Beredskapsforskriften og krav om ROS-analyser. Hvordan sikre seg at man gjør det man skal? Roger Steen NVE, Beredskapsseksjonen rost@nve.no
Tenk igjennom hva som kunne vært konsekvensene for ditt selskap dersom: det oppstår brann i driftssentralen slik at den må evakueres underleverandøren av tjenester ifm. transportberedskap går konkurs, samtidig som du har behov for deres tjenester..de to viktigste anleggene blir satt ut av funksjon samtidig 2
3 Hjertesukk Problemet er ikke alltid at det ikke gjøres risikoanalyser, men at alle gjør risikoanalyser på sin måte. Eksiterer ofte ingen vedtatt praksis, eller slik praksis følges ikke Risikostyringskultur i virksomheten kunne vært bedre Analysene henger for lite sammen Analysene følges ikke opp Analysene dekker ikke forskriftskravet ROS-rapporten bærer preg av å liste opp hva man kan huske eller tro har vært problematisk....og i mindre grad analyser hva som kan være realistiske verstefalls- hendelser for fremtiden
Agenda Hva er risiko Hvordan forstå lov/forskriftskravet Metodikk Råd på veien
Nøkkelen til god beredskap/risikostyring Bevissthet Oversikt....over ansvar - dvs. alle krav og vilkår som regulerer virksomheten (lov/forskrift/konsesjonsvilkår)..over egen virksomhets rolle, funksjon, organisasjon, m.v..over mulige konsekvenser for kundene.. 5 God ledelsesforankring og -oppfølging
Mange ulike tilnærminger til Risiko Ingeniørperspektiv Risiko er kombinasjonen av sannsynlighet og konsekvens Økonomiperspektiv Risiko er en kombinasjon av mulig konsekvens (utfall) og usikkerhet Samfunnsvitenskaplig (BfK) perspektiv Risiko 1) hendelsene og de tilhørende konsekvensene og 2) usikkerhet om disse vil hendelsene inntreffe og hva vil konsekvensene bli? Årsaksbildet og sannsynligheter m.a.o. litt i bakgrunnen Mer fokus på muligheter for at noe kan skje, enn å beregne sannsynligheter
ROS visualisert vha bow-tie-diagram
Mange krav ( ikke alle svar passer til alle spørsmål ) Myndighetene stiller en rekke krav som går inn på området sikkerhet og beredskap, bl.a. om ROS. Disse kravene kan vel å merke utgå fra ulike lover med helt forskjellige intensjoner. Dette kan bety at en risiko- og sårbarhetsanalyse utarbeidet med utgangspunkt i en lov/forskrift ikke automatisk vil dekke tilsvarende krav i en annen lov/forskrift. Her er det viktig å sette seg godt inn i alle enkeltkrav virksomheten er pliktig å etterleve. 8 Det er den enkelte virksomhets ansvar å påse at virksomheten drives forsvarlig innenfor de lov-, forskriftskrav og konsesjonsvilkår som er gitt.
Ekstraordinære hendelser: Det som skal forebygges og håndteres er ekstraordinære hendelser. Målet er å unngå at kraftforsyningen stopper opp og/eller unngå at gjenopprettingen av forsyningen tar lang tid. Siden de ekstraordinære hendelsene er av lav sannsynlighet (lavt gjentaksintervall) og ofte er vanskelig å forutsi har myndighetene besluttet (lov/forskrift) at selskapene, uavhengig av egne vurderinger skal ha en grunnberedskap. Dvs. sikring av anlegg, reparasjonsberedskap osv 9
1 3. Risiko- og sårbarhetsanalyse Forskriftskrav: Alle enheter i KBO skal ha oppdaterte risiko- og sårbarhetsanalyser for å identifisere virksomhetens risikopotensiale og de tiltak som effektivt oppfyller kravene i denne forskriften. Fra veiledningen til BfK ROS-analyser er verktøyet for å kartlegge forhold som kan true enhetens etterlevelse av denne forskriften. 10 Hvordan skal dette forstås?
NVEs forventninger til oppdatert ROS Kravet om å gjennomføre ROS-analyser etter denne forskrift tilsier at dette skal være en kontinuerlig prosess (oppdatert). Det betyr at arbeidet skal være en integrert del av enheten og oppdateres ved alle endringer (systemmessige og organisatoriske endringer, eksternt og internt) som kan påvirke enhetens evne til å fungere i henhold til krav hjemlet i denne forskrift. Alle analyser skal være påført datoen den ble ferdigstilt, hvem (funksjon) som hadde ansvaret for gjennomføringen av analysen, i utarbeidelsen og hvem som godkjente analysen. Eventuelt bør også andre bidragsytere i analysearbeidet være sporbare. Alle ROS-analyser bør som minimum gjennomgås årlig. 11
Forventninger til gjennomføring og fokus Gjennomføring, forankring og oppfølging av ROS-analyser Det er viktig at et representativt utvalg fra virksomheten er delaktig i utarbeidelsen av analysene. Arbeidet med analysene skal være forankret i enhetens ledelse og inngå i enhetens virksomhetsstyring. Enheten må følge opp funnene i analysene i form av forslag til tiltak for å redusere muligheten for eller effekt av uønskede hendelser (tiltaksplan). 12 Fokus på konsekvens og store dimensjonerende hendelser Beredskapsforskriften gir en del plikter som skal bidra til å redusere eventuelle konsekvenser knyttet til realistiske verstefallshendelser, uavhengig av hvordan risikoen oppfattes å være. Ved gjennomføringen av ROS-analyser i kraftforsyningen er det derfor nødvendig at enheten er bevisst på å identifisere sårbarheter og gjennomføre tiltak for å forebygge og effektivt håndtere ekstraordinære hendelser, også om sannsynligheten oppfattes som lav.
Forventninger til produktet Samarbeid og samordning Det er viktig at analysen bygger på informasjon fra interne og eksterne kilder med høy kvalitet. I den grad enheten er avhengig av eksterne beredskapstjenester må dette innarbeides i ROS-analysen. Det er viktig å være bevisst på at andre samarbeidende virksomheter og myndigheter kan etterspørre resultater fra enhetens ROS-analyse som grunnlag for egne analyser. Her vil det være viktig å tilpasse slike data for brukerens formål, samtidig som sensitiv informasjon skjermes. Dokumentasjon Grunnlaget for ROS-analysene må være sporbare. Analysene må være kjent og tilgjengelig for alle i enheten som måtte ha behov for disse i sitt arbeid med sikkerhet og beredskap. Sensitive opplysninger må skjermes i henhold til Kapittel 6 Informasjonssikkerhet for oppbevaring og håndtering av sensitiv informasjon. 13
Prosessen - der mange trår feil 1) Setter seg ikke godt nok inn i hva de skal gjøre og når jobben settes i gang så svikter vi også på 2)
Gode forberedelser
God prosess
Analysen skal også følges opp..!
ROS viktig for helhetlig beredskapsarbeid
Ekstraordinære forhold - BfK særlig fokus på stor konsekvens liten sannsynlighet! Konsekvens Ubetydelig, liten, middels, alvorlig, svært alvorlig,. 1:Oftere enn 1 gang pr. år 2: Fra 1 gang pr. år til hvert 10.år 3: Fra hvert 10.år til hvert 100.år x4, x1 4: Fra hvert 100.år til hvert 1000.år 5: Sjeldnere enn hvert 1000.år x5 x3 x2 19 BfK: Forebygge og håndtere ekstraordinære hendelser
20 Hvor mange analyser må til?
Ulike analyser sett i sammenheng Krav og retningslinjer for risikostyring Aktivitet 1: Overordnede føringer for risikostyring i ett selskap Nivå 1- ROS analyser Aktivitet 2: Overordnede analyse og prioriteringer av objekt Aktivitet 3: Overordnet ROS-analyse Transportberedskap Aktivitet 4: Overordnet Skallsikring og adgangskontroll Aktivitet 5: Driftskontrollsystem, samband, infosikkerhet/ beredskap Nivå 2- ROS analyser System Aktivitet 6: Generisk ROS-analyse Transformatorstasjon og koblingsanlegg Aktivitet 7: Generisk ROS-analyse linjer (sentral-, regional-, distribusjons.) Identifisering av uønskede hendelser Nivå 2-analyser Spesifikt anlegg (gjennomføre ROS-analyser iht prioriteringslisten) Aktivitet x: Spesifikk ROS-analyse av transformatorstasjon X Aktivitet x: Spesifikk ROS-analyse av linjestrekk X Identifisering av særskilte forhold ift system analysen Nivå 3-analyser
ROS visualisert vha bow-tie-diagram
Komme i gang med ROS-jobben? 1. Samle lederne og nøkkelmedarbeidere for alle deler av virksomheten 2. Skape felles forståelse for hva som skal analyseres og felles begrepsbruk (les krav og veiledninger) 3. Tydeliggjør lederansvar på alle nivå 4. Etabler gjerne et pilotprosjekt, for eksempel dekke et område slik som sikring av anlegg e.l 5. Plukke ut en rutinert prosessleder for å lede arbeidet med ROS. Viktig at prosess ledere også får tilstrekkelig med tid til arbeidet 6. Vurder, forbered kartleggingsskjema 7. Definer roller, ansvar, møteplasser osv 8. Ha en klar forståelse for hva ROS-analysen kan og bør brukes til i etterkant
Tips: Hvordan involvere? Trekk inn nødvendig ekspertise i arbeidet Som prosessleder for en ROS-analyse er viktig å stimulere analysegruppen til å tenke og beskrive hva som kan gå galt ved anlegget / aktiviteten. Du bør være bevisst på hvordan du stiller spørsmålene til analysegruppen. Hva kan gå galt med denne komponenten?, Kan denne komponenten havarere?, Hva skjer hvis?. 24 Vær nysgjerrig. Det er bedre å stille for mange spørsmål enn for få. Dumme spørsmål kan ofte være smarte på den måten at analysegruppen tvinges til å tenke igjennom uvante problemstillinger.
Takk for oppmerksomheten 1. ROS-analyser er krevende og krever både kompetanse og erfaring. PS: Øvelse gjør mester! Lykke til med jobben! rost@nve.no