Modeller for risikoanalyse i Norge. En organisasjonsteoretisk studie av sikkerhets- og beredskapsorganisasjoners bruk av risiko- og sårbarhetsanalyser eller sikringsrisikoanalyser. Hva er bakgrunnen for disse modellene og hvilke faktorer kan forklare valget?

Abstract

Denne studien baserer seg på problemstillingen; "Hva forklarer at vi har to risikomodeller I Norge og hva er bakgrunnen for at sikkerhets- og beredskapsmiljøene så langt ikke har klart å samle seg om en felles og omforent modell for risikoanalyse?" Problemstillingen hentyder til de to risikomodellene som har størst utstrekning og aktualitet innenfor sikkerhets- og beredskapsmiljøene. Den ene er risiko- og sårbarhetsanalysen (ROS), som tar utgangspunkt i de to faktorene sannsynlighet og konsekvens for å beskrive risikoen. Den andre er sikringsrisikoanalysen som tar utgangspunkt i de tre faktorene verdi, trussel og sårbarhet (VTS) for å beskrive risikoen. Basert på innsamlingen av primærdata fra miljøene er funnene suksessivt analysert i lys av et knippe organisasjonsteoretiske perspektiver. Det ble påvist distinkte forskjeller mellom ROS- og VTS-modell på hver enkelt undersøkelse. Funnene tyder på at valget av ROS-analyse kan forklares ut fra i teorier om instrumentalisme og tvungen isomorfisme, det institusjonelle kulturperspektivet og stiavhengighet. Funnene tyder videre på at valget av VTS kan forklares som et rasjonelt og kunnskapsbasert valg hos organisasjoner som har ressurser til å ta et selvstendig valg (handlefrihet). I tillegg fremstår VTS-modellen som et godt eksempel på myteperspektivet fra ny-institusjonell teori. Begge modellene kan forklares ut fra rasjonelle valg-teorier i form av optimal eller begrenset rasjonalitet. Det er videre gjort kvalitative observasjoner som identifiserer svakheter ved begge disse modellene. Årsaken til at sikkerhets- og beredskapsmiljøene ikke har klart å samle seg om en felles og omforent risikomodell ser ut til å basere seg på kulturelle forskjeller, ulik forståelse av hva sikkerhet er for noe, ulike oppfatninger om hvordan trusselen skal forstås, ulikt teoretisk startpunkt for hver av modellene og forskjellige forutsetninger hos aktørene. Til tross for forskjellene ser vi at det er en rekke fellestrekk som gjenspeiler seg. En god risikoanalyse bygger på en strukturert tilnærming med et verdifokus, et tilstrekkelig datagrunnlag, kompetente analytikere og ledelsesforankring. Analysene bør innbefatte både teknisk/lokal kunnskap og overblikk, og de bør bunne ut i transparente, etterprøvbare vurderinger. Uavhengig av metodevalg må risikobildet legges frem for beslutningstaker på en overbevisende måte, med en reflektert beskrivelse av usikkerhetsgraden og validitet.

Abstract (engelsk sammendrag) This study explains why we utilize two different risk models in Norway, and for what reasons the security and emergency preparedness environments so far have failed to gather upon a common and unified model for risk analysis. The problem refers to the risk- and vulnerability analysis model (ROS), based on probability and consequence, and the security threat analysis model founded on the factors value, threat and vulnerability (VTS). The findings were analyzed in the view of selected organizational theoretical perspectives. Each of three separate reviews identified differences between the ROS and VTS models. Findings suggest that the choice of ROS can be explained on the basis of theories of instrumentalism and forced isomorphism, the institutional cultural perspective and path dependency. The findings further suggest that the choice of VTS can be explained as a rational and knowledge-based choice among organizations with sufficient resources to make their independent choice (freedom of action). Additionally, the VTS-model exemplifies the myth perspective from neo-institutional theory. Both models can be explained by rational choice theories in terms of optimal or limited rationality. In addition, further observations identified weaknesses and the need for improvements on both of these models. The reason why the security and preparedness environments have failed to gather together on a common and unified risk model seems to be caused by cultural differences, different understandings of safety and security, different perceptions of how the threat is to be understood, different theoretical starting points and different characteristics of the actors. Despite the distinction, we see a number of qualitative similarities. A proper risk analysis should rely on a structured approach with a focus on the values (assets), a satisfactory information base, competent analysts and management anchoring. The process should include both technical and local expertise as well as a strategic overview and culminate in transparent and verifiable assessments. Regardless of the model chosen, the risk picture should be handed over to the decision maker in a convincing matter, including truthful descriptions of the degree of uncertainty.