I jakt på goda exempel på riskanalys (för IT-/infosäk) snubblade jag över en handbok från Socialstyrelsen1. Den bör bygga på vetenskap och beprövad erfarenhet, så det känns ju lovande… Nu kunde jag dessvärre avfärda metodiken snabbt genom att bläddra fram till riskmatriserna. Riskmatriser är i sig fundamentalt trasiga2, men det finns olika grader av problem.
Jag hoppas jag har missförstått detta, men det ser inte bra ut.
Beräkning av riskpoäng
Metodiken bygger på beräkning av riskpoäng för identifierade risker. Jag har klippt ut några essentiella delar.
Konsekvens
För risker bedömer man allvarlighetsgraden av dess konsekvens enligt tabell nedan. (Bilder är från handboken sidan 46 och framåt.)
Kriterierna i sig har jag ingen åsikt om, det är tilldelningen av allvarlighetsgrad 1 till 4 som är problematisk. Summan av 4 st obehag är lika med 1 död. Svårt med folklig förankring här tror jag.
Sannolikhet
Sannolikheten bedöms på en skala 1 till 4. En gång på ett år blir 1 och 365 på ett år blir 4. Inte bra.
Och så riskmatrisen…
Den i nästan alla riskanalyser obligatoriska matrisen, här med ett lite annorlunda koordinatsystem men med den klassiska multiplikationen. Det är inget matematiskt fel på ”Sannolikhet x Konsekvens”, men det gäller ju att stoppa in något bättre än godtyckliga ordningstal i ekvationen.
Dagligt obehag är likvärdigt med ett dödsfall per år!
Vi kan nu se att en risk som vi bedömer kommer att skapa obehag (1) dagligen (4) ger oss riskpoäng 4, vilket är samma riskpoäng som en risk som medför ett dödsfall (4) varje år (1), och samma som att en patient i månaden (2) får en utökad vårdepisod (2).
Vilken risk ska vi prioritera att åtgärda om vi bara har pengar till att lösa ett problem? Spelar ingen roll!
Förbättringsförslag
Till att börja med så tycks det inte finnas något vetenskapligt stöd för att Socialstyrelsens metod fungerar, det är ett problem även om det är väntat. Metoden ger heller inget stöd för att prioritera åtgärder. En risk med ett högre riskvärde är inte med nödvändighet viktigare att hantera än en risk med ett lägre (övriga omständigheter lika).
Om man nu vill behålla matrisen (vilket det egentligen inte finns någon vettig anledning till) så skulle man ändå kunna förbättra den genom att tilldela värden för sannolikhet och konsekvens som har verklighetskoppling. Sannolikheten är enkel, vi kan t.ex. ange frekvensen per år vilken redan framgår av Socialstyrelsens tabell. Konsekvensen kan översättas till kostnad i kronor för människoliv och annan skada. Myndigheter räknar på kostnaden för människoliv i andra situationer, så varför inte i riskanalyser.
Med googlade kostnader för liv och hälsa så konstruerade jag lite snabbt följande nya ”riskmatris”. (Färgskalan rött-vitt blev lite tråkig eftersom det är väldigt dyrt att ta livet av en patient/dag.)
Uppdaterad riskbedömning
Nu är det ca 5 gånger så dyrt med ett årligt dödsfall som för det dagliga obehaget. Även om liv fortfarande kan tyckas vara lågt prioriterat så är vi i alla fall närmare en bedömning som känns rimlig.
Vi kan också se att den månatliga ökningen av vårdepisod för en patient nu bara kostar en tredjedel av det dagliga obehaget. Känns ganska rimligt.
Sammanfattning
Detta var bara ett snabbt nedslag i en detalj i en metodbeskrivning, men:
- Det finns generella och stora problem med metodiken för riskanalyser inom det offentliga, och naturligtvis även inom det privata.
- Vi måste våga att kvantifiera!
- Osäkerhet i bedömningar måste redovisas!
Jag hoppas kunna återkomma med inte bara gnäll, utan även något mer konstruktivt.
__
- http://www.socialstyrelsen.se/publikationer2009/2009-126-120
- Louis Anthony (Tony) Cox Jr, ”What’s Wrong with Risk Matrices?”, Risk Analysis, Volume 28, Issue 2, pages 497–512, April 2008, DOI: 10.1111/j.1539-6924.2008.01030.x — Möjligen är artikeln Googlebar.