Veileder for tilsynspersjonell om risikovurderinger

Veileder for tilsynspersjonell om risikovurderinger

Veileder for tilsynspersonell om risikovurderinger INNHOLD 1. Innledning...1 2. Hva er egentlig risiko?...2 3. Risikostyring...2 4. Risikobildet...3 5. Krav i regelverket...4 6. Risikoanalyseprosessens ulike trinn...4 7. Punkter som bør med i en risikovurdering...5 7. 1 Hvorfor gjennomføre en risikovurdering?...6 7.2 Kartlegging av uønskede hendelser (ev. hva kan skje?)...6 7.3 Sannsynlighet...6 7.4 Konsekvens...7 7.5 Risikoanalyse...7 7.6 Hvordan redusere risiko?...8 8. Risikovurderinger forutsetninger, begrensninger og usikkerhet...8 9 Risikovurdering som tema på tilsyn...9 9.1 Forventninger til virksomhetene...9 9.2 Når er det behov for ny gjennomgang av analysen?...9 9.3 Eksempler på mangelfull risikovurdering og oppfølging...10 9.4 Reaksjoner etter tilsyn...10 Vedlegg 1 Forslag til spørsmål som kan stilles ved tilsyn...11 Vedlegg 2 Aktuelle begrep...13 Vedlegg 3 Ulike metoder for risikoanalyse...14 Vedlegg 4 Lenker til etatssider om risikovurdering/risikoanalyse, div. fagstoff og eksempler. 16 Innspill og ev. kommentarer til denne veilederen sendes tilsynsgruppa v/ Marit Bjerknes (NSO), marit.bjerknes@nso.no Versjon 16 april 2009

1. Innledning Risiko er et uttrykk for mulige tap som en virksomhet kan bli utsatt for. Kunnskap om risiko gir virksomhetene et bedre grunnlag for å gjennomføre tiltak som reduserer eller eliminerer farer og trusler. På den måten kan virksomheten unngå eller begrense skader, sykdom, uhell og kostbare driftstap. Risikovurdering er derfor et forebyggende tiltak som lønner seg. Regelverket stiller dessuten krav til at alle virksomheter skal vurdere risiko og om nødvendig gjennomføre hensiktsmessige tiltak for å redusere risiko. Det er viktig å tenke gjennom hvorfor det skal gjennomføres en risikovurdering. Risikovurderingen bør ikke gjennomføres bare fordi myndighetene krever det. Det er viktig at det er klart hva risikovurderingen skal ende opp i, og hvordan resultatet skal være et underlag for å fatte beslutninger. Det må også gjøres klart hvilke avgrensninger som er gjort, slik at det ikke er tvil om hva resultatene gjelder. Det å gjennomføre en risikovurdering trenger ikke å være komplisert. Det dreier seg om å være systematisk og å ha et bevisst forhold til hva som kan gå galt i forhold til helse, miljø og sikkerhet. Prosessen i seg selv er viktig fordi den bidrar til at hele organisasjonen får økt bevissthet om risikopotensialet i ulike prosesser, installasjoner mv. Resultatet fra risikovurderingen må ikke havne i en skuff. Den skal være et grunnlag for beslutninger om hvilke tiltak som skal gjennomføres. 2. Hva er egentlig risiko? Risiko kan defineres som den fare eller trussel som uønskede hendelser representerer for mennesker, miljø og materielle verdier. Risiko kan også beskrives som mulig tap som man blir utsatt for i framtiden, men som man ikke vet om vil inntreffe eller ikke. Risikobegrepet består av to elementer; sannsynligheten for at noe uønsket kan skje, og konsekvensene dersom det skjer. Det betyr at høyere sannsynlighet og/eller høyere konsekvens begge fører til høyere risiko. 3. Risikostyring Håndtering av risiko og usikkerhet er i dagens samfunn et område som opplever økt fokus. Granskinger av større hendelser og ulykker medfører ofte at det stilles kritiske spørsmål omkring håndtering av risiko forut for hendelsen. Det et en stadig større forventing om at risiko knyttet til en virksomhet håndteres slik at ulykker unngås. Samtidig er det slik at ingen aktiviteter er såkalt risikofrie; det vil alltid være farer forbundet med enhver aktivitet. I slike sammenhenger er det viktig å ha på plass instrumenter/verktøy som gjør at en kan styre risiko på en tilstrekkelig god måte. Dette kalles risikostyring. Med risikostyring forstås alle tiltak og aktiviteter som gjøres for å styre risiko. Risikostyring handler om å balansere fordeler og ulemper.

Formålet med risikostyringsprosessen er å sikre den riktige balansen mellom det å utvikle og skape verdier, og det å unngå ulykker, skader og tap (Aven 2007) 1. 4. Risikobildet En risikoanalyse har som mål å kartlegge og beskrive risiko. Risikoanalysen skal presentere et risikobilde. I figur 1 er det vist en illustrasjon av et slikt risikobilde. (Aven, Røed, Wiencke, 2008) 2. Risikopåvirkende faktorer: kvalitet av legesjekk, effekt av vaksiner,. Risikopåvirkende faktorer: kvalitet på operasjon, effekt av medisiner,.. Livstil Ole blir frisk Kosthold Arv Legesjekk Vaksiner Ole får en bestemt sykdom Medisin Operasjon Ole får kortvarige plager Ole får langvarige plager Miljø Ole dør Sannynlighetsreduserende barrierer Konsekvensreduserende barrierer Aven et al 2008 Figur 1: Et risikobilde fra helsesektoren presentert iht. sløyfemodellen. Denne type fremstilling kalles ofte bow-tie eller sløyfemodellen. Venstre side av figuren viser faktorene som leder opp til hendelse Ole får en bestemt sykdom. Høyre side beskriver mulige konsekvenser av hendelsen. På venstre side av hendelsen er der barrierer, som skal redusere sannsynligheten for at de initierende faktorene (helt til venstre) forårsaker hendelsen. I denne sammenheng er eksempler på slike barrierer; legesjekk, vaksiner og lignende. På høyre side av hendelsen har vi såkalte konsekvensreduserende barrierer, som skal redusere konsekvensene av hendelsen. Eksempler på slike kan være medisiner, kirurgiske inngrep og lignende. Barrierene er ikke alltid 100 % effektive i og med at flere forhold kan påvirke effekten av dem. For eksempel vil den potensielle effekten av vaksinen avhenge av flere faktorer, så som tid etter vaksinering, grad av utviklet resistens og lignende. Hva er akseptabel risiko? 1 Aven: Risikostyring, Universitetsforlaget, 2007 2 Aven, Røed, Wiencke: Risikoanalyse, Universitetsforlaget, 2008

All aktivitet innebærer en viss grad av risiko. Det finnes ingen fasit for hva som er akseptabel risiko eller i hvilke tilfeller det er nødvendig å redusere risikoen. Ulike grupper, for eksempel eiere, ansatte, naboer, myndigheter mv. kan ha ulik oppfatning. Virksomheten må ta hensyn til disse forholdene når de skal vurdere hva som er akseptabelt og hvilke aktiviteter og tiltak som skal gjennomføres. Før en virksomhet starter med en analyse bør de diskutere og bestemme seg for risikoakseptkriterier. Det vil si at dersom risiko er under en forhåndsbestemt verdi er risikoen akseptable. Eller dersom risiko er over den forhåndsbestemte verdien, så er risikoen uakseptabel og tiltak må iverksettes. Imidlertid bør ikke risiko sees isolert fra andre hensyn. I praksis er det alltid nødvendig å gjøre visse avveininger. Er det for eksempel greit med kortvarige driftsstanser, mens personskader ikke kan godtas? 5. Krav i regelverket Virksomheter omfattet av internkontrollforskriften skal ha et system som beskriver hvordan virksomheten internt skal arbeide med helse-, miljø- og sikkerhetsarbeid (HMS-arbeid). I henhold til intenkontrollforskriften 5, 2.ledd pkt 6 skal virksomheten kartlegge farer og problemer og på denne bakgrunn vurdere risiko, samt utarbeide tilhørende planer og tiltak for å redusere risikoforholdene. Dette arbeidet må dokumenteres skriftlig. Storulykkeforskriften (SUF) har som formål å forebygge storulykker der farlige kjemikalier inngår og begrense de konsekvenser storulykker kan få for mennesker, miljø og materielle verdier. Forskriftens 5 setter krav til at virksomheten som omfattes treffer alle nødvendige tiltak for å forebygge storulykker og begrense virkningene av slike for mennesker, miljø og materielle verdier. SUF, vedlegg III, setter i likhet med internkontrollforskriften 5 krav til å kartlegge farer og problemer og på denne bakgrunn vurdere risiko, samt utarbeide tilhørende planer og tiltak for å redusere risikoforholdene. Hver etat har i tillegg spesifikke regelverkskrav til risikovurdering. Standarder Standard Norge har utarbeidet NS 5814- Krav til risikovurderinger. Standarden er orientert mot å hindre eller forebygge skade, og beskriver hvordan risikovurderinger passer inn i en bredere sammenheng som beslutningsstøtte for tiltak eller valg av løsninger. 6. Risikoanalyseprosessens ulike trinn Det er viktig å skille tydelig mellom begrepene risikoanalyse, risikoevaluering og risikovurdering. Risikoanalyse + Risikoevaluering = Risikovurdering Det finnes ulike måter å framstille trinnene i en risikoanalyseprosess. Figur 2 nedenfor er hentet fra Aven, Røed, Wiencke (2008).

Problemdefinisjon, informasjonsinnhenting og organisering 1) Planlegging Valg av analysemetode Identifikasjon av mulige initierende hendelser (farer, trusler, muligheter) Årsaksanalysen Konsekvensanalysen 2) Risikovurdering Risikobilde Sammenligning av alternativer, identifisering og vurdering av tiltak 3) Risikohåndtering Ledelsens vurdering og beslutning Figur 2: Risikoanalyseprosessens ulike trinn fra Aven, Røed, Wiencke (2008) 3 7. Punkter som bør med i en risikovurdering En risikovurdering kan gjennomføres på mange måter. Før oppstart må det tenkes gjennom hvorfor risikovurderingen gjennomføres og hva resultatet brukes til. Punktene nedenfor er en utdyping av de tilsvarende punktene i brosjyren Kontroll med risiko gir gevinst. 3 Aven, Røed, Wiencke: Risikoanalyse, Universitetsforlaget, 2008

7. 1 Hvorfor gjennomføre en risikovurdering? Det er virksomhetens leder/ledelse som må ta initiativ til å kartlegge risikoen. I prosessen videre er det viktig å engasjere medarbeiderne. Det er de som kanskje best kjenner til hvor risikoen er, og den erfaring/kunnskap de har er viktig å få fram. Virksomheten må ha klart for seg hva analysen skal ende opp i og hvordan de skal bruke resultatet i beslutningsprosessen. Uten en klar målsetning blir ofte analysen lite fokusert og gir ikke svarene som det er behov for. Virksomhetene må hente inn relevant informasjon om risikoforholdet som skal vurderes. Uten relevant informasjon er det lite sannsynlig at resultatene blir gode. 7.2 Kartlegging av uønskede hendelser (ev. hva kan skje?) Start gjerne med et helt åpent spørsmål: Hva kan skje?. Innledningsvis er det viktig å få alle mulige farer og trusler på bordet. Derfor bør det legges opp til en åpen og inkluderende prosess, der alle får lov til å uttale seg. Ikke bare de mest sannsynlige hendelsene, men også de mindre sannsynlige hendelsene som kan ha store konsekvenser, må bringes frem i lyset. Tidligere hendelser og nestenulykker kan gi viktige innspill, og flere av disse hendelsene kan man finne frem til igjen ved å gjennomgå uhellsrapporter, statistikker mv. Tall fra den aktuelle bransjen, forsikringsselskaper, statistisk sentralbyrå mv. kan også være nyttige å finne frem til. Det er viktig å ikke binde seg for mye til hva som har skjedd før. Har det kommet nye elementer inn i virksomheten som det ikke er historikk på? Er det gjennomført prosessendringer osv. Dersom antallet mulige hendelser blir veldig høyt, kan det være nyttig å utelukke de hendelsene med lav sannsynlighet og/eller liten konsekvens allerede nå. Det bør imidlertid skrives ned en begrunnelse for hvorfor akkurat den enkelte hendelse anses som lite relevant, slik at man ved en senere anledning kan vurdere om de samme forutsetningene fortsatt gjelder. De hendelsene som gjenstår noteres inn i et skjema Hva kan skje, der det fremgår type hendelse og sted. Det gir en samlet oversikt over potensiell risiko, men uten at de er vurdert opp mot hverandre eller prioritert. Eksempel på et slikt skjema finnes i brosjyren Kontroll med risiko gir gevinst. 7.3 Sannsynlighet Neste steg er å overføre hver enkelt hendelse til hvert sitt skjema der det er plass til å gå litt i dybden for hver enkelt hendelse. Eksempel på et slikt skjema finnes i brosjyren Kontroll med risiko gir gevinst. Det dreier seg om å beskrive mulige årsaker til en slik hendelse/situasjon, hvor sannsynlig det er, hva som kan bli følgene av det og hvordan det kan forebygges. Det kan være mange årsaker til at en uønsket hendelse inntreffer: Fraværende risikotenkning, manglende vedlikehold, manglende rutiner, teknisk svikt, dårlig opplæring med mer. I mange tilfeller er det ikke én enkeltstående årsak, men en sekvens av forhold som til sammen fører til hendelsen. Ved å studere denne årsakskjeden kan man finne de faktiske årsakene, og identifisere hvilke forhold man kan påvirke for å forhindre den uønskede hendelsen. Sannsynlighet for at en hendelse skal inntreffe kan antas ut fra statistikk eller erfaring, enten fra egen virksomhet eller fra virksomheter det kan være aktuelt å sammenligne seg med (bransjen).

Grad av sannsynlighet kan rangeres for eksempel fra svært liten til svært stor eller kvantitativt med tall. Her bør usikkerhet kommenteres. 7.4 Konsekvens Det er vanlig å skille mellom tre typer av konsekvenser: Personskade, miljøskade og skade på materielle verdier (økonomisk). En hendelse kan ha en eller flere typer konsekvenser. Graden av konsekvens kan klassifiseres på en skala for eksempel fra ufarlig til katastrofalt Det er viktig at det går klart fram hva som menes med de ulike klassene. Det som er ufarlig for én person kan oppfattes annerledes av en annen. Et annet eksempel på klassifisering kan være fra en skadd med behov for legebehandling til 10 døde. Det er viktig å forsøke å se litt utover den umiddelbare konsekvens av en hendelse. En ulykke som i utgangspunktet er ganske ufarlig, kan utløse en dominoeffekt med mer omfattende konsekvenser. For eksempel kan brudd i en kopling i en tank føre til en lekkasje av en giftig og brennbar væske. Får man stoppet eller demmet opp for lekkasjen, blir konsekvensene små. Manglende sikkerhetsbarrierer kan gjøre at situasjonen eskalerer: Dårlige kontrollrutiner fører til at lekkasjen ikke blir oppdaget, ubeskyttede antennelseskilder fører til brann, for dårlig brannvern fører til alvorlige brannskader, og brudd i en oppsamlingstank fører til forurensning. Konsekvensen kan bli skader på både person, miljø og/eller materiell, som igjen fører til kostbar driftsstans og erstatningsansvar. Dette er forløp som heldigvis opptrer relativt sjeldent. Det er likevel viktig å merke seg at ikke alle risikoanalyseverktøy dekker domino-hendelser eller egner seg for sammenfallende hendelser som kan påvirke hverandre (synergieffekter). Selv om det er viktig å danne seg et bilde av årsakskjeden, er det nødvendig å holde konsekvensanalysene på et overkommelig nivå slik at det ikke blir for komplisert. 7.5 Risikoanalyse Kartleggingen av uønskede hendelser ga en oversikt over alle mulige risiki. Neste steg, ved å overføre hver enkelt hendelse til hvert sitt skjema der det er plass til å gå litt i dybden for hver enkelt hendelse, viser sannsynlighet og konsekvens for hver enkelt uønskede hendelse. En måte å synliggjøre risikoen for hver enkelt hendelse og for hendelsene i forhold til hverandre, er å legge dem inn i et risikodiagram/risikomatrise. Eksempel på et slikt skjema finnes i brosjyren Kontroll med risiko gir gevinst. Det bør lages ett diagram for hver av de tre typene av risiko; personer, miljø og materiell/økonomi. De hendelsene som havner øverst i høyre er de med høy sannsynlighet og stor konsekvens, altså de med høy risiko (rødt). Nederst i venstre hjørne er hendelsene med lav risiko (grønt), og i mellom er hendelser med moderat risiko (gult). Presist hvor man velger å plassere fargene må sees i sammenheng med hva virksomheten selv regner for å være akseptabelt risikonivå. Dette gir et godt grunnlag for å prioritere tiltak på kort og lang sikt. Som en tommelfingerregel bør man først prioritere de røde hendelsene, og deretter de gule på sikt. Grønne trenger man trolig ikke bekymre seg så mye om utover å holde risikoen på et lavt nivå, såfremt de grønne ikke er beheftet med svært stor usikkerhet.

7.6 Hvordan redusere risiko? Når risikoen er identifisert og tiltak og aktivitet er prioritert, må det lages en forpliktende handlingsplan. I handlingsplanen må konkrete tiltak spesifiseres og prioriteres. Tiltakene kan dreie seg om alt fra tekniske forbedringer, opplæring og øvelser, nye prosedyrer mv. Det må pekes ut ansvarlig person, det må settes tidsfrister og avsettes nødvendige midler. Som hovedregel anbefales å først se på tiltak som kan redusere sannsynligheten, og deretter tiltak som kan redusere konsekvensen. Det er som oftest rimeligere å forebygge enn å begrense og reparere. Oppfølgingen av handlingsplanen må dokumenteres. Dersom planen ikke følges opp, f. eks. fordi gjennomføring av tiltakene tar lengre tid enn forutsatt eller man har endret vurderingene av de foreslåtte tiltakene, må dette også vises i oppfølgingsplanen. 8. Risikovurderinger forutsetninger, begrensninger og usikkerhet Risikovurderinger og -analyser gir ofte ikke et entydig svar. Mange faktorer spiller inn på konklusjonene som trekkes i vurderingen og det er viktig å ha et forhold til disse faktorene. I tillegg kan risikobegrepene være vanskelige å forstå, og det er en utfordring å få til en beskrivelse som kommuniserer resultatene på en effektiv måte. Risikovurderinger og -analyser vil normalt være basert på en rekke forutsetninger og begrensninger. Vi kan si at disse utgjør sentrale rammebetingelser. Feilkilder/fallgruver: Detaljkunnskap om systemet som skal vurderes mangler En har ikke fullstendig oversikt over potensielle hendelser som kan oppstå Overtolker resultatene Analysemetoden reflekterer ikke risikobildet fullt ut En kjenner ikke relevante hendelsesfrekvenser godt nok Deltakernes kompetanse er mangelfull Unnlater å involvere personer med kjennskap til anlegget/aktiviteten En bruker feil risikomål ser på individuell risiko nå en skulle sett på grupperisiko Analysen utføres for å gi underlag til en beslutning som allerede er tatt Feilaktig bruk av analysene Manglende kopling mellom identifisert risiko og tiltak Manglende vurdering av usikkerhet knyttet til data og opplysninger benyttet i vurderingen / analysen Manglende eller feilaktig bruk av akseptkriterier Disse og flere faktorer vil alle kunne påvirke utfallet av risikovurderingen. En risikovurdering er ikke ferdig før en har utført en vurdering av resultatene i lys av endringer i forutsetninger, begrensninger og usikkerheter.

9 Risikovurdering som tema på tilsyn Gjennomføring av tilsynet skal følge metodikken som er beskrevet i Styrende dokumenter for tilsyn. 9.1 Forventninger til virksomhetene Ved tilsyn forventes det at virksomheten viser en helhetlig risikoforståelse. Med dette menes en grunnleggende forventning om at virksomheten evner å lokalisere og prioritere relevante risikoforhold, og samtidig viser forståelse for sammenhenger og forskjeller mellom de to hovedtypene av risikoreduserende tiltak, jf figur 1 på side 3. Det forventes kort sagt at virksomhetene jobber systematisk for å redusere risiko. Spørsmålene i sjekklista i vedlegg 1 er en hjelp til å undersøke hvordan risikoforståelsen er i virksomheten. Alle virksomheter må kartlegge sine risiko- og problemområder innenfor helse, miljø og sikkerhet. Kartleggingen er selve grunnlaget for en god risikovurdering, og kan være alt fra å finne ut hvordan medarbeiderne trives og samarbeider til undersøkelser av fysiske forhold. Risikoen kan for eksempel være belastningslidelser, personalkonflikter, risiko for brann, forurensning av ytre miljø og personskader på arbeidstakere eller andre. Detaljgraden i en risikovurdering avhenger av hvilken risiko virksomheten medfører. Dette avhenger av bl.a. størrelse, art, driftsform, arbeidsmetoder. Etter kartlegging kreves handling. Kartleggingen og vurderingen av risikoområder skal gi oversikt over hva som bør forbedres: Leder, arbeidstakere og deres representanter må planlegge og prioritere tiltak. Verneombud og arbeidsmiljøutvalg må involveres der dette finnes. Og ikke minst; virksomheten må lage en skriftlig handlingsplan. Hva skal gjøres, hvem skal gjøre det, og når skal det gjøres? Virksomheten må også kunne gjøre rede for hva de bruker resultatet av risikovurderingen til, utover det å finne tiltak for å redusere risiko. Det forventes at virksomhetene legger vurderingene til grunn ved beslutninger som har sammenheng med de forhold som er risikovurdert. Risikovurderingen skal med andre ord brukes aktivt som en viktig del av virksomhetens løpende internkontroll! 9.2 Når er det behov for ny gjennomgang av analysen? Risikovurderingen bør oppdateres hver gang det gjennomføres endringer i prosess, prosedyrer, sikkerhetstiltak, organisasjon osv. Virksomheten bør ha fastsatte kriterier som sier noe om hva som utløser behov for ny gjennomgang. Dokumentasjon som kreves: Kartleggingen, risikovurderingen og handlingsplanen må lages skriftlig og skal brukes aktivt i virksomheten. Den skal kunne forevises ved tilsyn fra HMS-etatene.

9.3 Eksempler på mangelfull risikovurdering og oppfølging Eksempler på avvik fra IK-forskriften 5 2.ledd pkt 6: Virksomheten har ikke gjennomført risikovurdering Virksomheten kan ikke dokumentere gjennomført risikovurdering Risikovurderingen omfatter ikke alle relevante tilstander eller uønskede hendelser som er relevant for ytre miljø Virksomheten har ikke fulgt opp risikovurderingen med planer og tiltak for å redusere risikoforholdene Virksomheten kan ikke dokumentere at den har fulgt opp risikovurderingen med planer og tiltak for å redusere risikoforholdene Virksomheten har ikke oppdater risikovurdering etter at risikoforholdene er endret. Eksempler på avvik fra IK-forskriften 5 2.ledd pkt 7: Virksomheten har ikke dokumenterte rutiner for risikohåndtering Virksomheten har ikke rutiner som beskriver hva som utløser behov for ny gjennomgang av risikovurderingen. 9.4 Reaksjoner etter tilsyn. Reaksjon skal skje iht. styrende dokumenter for tilsyn og etter godkjent praksis i egen etat.

Vedlegg 1 Forslag til spørsmål som kan stilles ved tilsyn Disse spørsmålene kan stilles for å kartlegge om virksomheten har en helhetlig risikoforståelse; det må presiseres at dette kun er eksempler på relevante spørsmål og ingen sjekkliste som skal brukes direkte. Sjekkpunktene her er kanskje best egnet ved et forholdsvis omfattende tilsyn eller ev. ved en revisjon. Sjekk Krav Verifikasjon Har dere rutiner for å gjennomføre risikovurdering? Er disse dokumentert? IK 5 2.ledd pkt 7 Be om å få se skriftlig rutine som omhandler risikovurdering Har dere gjennomført en risikovurdering? IK 5 2.ledd pkt 6 Be om å se dokumentasjon på risikovurderingen Hvordan bruker dere resultatet fra risikovurderingene? Er alle relevante uønskede hendelser/tilstander tatt med i risikovurderingen? Hvordan har dere kommet fram til listen over uønskede hendelser? Hva ble avdekket? Ble det anbefalt tiltak for å redusere risikoen? Hvor robust er konklusjonen i vurderingen (eller hva skal til for å endre konklusjonen)? Er det utarbeidet en handlingsplan? Er alle anbefalte tiltak tatt med i handlingsplanen? Hva er status for oppfølgingen av handlingsplanen? Er det gjennomført endringer/modifikasjoner etter at risikovurderingen ble gjennomført? IK 5 2.ledd pkt 6 Er noe glemt i risikovurderingen? Risikobeskrivelsen skal være utformet slik at den er egnet til å ta beslutninger om risiko. Be om å se handlingsplanen, Her skal det framgå hvilke risikoreduserende tiltak som er prioritert. (Tiltakene kan være knyttet til mennesker, f.eks. kompetanse, tekniske løsninger og organisatoriske forhold, f.eks. rutiner). Gjennomføringen av tiltakene bør være tidfestet, og ansvarlig for gjennomføringen utpekt. Oppfølging av tiltaksplanen må dokumenteres. Gjennomførte tiltak signeres ut. Dersom planen ikke er fulgt bør dette være notert.

Sjekk Krav Verifikasjon Er risikovurderingen oppdatert mhp disse endringene? Har dere rutiner for å ajourføre/oppdatere risikovurderingen? Er det faste rutiner for statusgjennomgang av risiko med ledelsen? Risiko bør være tema ved ledelsens gjennomgang, ref IK 5 2.ledd pkt 8

Aktuelle begrep Vedlegg 2 Fare - handling eller forhold som kan føre til en uønsket hendelse Uønsket hendelse - hendelse som kan medføre tap av liv og verdier. Tap av verdier kan gjelde f. eks. liv og helse, miljø, materielle verdier, samfunnsverdier eller omdømme Sannsynlighet - i hvilken grad det er trolig at en hendelse vil kunne inntreffe. Sannsynlighet kan uttrykkes med ord eller som tallverdi. Konsekvens - mulig følge av en uønsket hendelse. Konsekvens kan uttrykkes med ord eller som en tallverdi. Konsekvenser kan være knyttet til tap av eller skade på f. eks. liv og helse, miljø, materielle verdier, funksjoner, samfunnsverdier eller omdømme. Det kan oppstå mer enn én konsekvens fra en uønsket hendelse. Risiko - uttrykk for kombinasjonen av sannsynlighet for og konsekvens av en uønsket hendelse Risikoanalyse - systematisk fremgangsmåte for å beskrive og/eller beregne risiko. Risikoanalysen utføres ved kartlegging av uønskede hendelser, og årsaker til og konsekvenser av disse. Risikoakseptkriterium kriterium som legges til grunn for beslutning om akseptabel risiko Risikoevaluering - prosess for å sammenligne beskrevet eller beregnet risiko med gitte risikoakseptkriterier. Prosessen inkluderer også identifisering og dokumentasjon av risikoreduserende tiltak og anbefalinger. Risikovurdering - samlet prosess som består av planlegging, risikoanalyse og risikoevaluering. Beskrivelsen av begrepene er hentet fra NS 5814.

Ulike metoder for risikoanalyse Vedlegg 3 Det finnes mange forskjellige analytiske metoder for vurdering av risiko. Virksomheten må velge den metoden som passer for det aktuelle analyseområdet, ulike områder kan ha behov for forskjellige analysemetoder. Nedenfor er de mest utbredte metodene kort beskrevet: Grovanalyse Grovanalyser er også kalt bl.a. ROS-analyse, PHA (Preliminary Hazard Analysis) eller HAZID (Hazard Identification). Grovanalysen kan brukes til det meste, både tekniske systemer, organisasjoner og menneskelige faktorer. Metoden gir en risikokartlegging og grov rangering av risikobidragene. Er ofte første fase i mer detaljerte analyser eller kan være tilstrekkelig i seg selv. Kan være nyttig i tidlig fase i prosjektering av nye anlegg/systemer. HAZOP HAZOP (Hazard and Operability Analysis) er utviklet innenfor kjemisk industri og er en systematikk for å påvise svakheter og farer i et prosessanlegg. Metoden er velkjent og veldefinert. Svært mye brukt ved ny design og ved endringer av prosessystemer og andre systemer. Brukes normalt i planleggingsfasen og design av prosessanlegg og ved utarbeiding av prosedyrer. FMEA/FMECA FMEA er en forkortelse for Failure Modes and Effect Analysis. FMECA er tilsvarende forkortelse for Failure Modes, Effect and Criticality Analysis. Den er en av de eldste metodene som brukes. Målet er å identifisere mulige feiltilstander og årsaker til feil i komponenter i et teknisk system, og forutsi effekten av feil i komponenter eller delsystemer. SJA/JSA Sikker Jobb-analyse eller Jobbsikkerhetsanalyse. Metode for å identifisere farer/risiko forbundet med arbeidssituasjoner eller en arbeidsoperasjon. Mye brukt innen for eksempel bygg og anlegg, offshore og energiforsyning hvor det i forveien ikke finnes gjeldende arbeidsprosedyrer for den komplekse arbeidsoperasjonen som skal gjennomføres (eks. innheising av tunge elementer, støping av komplekse strukturer etc.). Oppgaveanalyse Metode for å analysere arbeidsoperasjoner; en svært detaljert sikker jobb-analyse. Formål er å identifisere nødvendige deloppgaver, rekkefølgen av deloppgaver og muligheter for feil utførelse. Benyttes på kritiske og komplekse arbeidsoperasjoner. Feiltreanalyse Er et logisk diagram som beskriver sammenhengen mellom en uønsket hendelse og årsakene til hendelsen. Ved hjelp av kombinasjonene av hendelser og årsaker kan sannsynligheter for den uønskede hendelsen beregnes. Brukes til å analysere tekniske systemer for å avdekke svakheter,

beregne pålitelighet, identifisere behov for systemendringer og redundans. Gir ofte input til risikoanalyser, pålitelighetsanalyser og regularitetsanalyser. Hendelsestreanalyse Analyse av et system etter at en initierende hendelse har inntruffet. Identifisering av barrierer og sikkerhetskritiske funksjoner som hindrer eller begrenser utvikling. Synliggjøring av scenariene. Dette er en kvantitativ eller kvalitativ analyse. Brukes ofte i forbindelse med risikoanalyser av tekniske systemer. Er svært vanlig metode i kvantitative risikoanalyser innen offshore og jernbane. Nærmere informasjon om de fleste metodene kan du lese om i boka Risikoanalyse -veiledning til NS 5814.

Vedlegg 4 Lenker til etatssider om risikovurdering/risikoanalyse, div. fagstoff og eksempler Arbeidstilsynet Hva er risikovurdering? http://www.arbeidstilsynet.no/c26975/artikkel/vis.html?tid=28958 Enkel modell for risikovurdering http://www.arbeidstilsynet.no/c26975/artikkel/vis.html?tid=28959 Få orden på kjemikaliene eksempler på risikovurdering av kjemikalier http://www.arbeidstilsynet.no/binfil/download.php?tid=41420 DSB På http://www.dsb.no/publikasjoner finnes flere relevante publikasjoner. Her er et utvalg: Håndtering av ulike risikosituasjoner i kommunene en eksempelsamling http://www.dsb.no/no/hygiene/publikasjoner/2004/tema/handtering-av-ulike-risikosituasjoner-ikommunene---en-eksempelsamling/ Samfunnssikkerhet i arealplanleggingen kartlegging av risiko og sårbarhet http://www.dsb.no/no/hygiene/publikasjoner/2008/tema/samfunnssikkerhet-i-arealplanlegging--- Kartlegging-av-risiko-og-sarbarhet/ Veileder i internkontroll for importører og produsenter av forbrukerprodukter http://www.dsb.no/no/hygiene/publikasjoner/2010/tema/veileder-i-internkontroll-for-importorerog-produsenter-av-forbrukerprodukter/ Temaveiledning i risikoanalyse for risikofylte forbrukertjenester http://www.dsb.no/no/hygiene/publikasjoner/2007/tema/temaveiledning-i-risikoanalyse-forrisikofylte-forbrukertjenester/

NSO Sikkerhet nr. 3/2008 - Risikoanalyse http://www.nso.no/?module=articles;action=article.publicopen;id=629 Klif Veileder for risikovurdering av forurenset sediment http://www.sft.no/miljoreferanse 42365.aspx Risikovurdering av forurenset grunn http://www.sft.no/miljoreferanse 35368.aspx PTIL Risiko er uunngåelig, men kan styres http://www.ptil.no/risiko/category12.html NRPA Veiledere http://www.nrpa.no/index.asp?startid=&topexpand=&subexpand=&menuid=1000028&strurl=// applications/system/publish/view/showobject.asp?channelid=1000071&noart=1000