Innledning
Hensikten med denne veilederen er å gi ledere og ansatte mer utfyllende informasjon om hvordan risikovurderinger gjennomføres i Kristiansand kommune enn den praktiske informasjonen som er gitt i Risikostyringsprosess - Forside. Denne veilederen er skrevet for ledere og andre som skal jobbe med risikostyring.
Det er leders ansvar å sørge for at nødvendige risikovurderinger blir gjennomført. Det er fastlagt i kommunens risikostyringspolicy.
Det å drive en kommune eller en virksomhet vil alltid være forbundet med en viss risiko for at noe kan gå galt. Med gode risikovurderinger forsøker vi å unngå ulykker, skader og tap eller redusere konsekvensen av dem om de inntreffer. Risikostyringen skal hjelpe oss med å finne en god balanse mellom å utvikle og levere gode tjenester til innbyggerne våre, og å unngå å eksponere oss unødig for risiko.
Kommunens virksomheter har flere lovpålagte risikovurderinger i sine virksomheter. Vi har samlet en liste over de som gjelder hele kommunen (alle virksomheter) i denne oversikten.
Risikovurderingsprosessen
Risikostyringsprosessen består av tre hoveddeler; planlegging, risikovurdering (identifisering, analyse og evaluering) og risikohåndtering. Det beste resultatet får vi når vi bruker like mye tid og ressurser på alle de tre, men erfaring viser at vi bruker mest tid på å risikovurdering og mindre tid på å planlegge risikovurderingene og beslutte hvordan risikoene skal håndteres. Hvordan tiden skal disponeres må hver leder vurdere og avgjøre ut fra hvor mye tid man har tilgjengelig.
Planlegging
Planlegging av risikovurderinger er beskrevet Risikostyringsprosess - Planlegging.
Dersom vi planlegger godt får vi igjen for det i form av spart tid i selve risikovurderingen eller i form av økt kvalitet i risikovurderingen. I planleggingen må vi finne svaret på disse spørsmålene:
Hva skal risikovurderes?
Hva skal risikovurderes og hva ønsker vi helt konkret å oppnå med det? Å få avklart tidlig hva som skal risikovurderes er helt avgjørende for å kunne ta gode og riktige valg videre i prosessen. Gjør gode avgrensninger. Uten en klar og tydelig avklaring på dette blir det lett for at risikovurderingen mister fokus og det blir lett å "spore av".
Risikovurderingens utstrekning bør også avklares. Eksempelvis; gjelder det alle virksomhetens tjenester eller bare noen av dem?
Hvem skal delta i risikovurderingen?
De som skal delta i risikovurderingen bør ha kunnskap om det som skal risikovurderes. Dette kan være erfaring (praktisk kunnskap), eller teoretisk kunnskap fra kurs eller utdanning. En risikovurdering blir ikke bedre enn de deltakerne som skal gjøre den, og da er den samlede kunnskapen og vurderingene deltakerne gjør viktig.
De som "eier risikoene" bør også delta siden det er de som har myndighet til å ta beslutninger om tiltak.
En god organisering av risikovurderingen kan gjøre at selve risikovurderingen blir mer effektiv, og at vi unngår at arbeidet stopper opp pga. at vi ikke har med oss riktige personer.
Det kan også være nyttig å ha med interessenter. De påvirkes gjerne dersom en av risikoene skulle inntreffe, eller de kan være en del av løsningen for å treffe riktige tiltak. Interessenter kan være ansatte i andre deler av kommuneorganisasjonen eller personer utenfor kommunens organisasjon.
Hvilken informasjon skal vi ta med oss inn i risikovurderingen?
Med riktig og relevant informasjon i risikovurderingen mener vi statistikk, rapporter, meldinger om avvik og uønskede hendelser og andre kilder.
I Kristiansand kommune vil vi kunne finne denne typen informasjon i Kvalitetssystemet, Styringsportalen og P360 (nyhetssaker, rapporter o.l.).
Avvik og uønskede hendelser vil ofte inneholde nyttig informasjon til risikovurderingen. I skjemaet for avvik og uønskede hendelser svarer den som registrerer meldingen på hvor alvorlig avviket/hendelsen var, men også påhvor galt det kunne gått. Dette vil gi oss en pekepinn på hvilke nestenulykker vi har hatt og det er en nyttig informasjon å ta med seg i risikovurderingen.
For å klare å gjennomføre en strukturert gjennomgang kan det være nyttig å forberede en liste med nøkkelord som deltakerne kan reflektere rundt (f.eks. arbeidstid). Alternativt, eller i tillegg til nøkkel ord, kan man bruke en liste med "typiske hendelser" - hendelser som kan oppstå i forbindelse med den aktiviteten som risikovurderes. Noen av stabene i områdene har laget slike lister for bruk i virksomhetene. Ta kontakt med administrator for ditt område for mer informasjon om dette. Dersom staben ikke har lister med typiske hendelser og nøkkelord tilgjengelig kan det være en god løsning å snakke med ledere for tilsvarende virksomheter for å høre hvilke erfaringer de har med hendelser og hva som bør risikovurderes.
Risikomodulen i Styringsportalen: De elektroniske risikoskjemaene inneholder flere maler for risikovurderinger som vil inneholde flere nøkkelord eller foreslåtte risikoer.
Hvilke verktøy og metode skal vi bruke?
Risikostyringspolicyen slår fast at vi som hovedregel skal bruke risikomodulen i styringsportalen til registrering av ROS-analyser. ROS-analysene skal så arkiveres i kommunens arkivsystem P360. I Helse og mestring er det besluttet at ROS analyser og evt. tiltaksplaner for brukere/pasienter/enkeltpersoner skal lagres i Profil.
Risikostyringspolicyen har også en liste over unntak fra denne regelen. Risikovurderinger av kjemikalier, enkeltpersoner (bruker, barnehagebarn/elev, pasient o.l.), risikoer som gjelder samfunnsikkerhet og beredskap og prosjektrisikoer håndteres i andre systemer.
Sikker jobb-analyse (SJA) er også på listen med unntak. I en SJA identifiserer vi risikoer for helt konkrete arbeidsoperasjoner og lister opp hvilket verneutstyr som må brukes for å unngå uønskede hendelser. Denne inneholder ikke analyse og evaluering i særlig grad. SJA brukes mest for bygg- og anleggsaktiviteter o.l.
Disse har begrensede bruksområder, men kan være nyttige når de brukes på mindre omfang og når risikovurderingen skjer kort tid før hendelsene kan inntreffe. Eks. brukes SJA i ingeniørvesenet for arbeidsoperasjoner som skal skje samme dag eller dagen etter.
Områdene bestemmer selv om de skal ta i bruk andre metoder enn ROS-analysen, men det skal kun brukes faglig anerkjente metoder.
Om risikomodulen i Styringsportalen
Alle brukere i Styringsportalen har lesetilgang til ROS-analyser og risikoer. Alle ledere har lese og skrivetilgang til risikoer. Dersom tilgangene skal begrenses (eks. pga. sensitive opplysninger) kan dette gjøres i fanen «avansert» dersom man velger «rediger». Feltet «risikoansvarlig» sier hvem som er ansvarlig for ROS-analysen. Leder kan overføre oppfølgingsansvaret ved å delegere ansvaret for å fylle ut og følge opp en ROS-analyse i selve ROS-analysen ved å bruke feltet "Delegert ansvarlig".
Se også opplæringsvideoen om risikomodulen i Styringsportalen for mer informasjon.
Tips til praktisk gjennomføring
Med mindre annet er avtalt er det leder som er ansvarlig for den praktiske gjennomføringen av risikovurderingen. Lederen kan få bistand til å gjennomføre dette fra en som har mer erfaring med slike gjennomføringer, men det er viktig at lederen er aktivt med i gjennomføringen. Det er anbefalt å ha en referent som noterer underveis, slik at ikke den som leder gjennomgangen må gjøre dette i tillegg.
Risikoskjemaet bør fylles ut underveis i gjennomgangen.
Klikk her for å komme til planlegging i risikovurderingsprosessen.
Risikoidentifikasjon
Hvordan man identifiserer risiko er beskrevet Risikostyringsprosess - Identifisere risikoer.
Risikoidentifisering er å finne, gjenkjenne og beskrive risikoer. De risikoene vi ikke har identifisert kan vi heller ikke håndtere. Vi må prøve å holde en god balanse mellom å være systematiske og vurdere alle relevante hendelser, samtidig som vi må ha en åpen tilnærming slik at deltakerne kan komme med sine spontane innspill.
Det er viktig å gi en presis beskrivelse av den mulige hendelsen slik at vi klarer å gjennomføre en god analyse etterpå.
I risikovurderingen skal vi svare på hva som vil være årsaken, eller årsakene, til den mulige hendelsen. Det kan nemlig være mer enn én årsak, og det kan være flere sammenfallende omstendigheter eller mindre hendelser som til slutt utløser en stor hendelse. Dersom vi vet hva som er årsaken(e) til hendelsen er det enklere å forhindre at dette skjer.
Tips til gjennomføring
En god måte å gjennomføre dette vil være å først gjøre en idédugnad, og deretter gå gjennom listen over typiske hendelser og/eller ledeord dersom dette er forberedt i planleggingssteget.
Noter eksisterende tiltak samtidig som årsaksanalysen blir gjort.
En enkel metode for å finne rot-årsak er "5 hvorfor". Metoden går ut på å stille spørsmålet "hvorfor" noe skjer 5 ganger. Formålet med det er å "komme til roten" og finne bakenforliggende årsaker.
Klikk her for å komme til risikoidentifikasjon i risikovurderingsprosessen.
Risikoanalyse
Gjennomføring av risikoanalyse er beskrevet her.
Planlegging og risikoidentifisering leder opp til risikoanalysen, og risikoanalysen (og kvaliteten på analysen) har svært stor betydning for om vi klarer å styre risikoene slik vi ønsker. Risikoanalysen skal vise oss risikobildet, dvs. hvilke hendelser, situasjoner eller omstendigheter som kan lede opp til hendelsen og hvilke konsekvenser hendelsen kan få på kort og lang sikt.
Når vi skal analysere risikoene våre må vi vurdere dem utfra de faktiske forholdene (kontekst). Det må være en realistisk vurdering. Konteksten kan være hvordan arbeidet er organisert, hvilke verktøy som brukes osv. De risikoreduserende tiltakene som allerede eksisterer, er en viktig del av denne konteksten.
Når sannsynlighet og konsekvens er vurdert kan vi plassere risikoen i "risikomatrisen" hvor vi sammenligner risikoer med samme konsekvensområde (eks. HMS, ytremiljø osv.). Vi kommer nærmere inn på risikomatrisen i risikoevaluering.
Sannsynlighet
Å rangere sannsynlighet kan være vanskelig, men vi har gjort grep for å gjøre dette enklere. Dersom vi bruker de erfaringene som ligger i registrerte avvik og uønskede hendelser i Kvalitetssystemet vil disse kunne gi oss verdifull informasjon om hvor mange ganger tilsvarende hendelser har forekommet, eller hvor mange ganger det har vært nestenulykker. Denne informasjonen finnes i meldingenes beskrivelse og alvorlighetsgrad, både faktisk alvorlighetsgrad og den som sier hvor galt det kunne gått.
Det vil også være mulig å se på granskningsrapporter fra tilsvarende virksomheter, forskningsrapporter hvor dette er omtalt o.l. Slike kilder kan vi f.eks. finne hos tilsynsmyndigheter (eks. arbeidstilsynet og mattilsynet) og nasjonale forskningsmiljøer (eks. Stami og SSB).
I Kristiansand kommune har vi satt følgende kriterier for sannsynlighet:
| Svært lav | Lav | Middels | Høy | Svært høy |
| Lite sannsynlig, vil trolig ikke skje innen 5 år. | Mindre sannsynlig, vil trolig ikke skje innen 1-5 år.Inntreffer med 70-100 % sannsynlighet. | Sannsynlig, forventes å skje innen ett år. | Meget sannsynlig, forventes å skje månedlig. | Svært sannsynlig, forventes å skje ukentlig eller daglig. |
| Inntreffer med 0-5 % sannsynlighet. | Inntreffer med 5-10 % sannsynlighet. | Inntreffer med 10-30 % sannsynlighet. | Inntreffer med 30-70 % sannsynlighet. | Hendelsen kan oppstå under flere omstendigheter (inntreffer med 70-100% sannsynlighet). |
Se også veiledningsteksten i risikostyringsprosessen forinformasjonssikkerhet og personvern.
Konsekvens
I Kristiansand kommune har vi definert et sett med konsekvensområder for å vurdere hvilke typer konsekvenser risikoen kan ha. Disse er basert på samme skala som sannsynlighet, men for konsekvensområdene er det vanskeligere å lage beskrivelser som treffer like godt på tvers av alle virksomhetene. Derfor må konsekvens vurderes i forholdsvis opp mot de beskrivelsene som er gitt. Hensikten med disse tabellene er at vi skal kunne sammenligne hvor alvorlig konsekvens risikoene er på tvers av virksomhetene i kommunen.
I Kristiansand kommune har vi definert et sett med konsekvensområder, og vi har satt følgende kriterier for disse:
HMS
| Ikke alvorlig | Lav | Middels | Alvorlig | Svært alvorlig |
| Ubetydelige helseplager (fysisk/psykisk) Ingen sykefravær. Ikke helsehjelp. | Mindre alvorlig helseplager (fysisk/psykisk) og/eller sykefravær <16 dager. Helsehjelp. |
Moderate helseplager (fysisk/psykisk.) Kan medføre sykefravær 16 dager-3 mnd. |
Alvorlige, varige helseplager (fysisk/psykisk) Kan medføre sykefravær >3 mnd. Flere syke/skadde. | Svært alvorlige helseplager (fysisk/psykisk) Arbeidsuførhet. Dødsfall / mange skadd. |
Tjeneste til bruker (Kvalitet)
| Ikke alvorlig | Lav | Middels | Alvorlig | Svært alvorlig |
|
Liv og helse hos tjenestemottaker: * fysisk /psykisk skade som kan medføre behov for enkel førstehjelp *ingen endring i funksjonsnivå
|
Liv og helse hos tjenestemottaker: * fysisk/psykisk skade som kan krevebehandling eller oppfølgning av medisinsk personell * mindre, forbigående funksjonsnedsettelse |
Liv og helse hos tjenestemottaker: * moderat, fysisk/psykisk skade-moderat forbigående funksjons-nedsettelse
|
Liv og helse hos tjenestemottaker: * alvorlig, fysisk/psykisk skade * alvorlig, men forbigående funksjonsnedsettelse
|
Liv og helse hos tjenestemottaker: * alvorlig, varig skade (mén) eller dødsfall
|
|
Tjenesteproduksjon: * ubetydelig innvirkning på kontinuitet i tjenesteproduksjon * ubetydelig brudd på/avvik fra lov og forskrift/politiske vedtak, ingen anmerkninger fra tilsynsorganer * ubetydelig kvalitetsavvik |
Tjenesteproduksjon: * liten innvirkning på kontinuitet i tjenesteproduksjon *små brudd på /avvik fra lov og forskrift/politiske vedtak, ingen anmerkninger fra tilsynsorganer *mindre kvalitetsavvik |
Tjenesteproduksjon: * moderat innvirkning på kontinuitet i tjenesteproduksjon * moderate brudd på /avvik fra lov og forskrift/politiske vedtak, anmerkning fra tilsynsorganer - men ingen sanksjoner * moderat kvalitetsavvik |
Tjenesteproduksjon: *alvorlig innvirkning på kontinuitet i tjenesteproduksjon *alvorlige brudd /avvik fra lov og forskrift/politiske vedtak, anmerkning fra tilsynsorganer *varsel om mulige sanksjoner *alvorlig kvalitetsavvik |
Tjenesteproduksjon: * svært alvorlig innvirkning på kontinuitet i tjenesteproduksjon * svært alvorlige brudd på/avvik fra lov og forskrift/politiske vedtak, sanksjoner fra tilsynsorganer * svært alvorlig kvalitetsavvik |
Her vil det være enten liv og helse eller tjenesteproduksjon som gir en passende beskrivelse av konsekvensen.
Informasjonssikkerhet og personvern
Se veiledningsteksten i risikostyringsprosessen for informasjonssikkerhet og personvern.
Drift og materielle verdier
| Ikke alvorlig | Lav | Middels | Alvorlig | Svært alvorlig |
|
Ingen driftsforstyrrelse, stabilt. Kostnad mindre enn 10.000 kr. |
Mindre driftsforstyrrelse av kort varighet. Kostnad 10.000 - 500.000 kr. |
Moderat driftsforstyrrelse. Kostnad 500.000 kr. - 1.000.000 kr. |
Store og langvarige driftsforstyrrelser. Kostnad 1.000.000 - 10.000.000 kr. |
Tjenesten varig ute av drift. Kostnad mer enn 10.000.000 kr. |
Klima og ytre miljø
| Ikke alvorlig | Lav | Middels | Alvorlig | Svært alvorlig |
|
Ingen målbar miljøskade. |
Kortvarig, reversibel miljøskade. |
Langvarig, reversibel miljøskade. |
Irreversibel miljøskade. |
Alvorlig, irreversibel miljøskade. |
Omdømme
| Ikke alvorlig | Lav | Middels | Alvorlig | Svært alvorlig |
|
For kommunen: Ubetydelig påvirkning. Ingen negative medieoppslag. For innbyggger: Ingen tap av troverdighet/ tillit. |
For kommunen: Henvendelse fra media uten negative oppslag. For innbygger: Noe redusert troverdighet/tillit. |
For kommunen: Mindre/kortvarige oppslag i media. Moderat kritikk fra revisjon/tilsynsorgan. For innbygger: Moderat redusert troverdighet/tillit. |
For kommunen: Negative oppslag i media over flere dager, stort engasjement fra Ordfører/bystyre. Betydelig kritikk fra revisjon/tilsynsorgan. For innbygger: Alvorlig redusert troverdighet/tillit. |
For kommunen: Langvarig og svært negative oppslag i media, omfattende engasjement fra Ordfører/bystyret. Sterk kritikk fra revisjon/tilsynsorganer. For innbygger: Uopprettelig tap av troverdighet/tillit. |
Usikkerhet
Risikovurderingen blir i stor grad påvirket av hvor mye erfaring og kunnskap deltakerne har om det som skal risikovurderes. Det er ikke mulig å forutsi helt nøyaktig hva som er riktig vurdering av sannsynlighet og konsekvens for en risiko før den inntreffer. Derfor vil det være nyttig å vurdere hvor stor usikkerhet som er knyttet til analysen, og hvor sterkt kunnskapsgrunnlag den bygger på.
I ROS-skjemaet (ikke forenklet versjon) er det mulig å si noe om dette, og vi har satt følgende kriterier:
| Liten usikkerhet | Middels usikkerhet | Stor usikkerhet |
|
Risikoen ble analysert med god informasjon om hvor ofte den kan forventes å inntreffe, og hvilke mulige konsekvenser den kan føre til. |
Risikoen ble analysert med noe informasjon om kjente tilfeller og hvilke konsekvenser risikoen kunne få. |
Risikoen ble analysert med lite informasjon om sannsynlighet og konsekvens.
|
Tips til gjennomføring
I dette prosessteget er det viktig å ta med seg den informasjonen man har forberedt i planleggingen og koble informasjonen til relevante risikoer. Det kan være en god idé å ta en kort pause mellom risikoidentifiseringen og risikoanalysen slik at den som leder møtet og referenten får anledning til å legge til rette for en best mulig risikoanalyse.
Klikk her for å komme til risikoanalyse i risikovurderingsprosessen.
Risikoevaluering
Gjennomføring av risikoevaluering er beskrevet her..
Når analysen er ferdig har vi fått klart for oss hva som er risikobildet
- Hva risikoen er (mulig hendelse)
- Hva som kan lede opp til hendelsen (årsaker), og hvor sannsynlig det er at disse inntreffer
- Hvilke konsekvenser hendelsen kan få
Etter risikoanalysen får hver risiko en "poengsum" som angir hvor alvorlig den er, regnet ut fra følgende formel;
- sannsynlighet (1-5) x konsekvens (1-5) = risiko (1-25)
Når vi vurderer om risikoen er akseptabel plasserer vi risikoen inn i en av disse tre kategoriene ut fra poengsummen:
| Lav (grønn) | Middels (gul) | Høy (rød) |
|
Tiltak er i utgangspunktet ikke nødvendig, men kan vurderes.
|
Tiltak bør vurderes.
|
Risikoen bør reduseres ved å innføre tiltak. Disse sendes direkte til neste fase - Risikohåndtering |
Klikk her for å komme til risikoevaluering i risikovurderingsprosessen.
Risikohåndtering
Hvordan man håndterer risiko er beskrevet her..
De risikoene som vurderes som "ikke akseptable" må håndteres. Da må vi vurdere om vi skal gjøre tiltak for å redusere sannsynligheten for at hendelsen skal inntreffe, eller begrense konsekvensen dersom hendelsen inntreffer - eller begge deler.
Noen ganger identifiserer vi risikoer som krever en håndtering som ligger utenfor vår myndighet, eller som kan påvirke andre enheter. Da er det viktig at vi informerer de lederne som blir berørt om disse risikoene slik at de kan gjøre sin håndtering av dem.
Dersom en risiko har stor usikkerhet vil det være naturlig å hente inn mer informasjon for å få en bedre analyse av risikoen og senke usikkerheten. Det vil gjøre at det blir enklere å treffe riktig beslutning om håndteringen.
Risikoreduserende tiltak
Disse tiltakene settes inn for å enten hindre årsaken til at risikoen skal inntreffe, eller minske omfanget av konsekvensen dersom den inntreffer.
En risiko illustreres ofte som en tversoversløyfe (bow-tie) som illustrerer hvordan en hendelse inntreffer, hvor tidslinjen går fra venstre til høyre. Denne modellen illustrerer at det ofte er en rekke årsaker som til slutt kuliminerer i en utløsende hendelse (risikoen) som får en konsekvens, som igjen får en rekke konsekvenser - som en kjedereaksjon.
Det kan være nyttig å ha denne modellen i bakhodet når man vurderer hvilke tiltak som skal iverksettes slik at man er sikker på å sette inn tiltakene så nærme midten av sløyfen som mulig. Da får man forhåpentligvis unngått hendelsen, eller i alle fall stanset kjedereaksjonen av konsekvenser etter hendelsen.
Klikk her for å komme til risikohåndtering i risikovurderingsprosessen.
Definisjoner
Farekilder:
Forhold som kan forårsake skade. Eks. trusselsituasjoner, vold, kjemikalier, maskiner, osv. (Rausand og Bouwer 2009)
Interessent:
En person eller organisasjon som kan påvirke, bli påvirket av eller oppfatte seg selv som påvirket av en beslutning eller aktivitet. (NS-ISO 31000:2018)
Risiko:
Mulige (potensielle) hendelser som kan påvirke den det gjelder negativt. Dette er en avgrensning i forhold til NS-ISO 31000:2018 sin definisjon, som også inkluderer positive risikoer (usikkerhet knyttet til om det vil gå bra).
Risikoeier:
Den som er ansvarlig leder for, eller har fått delegert myndighet over, den aktiviteten/fagfeltet dette gjelder.
Risikostyring:
Alle aktiviteter og tiltak vi gjør for å styre risiko. Formålet med risikostyring er å skape og beskytte verdi. (Aven m.fl. 2017)
ROS-analyse:
ROS-analyse står for risiko- og sårbarhetsanalyse. og det er den mest utbredte metoden for risikovurdering i norske kommuner. Dette er en forenklet "grovanalyse" som ble utviklet for å være mindre ressurskrevende enn andre risikovurderingsmetoder. En grovanalyse skal avdekke mulige farekilder, trusler og uønskede hendelser. Den har sitt opphav i det amerikanske forsvaret og er laget for å oppdage risikoer tidlig i prosjekter (designfase) slik at risikoene kan håndteres i løpet av prosjektets levetid. (Rausand og Bouwer 2009)
Hendelser som har en åpenbar negativ konsekvens. (Aven m.fl. 2017)
Vedlegg og referanser
Elæringsvideo om risikomodulen i Styringsportalen.
Referanser og kilder for denne veilederen
NS-ISO 31000:2018 Risikostyring Retningslinjer, Standard Norge
«Risikoanalyse» (2017), av Terje Aven, Willy Røed, Herman S. Wiencke - 2. utg. (Universitetsforlaget)
«Risikostyring» (2015), av Terje Aven – 2. utg. (Universitetsforlaget)
«Risikoanalyse – teori og metoder» (2009), av Marvin Rausand og Ingrid Bouwer Utne – 1. utg. (Fagbokforlaget)
«Orden i eget hus - Kommunedirektørens internkontroll - veileder fra KS», Veileder fra KS
Bergen kommune, "BK - Veileder i risikostyring" (ID 1583 i deres kvalitetessystem BkKvalitet)