risiko mer orientert mot sannsynlighetene/usikkerhetene og konsekvensene av uønskede hendelser, mens pålitelighet fokuserer på systemets evne til å opprettholde ønsket ytelse over tid. Både risiko- og pålitelighetsfag er viktige innen områder som informasjonssikkerhet, ingeniørvitenskap og drift av komplekse systemer.[22]
Risiko kan analyseres gjennom en risikobeskrivelse som gir et kvalitativ eller kvantitativ bilde av risikoen.[23] En risikoanalyse er slik professor i risikovitenskap Terje Aven (2023) skriver en systematisk prosess som identifiserer risikokilder, trusler, farer og muligheter.[24] Analysen gir en forståelse for hvordan hendelsene kan skje og hva konsekvensene kan være. Risikoanalysen brukes vanligvis som grunnlag for å informere beslutningstakerne uten å fortelle beslutningstakerne hvilke avgjørelser som skal tas.[25]
En risikoanalyse kan etter ISO 31000 være kvalitativ, semikvantitativ eller kvantitativ.[15] En kvalitativ risikoanalyse nøyer seg med å klassifisere frekvensene eller sannsynlighetene for at en hendelse skal inntreffe i kategoriene lav, moderat eller høy. En semikvantitativ risikoanalyse gir de samme gruppene tallverdier og bruker disse til å beregne risikokategoriseringene for de ulike scenarioene. En kvantitativ risikoanalyse tallfester sannsynligheter og konsekvenser i målbare størrelser, for eksempel i ulykkesfrekvens, antall skadde, antall drepte eller miljøskader.[26]
En risikoanalyse basert på ISO 31000, starter ofte med en risikoidentifikasjon: Å finne, gjenkjenne og registrere risikoer. Risikoidentifikasjon handler om å identifisere risikokilder, hendelser, deres årsaker og deres potensielle konsekvenser, og ISO 31000 beskriver dette som de første trinnet i en risikovurderingsprosess, før risikoanalyse og risikoevaluering.[15] I sikkerhetssammenheng, hvor risikokilder er kjent som farer, er dette trinnet kjent som fareidentifisering.[3]
Etter at farene eller risikokildene er identifisert, foretas det etter ISO 31000 ofte en konsekvensanalyse. I risikofaget kan konsekvenser defineres som «effekten av hendelser, med hensyn til definerte verdier (som menneskers liv og helse, miljø og økonomi), som skal dekke ulike tilstander, hendelser, barrierer og utfall. Konsekvensene er ofte sett i relasjon til noe som er negativt til en referanseverdi (planlagte verdier, mål og lignende), og fokuset er ofte på negative, uønskede konsekvenser».[27] Et eksempel på en konsekvens kan være knyttet til en klimarisiko. Konsekvensen kan være at klimagassutslipp i atmosfæren gir store effekter på økosystemet, økonomien og menneskers liv og helse. Referanseverdien i dette eksempelet blir nåværende tilstand.[23]
Konsekvensvurdering legger typisk vekt på å identifisere alle relevante konsekvenser innenfor det omfanget som er definert. Det vil i slike evaluering finnes årsaker som risikofaktorer og risikokilder. For å evaluere usikkerheten til konsekvensene som er vurdert, er det slik Aven (2018) utdyper, vanlig å bruke sannsynligheter.[23] Vurdering av sårbarhet er et aspekt ved risiko og konsekvensvurderinger.[28] Det motsatte av sårbarhet er robusthet eller resiliens (motstandsdyktighet). Sårbarheter i et system er ofte et resultat av hvor robust systemet er mot ulike risikokilder. Robusthet blir ikke bare viktig for konsekvensvurderingen, men også for å vurdere tiltak som reduserer konsekvensene.[29]
Usikkerhetsvurderinger
Usikkerhet vil i en risikofaglig kontekst bety å ha ufullstendig eller upresis informasjon om en størrelse, eller hvorvidt en hendelse vil inntreffe eller ikke. Usikkerhet kan slik Aven (2023) skriver måles i to hovedkategorier: Epistemisk usikkerhet handler om usikkerhet i kunnskap, mens aleatorisk usikkerhet beskrives gjennom usikkerhet i variasjon og modelleres ved sannsynlighetsmodeller.[30]
Usikkerheter kan uttrykkes i tre hovedkategorier:[23]
gjennom sannsynligheter,
gjennom bakgrunnskunnskap og hvor sterk bakgrunnskunnskapen er,
gjennom overraskelser i forhold til kunnskapsgrunnlaget.
I en usikkerhetsvurdering er det vanlig å ta med de hendelsene som en antar har størst sannsynlighet for å inntreffe. Vurderingen skal også ta med det som i risikofaget omtales som en «svart svane». En svart svane kan basert på Aven (2015) klassifiseres i tre hovedkategorier:[31]
ukjente-ukjente (hendelser som ingen kjenner til),
ukjente-kjente (hendelser som er ukjent for de som gjennomfører en analyse, men kjent for andre),
hendelser som er neglisjerbare, fordi sannsynligheten er så lav at ingen tror en slik hendelse vil forekomme.
Særlig kategori 2 og 3 kan være aktuelle å få en bevisstgjøring på at hendelsene kan inntreffe, særlig dersom de kombineres med lavt kunnskapsgrunnlag.[23] Hendelser som det er knyttet store usikkerheter til, vil slik Aven (2015) skriver være viktige å få med i en risikoanalyse. Dette gjelder særlig om hendelsene kan påføre større konsekvenser.[31]
Risikovurderinger fremstilles ofte gjennom risikomatriser, som plasserer sannsynlighetene og konsekvensene i oppgitte skalaer i en matrise (tabell). Risikomatriser brukes innen risikostyring i mange virksomheter. Risikomatriser forenkler og visualiserer risikobildet, slik at risikoer kan rangeres i forhold til hverandre. Risikomatriser viser både risikoaksept og hvilke risikoer som må håndteres først i risikostyringen.
Risikoaksept kan slik risikoforsker Jan Nijs Dujim (2015) beskriver sees fra fargerangeringen:[32]
Rød farge vil vanligvis ikke gi akseptabel risiko, og det bør utføres risikoreduserende tiltak.
Gul farge (ALARP – as low as reasonably practicable) er normalt akseptabel risiko, men det bør vurderes å utføre risikoreduserende tiltak.
Grønn gir normalt en generell aksept for risikoen.
Risikomatriser viser i hovedsak bare til forventningsverdier til risikoene, og det blir ikke nødvendigvis tatt hensyn til det fulle «risikopotensialet». En risikokilde kan forårsake mange scenarier eller konsekvenser. Førsteamanuensis innen risikoanalyse Anthony Cox fremhever at en risikomatrise ikke fremhever dette på en god måte.[33] Risikomatriser kan også plassere to hendelser likt, men vurderingsgrunnlaget for risikoene kan være vidt forskjellig. Lav kunnskap til en forventet verdi kan kamuflere viktige sider av risikoen som ikke blir reflektert i matrisen, noe Aven og Thekdi (2022) hevder kan påvirke hvordan risikoen blir håndtert videre i risikostyringen.[34]
Sannsynligheter i risikofaglig bruk
Usikkerheter uttrykkes ofte ved hjelp av sannsynligheter. Sannsynligheter er et relativt komplekst konsept som har tre hovedtilnærminger til hvordan sannsynlighet kan beregnes. Det skilles mellom klassiske sannsynligheter, frekvenssannsynligheter og bayesianske/subjektive sannsynligheter.[35]
Klassiske sannsynligheter
Klassiske sannsynligheter er et spesialtilfelle som kun kan brukes under gitte omstendigheter hvor det kan finnes et eksperiment med et endelig antall, n, mulige utfall, hvor hvert utfall har samme sannsynlighet for å forekomme. Eksempler på slike forekomster er typisk hasardspill som mynt og kron, terningkast og rulett. Klassiske sannsynligheter gjelder bare i situasjoner med et endelig antall utfall som er like sannsynlige.[36] Klassiske sannsynligheter utledes ved
Frekvenssannsynligheter
Frekvenssannsynligheter bygger på at et fenomen kan repeteres under lignende situasjoner. Relativ frekvens av en hendelse A kan vises med; Fordi forholdene er tilsvarende for alle eksperimentene, er den relative frekvensmetoden en grenseverdi når n går mot uendelig. Denne grenseverdien kalles sannsynligheten for A og kan skrives:
Frekvenssannsynligheter krever ofte en form for tankekonstruksjon for å vurdere reelle hendelser. Det er et modellkonsept som bygger på loven om store tall, og det må konstrueres en tanke om at alle eksperimenter eller hendelsesforløp vil være tilnærmet like. For at frekvenssannsynligheter skal kunne benyttes, må det rettferdiggjøres at eksperimentene er repeterbart.[37]
Frekvenssannsynligheter benyttes ofte innen medisinsk forskning, hvor det etableres parameterverdier innen en populasjonsenhet. Parameterverdiene gjør at sannsynlighetene ikke er direkte overførbare til enkeltindivider, da et enkeltindivid ikke representerer populasjonen som modellene i frekvenssansynligheter er utviklet for. En frekvenssannsynlighet er normalt ukjent og må estimeres.
Subjektive sannsynligheter
Subjektiv sannsynlighet, der sannsynligheten P for hendelse A vil være basert på gjeldende bakgrunnskunnskap K' , er skjønnsmessig bestemt. En subjektiv sannsynlighet kan settes til alle typer risikovurderinger. Kunnskapen K' kan være basert på tidligere erfaring, ekspertvurderinger, fysiske karakteristikker med hendelsen som skal vurderes, eller lignende. Subjektive sannsynligheter uttrykkes som:
Når subjektive sannsynligheter blir brukt som en del av usikkerhetsbeskrivelsen, skal bakgrunnskunnskapen helst fremgå av vurderingen, for å gi beslutningstaker en vurdering til hvor godt fenomenet som beskrives er forstått.[38]
Styrken på kunnskapen vurderes fra følgende påstander ved å besvare dem med ja eller nei. Jo flere spørsmål det svares ja på, jo svakere er kunnskapen en risikoanalytiker har til sannsynligheten som er satt:[39]
Hvis antakelser representerer en sterk forenkling av risikovurderingen,
Fenomenet det gjelder, ikke er godt forstått, eller modeller mangler eller er kjent for å gi dårlige prediksjoner.
Sannsynlighetene settes ofte som et sannsynlighetsintervall, for eksempel <0,10 (mindre enn 0,10). Dette betyr at den som setter sannsynligheten for hendelsen, ikke er villig til å være mer presis enn det intervallet angir.[23]
Risikopersepsjon handler, til forskjell fra profesjonelle risikovurderinger, om hvordan vi bedømmer risiko ut ifra våre egne sosiale, kulturelle og psykologiske forutsetninger.[41]
Psykologiprofessor Paul Slovic (2016) mener at risikovurderinger kan deles inn i kjente og ukjente faktorer, kombinert med en fryktfaktor. Jo mer frykt vi føler og jo mindre vi vet om en risiko, desto farligere synes vi den er. Om vi opplever å ha kontroll på risikoen, om risikoen har katastrofepotensial, eller om konsekvensene av risikoen vil være forsinket, spiller også inn i risikopersepsjonen.[42]
En annen måte å forstå risikopersepsjon på, er teorien om sosial forsterking av risiko utviklet av professor innen risikoanalyse Roger Kasperson.[43] Teorien om sosial forsterkning forklarer hvorfor den allmenne oppfatningen kan være veldig forskjell fra en profesjonell risikovurdering.[44] Et eksempel er vaksineskepsis som oppstår som følge av enkelthendelser presentert i mediene, der noen har opplevd sterke bivirkninger av vaksinen. Risikoanalysen av vaksinen kan vurdere risikoen som lav. Dersom myndighetenes risikovurderinger har lav tillit, kan det også spille inn på hvordan allmennheten oppfatter risikoen.
En tredje forståelsesramme, utviklet av antropolog Mary Douglas og statsviterenAaron Wildavsky, er kulturteori om risiko, som typologiserer grupper ut fra grad av gruppeidentitet og deres «grid», det vil si respekt for systemer og regler. De forskjellige gruppene oppfatter risiko ulikt:
Individualistene: Verdsetter frihet og konkurranse. Risikoatferd anses som positivt.
Hierarkister: Aksepterer store sosiale forskjeller og streng politisk kontroll. Risiko anses som positivt hvis den tjener gruppen som helhet og ikke truer dens eksistens.
Egalitære: Kollektivistisk verdensoppfatning. Risiko blir vurdert kritisk, spesielt hvis den truer naturmiljøet eller gruppens hovedverdi/likhet.
Fatalister: Lite samhold og autonomi og liten innflytelse på egne livssjanser. Risiko blir drevet og avgjort av andre, risiko er også påført av andre og vanskelig å unngå.[46]
Risikokommunikasjon dreier seg om utveksling og deling av risikorelatert data, informasjon og kunnskap mellom ulike målgruppe. Målgrupper kan være analytikere, eksperter, beslutningstakere, regulatorer, konsumenter, media og den generelle befolkningen. Aven og Thekdi sier at man bør kjenne målgruppe for å oppnå god risikokommunikasjonen. Tilsvarende viktig, ifølge Aven og Thekdi (2022), er det å etablere en god kvalitet på risikoanalysen som brukes som grunnlaget for risikokommunikasjonen.[47] Formålet med kommunikasjonen slik Aven og Renn (2010) hevder er å gi innsikt i risikoen slik at de som mottar risikokommunikasjonen blir risikoinformert og kan ta beslutninger på grunnlag av informasjonen som er gitt.[48] Kunnskaper om risikopersepsjon er en forutsetning for vellykket risikokommunikasjon.[49]
Risikostyring vil si alle tiltak og aktiviteter som brukes for å håndtere og styre risikoer. Risikostyring dreier seg om å balansere utvikling og utforske muligheter på den ene siden, og unngå tap, ulykker og katastrofer på den andre siden. Ifølge risikoteori kan man balansere risiko ved å ta hensyn til risikoakseptkriterier eller toleransegrenser.
Det er ifølge Society for Risk Analysis (2018) beskrevet tre hovedstrategier for å styre risiko:[50]
Risikoinformert strategi
Forsiktighetsprinsippet/føre-var-prinsippet, robusthet- og resiliensstrategier
Diskursive strategier (prosesser i løpet av en diskurs eller samtale)
Risikoinformert strategi baseres på risikovurderinger og beslutningsanalyser. Det er fire hovedprinsipper som kan tas i bruk for å styre, basert på risikoinformert strategi: Å unngå risiko, redusere risiko, dele risiko eller akseptere risiko. Et eksempel på risikodeling er å inngå forsikring. Dersom noe går galt, vil risikoen deles mellom den som har inngått forsikringen og forsikringsselskapet mot en forsikringspremie.
Vanligvis blir det benyttet en blanding av de ulike risikostyringsstrategiene. Ved høy risiko og stor usikkerhet er det vanlig å legge større vekt på forsiktighetsprinsippet. Er det vitenskapelige usikkerheter som kan medføre ukjente konsekvenser, for eksempel et produkts virkninger på helse eller miljø, er det vanlig å bruke føre-var-prinsippet.
Robusthet og resiliens er prinsipper som bidrar til å styrke «immunforsvaret» til det som ønskes å beskyttes. Robusthet handler om å etablere ekstra forsvarsmekanismer for å tåle risiko, mens resiliens handler om å komme seg raskt tilbake til normaltilstanden etter at et system har blitt utsatt for en risiko. Et risikostyringstiltak for resiliens kan være å ha reservesystemer på plass.
Diskursive strategier legger opp til å involvere interessenter tett. Jo mer tvetydig (dårlig forstått) risikoen er, desto mer relevant vil diskursive strategier være i risikostyringen.[50]
Ulike risikofaglige perspektiver
Det har vært vanlig å beskrive risiko med å bruke produktet med sannsynlighet (P) og konsekvens (C) knyttet til en hendelse (A). Ved å vurdere risiko som et produkt mellom sannsynligheter og konsekvenser, viser risikovurderingen til en forventningsverdi. Et problem ved dette er at det ikke vil skille mellom hendelser som har store konsekvenser og små sannsynligheter og hendelser som forekommer ofte, men med små konsekvenser. Forventningsverdien til risikoene kan være lik, men hendelsene vil kreve ulik fremgangsmåte i risikostyringen. Forventningsverdier vil ikke gi en god beskrivelse for hendelser med lav sannsynlighet og høy konsekvens. For eksempel kan forventningsverdien for dødsfall ved terrorhendelser og atomulykker være 0,01, men konsekvensene av slike hendelser kan innebære millioner av døde. Slike hendelser må behandles spesielt.[51]
Flere forskere innen risikoanalyse mener at det tradisjonelle, sannsynlighetsbaserte perspektivet på risiko er for snevert og legger større vekt på uforutsette hendelser.[52][53] To hendelser kan antas å ha samme sannsynlighet, men bakgrunnskunnskapen kan være vidt forskjellig. Sannsynligheter bygger ofte på antakelser, og sammen med svakt kunnskapsgrunnlag kan det skjule viktige sider av risikoen.[51]
I nyere vitenskapelige teorier om risiko,[54] samt i flere nye standarder[15][14] og veiledere[55][56] finnes et usikkerhetsbasert risikoperspektiv. Her er usikkerhet (U) tatt inn i konseptet i stedet for sannsynlighet (P). I det usikkerhetsbaserte risikoperspektivet kan risiko utledes som en konsekvens (C) knyttet til en hendelse hvor det er assosierte usikkerheter (U). Risiko kan dermed skrives som (C, U).
Det usikkerhetsbasert risikoperspektivet tilstreber en mer holistisk måte å vurdere og styre risikoer på. En hendelse som vurderes til å ha svært lav sannsynlighet i det tradisjonelle risikoperspektivet, vil sjelden bli prioritert videre i risikostyringen. Dersom forventningsverdien bygger på svak bakgrunnskunnskap, kan risikoen bli feilaktig fremstilt og bli en dårlig beslutningsstøtte. Det usikkerhetsbaserte risikoperspektivet vil legge større vekt på kunnskapsstyrken. Dersom en risiko vurderes til lav sannsynlighet med svak bakgrunnskunnskap, men med store konsekvenser, vil risikoen få oppmerksomhet i den videre risikostyringen.[51]
Safety og security – perspektiv på risiko
Måten en ser og definerer risiko på varierer noe avhengig av hvilket perspektiv en ser risiko fra. Det går et skille mellom safety (sikkerhet mot uønskede utilsiktede hendelser) og security (sikkerhet mot uønskede tilsiktede hendelser).[57] Ved risiko knyttet til utilsiktede hendelser refereres risiko generelt til som en kombinasjon av konsekvenser og assosierte usikkerheter.[58] Risiko i et perspektiv mot tilsiktede hendelser vurderes normalt gjennom en kombinasjon av verdi, trussel og sårbarheter.[59][20]
Ved å se på risiko i dette perspektivet kan risiko reduseres ved å minske et av elementene. Denne trefaktormodellen mellom verdi, trussel og sårbarhet brukes vanligvis om risikoer i et security-perspektiv. Sårbarhet kan defineres som «de problemer et system vil få med å fungere når det utsettes for en uønsket hendelse, samt de problemer systemet vil få med å gjenoppta sin virksomhet etter hendelsen har inntruffet».[60] Trussel kan defineres som ethvert forhold eller enhver enhet med potensial til å forårsake en uønsket hendelse.[60] Styrken på trusselen kan også måles i kapasitet og intensjon.[61] Ved høy kapasitet eller dersom intensjonen er høy for en person eller gruppe som har som mål å angripe/ødelegge/sabotere en verdi, vil trusselen vurderes som stor. Verdi handler om et objekt som ønskes beskyttet.
Andre forhold
Risikovillig og risikonøytral
Gambling er et eksempel på en risikovillig investering, hvor penger investert risikeres for en mulig avkastning, men med stor sjanse for å tape alt. Å kjøpe et lodd er således en risikabel investering med stor sjanse for ingen avkastning med tilsvarende lav sjanse for høy avkastning. Å sette penger banken til en definert rentesats er en risikoavers handling som gir garantert avkastning på en liten gevinst og utelukker andre investeringer med mulig høyere gevinst. En risikovillig investor vil eksempelvis ikke vurdere valget om å risikere et tap på 1 000 kroner med muligheten for å tjene 50 kroner for å være det samme som å risikere bare 100 kroner for å tjene samme 50 kroner. En som er risikonøytral vil i teorien se på disse risikoene som det samme.[62]
Risikokompensasjon
Risikokompensasjon er en teori som antyder at folk vanligvis justerer adferden sin etter det opplevde risikonivået, og blir mer forsiktige der de føler større risiko og mindre forsiktige hvis de føler seg mer beskyttet. Eksempelvis viser studier at dersom man bruker hjelm når man kjører slalåm fører det til større vilje til å ta mer risiko enn hvis man ikke bruker hjelm.[63]
Risikofaglig bruk i ulike fagmiljø
Teknologi
Innen ingeniørfag og teknologi er risikostyring et viktige element for å unngå at større ulykker inntreffer, for å sikre bærekraft og pålitelighet i de systemer som utvikles. Generelt innen ingeniørfaglige risikoanalyser gjennomføres det først analyser for å forutse hvilke farer som kan inntreffe i systemet. Videre implementeres barrierer for å redusere sannsynligheten for at farene vil inntreffe, og deretter barrierer som vil redusere konsekvensene om farene skulle inntreffe. Et sentralt element innen risikostyring er at ingen risiko kan elimineres 100 %, samt at det alltid være en restrisiko (gjenværende risiko etter tiltak).[64]
Barrierestyring vil inngå som en del av å etablere forsvar i dybden og det kan være mange typer barriere som vil bidra til å redusere risiko. Eksempelvis kan sannsynlighetsreduserende barrierer redusere risiko for svikt i et produksjonsanlegg. Sannsynlighetsreduserende barrierer kan være å ha ha rutiner for operatørkontroll, prosesskontroll, teknisk sikkerhet, god opplæring, sjekklister og lignende. Konsekvensreduserende barrierer kan være å implementere aktiv og passiv beskyttelse, samt beredskapstiltak som trer i kraft dersom risikoen allikevel inntreffer. Innen ingeniørfag i Norge er det vanlig å ta i bruk standarder som NS 5814 for risikoanalyser og ISO 31000 for risikostyring. Til de ulike virksomhetene som driver med teknologi, er det mange forskrifter som styrer risiko til et forsvarlig nivå (eksempelvis storulykkeforskriften eller forskrift om helse og sikkerhet i eksplosjonsfarlig atmosfære).[64]
Informasjonssikkerhet
Risikostyring for informasjonssikkerhet (ISRM) innebærer å identifisere og vurdere risikoer knyttet til konfidensialitet, integritet og tilgjengelighet (KIT) av informasjon. Dette innebærer å implementere tiltak for å redusere risiko og beskytte informasjonen mot uautorisert tilgang, endringer eller utilgjengelighet. For eksempel anbefales tiltak som begrenser tilgangen til informasjonen kun til autoriserte brukere for å sikre konfidensialitet av informasjonen. Dette kan omfatte bruk av sterke autentiseringsmetoder, kryptering av data og tilgangskontroller. For å sikre at informasjonen er nøyaktig, oppdatert og pålitelig anbefales av for eksempel bruk av digitale signaturer, kontroll av dataendringer, og sikkerhetskopierings- og gjenopprettingstiltak.[65]
Informasjon kan gjøres tilgjengelig for autoriserte brukere ved å for eksempel å ha redundante systemer, systemvedlikehold og beredskapsplaner for å håndtere eventuelle problemer eller uforutsette hendelser. ISRM omfatter normalt kontinuerlig overvåking, gjennomgang og vurdering av risikoer knyttet til informasjonssikkerhet, samt gjennomføring av tiltak for å håndtere og redusere disse risikoene.[65] ISO27001 er en ofte brukt standard for risikostyring innen informasjonssikkerhet.[66] Selve ordet risiko kan innen informasjonssikkerhet henvise både på en teoretisk sikkerhetshendelse (med en kjent eller ukjent sannsynlighet og konsekvens) og på den sannsynlighetsvektede konsekvensen (risikonivået) til en tenkt sikkerhetshendelse.[67]
Miljø
Innenfor miljøvern spiller vurdering av risiko, for eksempel knyttet til kjemikalier i drikkevann eller luft, en avgjørende rolle. En risikovurdering her er ofte en objektiv vurdering som danner grunnlag for å avgjøre om et gitt stoff skal forbys eller tillates, og baseres på oppgitte grenseverdier. Vurderingen kan for eksempel være en beskrivelse av hvilke effekter stoffet ved en gitt konsentrasjon kan ha på miljøet eller på mennesker. Dersom vurderingen av stoffet eller produktet ikke fører til skade på mennesker eller miljø, gir det ikke automatikk i at myndighetene skal godkjenne at stoffet kan brukes.[68]
I drikkevannsforskriften oppgis det eksempelvis en rekke grenseverdier som inngår som risikoakseptkriterier for at drikkevannet skal godkjennes.[69] Dersom drikkevannet holder seg innenfor det som er maksimalverdier for ulike farestoffer, vil risikovurderingen gi beslutningsstøtte for at vannet er trygt å drikke. Dersom det er usikkerheter i om drikkevannet er utenfor grenseverdiene til et farestoff, sier forskriften at forsiktighetsprinsippet skal brukes ved at drikkevannet ikke blir anbefalt å drikke, eventuelt hvis det er mistanke om helsefarlige mikroorganismer i drikkevannet kan det komme anbefaling om koking av drikkevannet.[70][71]
Økonomi og finans
Økonomi handler om produksjon, distribusjon og forbruk av varer og tjenester. Økonomisk risiko oppstår ved usikkerhet knyttet til økonomiske utfall. For eksempel kan økonomisk risiko være sjansen for at makroøkonomiske forhold som valutakurser, statlig regulering eller politisk stabilitet vil påvirke en investering eller et selskaps utsikter. Innen økonomi og finans, er risiko ofte definert som en kvantifiserbar usikkerhet om gevinster og tap. Finansiell risiko er generelt knyttet til sjansene for å tape penger. Den finansielle risikoen er som oftest referert til muligheten for at et selskaps kontantstrøm vil vise seg utilstrekkelig til å oppfylle sine forpliktelser. Finansiell risiko kan også gjelde for en stat som misligholder sine obligasjoner. Andre former for finansrisiko er kredittrisiko, likviditetsrisiko, utenlandsk investeringsrisiko, aksjerisiko og valutarisiko. Investorer kan bruke en rekke finansielle risikoforhold for å vurdere et selskaps utsikter.[72]
Innen økonomisk teori vil risikovurderinger i utgangspunktet kun gjelde usikkerheter knyttet til en referanseverdi.[klargjør] For eksempel, i en finansiell investering på børsen, vil risikoen være knyttet til usikkerheter i om aksjekursen vil gå opp eller ned i forhold til den opprinnelige investeringsverdien.[73]
Innen økonomi og finans brukes begrepene risikoholdning, -appetitt og -toleranse ofte på samme måte for å beskrive en organisasjons eller individs holdning til risikotaking. Holdningen kan beskrives som risikovillig, risikonøytral eller risikosøkende. Risikoappetitt ser på hvor mye risiko man er villig til å akseptere. Risikoappetitt fra et virksomhetsperspektiv kan variere typisk ut ifra faktorer som hvor villig lederne i virksomheten er til risiko, organisasjonskulturen og hvilket økonomisk og finansielt fokus en virksomhet har.[73]
Medisin
Innen medisin kan risiko vurderes ut ifra hvordan ulike parameterverdier i for eksempel blodprøver eller blodtrykk gi risikoverdier til om en person har en sykdom eller ikke. For eksempel hvis en blodtrykkmåling viser unormalt høye verdier på noe, kan det innebære at en pasient er i risikogruppe relatert til hjerte- og karsykdommer.[74]
Et annet eksempel på hvordan risiko kan tas i bruk innen medisin er ved å utføre noe som kalles høyrisikostrategi, er sykdomsforebyggende eller helsefremmende tiltak som rettes mot personer med høy risiko for utvikling av en viss sykdom eller for tidlig død. Et eksempel er reduksjon av fettinnholdet i kosten til personer som har fått påvist høy kolesterolkonsentrasjon. Risikostrategiske tiltak reduserer sykdomsrisikoen for de personer tiltakene rettes mot, men fordi antallet personer med høy sykdomsrisiko ofte er lite, har denne strategien oftest liten virkning på den totale sykelighet i befolkningen.[75]
Vaksiner er et risikoreduserende tiltak til en rekke sykdommer.[76][77]
Jus
I det praktiske juridiske liv brukes begrepet tvilsrisiko eller det litt eldre bevisbyrde.[78] Disse begrepene har ulik relevans avhengig av om det dreier seg om vurdering av jus eller faktum. Dersom dommeren er i tvil om hvordan rettsreglene skal forstås, anvender dommeren reglene slik dommeren mener de har mest for seg. Da blir det ikke tale om at risikoen bæres av den ene eller andre av partene i saken. Men dersom dommeren er i tvil om sakens fakta, vil det kunne bli et spørsmål om hvem av partene denne tvilen skal gå ut over. Dette innebærer at vedkommende part bærer tvilsrisikoen. Domstolen vil behandle reglene om fordeling av tvilsrisikoen på hver av de faktaopplysninger saken inneholder.[79]
Søksmålsrisiko er et begrep som brukes om risikoen for å tape en rettssak. Begrepet søksmålsrisko brukes da om det samlede risikobildet for en part. Søksmålsrisikoen henger sammen med størrelsen på de totale sakskostnader målt mot tvistegjenstandens verdi, om avgjørende bevis er dokumenter eller vitner som kan forklare seg avvikende i retten eller ikke møte opp, og om dommerne kan vurdere saken annerledes enn det parten gjør.[80]
Justismord er en juridisk risiko som foreligger når den tiltalte blir dømt for noe hen ikke har gjort. Det vil også være et justismord dersom tiltalte dømmes selv om beviskravene ikke er oppfylt, samtidig som det kan være all grunn til å tro at vedkommende er skyldig. Gjenopptakelseskommisjonen er et organ som kan beslutte at en straffesak skal gjenopptas, når det er avsagt en uriktig dom. Kommisjonen er opprettet for å bedre rettssikkerheten, herunder for å redusere risikoen for uriktige domsavgjørelser. Den gjenoppretter noe av den urett som er gjort.[81][82][83][84]
Helse-, miljø- og sikkerhet
Ifølge Arbeidstilsynet skal alle arbeidsmiljøområder innenfor helse, miljø og sikkerhet (HMS) risikovurderes. Innenfor hvert arbeidsmiljøområde finnes det mange ulike faktorer som kan føre til økt risiko for skader, helseplager eller sykdom. Hvilke faktorer som er relevante, vil variere fra virksomhet til virksomhet.[85] I Norge er hovedhjemmel for risikostyring innen HMS-faget internkontrollforskriften.[86]
Noen vanlig anvendte standarder innen HMS for å styre risikonivået til et forsvarlig arbeidsmiljø er ISO9001[87] for kvalitet, ISO14001[88] for ytre miljø og ISO45001[89] for arbeidsmiljø. Risikofaktorer og risikoområder innen HMS i det norske arbeidslivet skal dekke forhold som angår organisatorisk arbeidsmiljø, ergonomisk arbeidsmiljø, psykososialt arbeidsmiljø, fysisk arbeidsmiljø, kjemisk arbeidsmiljø og biologisk arbeidsmiljø. Risikovurderingen skal ifølge Arbeidstilsynet være en kontinuerlig prosess som består av kartlegging, vurdering av sannsynlighet, konsekvens og risiko, iverksetting av tiltak og evaluering. Etter evalueringen skal arbeidet ifølge Arbeidstilsynet følges opp med ny kartlegging i tråd med PUKK-hjulet (planlegge, utbedre, kontrollere, korrigere).[85]