Risikovurderinger – hva og hvorfor

hms risiko systematisk hms-arbeid Aug 14, 2022
ROS-analyse

Er virksomheten din forberedt den dagen det uønskede skjer? For det skjer! Derfor er risikovurderinger en vital del av HMS-arbeidet og styringsprosessene i enhver virksomhet.

I dette innlegget skal vi se på hva som kan skje og hva en risikovurdering er. Eller en «risiko- og sårbarhetsanalyse», forkortet ROS-analyse.

Men først: Spør deg selv igjen. Er dere virkelig forberedt? På det som dere ikke vil at skal skje? Men som dere likevel vet vil skje? Som dataangrep. Fravær av nøkkelpersonell. Trafikkulykker på jobbreise. Og så mye mer. Alt kan skje. Og det meste skjer – fra tid til annen. Sånn er livet.

Og er dere forberedt på det uventede? Det som dere ikke regner med vil skje. Eller som dere rett og slett ikke kan forutse?

Har du og virksomheten din råd til å satse på at det går bra? Hva gjør dere da den dagen det ikke går bra? Den dagen ting går galt. Den dagen alarmen går. Eller telefonen ringer med et dårlig budskap. En trist beskjed. Når det har skjedd.

Da er det for sent.

Norske virksomheter taper enorme summer på det som ikke skal skje. Og hvert år er det tusenvis av arbeidsulykker – bare i 2020 var det rundt 20.000 av dem i Norge. 41 arbeidstakere døde i disse ulykkene.

Alle virksomheter er pålagt å kartlegge risiko og faremomenter. De skal gjøre en risikovurdering. Eller sagt på en enklere måte: Alle virksomheter skal peke ut de uønskede hendelsene som kan inntreffe. Det være seg hendelser som kan utgjøre en fare for de ansatte, eller for virksomheten som helhet. Jeg har allerede nevnt noen eksempler – som dataangrep, fravær av nøkkelpersonell og trafikkulykker på jobbreise. Andre eksempler er brann, langvarig strømstans, at én eller flere ansatte blir skadet – eller endatil dør – som følge av en hendelse på arbeidsplassen. Eller på en arbeidsreise.

Hva gjør virksomheten da? Ja, for kartleggingen skal følges opp med konkrete tiltak for å unngå at uønskede hendelser skjer. Og dere skal ha klar tiltak som skal settes i verk når en uønsket hendelse faktisk har skjedd.

Ifølge Nasjonal sikkerhetsmyndighet (NSM), er norske virksomheter mer utsatt for dataangrep nå enn tidligere.

Mange synes det er uangripelig – komplisert og uoversiktlig – å kartlegge risiko og faremomenter. Det er imidlertid lettere enn det høres ut. Heldigvis!

En risikokartlegging begynner med å identifisere de uønskede hendelser som kan inntreffe. Og for å rangere disse uønskede hendelsene, må dere finne ut hvor sannsynlig det er at de skjer og hvor store konsekvenser de får. Så må dere finne tiltak som kan forhindre at de skjer – såkalte sannsynlighetsreduserende tiltak. Deretter må dere finne tiltak som kan redusere konsekvensene hvis de likevel skjer – såkalte konsekvensreduserende tiltak.

Når dette er skrevet inn i et dokument eller et risikohåndteringssystem, da har dere laget en risikovurdering. Da har dere kartlagt den risiko og de faremomenter som er i virksomheten, og dere har identifisert konkrete tiltak for å redusere sannsynlighet og konsekvenser – og dere har dokumentert at dere har utført en risikovurdering. Det er nemlig krav om at dere skal dokumentere dette arbeidet.

Verre er det ikke.

Fra teori til praksis – og hva som faktisk kan skje

Men – det er alltid et men. Hvordan gjør man dette i praksis? Det er her metodikken kommer inn. En risikovurdering kan utføres på flere måter, men det er laget standarder og gode hjelpemidler som kan gjøre arbeidet oversiktlig og enkelt.

Ett slikt hjelpemiddel er kurset «Lag gode risikovurderinger og ROS-analyser» som jeg har laget sammen med Videocation. Mer om dét litt lenger nede. Men først et par eksempler på det som kan skje:

Forestill deg at du er på jobb. Klokken er 10:00. Du sitter foran datamaskinen din. En svak røyklukt finner neseborene, og du ser rundt deg. Du tenker med én gang: «Er det noe som brenner?» Før du har fått identifisert hva og hvor lukten kommer fra, skjærer den skarpe lyden av brannalarmen gjennom lokalene. Du reiser deg opp. Rådvill. Så beveger du deg mot døren. Ute i gangen ser du kolleger som også har reist seg fra stolene sine og begynt å gå mot trappegangen. Noen står og ser mot alarmklokkene, som om de bare vil at de skal slutte å kime. Men nå kjenner alle røyklukten. Så begynner noen å rope. «Kom igjen! Vi må ut! Ikke bruk heisen!!» Du kjenner at beina dine tar fart og småjogger mot trappen. Du stikker hodet inn på et kontor der en kollega fremdeles sitter i stolen sin og jobber. «Kom igjen!» roper du. «Vi må ut!!» Dere går fort ned trappen. Sammen. Røyklukten blir mye sterkere der nede, og nå ser du også røyk.

For å gjøre en lang historie kort: Det brenner i et lagerrom i første etasje. Brannen sprer seg til naborommet, men en snarrådig medarbeider får slukket det verste med et brannslukningsapparat. Hun får i seg en hel del røyk og blir innlagt på sykehus over natten – og så sykemeldt i tre dager. Lagerrommet der det brant, og rommene ved siden av, er så skadet av brann og røyk at de må totalrenoveres. Resten av lokalene får en del røykskader, og det tar en uke å vaske og rense alt. Røyklukt sitter i ganske lenge hvis man ikke rengjør veldig grundig.

 

Forsikringsselskapet sender to takstfolk som undersøker brannårsak. Men de kan ikke begynne sitt arbeid før brannvesenet har pakket sammen sine slanger og utstyr. Og så må politiet utføre sine kriminaltekniske undersøkelser. Først når bygget er frigitt av politiet, kan takstfolkene estimere skadeomfang. Så må rengjøringsbyrået komme og vaske og rense, mens snekkere, elektrikere og andre fagfolk river og bygger opp igjen.

Mens dette arbeidet pågår, er lokalene ubrukelige. For en virksomhet som produserer varer i lokalene, betyr brannen en uke med produksjonsstans. For en virksomhet som driver tjenesteproduksjon, kan de fleste kanskje jobbe hjemmefra den uken.

Hva ville en slik uønsket hendelse kostet din virksomhet? Hvilke tiltak har dere satt i verk for å forhindre at den skjer? Og hva gjør dere den dagen det faktisk skjer?

Enda et eksempel: Forestill deg at du er hjemme. Det er kveld. Du har nettopp sett på nyhetene på TV, og det er en avslappende kveldsstund. Mobiltelefonen ringer. Navnet på en kollega lyser opp skjermen. Du trykker på den grønne «knappen» og sier «Hei!» Stemmen i den andre enden er ladet med panikk og et rikelig innslag adrenalin. Budskapet er dystert: Alle datasystemene deres er nede. Det eneste som kommer opp på dataskjermen til kollegaen din er bildet av et dødningehode og en liten tekst: «Vi har hacket dere. Ha ha». Du kjenner pulsen stige. Du reiser deg opp mens dere snakker. Går frem og tilbake i stuen.

En halv time senere sitter du på kontoret sammen med daglig leder og lederen for IT-avdelingen. Sistnevnte trykker febrilsk på et tastatur og prøver å logge seg på systemene. Til ingen nytte. Tanker raser gjennom hodet ditt. Tanker som: «Hva hvis alle personopplysningene vi har lagret kommer på avveie?» «Hva hvis vi ikke får lastet ut alle dokumentene våre?» «Hva hvis vi blir erstatningsansvarlige for alle forretningshemmelighetene vi har lagret, fordi vi ikke har vært flinke nok på IT-sikkerhet?»

To søvnløse netter senere er systemene oppe å gå igjen – fordi dere har en god backup-løsning. Men alle dataene deres – all informasjonen dere hadde lagret – er på avveie. I hendene på uvedkommende. Uvedkommende med onde hensikter.

Har dere klar en mediestrategi når dette skjer? Hva sier dere til kundene deres? Hvordan skjermer dere sensitive opplysninger fra dataangrep? Kommer virksomheten til å gå konkurs fordi dere må betale skyhøye erstatningssummer?

Kort sagt: 

  • Har dere kartlagt risikoen for brann i lokalene?
  • Har dere kartlagt risikoen for dataangrep?
  • Har dere satt i verk tiltak for å forhindre brann?
  • Har dere satt i verk tiltak for å forhindre dataangrep?
  • Har dere satt i verk tiltak for å begrense konsekvensene av brann?
  • Har dere satt i verk tiltak for å begrense konsekvensene av dataangrep?

 

Eller for å si det helt enkelt? Har dere utført en risikovurdering – det vil si en kartlegging av risiko og faremomenter i virksomheten, fulgt opp med tiltak for å redusere sannsynligheten for og konsekvensene av de uønskede hendelsene som kan skje?

Dere har plikt til å gjøre denne kartleggingen og lage en tiltaksplan. Dét står i arbeidsmiljøloven. Og i internkontrollforskriften. Og i flere andre lover og forskrifter.

Sammen med Videocation har jeg laget er kurs som viser deg hvordan dere enkelt kan lage en risiko- og sårbarhetsanalyse for virksomheten – en risikovurdering fulgt opp med tiltak. Du kan se en liten presentasjon her: Lag gode risikovurderinger og ROS-analyser.

Lykke til! Jeg vet at dere kommer til å tjene på å utføre dette arbeidet. Og jeg er nokså sikker på at dere kommer til å finne svakheter ved virksomheten – både ved systemer og ved driften. Dét gjør de aller fleste virksomheter som utfører en risikovurdering. Jeg vet også at dere kommer til å finne gode tiltak som vil forhindre uønskede hendelser.

 

Men... hvem er jeg, og hvem er vi?

Men du spør kanskje: «Hvorfor skal jeg stole på at Paul Henriksen kan hjelpe meg med dette?» Så jeg skal gi deg en kort presentasjon av meg selv. Jeg er 46 år og har til sammen mer enn 20 års fartstid i Forsvaret, politiet og i Einang Safety Consult AS. Sistnevnte er et selskap som bl.a. utarbeider risikovurderinger for private og offentlige virksomheter. Vi har laget slike for større og mindre private selskap, for brannvesen, og for kommuner.

Jeg er utdannet politi, med videreutdanninger innen generell etterforskning og digital etterforskning og etterretning. Jeg har også studert beredskap, krisehåndtering og ledelse. Risikovurderinger har dermed vært en rød tråd gjennom alt jeg har drevet med siden 1998, da jeg begynte en seks år lang karriere i Forsvaret – fem av disse årene var i utenlandstjenesten. Én av de «heftigste» risikovurderingene jeg utførte var i 2004, da jeg tjenestegjorde i Afghanistan som befal i Militærpolitiet. De uønskede hendelsene som ble vurdert var bl.a. angrep fra Taliban, noe som inntraff med jevne mellomrom. De angrep leiren vår med rakettdrevne granater, såkalte «RPGer». Jeg skrev en artikkel om dét i 2021. Du kan lese den her: Når noe fester seg i minnet.

Å forhindre rakettangrep – og å redusere konsekvensene av dem – er vel mest sannsynlig ikke noe din virksomhet må vurdere. Men metodikken er den samme, om det er rakettangrep eller branntilløp som vurderes.

 

En brannfakkel

Og så en liten brannfakkel: Mange som eier eller driver en virksomhet – det være seg i det private eller offentlige – ser (dessverre) ikke nytten av å gjennomføre en risikovurdering. Det er flere grunner til dette. Erfaringsmessig er disse fire grunnene de viktigste:

  • Noen tenker at det er mye arbeid og liten gevinst.
  • Noen ser for seg at ROS-analysen bare blir liggende i en skuff – fordi man ikke har vilje og/eller kapasitet til å følge opp tiltakene den kommer frem til.
  • Mange aner rett og slett ikke hvor de skal begynne. De har ikke kunnskap om hvordan man lager en risikovurdering. Så de lar det ligge, og satser på at det går bra.
  • Atter andre ser for seg at en risikovurdering forplikter virksomheten til å iverksette dyre tiltak. Mer om dette lenger nede.

 

Selv om det er lovpålagt å gjennomføre risikovurderinger, er det med andre ord svært mange virksomheter – både små og store, private og offentlige – som ikke har gjort det. Tro det eller ei. Den dagen det skjer en alvorlig uønsket hendelse, vil politiet, Arbeidstilsynet, forsikringsselskaper, m.fl. kunne komme og etterspørre en risikovurdering. Hvis din virksomhet ikke har en, kan det i ytterste konsekvens få følger i form av dagmulkter, avkortning i forsikringsutbetaling, og til og med i form av straff.

 

Risikovurderinger er lønnsomt

Det koster å utføre en risikovurdering. Ikke nødvendigvis direkte i kroner og øre, men i form av tid og arbeid. Men det å utføre en risikovurdering i virksomheten er åpenbart lønnsomt. Ja, du leste riktig. Lønnsomt. Her er noen av grunnene til dét:

  • Dere får avdekket farer og risikomomenter som vil føre til tap – og ved å unngå tap, tjener man (penger spart er penger tjent, som det heter).
  • Ledere og medarbeidere får en bredere og dypere forståelse for driften og virksomheten som helhet, og man kan finne nye og bedre måter å jobbe på.
  • Det er naturlig å involvere verneombud og tillitsvalgte i arbeidsprosessen med en risikovurdering. Dette fremmer dialog, involvering, engasjement, medbestemmelsesrett, og det viser de ansatte at virksomhetens ledelse tar arbeidstakernes helse, miljø og sikkerhet på alvor.
  • Kostnadene ved å iverksette sannsynlighets- og risikoreduserende tiltak er normalt langt mindre enn tapene som virksomheten blir påført når en uønsket hendelse inntreffer. Mange tiltak koster faktisk ingenting, som f.eks. å holde rømningsveier frie for rot i tilfelle brann, å kreve at man lager nytt passord til IT-systemene hver tredje måned, osv. Og mange tiltak koster litt, men gir en enorm gevinst, som å vedlikeholde maskiner og utstyr, å gi de ansatte god og riktig opplæring, å oppdatere IT-systemer og lage gode backup-løsninger.
  • Dere slipper å være engstelig for at Arbeidstilsynet skal komme på tilsyn og avdekke mangler ved virksomhetens HMS-arbeid (ja, for risikovurderingen er bl.a. en del av virksomhetens lovpålagte HMS-arbeid).

Det er selvsagt mange andre grunner til å utføre risikovurderinger, men dette var altså noen av de viktigste.

 

Hva nå?

Hvis din virksomhet trenger bistand med å utarbeide risikovurderinger – eller en «risiko- og sårbarhetsanalyse» (kjært barn har mange navn) – så kan du kontakte meg på epost [email protected] eller rett og slett ringe meg på tlf. 932 97 784. Vi i Einang Safety hjelper dere gjerne. Det er dét vi er her for.

Vi holder også kurs om hvordan en skal utarbeide risikovurderinger. Kursene tilpasses virksomhetene vi holder dem for. Et kurs for brannvesen er annerledes enn et for regnskapsbyråer. Vi skreddersyr kurset sånn at du og dine kolleger får størst mulig utbytte. Dere kan gå i gang med arbeidsprosessen med én gang dere forlater kurslokalet. Vi deler selvsagt ut maler, skjema og andre nødvendige hjelpemidler – disse får du sendt på epost etter endt kurs.

Som nevnt har vi laget et slikt kurs sammen med Videocation. Hvis du ikke kjenner Videocation fra før, så er det en «Netflix for læring». Der får du tilgang til en hel rekke andre interessante kurs også. Vi har tatt mange av dem selv.

Igjen: Lykke til med risikovurderingen for din virksomhet!