lørdag 31. desember 2011

Hva skjer rundt kopimaskinen?

En liten hilsen påminnelse til alle bedrifter med kopimaskin. Har dere tenkt på hvor mye informasjon som skifter hender rundt kopimaskinen.

Har du kontroll på at ikke uvedkommende tar med seg konfidensiell informasjon, uten at du engang vet det? Det er jo bare å kopiere din utskrift, legge den tilbake, og så forsvinne lydløst med potensielle sprengladninger under armen.

Mulige barrierer for at slikt kan skje:

* Utskrift bare når du er til stede, med personlig kode på maskinen

* Adgangskontroll til bygningen/kopirommet

* Private skrivere til sensitiv informasjon
Lagt inn av kl. Ingen kommentarer:
Etiketter: , , ,

Kontinuitets-planlegging

Kontinuitets-planlegging, eller business continuity planning (BCP), handler om å sikre driften av selskapet selv om uforutsette hendelser skulle oppstå. Dette er et forholdsvis nytt og voksende område innen risk management.

Javel sier du, er ikke dette en selvfølge?
Jo, det er det for mange ledere, men som på så mange andre områder (f.eks HMS), så er veldig mye overlatt til tilfeldighetene. Selv beskyttelse av tap av data (backup) er det overraskende mange som ikke har tenkt over.
Dette innlegget kommer som en følge av mine opplevelser på en dugnadsjobb, der vi flyttet for et advokatkontor i Oslo i desember 2012. Her opplevde jeg en del småting som til sammen ga meg inntrykket av at BCP ikke var systematisk innført i virksomheten.
Det finnes ingen internasjonal standard for BCP, men britene har laget en standard som heter BS 25999, Vi tar utgangspunkt i denne for å belyse hvordan et slikt arbeide kan gjøres.
1. Analyse av virksomheten
For det første må virksomheten ta stilling til hva som er kritisk og ikke-kritiske operasjoner. Noen forhold er kritiske på grunn av økonomiske konsekvenser, andre fordi de er lovpålagt. For hvert kritisk område må det besluttes hva som er akseptabel tidsperspektiv for gjenopprettelse, samt hva som er aksetable kvalitet på gjenopprettelsen.
Advokatfirmaet hadde et klassisk syn på hva som var kritiske operasjoner, nemlig at sjefen, Høyesterettsdommeren og stjerneadvokaten, skulle fortsette å jobbe uhindret. Derimot var det helt uteglemt at virksomheten håndterte konfidensiell informasjon som ikke burde vært på avveie. Eksempler på dette ble funnet av flyttepersonell, blant annet videoer av vitneavhør med tydelig påskrift "konfidensielt".
2. Analyse av trusler
Virksomheten må også gjøre en analyse av hvilke trusler som kan true kontinuiteten. En flytting av kontorlokaler er ganske åpenbart en trussel, da det nødvendigvis vil gå med mye tid til å gjennomføre den fysiske flyttingen. Mest kritisk er det at man kan plugge nettverksledningen inn i veggen og umiddelbart få tilgang til det velkjente nettverket.
Men, trusler er mye mer enn flytting. Fra min tid i Avinor, ver vi godt forberedt på et eventuelt strømbrudd, bortfall av radar- eller radiodekning.
Men, hva gjør man når et jordskjelv rammer Fukushima, når flodbølgen rammer Phuket, når orkanen med styrke 5 raser innover New Orleans, når Ebola epedemien setter en hel hovedstad på hodet eller når et ekstra hissig datavirus raser over verden?
Vi skjønner at kun fantasien setter grensene for hva man kan ta med i en evaluering ab mulige trusler.
3. Design av løsninger
Når man kjenner til mulige hendelser og hva dette kan bety for virksomheten, så kommer tidspunktet for å designe løsninger for å forhindre, eller minimalisere effekten av hendelsen.
Typiske løsninger vil være slikt vi så under 22. juli terroren i Oslo, der de berørte departementene raskt fant en sekundær arbeidsplass hos sine direktorater andre steder i byen.
Av ekstreme og kostbare løsninger er bygging av diker rundt storbyer eller å bygge jordskjelvsikre bygninger. Skredbeskyttere over jernbanen er en mer lokal variant.
Advokatformaet hadde gjort stor innsats for å sørge for at sjefen hadde et kontor å jobbe på umiddelbart, mens resten av advokatene virret rundt flyttecrewet hele dagen og ventet på kontoret sitt. Men, en skikkelig oppryddig i skuffer og skap, samt rundt kopimaskinen hadde de ikke tenkt på.
4. Implementering
Denne fasen handler om å implementere løsningene man har designet. Dette henger sammen med vurdering av akseptabel risiko i den første vurderingen. Er løsningen lønnsom i forhold til forventet tap?
5. Testing og akseptering
For å være i stand til å teste planene om kontinuitet, så må man definere scenarioer om hva som vil være konsekvensene av en hendelse. Deretter handler det om å simulere denne hendelsen, og betrakte hva som skjer.
Det er umulig å simulere fysisk en naturkatastrofe, så testene er ofte redusert til skrivebords øvelser.
6. Vedlikehold
Med jevne mellomrom må planene gjennomgåes på nytt og oppdateres.

Som med andre områder av risk management, så er ikke BCP spesielt komplisert. Manglene oppstår ved at prinsippene ikke følges systematisk i virksomhetene. Mange konsulenter har derfor skodd seg godt på å hjelpe virksomheter som er sårbare med slike.
Og hvem er det som tjener på alt dette i det lange løp?
Svarene er mange.
Lagt inn av kl. Ingen kommentarer:
Etiketter: , , ,

torsdag 22. desember 2011

De behandler oss som kveg

Et vanlig syn langs landeveien i mange land er overfylte minibusser som frakter dagsarbeidere til og fra arbeidsplassen.

Dagsarbeidere er mennesker som ikke er ansatt i noen bedrift, men som møter opp på en bestemt plass om morgenen i håp om at det kommer noen som trenger arbeidskraft. Da arbeider de en dag for vedkommende, og får gjerne betalt kontant ved slutten av dagen.

Ordningen er gammel, så gammel at den er beskrevet i Bibelen. Den har også vært praktisert i Norge, men forekommer ikke lenger etter dagens arbeidsmiljølovgivning.

Denne artikkelen vier seg til den risikofylte aktiviteten for foregår når grupper av slike dagsarbeidere fraktes i minibusser fraoppmøtestedet til arbeidsplassen. Minibussene (eller taxiene som noen kaller dem) er ofte gamle, vanlige 10 setere, men bruk av picuper og lasteplan er også vanlig. Problemet oppstår når det tilsynelatende er om å gjøre å stable flest mulig arbeidere inni eller bakpå slike kjøretøy.

Man kan spøke med slikt, og konkurrere om hvem som kan oppdage det kjøretøyet med flest folk bakpå. Men, artikler som denne:
http://www.nriinternet.com/NRI_Accidents/Canada/ABBOTSFORD_3_DIED/Index.htm

gjør at det ikke er spesielt morsomt å se slike transporter i det lange løp.

Selv har jeg havnet bak en ulykke med en 10-seters Hiace utenfor Johannesburg i Sør-Afrika. Bilen var stappfull, og hadde veltet på motorveien. Vi sto lenge i kø bak hendelsen og da vi omsider fikk passere ulykkesstedet, var det liten tvil om hva konsekvensene hadde vært. Vi fikk senere bekreftet at det var to omkomne.

I artikkelen i linken over, beskrives en tilsvarende ulykke. Men, her var det 17!!! personer i bussen, og tre omkomne;

  • Bilen var godkjent for 15 personer
  • Det var laget i stand trebenker i bussen for å ta inn flere
  • Havnet på hodet på midtdeleren

Det refereres i artikkelen til samfunnets reaksjoner på ulykken. Dette er festlig lesning. Fagforeningen klager over at de blir behandlet som andreklasses borgere og kveg, mens en advokat uttaler seg saklig at en van med 17 personer ombord har lett for å tippe over.

Uansett er det vel ikke langt unna sannheten, at dagsarbeidere behandles som kveg.

Og man skulle tro at denne omtalte hendelsen skjedde i et ikke-vestlig land.

Men neida, det skjedde i nærheten av Vancouver i Canada.
Lagt inn av kl. Ingen kommentarer:
Etiketter: , , , , ,

Risiko og statistikk som beslutningsstøtte

I dagens VG kan vi lese et intervju med Guro Ranes i Statens Vegvesen. Det kommer frem i intervjuet at antallet drepte i trafikken er gått betydlig ned de siste 40 år.

Artikkelen er en god dokumentasjon på hvordan risikobasert ledelse kan fungere.

1. Risikoscenarioet er velkjent

2. Det er klart definert hva som er akseptabel risiko

3. Sannsynlighet og konsekvensene kan kvantifiseres, dvs måles med tall (statistikk)

4. På bakgrunn av risikobildet, er det tatt beslutninger om aksjoner

5. Resultatet av aksjonene gir utslag på statistikken og kan dermed verifiseres.

I slike saker som artikkelen beskriver er det alltid mange meninger. Vi bør gjøre slik, vi bør gjøre som dem, vi bør bygge dette, osv. Alt dette er vel og bra, men det eneste som betyr noe i risikoens verden er dokumenterte resultater.

Dessverre er ikke alltid resultatene like lett å dokumentere på forhånd.

En beslutningstaker er avhengig av beslutningsstøtte, og kan derfor heller velge å stole på en forholdsvis god statistikk enn å lete etter optimaliserte løsninger som kanskje gir mange ganger bedre effekt.

Slike psykologiske effekter er det som gjør arbeidet med risiko interessant!

Avisartikkelen finnes på denne linken:

Lagt inn av kl. Ingen kommentarer:
Etiketter: , , , ,

tirsdag 6. desember 2011

Riskosport #2: Skating i kollektivfelt

Vi har fanget opp en litt morsom sak fra Bergens Tidende. Artikkelen taler vel for seg selv.
En skater ble "fersket" av avisens fotograf mens han kjørte i stor fart nedover i et kollektivfelt, uten hjelm og annen beskyttelse.
Påfunnet er tragikomisk i seg selv. men det er kommentarene under artikkelen som virkelig er underholdende. Her kommer det frem både støtte og sympati for skateren, begeistring for den mosjon man får ved å bruke skateboard og uttrykt bekymring for longboarderes plass i trafikken.
Selv er jeg syklist. Jeg bruker hjelm, og har bremser. Allikevel vet jeg at jeg utsetter meg selv for stor risiko, og jeg har sett en død sykkelkollega i veien foran meg ved en anledning.
La oss håpe at personen i dette tilfelle klarte å stoppe før han havnet i søpla.
Og la oss inderlig håpe at selv skateboardere klarer å skille samfunnsrisiko fra personlig søken etter adrenalin.
Artikkelen finner du her:
http://www.bt.no/nyheter/trafikk/Rullende-risiko-2619136.html
Lagt inn av kl. Ingen kommentarer:
Etiketter: , , ,

Risikovurdering av Oslofjordtunnellen

I slutten av oktober 2011 publiserte Statens Vegvesen en rapport som inneholder risikoanalysen av Oslofjordtunnellen med omkjøringsveier. XVI.no har fått rapporten i hendene. Det følgende er våre kommentarer etter å ha lest gjennom innholdet.

Først vil vi si at vi er kritiske til at undersjøiske tunneller i Norge i så liten grad er i stand til å oppfylle krav til sikkerhet kun få år etter ferdigstillelse. Rapporten belyser dette tydelig. Vi har en oppfattelse av at norske myndigheter i for stor grad tenker populistisk ved budsjettering, planlegging og bygging. DVS at det er viktigere å gi brukerne et dårlig tilbud raskt enn å bruke lenger tid til planlegging og sitte igjen med et produkt som også står stand mye lenger.

Vår erfaring fra andre land, spesielt England, er at det praktiseres langt strengere regler for risikovurderinger i prosjekteringsfase og byggefase. Et eksempel er Hindhurst tunnellen på A3 mellom London og Portsmouth. Dette er en kort tunnell (i norsk sammenheng) gjennom løst fjell, men her har man brukt 7 år på planlegging av sikkerhetstiltak; Visuell varsling som langt overgår Oslofjordtunnellen, dobbelt løp, tilnærmet dagslys, evakueringsmuligheter, måling av gjennomsnittshastighet, eskorte for tunge kjøretøy etc.

Notater fra Oslofjord-rapporten:

1. Dimensjonering: Tunnellen har allerede nådd maksimal kapasitet, og det med 15% andel av tunge kjøretøy. Mye utenlandsk trafikk med biler som ikke er dimensjonert for norskt kupert terreng. 7% stigning er brattere enn det som er tillatt i dag.

2. Det vil være et totalt mislykket prosjekt hvis det ikke skal være mulig å kjøre tungtrafikk gjennom, slik det drøftes i rapporten.

3. Mange problemstillinger med ett løps tunnell, både i forhold til brannberedskap (som må komme fra begge sider), og møteulykker (smale kjørefelt)

4. Andelen ulykker med stor konsekvens er merkverdig høy! Brann > 30-40 MW minst en gang hvert år

5. Informasjon om evakueringsretning i norske tunneller er skremmende dårlig.


Bruken av worst case scenario er interessant. Dette er en metodikk som er på full fart vei inn i risikovurderingen. I rapporten er scenarioet veldig spesifikt, og en slik enkel metodikk får planleggingen av beredskapen til å se lettere komisk ut.

Vi er generelt positive til de foreslåtte tiltakene, som går på visuell varsling, bruk av såkalte "safe havens” og dimensjonering av brannberedskap.

Men, vi mener at i tillegg bør enkle forholdsregler som visuell inspeksjon av tunge kjøretøy og bruk av eskorte/stenging av tunnell for andre kjøretøy benyttes for farlig last. Og selvsagt mener vi at det allerede nå må budsjetteres og planlegges et løp nummer 2, noe som er den eneste veien å gå på lang sikt, hvis man skal forsvare tunnellens hensiktsmessighet ift tung trafikk på veiene våre.
Lagt inn av kl. Ingen kommentarer:
Etiketter: , , , , , , , ,

onsdag 2. november 2011

Risikosport #1 - DOPING

Uttrykket "Risikosport" er populært, og det er mange mer eller mindre sportslige varianter av dette å finne i avisene.

Her har jeg funnet en artikkel fra Dagbladets magasin i 2003, som omhandler effektene av anabole steroider. Se link nedenfor.
Denne artikkelen er tankevekkende, fordi i lys av 22. juli, så ser vi at essensen i artikkelen er 100% korrekt, nemlig at agressjon, vrangforestillinger og ukontrollert adferd er blant bivirkningene av preparatene, og at dette kan resultere i fatale konsekvenser for samfunnet.

Gjerningsmannen (han hvis navn ikke skal nevnes) har fortalt at han bevisst brukt anabole sterioder for å klare å gjennomføre sin udåd i sommer.
Det er ikke lov å innføre eller omsette dopingmidler i Norge, men det er ikke ulovlig å bruke dem, bortsett fra i idretten. Denne ulovlige virksomheten er blitt en milliardindustri bare i Norge, kunne NRK opplyse i går.

Vi mener at slik situasjonen er i dag, er dette en uakseptabel risiko for samfunnet på mange måter, og at samfunnet må reagere på en helt annen måte enn tidligere.

Her er artikkelen i sin helhet:
http://www.dagbladet.no/magasinet/2003/11/08/382899.html
Lagt inn av kl. Ingen kommentarer:
Etiketter: , , ,

mandag 31. oktober 2011

Som å gi afrikanere makt i FN

Denne uken vedtok Eu kommisjonen en ny forordning om HMS på offshore installasjoner.

Det er en god tanke som ligger til grunn. Europas tre oljerike havområder, Nordsjøen, Middelhavet og Svartehavet er i dag alle regulert etter forskjellige regelverk, og etter Deepwater Horizon ulykken har ikke Europa råd til å oppleve noe lignende.

Det foreløpige utkastet finnes på denne siden:






Utkastet er klar i sin tale; det sentrale punktet for å oppnå en høyere HSE standard, er å få Europas land til å samstemme sine lovverk. Dette argumentet er det ikke vanskelig å være enig i, MEN det er en rekke utfordringer som potensielt kan resultere i det eksakt motsatte:

1. Et standard sett med lovverk kan gjøre det vanskelig for økonomisk pressede stater å opprettholde sin allerede høyeste standard. Et kompromissbasert lovverk kan være motivasjonen for å la standarden synke uten at noen stille spørsmål ved dette.

2. De landene som har forstått å ta risiko for storulykker på alvor har allerede innført lignende lovverk

3. De landene som ikke ser nytten av dette, har ingen sansksjonstrusler eller andre incentiver for å vedta EU lovverk

4. Lovene er politiske verktøy, og som i all politikk, så kan det misbrukes eller misligholdes. Det er ikke utenkelig at en slik viktig lov vil ende opp med å forvaltet av en administrasjon og politikere som har en helt annen agenda, sin egen. Kun 3 av 27 medlemsland har en oljeindustri av størrelse, dvs et mindretall i den store sammenhengen.


Dette er jo som å gi afrikanere makt i FN, eller å la dommere fra Nord-Korea dømme viktige kamper i Fotball-VM. Alle vet at de er udugelige, men at gubbeveldet og bestikkelser har plassert dem der av alt annet enn sportslige eller fredsskapende årsaker.


Det gjenstår å se hva som blir utfallet av lovforslaget, men foreløpig er vi pessimister. Her vil kompromissene ta knekken på den gode intensjonen.
Lagt inn av kl. Ingen kommentarer:
Etiketter: , , ,

torsdag 27. oktober 2011

Trussel eller mulighet

Dagens nyheter om at oljefondet tvinges til å kjøpe "råtten gjeld" virker selvsagt etter journalistens hensikt, det fremkommer som som om finansdepartementet var komplett uvitenhet om realitetene i dette.
Steinar Medieaas har selvsagt helt rett i at å tvinges til å kjøpe risikofylte obligasjer på grunn av mandatets utforming og ikke på en økonomifaglig bakgrunn er uheldig. Det vil ganske sannsynlig at Norge, og oss skattebetalere, vil tape masse penger på en del av disse.
Men, dette er bare en del av bildet. Hva ville skjedd dersom Norge ikke på denne måten bidro til å løse de økonomiske utfordringene Europa står ovenfor i dag?
Ville vi da tapt enda mer penger?
Hvis vi forutsetter at eurolandenes sparepakker fungerer, noe vi anser som det sentrale punktet i krisen, ettersom nye lån og refinansiering er bare en midlertidig løsning, så vil mesteparten av gjelden landene har pådratt seg, betales tilbake med gode renter.
Mye av årsaken til at vi er der vi er, er nettopp vår foregangskultur på å holde igjen på de offentlige investeringene. Mange har sterke meninger om dette, og viser til dårlige veier og sykehuskøer. Alt dette er forhold som i beste fall har to sider.
Oljefondet er blitt en maktfaktor i Europa, på grunn av dette mandatet. En ren industri eller forretningsorientering ville gitt en redusert mulighet for medvirkning i politiske prosesser.
Vi ser gjerne at Norge gjennom å bruke sin sterke økonomi, og gjennom smart bruk av fondsreserver, kommer sterkere med i den europeiske maktbalanse. Vi har en finansminister som knapt er synlig i det nasjonale bildet, langt mindre i det internasjonale. Senior Johnsen. tred frem! La oss få høre din argumentasjon for å beholde oljefondets mandat! La oss bli inspirert og stolt av vårt bidrag til å redde Europa! Bruk denne muligheten for oss, er du snill!
Vi ser frem til finansministerens respons på henvendelsene fra Oljefondet og Norges Bank med spenning!
Lagt inn av kl. Ingen kommentarer:
Etiketter: , , , ,

fredag 26. august 2011

The economist - tjene penger på høy-risiko obligasjoner

Her er et utklipp fra avisen The Economist som forteller noe om hva slags fortjeneste man har av Høy-risko obligasjoner:
http://www.economist.com/node/17966956
Lagt inn av kl. Ingen kommentarer:

Terminologi #2: Høy-risiko obligasjoner

En obligasjon er definert som et rentebærende gjeldsbrev som forteller at en part skylder en annen part penger. Slike dokumenter utstedes vanligvis av banker, stater eller enkeltpersoner.

Når en obligasjon kalles for høy-risiko, spekulativ, eller "søppel", skyldes det at det er foretatt en kredittvurdering av obligasjonen, basert på sannsynligheten for at låntakeren er i stand til å betjene lånekostnadene. Kredittvurderingen er en finansiell indikasjon for potensielle investorer om det lønner seg å investere i dem.
A: sikker investering
B: spekulativ investering
C: høyrisikoinvestering
D: total fiasko mest sannsynlig

Dersom kredittvurderingen er C eller lavere, regnes de som høyrisiko.

Høy-risiko obligasjoner kan settes sammen som finanseringspakker til mulige investorer, helst i sammenheng med en eller annen form for sikkerhet. Dersom denne sikkerheten er av en litt tvilsom karakter, for eksempel basert på flytende markedsandeler eller såkalt subprime pantsettelser, kalles investeringspakkene for "tixic debt" eller giftig gjeld. Det var dette som felte banken Lehman brothers og dermed innledet finanskrisen i 2008.

Fordelen med høy-risiko obligasjoner er at de er rimelige å overta, og kan gi god gevinst dersom låntakerens kredittverdighet stiger og man allikevel er i stand til å betjene gjelden.

Lagt inn av kl. Ingen kommentarer:

Storaksjon i høst - Virksomheters risikokartlegging

I en nyhetsmail skriver Klima- og forurensingsdirektoratet (KLIF) at de planlegger en stor kampanje/aksjon i høst der de skal gjennomføre tilsyn mot virksomheters kartlegging av risiko.

Som vi tidligere skrev om kommuners beredskapsplikt, har også virksomheter krav på seg, definert både i Arbeidsmiljøloven og Internkontrollforskriften at man skal skaffe seg en oversikt over de risikoelementer som forekommer i virksomheten.

Virksomheter har også et krav definert i Kjemikalieforskriften om å gjennomføre risikokartlegging av kjemikalier.

På samme måte stilles det krav i IK-Mat osv osv.

Link til nyhetsbrevet fra KLIF finner dere her:



Lagt inn av kl. Ingen kommentarer:

fredag 19. august 2011

Kommunal risko og sårbarhetsvurdering

Etter terrorangrepene på Oslo og Utøya, virket det helt klart for oss at det fremkom en stor kompetanseforskjell mellom de riskovurderinger som var gjort for de to rammede områdene.

I regjeringskvartalet var det identifisert en fare for terroranslag, og det var gjennomført flere øvelser på nettopp dette. Dette er jo ikke helt unaturlig, siden vi snakker om maktens korridorer i et av verdens rikeste land.

I Hole kommune hadde man derimot gjennomført en risko og sårbarhetsanalyse, men her var det ingen som hadde vurdert noen stor risko med sommerleiren på Utøya. Politiet i kommunen hadde kun vurdert risko omkring enkeltpersoners besøk på øya.

På kommunens hjemmesider oppgis dokumentet "Risiko og sårbarhetsanalyse" å ha status "ikke ferdig". Ut ifra de opplysninger vi har, så forstår vi det slik at dokumentet er ferdig, men er enten:
* ikke ferdig politisk behandlet
* godkjent, men ikke publisert
* tatt bort fra nettet i etterkant av katastrofen

Vi fremfører derfor en påstand om at det i mange norske kommuner finnes en risiko og sårbarhetsanalyse med store hull og mangler. Dette er urovekkende.

Vi siterer direktoratet for samfunnssikkerhet og beredskap sin veiledning til kommunene:

"Alvorlige ulykker, ulykker og svikt i samfunnssviktige systemer avslører ofte at samfunnet ikker er godt nok forberedt på å håndtere en vanskelig situasjon tilfredsstillende. Selv mindre forstyrrelser resulterer ofte i vesentlig tap for enkeltpersoner, miljø eller virksomheter. Med enkle midler kunne slike situasjoner vært unngått"
Se mer på denne linken:

http://www.dsb.no/Global/Publikasjoner/Tidligere/Andre/risiko_saarb-analyse.pdf

Direktoratet indikerer dermed at det er mangelfull utarbeidelse av slike analyser i mange kommuner.
Vi har også funnet at Fylkesmannen i Buskerud i et tilsyn i 2009 kritiserte kommunen for å ikke bruke sin ROS-analyse aktivt i planleggingen av kommunal beredskap.

Nå er det ikke sannsynlig at et bedre risko og sårbarhetsanalyse i Hole kommune ville bedret situasjonen rundt skytedramet 22. juli direkte. Det er heller ikke meningen å kritisere det arbeidet som er gjort med en slik plan. Men, vi mener at en forbedret analyse kunne hatt følgende indirekte fordeler i situasjonen som oppsto:
* Det kunne vært gjennomført treninger på håndteringer av raske evakueringer fra Utøya
* Kommunens brannvesen kunne hatt en hurtiggående båt i beredskap
* Tilførselsveien til fergeleiet ved Utvik kunne vært forbedret

I ytterste konsekvens kunne man sagt at å isolere en slik profilert folkemengde på en liten øy med dårlig ankomstmuligheter ikke burde vært gjennomført.

Vi ønsker at det i etterkant av denne tragiske hendelsen settes mer fokus lokalt i kommunene på utarbeidelse av grundige risikoanalyser, som også evner å tenke "utenfor boksen", samtidig som den ivaretar kommunenes behov for planlegging av beredskap. Slike analyser krever øket kompetanse, noe myndighetene bør sette krav til i forbindelse med utarbeidelsen.

Bare på dette grunnlaget tror vi at det er mulig å kunne tilføre mer åpenhet, mer demokrati og skape et tryggere samfunn.

Selve kravet til risiko og sårbarhetsanalyse fremkommer i Plan- og Bygningsloven paragraf 4-3 (relatert til utbyggingsprosjekter) og ikke minst i Lov om kommunal beredskapsplikt paragraf 14:

"Kommunens plikter å kartlegge hvilke uønskede hendelser som kan inntreffe i kommunen, vurdere sannsynligheten for at de inntreffer og hvordan de vil påvirke kommunen. Resultatet vurderes og sammenstilles i en helhetlig risiko-og sårbarhets-analyse".

Videre i paragraf 15:

"Med utgangspunkt i risiko- og sårbarhetsanalysen etter § 14 skal kommunen utarbeide en beredskapsplan. Beredskapsplanen skal inneholde en oversikt over hvilke tiltak kommunen har forberedt for å håndtere uønskede hendelser. Som et minimum skal beredskapsplanen inneholde en plan for kommunens kriseledelse, varslingslister, ressursoversikt, evakueringsplan og plan for informasjon til befolkningen og media."
Videre er det utarbeidet en håndbok i kriseberedskap for kommunene:
http://www.dsb.no/Global/Publikasjoner/Tidligere/Andre/systematiskarbeidikommunene.pdf

I ingen av lovene eller veilederne nevnt over er det stilt krav til hvilken kompetanse som skal kreves i kommunene for å gjennomføre en slik planlegging. Derimot ser det ut til at direktoratet satser på at veilederne alene skal kunne gi politikere, byråkratere og ansatte i kommunen hjelp nok til å utføre dette viktige arbeidet.

Noen kommuner setter bort jobben til profesjonelle partnere, slik som Rambøll og lignende konsulentfirmaer. Her er det grunn til å tro at kompetansen på risiko er mer formell.

Kompetanse på risiko kan oppnås med diverse universitetsstudier, bla ved universitetet i Stavanger, der Terje Aven har vært en ledende kompetanseskikkelse i mange år. Det er også mulig å sertifiseres som internasjonalt godkjent risikoleder. Dette styres bla av fagorganisasjonen NFKR, Norsk forening for Kvalitet og Risikoledelse.
Lagt inn av kl. Ingen kommentarer:
Etiketter: , , , , , , , ,

mandag 15. august 2011

Research report: Successful project risk management

There are many good research reports out there regarding risk management. Each report includes a section called literature review, where latest literature is reviewed and put into system according to the intention of the study.

This first research report has the title "How to conduct successful EPC projects".


2.1 The benefits of risk management

As the word risk often is associated with negative impacts on a business, the main benefit from risk is often considered to be the avoidance of losses.
However, the intention of this thesis is to prove that risk management can be beneficial in many ways. This is supported by Hopkin (2010) “The outputs from risk management activities can benefit organizations in three timescales and ensure that the organization achieves efficacious strategy, effective processes and projects and efficient operations”.
The ISO 31000 standard describes the benefits in even more details, listing among others (ISO 3100:2009):



  • Increasing the likelihood of achieving objectives

  • Improve stakeholder confidence and trust

  • Improve loss prevention and incident management

  • Establish a reliable basis for decision making

  • Improve operational effectiveness

  • Improve organizational learning


2.2 History of risk management

Risk management evolved from the ancient concepts of gambling and trading of options (Vesper 2006). Insurance – a financial tool that reduces risk for a party by “sharing” potential financial burdens – has roots back to 1800 BC, when it was used to help finance voyages by ships. The world’s first insurance company, Lloyds of London, was founded in a coffee shop at London harbor in 1687.
Vesper writes further about how the industrial revolution, and in particular the dangers of exploding steam engines, changed the governments attitude towards social and environmental risks. Since then, the hazardous agents has grown both larger (megastructures) and smaller (pesticides and atomic articles).
Thompson (2003) describes in her article how the 1960’s saw a change from insurance management to risk management, and through the last 50 years, risk management has become a management science. A broad range of techniques and methods has been developed in this period.



2.3 Risk and offshore megaprojects


The research of Flyvbjerg, Bruzelius and Rothengatter (2003) shows that megaprojects (airports, oil platforms, underwater tunnels etc) are extremely exposed to risk. The same picture is drawn for the construction industry by Tah and Carr (2000). In 9 out of 10 transport infrastructure projects, costs are underestimated, resulting in cost overrun. (Flyvbjerg, Bruzelius and Rothengatter 2003) For all project types, actual costs are, on the average, 28% higher than estimated costs. The phenomenon has been constant for the last 70 years and seems to be a global issue.
Successful megaprojects are shaped with risk resolution in mind. (Lessard and Miller, 2001). According to Lessard and Miller (2001), oil platforms projects are among the most technically difficult, second to nuclear power plants only. An EPC-contract for such a project is awarded after a series of feasibility studies, concept selections and other pre-projects. The bid for construction is invited with detailed drawings, bill of quantities and other information, (Yescombe 2002), enabling the EPC contractor to establish a risk picture in the front-end of the project. Hopkin (2010) states 5 stages at which the project will particularly benefit from risk analysis and management:



* Feasibility study phase – at this level the project can be modified at low cost
* Sanction phase – at which point the project can be stopped by the client
* Tender phase – at which point the contractor can ensure that all risks have been identified
* Post-tender. at which point the client selects the contractor, ensuring that all risks are met
During implementation of the project.



Hopkin and Lessard&Miller are thus agreeing that a front-end approach to risk is essential to succeed with risk in large projects. Their view is shared with Walewski and Gibson (2003), saying: “Identifying, allocating, and managing risks at the front end of the project planning process can improve project performance.”


2.4 Risk as a part of the project finance system

One of the main features of project finance is that risks are allocated equitably between all parties involved in the transaction, with the intention of assigning the risks to the contractual counterparties best able to control them. (Gatti 2008).
The sponsor of the project will seek to transfer as much risk as possible to the counterparties, typically the Engineering, Procurement and Construction (EPC) contractor (who builds the structure) and the Operation Contractor, who operates the project when it is completed. The contract formats are different, as EPC contracts tend to be fixed price contracts, and Operation contracts tend to be on a “cost-plus” basis. (Yescombe 2002).
An EPC contractor is a company that wins the tender for the design and construction of a given plant on the basis of an EPC contract. (Gatti 2008) The contractor is responsible for damages resulting from delays, but may also receive an early completion bonus. In addition, the contractor is required to pay penalty fees (liquidated damages) if the plant does not pass performance tests on certain key variables at guaranteed levels.
Payment of the contract price is normally made in stages, relating to items such as completing a major stage. (Yescombe 2002).
A successful project financing initiative is based on a careful analysis of all the risks the project will bear during its economic life. (Gatti 2008). Risk is a crucial factor in project finance since it is responsible for unexpected changes in the ability of the project to repay costs. We can say, like Yescombe (2002), that risk is in the heart of project finance.



2.5 Risk categories and identification


Some literature categorizes risks into categories describing the characteristics of the risks, such as Hopkin (2010):



* Hazard risks – real threats that must be treated
* Uncertainty risks – risks that cannot be predicted accurately
* Speculative risks – opportunities


Dias and Iannou (1995) conclude that there are two types of risks. 1) pure risk
when there is the possibility of financial loss but no possibility of financial gain, and 2)
speculative risk that involves the possibility of both gains and losses.
Hopkins (2010) states further that a risk classification system is necessary to identify all the risks facing an organization. Examples on such classification systems are COSO, IRM, BS31100, FIRM and PESTLE. (Hopkins 2010).
The most comprehensive risk identification model established for international projects is the International Project Risk Assessment (IPRA) model. (Walewski 2005).
Enterprises must therefore survey available techniques to find a technique that can help them distinguish significant risks from lesser significant risks. (Mathiassen, Saarinen, Tuunanen and Rossi, 2004)
What we see in Risk Management literature is that the organization must enter into a risk identification process without preconceptions (Walewski and Gibson 2003). As no projects are alike, the identification must be systematic and involve a broad part of the project with a shared understanding of what risk management is. (Hopkin 2010). The most common method is a workshop involving brainstorming, but other methods such as interviews, round table discussions, SWOT analysis (Strength, Weakness, Opportunities, Threats) and FMEA (Failure Mode and Effect Analysis) exist.



2.6 Responding to hazard risks


Hazard risks represent actual threats against the achievement of objectives. The responses to hazard risks can be summarized as the four T’s of risk management:


* Tolerate
* Treat
* Transfer
* Terminate

Walewski and Hopkin (2003) describe similar categories. According to them, 4 mitigation strategies are commonly used:



* Avoidance – when several risk choices are available
* Retention – when conscious decisions is made to accept the consequences
* Control – when monitoring and correcting is used to minimize the risk
* Transfer – when the risk is transferred or shared with other



2.7 Responding to project uncertainty and variables


Depending on the project, there are several variables that will have an impact on the project cash flow. Uncertainty is related to variables in the project, but also to the residual risk after putting controls on hazard risks.
To allow for uncertainty and variables, a contingency fund must be established, as well as contingency time built into the project plan. (Hopkin 2010). As a rule of thumb, approximately 10% of the EPC contract value, may be needed as contingency. (Yescombe 2002). However, there are methods of simulating the cash flow of the project based on a best case vs worst case scenario. (Gatti 2008).



2.8 Responding to project opportunities


To take advantage of the opportunities in the project is not to overrule the risk management process when there is a large profit to be made, such as the scenario described by Bird (2009). It is a structured method to identify where there is a potential of achieving greater benefits from taking the risk than any benefit that had resulted from not taking it. (Hopkin 2010).



2.9 Risk register


An updated, well-constructed and dynamic risk register is at the heart of a successful risk management initiative. The risk register functions as an action plan that records the status on the critical controls (actions) defined for each risk element. (Hopkin 2010).
The information in the risk register must be very precisely written, attach the real problem and not give way for personal interpretations.
When project finance literature (Gatti 2008)/(Yescombe 2003) describe a risk register, the term risk matrix is used. The risk matrix is established to identify the inherent risks of the project, in order to estimate the cash flow throughout the project.
The principle in risk management within project finance is that risks should be borne by those who are best able to control or manage them. The assignment of responsibilities must be an important part of a risk register.
Gatti (2008) describes the risk matrix as a combination between the Risk Breakdown Structure (RBS), a risk identification and classification tool such as the IPRA model (Walewski 2005), and the Project Breakdown Structure (PBS), a structural listing of all variables that are key drivers of the project’s performance and cash flow. (Archibald 2003). This combination, also called the project’s risk package (Gatti 2003), identifies all project variables and how they are affected by each of the identified risks. According to Gatti (2003), this is the starting point for any financial analysis of the project.



2.10 Risk ownership and involvement


In order to achieve the benefits of risk management, all stakeholders must work together. (Hopkin 2010). In this literature we have identified several stakeholders in the risk management process, such as the top management, risk management professionals, financial experts, purchasing departments, engineering management, health and safety professionals, construction management and planning department.
If the risk management system does not allow for these stakeholders to work together, several sub-processes will be established by the stakeholders, such as by the top management. (Walewski and Gibson 2003) In particular, this may happen when there is a large profit to be made (Bird 2009). When winning a contract or accepting changes in the project or to the project scope, this is of particular importance (Archibald 2003).



2.11 Risk culture


According to Bird (2009), the root of the problem in many organizations is the lack of risk culture. Hopkin (2010) calls it risk-aware culture, and says this is important because it determines how individuals will behave in certain circumstances.
Risk culture can be defined as a presence of the components leadership, involvement, learning, accountability and communication (Hopkin 2010). Risk culture can be measured by looking at the maturity of the organization, from naive to natural, when it comes to risk management. The corporate risk strategy or policy will give indications of the existing culture, as will the description of the external, internal and risk context of a project such as described by the ISO31000 standard of risk management.


Lagt inn av kl. Ingen kommentarer:

Risky businesses - en oversikt

Det selvsagt ikke bare oss som har tenkt på healineren ""risky business" som tittel. Vi har lagt til NORGE for å skille oss fra andre. Her er noen linker:

Risky-Business

http://www.risky-business.com/

En amerikansk/engelsk organisasjon som arrangerer store seminarer i byer som London, Boston og Cape Town, der hensikten er å få folk og organisasjoner til å tenke "utenfor boksen" når det gjelder risiko.

Videre skriver organisasjonen bla at de ønsker:


  • Å forstå hvorfor mennesker gjør feil

  • Å forstå hvordan man kan håndtere og lære av kritiske hendelser

  • Å lære av viktige hendelser i "høy risk" bransjer


Risky business - FILM


http://en.wikipedia.org/wiki/Risky_Business


En Hollywood film fra 1983, men Tom Cruise i hovedrollen, der hovedrolleinnehaveren begir seg ut på tynn is når foreldrene er bortreist.


Selvsagt med happy ending...



Risky business - MAT


http://www.riskybusinesstucson.com/


En kjede med familierestauranter i Tucson, Arizona. De serverer både krydder og biff, og kanskje får man seg overraskelser ved besøket....



Risky business - Bandet


http://www.risky-biz.com/



Et rockeband som tok navnet til filmen. Spiller på restauranter og barer langs landeveien, og JA, de har svisken "achy, breaky heart" på spillelisten...



Risky business - TV serie

http://www.riskybusiness.tv/

En TV reality der entretrenører får muligheten til å investere pengene sine i et konsept, og hvor utfallet i høyeste grad kan bli TV-underholdning


Risky business - kommentar

http://www.efinancialnews.com/story/2011-08-15/risky-business-0811

En økonomisk kommentar som følger S&P's nedgradering av USA's utenlandsgjeld


Risky business - Bar & Grill

http://www.riskybusinesses.com/

Jamaica, live reggeae og damer i bikini på forsiden av nettstedet. Trenger vi si mer?


Lagt inn av kl. Ingen kommentarer:

Terminologi #1: Riskoaversjon

Risikoaversjon er motvilje til å ta risiko, eller en preferanse for sikker inntekt over usikker inntekt. Risikoaverse personer vil dermed foretrekke å en noe lavere sikker inntekt fremfor en høyere usikker inntekt. Kilde: wikipedia

Dette ordet synes jeg fortjener plassen som det første ordet i ordboken. Noe av det mest spennende ved risiko som fagområde, er at nettopp organisasjonenes eller individenes motvilje eller ønske til risiko er så forskjellig.

Risikoaversjon er heller ikke alltid et følelsesmessig begrep, det kan styres av lovverk, økonomi, policier, målsetninger eller forpliktende beslutninger.

Risikoaversjon må derfor inngå i rammeverket for risikostyring, og er noe av det første en konsulent eller bidragsyter i RM må forstå ved virksomheten.

Se for eksempel hvordan Finansdepartementet definerer opp risikoaversjon i rammeverket for forsikringsordninger i Norge på siden:
http://www.regjeringen.no/nb/dep/fin/dok/nouer/1994/nou-1994-6/5.html?id=115345
Lagt inn av kl. Ingen kommentarer:
Etiketter: , ,

Kategorisering av risk og tilhørende tagger

På denne bloggen er intensjonen å behandle temaet risiko i sin bredeste forstand, noe som griper inn i mange forskjellige virksomheter. Bakgrunnen for en slik tanke er at vi gjennom faglitteratur opplever at litteraturen er svært fragmentert og at det er mangel på helhetstenking i mange virksomheter når det gjelder begrepet risko.

Dette første innlegget vil derfor beskrive forskjellige tagger som vil kategorisere innleggene på en fornuftig måte.

Bidrag til bloggen vil bli kategorisert med følgende hovedtagger:

  • Investeringer

  • Prosjektledelse

  • Samferdsel (Vegtrafikk, Luftfart, Jernbane, Sjøfart)

  • HMS

  • Friluftsaktiviteter

  • Forsikring

  • Teknologi

  • Reise

  • Politikk

  • Ledelse

  • Medisin

  • Computer
  • Security

Lagt inn av kl. Ingen kommentarer:
Etiketter:
Abonner på: Kommentarer (Atom)