Ulike standarder er etablert for å hjelpe bedrifter i dette arbeidet. Nå er det kommet reviderte standarder innen både kvalitet (ISO 9001) og miljø (ISO14001). Tøffere konkurranse i markedet og økende kompleksitet i samfunnet skaper økt behov for risikostyring.

- Kvalitet, miljø, og risiko henger naturligvis sammen. Kvalitet handler om å sørge for trygge leveranser og miljø handler om å ikke forurense miljøet. Risikostyring handler om å kartlegge begge disse områdene i bedriften, innleder Oddmund Wærp, seniorrådgiver og fagansvarlig innen kvalitet ved Teknologisk Institutt.

Ny struktur

ISO 9001 og ISO 14001 er nå kommet i reviderte utgaver med en annen struktur.

- Oppdateringen av ledelsessystemstandarder innebærer å tydeliggjøre betydningen av at kvalitet og miljøstyring. Slike standarder handler i stor grad om ledelse og organisering. Standardene heter nå Ledelsessystem for kvalitet og Ledelsessystem for miljø, sier han.

Den nye strukturen, som ISO kaller High Level Structure, innebærer at den samme kapitteloppbyggingen skal gjelde alle ledelsessystemstandarder.

- Spesielt innen kvalitet finner man egne standarder for ulike bransjer. Standarder som brukes for produsenter av bildeler og medisinsk utstyr vil nå få den samme oppbyggingen som de nye standardene for ISO 9001 og ISO 14001, sier han.

Større behov for risikostyring

Risikostyring blir tydeligere i de nye standardene.

- Tidligere ble risikostyring kalt forebyggende tiltak i ISO 9001 og det var uklart hva som var kravene til dokumentasjon. Nå er det tydelig at man i større grad må inn i bedriften for å kartlegge uønsket risiko. Med bedre risikoforståelse er det enklere å planlegge tiltak for å redusere risiko, sier han.

Den reviderte standarden kan i stor grad tilpasses både store og små bedrifter.

- Driver man en kompleks bedrift er man nødt til å kartlegge og dokumentere risiko. Driver man et enklere selskap trenger man ikke samme nivå på dokumentasjonen. På denne måten kan standarden tilpasses den enkelte bedrift. Selv om mye av hva som dokumenteres bestemmes av bedriften handler dette om troverdig styring, sier han.

Analyserer risiko

Når man jobber med risikostyring må man først kartlegge hvilke rammevilkår, produkter og kunder bedriften har.

- Man må bli kjent med bedriftens kontekst, verden rundt og de interne forholdene i selskapet. Når man tenker risiko snakker vi også om muligheter. I en risikoanalyse kan man oppdage positive forhold man ikke utnytter. Risiko handler primært om usikkerhet rundt måloppnåelse, sier han.

Ved kartlegging av risiko ser man på sannsynligheten for at noe uønsket inntreffer og hvilke konsekvenser det kan gi.

- Vi analyserer hvilke konsekvenser uønskede hendelser vi gi og stiller spørsmålet om vi kan leve med det eller om må vi gjøre tiltak. Om du spør en bedrift om de driver med risikostyring svarer de ofte at de ikke gjør det. De har allikevel forsikret bygningen og tar kredittsjekk på nye kunder. Mange gjør risikostyring uten å tenke på det, sier han.

No pain, no gain

- Jeg bruker ofte analogien til begynnelsen av oljeeventyret i Norge. Vi visste det var stor risiko for at noe kunne gå galt, men vi hadde også risiko for å finne olje. Uønsket risiko er noe alle som ønsker å oppnå noe er eksponert for. Om man ikke velger å ta risiko vil man heller ikke oppnå noe, sier han.