Kronikk: Et rasjonelt valg -om trefaktortilnærmingen til sikringsrisiko

Hensiktsmessig og kostnadseffektiv risikohåndtering krever gode risikoanalyser. Gode risikoanalyser krever valg av egnet metode.

Jokaim Barane

Joakim Barane

Innledning

NS 583X er en ny standardserie fra Standard Norge som er utviklet spesielt for håndtering av tilsiktede uønskede handlinger. Standardenes tilnærming til risikoanalyse baserer seg på vurdering av tre faktorer; verdi, trussel og sårbarhet og samspillet mellom disse, i motsetning til den tradisjonelle vurderingen av sannsynlighet og konsekvens. Dette har aktualisert en debatt om metodebruk for slik analyse. Debatten preges av mye uvitenhet, og jeg vil forsøke å redegjøre for noe av det teoretiske fundamentet som ligger bak denne tilnærmingen.

Teorien om rasjonelle valg

Rational choice theory er et multidisiplinært rammeverk for å forklare sosial adferd, herunder kriminalitet. Teorien tar utgangspunkt i at individene i samfunnet er rasjonelle aktører, og at det ligger en bevisst mål-middel-kalkyle til grunn for deres handlinger. Allerede her ser vi en grunnleggende forskjell sammenlignet med annen type risiko som for eksempel i safety eller helse, da et jordskred eller en pandemi ikke velger sine forløp ut fra en rasjonell kalkyle av situasjonsbestemte faktorer. Rasjonelle valg-teorien og tanken om det (mer eller mindre) rasjonelt tenkende individet ligger til grunn for det meste av akademia innen sikring, og er grunnlaget for en av de viktigste teoriene for risikoanalyse innen sikring, nemlig rutineaktivitetsteorien.

Rutineaktivitetsteorien

Routine activity theory ble lansert av kriminologene Cohen og Felson i 1979. Teorien er enkel, men effektiv, og baserer seg på tre faktorer. Dersom en mulig gjerningsperson og et egnet mål møtes i tid og sted, og det ikke er noen eller noe der til å beskytte målet på en hensiktsmessig måte, er forholdene lagt til rette for at en kriminell handling kan finne sted. Endrer man minst én av faktorene fjerner man også de nødvendige forutsetningene for en slik uønsket hendelse, og nettopp dette er jo selve essensen i sikringsfaget.

APT-teorien

Giovanni Manunta hadde rutineaktivitetsteorien som bakteppe da han i 1999 publiserte sin banebrytende teori der han gjorde et forsøk på å lage en allmenngyldig definisjon av security, og presenterte formelen S = f (A,P,T) Si. I følge Manunta er sikring en funksjon av samspillet mellom beskytteren (P) som motsats til en trusselaktør (T) for å beskytte en verdi (A) mot uakseptabel skade. Dette foregår innenfor en bestemt situasjon (Si). Manunta lanserte også begrepet sikringskontekst. Dersom en av disse faktorene mangler, bortfaller sikringskonteksten og videre håndtering, eller sikringsprosess, er ikke nødvendig.

Om sannsynlighet

Filosofen Joakim Hammerlin hevder at sannsynligheten for å drukne i do er større enn å bli utsatt for et terrorangrep. Professor Terje Aven er imidlertid en av mange som har påpekt at den statistiske frekvensen for å bli utsatt for et slikt angrep bare er en av mange faktorer som kan og bør forme vår risikoforståelse og håndtering av denne type hendelser. PST skriver på sine hjemmesider at «[t]error er en type kriminalitet som forekommer så sjeldent at vi har lite empiri å bygge på. Det å beregne når neste terrorangrep kommer til å inntreffe blir upresist og preget av stor usikkerhet».

Noen argumenterer likevel for at man kan bruke en bayesisk tilnærming til sannsynlighetsbegrepet i en sikringssammenheng. Dette innebærer en matematisk tilnærming til en problemstilling som har mangelfulle eller usikre data, med elementer av fornuft, logikk, historikk og personlige vurderinger hos analytikeren. Uansett hvordan man vrir og vender på det og hvor mange ulike faktorer og vurderinger man legger inn i sannsynlighetsbegrepet, vil det i en sikringssammenheng likevel alltid forbli et parameter som er ment å anslå hvor sannsynlig det er at akkurat du vil bli rammet av en bestemt hendelse, og anslaget vil være preget av stor usikkerhet.

Nettopp grad av usikkerhet bør i seg selv være et helt sentralt element i en risikoanalyse. I en trefaktoranalyse vil stor usikkerhet rundt datagrunnlaget knyttet til for eksempel trussel- eller sårbarhetsvurderingen trekke risikoen opp. I en matriseform der risikoen blir et utslag av hvor en sannsynlighetsakse og en konsekvensakse møtes, er det vanskeligere å kompensere for faktorer som usikkerhet uten å ødelegge hovedprinsippene ved nettopp denne tilnærmingen.

I praksis

I sin rapport «Nasjonal sårbarhets- og beredskapsrapport (NSBR) 2011» presenterte Direktoratet for samfunnssikkerhet og beredskap (DSB) et «nasjonalt risikobilde» der ulike uønskede hendelser, tilsiktede og utilsiktede, ble vurdert ut fra sannsynlighet og konsekvens. Et terrorangrep havnet i dette bildet på moderat risiko, helt på grensen til lav, blant annet fordi sannsynligheten for et slikt angrep ble vurdert som lav.

På samme tid gjorde jeg og en kollega en omfattende risikoanalyse for en stor statlig aktør. Med vår trefaktortilnærming vurderte vi terrorangrep som en reell trussel, med høy sårbarheten og høye mulige konsekvenser. Samlet vurderte vi risiko knyttet til et terrorangrep som høy, og her medvirket også usikkerhet knyttet til trusselvurderingen. Vi ble møtt med hevede øyenbryn; det var tydelig kontroversielt å hevde at risiko knyttet til terrorhandlinger var høy. Motargumentet var gjennomgående at sannsynligheten for et slikt angrep ble oppfattet å være liten.

Fire måneder etter DSBs rapport og en måned etter vår risikoanalyse detonerte Anders Behring Breivik sin bombe i regjeringskvartalet, etterfulgt av massakren på Utøya.

Selv om disse analysene hadde ulike rammer, tør jeg likevel påstå at resultatene i disse tilfellene hovedsakelig kan forklares ved valg av metode.

Konklusjon

Hensiktsmessig og kostnadseffektiv risikohåndtering krever gode risikoanalyser. Gode risikoanalyser krever valg av egnet metode. Det er etter min mening kun en verdi-trussel-sårbarhetstilnærming til risiko som ivaretar særtrekkene rundt tilsiktede uønskede handlinger på en tilfredsstillende måte.

REFERANSER:

Aven, T., 2012. Risikotenkningen er fullstendig foreldet. Stavanger: Aftenbladet.

Clarke, R. V. and M. Felson (red.) 1993. Routine Activity and Rational Choice. Advances in Criminological Theory, Vol 5. New Brunswick, NJ: Transaction Books

Cohen, L. E. and Felson, C., 1979. Social Change and Crime Rate Trends: a Routine Activity Approach. American Sociological Review, 44, s. 588-608

Direktoratet for samfunnssikkerhet og beredskap, 2011. Nasjonal sårbarhets- og beredskapsrapport (NSBR) 2011. Tønsberg: DSB

Direktoratet for samfunnssikkerhet og beredskap, 2012. Nasjonalt risikobilde. Tønsberg: DSB

Hammerlin, J., 2009. Terrorindustrien. Oslo: Forlaget Manifest

Manunta, G. (1999) What is security? Security Journal, 12, s. 57-66

Nasjonal sikkerhetsmyndighet, Politidirektoratet og Politiets sikkerhetstjeneste, 2010. En veiledning: sikkerhets- og beredskapstiltak mot terrorhandlinger. Oslo: NSM, POD og PST

Politiets sikkerhetstjeneste, 2013. Risiko – en innføring.

Shuttleworth, M., 2009. Bayesian probability - Predicting Likelihood of Future Events. Explorable.com.

Standard Norge, 2012. SN 5830: 2012, Samfunnssikkerhet – beskyttelse mot tilsiktede uønskede handlinger – terminologi. Oslo: Standard Norge

Næringslivets Sikkerhetsråd | Postboks 5493 Majorstuen | 0305 Oslo | Middelthunsgt 27, Majorstuen | nsr@nsr-org.no

Følg oss