Mener risikoanalyse ikke duger

Mener risikoanalyse ikke duger

Professor vil lage nye metoder for å forutse grå og sorte svaner.

Grå og sorte svaner er metaforer for uforutsette hendelser som har store konsekvenser. Som kan velte gigantprosjekter.

Professor Kjell Jørgen Hole ved institutt for informatikk ved Universitetet i Bergen ønsker å skape oppmerksomhet rundt de blyge fuglene. Han sier sorte svaner er umulig å beskytte seg mot, men grå svaner kan kalkuleres inn i risikoanalyser.

Les mer:

Advarer mot "sorte svaner"

Bra å tenke nytt

- Jeg advarer mot de klassiske teknikkene for risikoanalyse - de undervurderer faren for de grå svanene, forteller Hole.

Sannsynligheten for å møte på en grå svane er liten, men konsekvensene er ofte store. På grunn av den lave sannsynligheten nedprioriteres ofte risikoen for å møte på dem.

Hole viser til hendelsen i sommer da Telenor var nede, og tre millioner kunder sto uten dekning. Han kaller hendelsen en typisk grå svane. Telenor ble beskyldt for å være inkompetente, men Hole forklarer at det var umulig selv for Telenor å forutse alt som kunne skje.

- Det er umulig å ha en fullstendig risikoanalyse i et stort og komplekst system. Man kan ikke forutse alt som kan skje, sier Hole.

Noen ser dem komme

- Det spesielle med grå svaner er gjerne at noen ofte har sett dem komme, bare ikke aktørene selv.

Han forteller at det for eksempel var flere som advarte om økonomikrisen, det var mange som kunne se at det krisen var på vei. Men ikke alle. Derfor er det ofte viktigere at prosjektarbeid og risikoanalyse er gjort av team med ulike ferdigheter som for eksempel teknisk, juridisk, økonomisk, brukeropplevelse og administrativ erfaring.

Hole mener faktisk det er tryggere å ha flere medlemmer med gjennomsnittlig erfaring enn noen få eksperter.

- Det er viktig med et team som kan se helheten. Det som gjør de grå svanene så vanskelige å oppdage er at systemene er så komplekse, og svanene så sjeldne, forteller han.

Tradisjonelle metoder er mangelfulle

- Tradisjonelle metoder ignorerer de største farene, sier Hole.

Sammen med Lars-Helge Netland fra Bouvet arbeider Hole med å utvikle en to-stegs teknikk til en fullstendig metode for risikoanalyse.

- Jeg jobber med å forstå mer, spesielt med de grå svanene. Jeg skal se på konkrete systemer, som for eksempel mobilnettverk, forteller han.

Sammen med Netland har Hole utviklet en liste på syv typer grå svaner, karakterisert av årsak og følger. Hole gjør det klart at listen ikke er ment å være komplett, men snarere et forsøk på å sette i system hva man skal se etter når det kommer til grå svaner.

De syv klassene Hole og Netland har definert er:

  • Project failure - Prosjektet feiler på grunn av f.eks. uforutsette kostnader eller designproblemer.
  • System failure - Designfeil eller annet som forårsaker lang, uplanlagt nedetid.
  • Denial of Service - Angrep på infrastruktur kan hindre bruk av tjenester.
  • Disclosure - Problemer som forårsaker lekkasje av informasjon.
  • Tampering - Ondsinnet endring i viktig informasjon.
  • Spoofing - Misbruk av eller stjålet identitet.
  • Surveillance - Hemmelig innsamling av informasjon.

- De syv klassene er ikke hellige, men er ment som en retningslinje, sier Hole.

For mer informasjon om de syv klassene av grå svaner og risikoanalyse kan artikkelen Toward Risk Assessment of Large-Impact and Rare Events av prof. Hole og Netland lastes ned her (PDF).