Risiko som værdi handler om at forhindre eller begrænse uønskede hændelser og tab samt undgå unødvendige omkostninger. En uønsket hændelse (hazard) er noget der har et potentiale for give skade, mens risiko (risk) udtryk for sandsynligheden for at en uønsket hændelse vil medføre skade og hvor alvorlige konsekvenserne vil være. I væsentligt element i risiko som en værdi for FM er driftssikkerhed, som har relation til forretningskontinuitet (Business Continuity).
Risikoledelse eller risikostyring (Risk Management) er betegnelsen for en disciplin, der står for at håndtere risiko. Risikoledelse kan ses som en strategisk opgave og risikoanalyse er en taktisk opgave, der understøtter risikoledelsen. På det operationelle plan udføres tiltag, der sigter mod at forebygge og begrænse risici. Risikoledelse og risikoanalyse har først og fremmest fokus på uønskede hændelser og negative konsekvenser, men de kan samtidig have fokus på at identificere positive muligheder som f.eks. procesmæssige forbedringer, økonomiske gevinster og potentialer for vækst. Sammenhængen mellem risikoledelse og risiko analyse er illustreret i figur 1.
Figur 1: Risikoledelse og risikoanalyse (Håndbog i Facilities Management, 2021)
Risikoanalyse starter med at identificere risici. Derefter analyseres de enkelte risici med vurdering af deres hyppighed og konsekvens. Dette kan illustreres i en prioriteringsmatrix med hyppighed på den ene akse og konsekvens på den anden, f.eks. opdelt i høj, middel og lav risiko for hver akse samt angivelse af rød, gul og grøn for hver kombination til at indikere alvoren af de enkelte risici. Et eksempel på dette er vist i figur 2.
Figur 2: Eksempel prioriteringsmatrix til risikoanalyse (Håndbog i Facilities Management, 2021)
På dette grundlag vurderes de mulige tiltag for at forhindre og begrænse de uacceptable risici, og økonomiske konsekvenser vurderes for de potentielle tiltag. Virksomhedens ledelse tager beslutning om, hvad der skal gennemføres. Beslutningerne baseres på virksomhedens erfaringer og strategi i relation til risiko. I store virksomheder dokumenteres risici i et risikoregister, der løbende ajourføres med opdaterede risikoanalyser og de gennemførte tiltag.
Håndteringen af risici kan opdeles i 4 typer
- Forhindre
- Begrænse
- Overføre
- Acceptere
Forhindring af risici indebærer at muligheden for den uønskede hændelse elimineres. Det kan f.eks. ske ved at ændre processer, så farlige stoffer og aktiviteter ikke længere indgår. Begrænsning af risici indebærer at muligheden for den uønskede hændelse stadig eksisterer, men at sandsynligheden for at den vil forekomme og/eller konsekvenserne af hændelsen reduceres. Det kan ske ved forebyggende tekniske systemer eller ved organisatoriske tiltag f.eks. i form af beredskab. Overføring af risici betyder at muligheden for den uønskede hændelse ikke ændres, men konsekvenserne af hændelsen for virksomheden reduceres ved at overføre sisikoen til en anden part. Det kan ske ved forsikring og ved outsourcing til en serviceleverandør. Ved outsourcing forudsætter det dog, at der i lighed med forsikring er en aftale om kompensation. Accept af risici indebærer ligeledes at muligheden for den uønskede hændelse er uændret, så virksomheden er villig til at bære konsekvenserne, hvis hændelsen indtræder. I hvilken omfang en virksomhed er villig til dette afhænger af ledelsens risikoappetit.
Risikoledelsen i FM skal koordineres med og indgå i virksomhedens overordnede risikoledelse. Siden 2008 har det været obligatoriske for store virksomheder at foretage strategisk risikoledelse i EU.