Innehåll Förmågebedömning i ett komplext samhälle HENRIK TEHLER AVDELNINGEN FÖR RISKHANTERING OCH SAMHÄLLSSÄKERHET Kort bakgrund till bedömning av krishanteringsförmåga Kontinuitetshantering och förmågebedömning Hur kan man definiera krishanteringsförmåga? Hur kan man analysera krishanteringsförmåga? Hur vet man vad som är en bra förmågebedömning? Hur bör man då göra i praktiken? Risk- och sårbarhetsanalyser (RSA) är en etablerad del av krisberedskapsarbetet Bedömningar av konsekvenser som en följd av oönskade händelser är en naturlig del av RSA. I traditionell riskanalys bedöms konsekvenser ofta med utgångspunkt i kombinationer av fel som inträffar i ett system samt andra omständigheter som gäller vid feltillfället. Litet fokus på individers, gruppers, organisationers, möjligheter att agera för att påverka konsekvenserna. Men, i många fall är den mänskliga faktorn avgörande för huruvida konsekvenserna till följd av olika händelser blir katastrofala eller ej. Även om bedömning av krishanteringsförmåga verkar ha tonats ner i de senaste föreskrifterna på området är det svårt att föreställa sig en RSA som inte beaktar individers/gruppers/organisationers möjligheter att påverka konsekvenserna av olika händelser. I praktiken genomförs en förmågebedömning ibland som en specifik aktivitet, ex. i samband med den nationella risk och förmågebedömningen, eller som en integrerad del av en risk- och sårbarhetsanalys. Även internationellt finns ett fokus på förmågebedömning, exempelvis i Nederländerna, Storbritannien och USA. Men, när PRIVAD startade fanns inte mycket arbete som fokuserar på hur förmågebedömningar kan passa ihop med risk och sårbarhetsbedömning, etc. Vi ville därför utveckla förslag på hur man kan integrera förmågebedömningar med övrigt krisberedskapsarbete samt också föreslå hur bedömningarna kunde förbättras. Kontinuitetshantering och förmågebedömning Eftersom vår ambition var att relatera förmågebedömning till riskhantering utgick vi från riskhanteringslitteratur för att undersöka hur förmågebedömning kan kopplas till kontinuitetshantering. Vi utgick ifrån två ISO-standarder, ISO 31000:2009 (Riskhantering) och ISO 22301:2012 (Samhällssäkerhet Kontinuitetshantering), och jämförde dem med avseende på skillnader/likheter/motsättningar mellan Riskhantering och Kontinuitetshantering*. *Klarström, T. (2014), Kompatibilitet mellan standarder inom samhällssäkerhet En studie av kompatibilitet mellan standarder framtagna av ISO/TC 223 Societal Security och ISO/TC 262 Risk Management, Rapport 5462, Avd. för riskhantering och samhällssäkerhet, Lunds universitet. 1
Kontinuitetshantering och förmågebedömning ISO31000:2009 & ISO22301:2012 använder samma definitioner av nyckelbegrepp såsom exempelvis Risk, Riskhantering, Riskbedömning ISO22301:2012 The organization shall establish, implement, and maintain a formal documented risk assessment process that systematically identifies, analyses, and evaluates the risk of disruptive incidents to the organization. Business continuity: capability of the organization to continue delivery of products or services at acceptable predefined levels following disruptive incident Svårt att se några större motsättningar mellan riskhantering och kontinuitetshantering. Hur kan man definiera förmåga? En genomgång av den vetenskapliga litteraturen på området visade på flera många olika typer av definitioner. Några fokuserade på RESURSER: (1) förmåga är samma sak som resurser (2) resurser utgör en viktig del av förmåga Hur kan man definiera förmåga? En genomgång av den vetenskapliga litteraturen på området visade på flera olika typer av definitioner. Några fokuserade på ATT GÖRA NÅGOT: (3) förmåga beskriver möjligheten att göra någonting (4) förmåga är något som påverkar ett utfall eller mål Hur kan man analysera krishanteringsförmåga? En systematisk genomgång av den vetenskapliga litteraturen resulterade i att vi fann 44 arbeten som beskrev någon typ av metod för förmågebedömning med avseende på krishantering. Stor variation i tänkt användningsområde: Ex. fokus på stad, region eller nation Ex. fokus på företag, eller ett specifikt teknisk infrastruktursystem Vi fann två grupper av metoder: Indikatormetoder Indexmetoder Indikator-metod a. Planer b. Personal c. Utrustning d. Övat e.. Index-metod a. Planer b. Personal c. Utrustning d. Övningar e.. 1. Förmågan är god 2. Förmågan är i huvudsak god, men har vissa brister 3. Det finns en viss förmåga, men den är bristfällig 4. Det finns ingen eller mycket bristfällig förmåga Förmåge-index: 2a + b 7/5 3c x d 1/2 Förmåga = 23.4 2
Vad är problemet med dessa metoder? Syftet med att ha en viss förmåga är ju att kunna åstadkomma någon typ av effekt då en kris inträffar, d.v.s. i framtiden. Men, kopplingen till vad man kan åstadkomma i framtiden är svag i både index-metoderna och indikator-metoderna. Index-metoder Indikator-metoder Nutid Framtid Nutid Framtid Vi föreslog en ny definition av krishanteringsförmåga Som gör det enkelt att relatera krishanteringsförmåga till andra viktiga begrepp såsom risk, sårbarhet och resiliens Som separerar den riktiga förmågan från beskrivningar av förmågan Utgångspunkter: En aktör utför en uppgift med ett specifikt syfte vid en kris. Detta påverkar på något sätt konsekvenserna av krisen. Påverkan motsvarar effekten av att utföra uppgiften. Nutid Framtid Vi föreslog en ny definition av krishanteringsförmåga Då man beskriver krishanteringsförmågan med hjälp av denna definition skall man: Beskriva i vilka situationer (scenarier) som den aktuella förmåga kan påverka konsekvenserna. Beskriva vad (uppgift) det är man kommer att göra (ex. bygga fördämningar, evakuera) Beskriva vilka konsekvenser (effekter) man tror att detta kommer att resultera i. Beskriva hur osäker man är när det gäller ovanstående. Beskriva de antaganden man gjort för att komma fram till detta, samt de utgångspunkter man använt (ex. resurser). Lindbom, H., Tehler, H., Eriksson, K., & Aven, T. (2015). The capability concept - on how to define and describe capability in relation to risk, vulnerability and resilience. Reliability Engineering & System Safety, 135, 45 54. http://doi.org/10.1016/j.ress.2014.11.007 Exempel Förmågeanalys Vilken effekt på Islands förmåga att genomföra räddningsoperationer till sjöss fick neddragningarna som följde på finanskrisen 2008? Före krisen Tre helikoptrar totalt Två helikoptrar på stand-by hela tiden Efter krisen En helikopter lämnades tillbaka Tre piloter avskedades Två helikoptrar på stand-by 1/3 av tiden Resten enbart 1 helikopter Exempel Förmågeanalys 1/3 2 Helikoptrar = 290 sjömil 1 Helikopter = 20 sjömil 2/3 Hur vet man om en förmågebeskrivning är bra? Beror på vad man menar med bra Ett experiment som syftade till att studera hur man upplever för beslutsfattande (fokus på riskreduktion/förmågeökning). Vi ville undersöka hur viktigt beskrivningar av uppgiften, d.v.s. vad man tror sig kunna göra, samt dess bedömda effekter var för hur användbar en förmågebedömning uppfattas. Vidare ville vi också undersöka hur viktiga beskrivningar av resurserna var för användbarheten. RESURSER UPPGIFTER/EFFEKTER Nutid Framtid 3
4 versioner av en fiktiv förmågebedömning gällande en räddningstjänsts förmåga att hantera en skogsbrand 89 deltagare från olika räddningstjänster Hur användbara för beslutsfattande är förmågebedömningarna (på en sjugradig skala)? Exempel från experimentet: Uppgifter & effekter Resurser 1 2 3 4 Exempel från experimentet: Att beskriva uppgifter/effekter och/eller resurser gör bedömningarna mer användbara (2,3,4) än då man inte har med dem (1) Både beskrivningar av resurser och uppgift/effekt påverkar användbarheten positivt. Mest effekt har resurser. (signifikanta resultat) Uppgifter & effekter Resurser 1 2 3 4 Intressant observation: Ju mer erfarenhet en person har desto mer användbar upplever man alternativ 2 (Resurser = ja, Uppgift = nej). Men, det omvända gäller för alternativ 3 (Resurser = nej, Uppgift = ja), d.v.s. ju mindre erfarenhet desto mer användbar. Detta har troligtvis att göra med att experter enklare kan skapa sig en bild av vad man kan göra med hjälp av resurserna. Hur bör man då göra i praktiken? Om man vill koppla förmågebedömning till RSA bör man använda scenarier och utgå från vår definition. Enkelt att integrera med RSA, beroendeanalys, mm. Går att uppdatera baserat på övningar Multiaktörsbedömningar Viktigt att vara tydlig med de olika komponenterna, ex. scenario, konsekvens (effekt), osäkerhet, mm. Förmodligen räcker inte resurslistor eftersom ingen kan vara expert på allt. kontinuitetsförmåga (eng. business continuity) blir då en förmågebedömning med fokus på leverans av tjänst. 4
5