Innledning
Identifisering og håndtering av risiko er et av de viktigste elementene for å ha kontroll på sikkerheten
For enkelhets skyld bruker vi begrepet risikovurdering i stedet for «identifisering og oppfølging av risiko».
Det finnes mange gode veiledere om risikovurderinger. Direktoratet for forvaltning og ikt (DIFI) har en veileder som gir en god innføring, og denne finnes på DIFIs nettsider. Referanse til denne og andre veiledere står oppført i referanseavsnittet nederst.
Hensikten med veilederen
Hensikten med veilederen er å bidra til bedre forståelse av hva som skal til for å oppfylle krav i de respektive forskriftene formulert slik: «Bestemmelser om hvordan sikkerhetsmessig risiko forbundet med driften av virksomheten skal identifiseres og følges opp».
Veilederen er ikke uttømmende. Virksomhetene har et selvstendig ansvar for å kjenne og etterleve lovgivningen.
Omfang
Veilederen gjelder for virksomheter som driver taubaner og fornøyelsesinnretninger.
Krav
I tivoliforskriften (§2-11) kreves det at sikkerhetsstyringssystemet «skal inneholde bestemmelsene som er nødvendige for å ha kontroll på risikoene forbundet med virksomheten».
Veiledning
Etablering av bestemmelser og metodevalg
Det er viktig å fastsette bestemmelser for risikovurderinger som er tilpasset virksomheten.
Å gjennomføre en risikovurdering bør følge prosessen som er angitt i NS 5814 (se referanser under). Den starter med å velge en metode som passer til det risikovurderingen skal omfatte.
Mange virksomheter bruker analysemetoder som er laget av eksterne konsulenter. Det er viktig at metodene som velges ikke er mer kompliserte enn det virksomhetene har behov for, og at metodene som velges er tilpasset aktiviteten eller systemet som skal risikovurderes.
I vår tilsynsvirksomhet ser vi ofte at virksomheter benytter seg av risikovurderinger som er utarbeidet ved hjelp av konsulenter. Noen ganger erfarer vi at virksomheten ikke har tilstrekkelig eierskap til risikovurderingene, eller ikke har tilstrekkelig kompetanse til å forstå hvordan risikovurderingene skal brukes eller følges opp. Kompetansekravene i sikkerhetsstyringssystemet og opplæringen som gis ansatte som har ansvar for å utarbeide eller bruke risikovurderinger, må sikre nødvendig minimumskompetanse.
Noen virksomheter bruker analyser som er utarbeidet for å gjelde generisk. Da er det viktig at virksomheten sørger for at analysen blir tilpasset lokale forhold og at den utfylles med særegne lokale risikoer. For eksempel vil det være nødvendig å vurdere behov for bedre bardunering av hoppeslott som anlegges i områder som er mye utsatt for sterke kastevinder. Et annet eksempel kan være et skianlegg med stolheiser som har en stor andel av brukere med handikap som krever mer tilrettelegging og ekstra beredskap.
Endringer
Hvis eksisterende praksis, bemanning, organisering, systemer eller anlegg som kan tenkes å influere på sikkerheten skal endres, må risiko knyttet til endringen vurderes.
Et eksempel:
Ny, stor flatehogst er utført inntil en høydepark eller et hoppeslott. Da må det vurderes om dette øker risikoen på grunn av vind som utsetter trær eller bardunering for større krefter.
Noen ganger kan det være tilstrekkelig å bruke enkle endringsanalyser til et slikt formål, for eksempel en enkel «HUL-analyse». Metoden innebærer ganske enkelt å vurdere om planlagt endring fører til risikoer som er Høyere, Uendret eller Lavere enn eksisterende risiko. Dersom analysen fører til én eller flere høyere risikoer som ikke oppveies av lavere risikoer, må det vurderes om tiltak må gjennomføres for å redusere risikoen.
Ved større endringer vil det være behov for å oppdatere overordnet risikovurdering/over-ordnede risikovurderinger.
Dersom antall uønskede hendelser knyttet til deler av driften øker, vil også det indikere et behov for å oppdatere en risikovurdering.
Regelmessig oppdatering av risikovurderinger
Forutsetninger og risikobildet kan endre seg over tid. Bestemmelser om risikovurderinger må derfor angi hvordan risikovurderinger bør gjennomgås regelmessig for å undersøke om endringene vil kreve at risikovurderingen(e) oppdateres. Registrerte uønskede hendelser vil være et viktig innspill i en vurdering om behovet for oppdatering.
Risikoakseptkriterier
Når virksomheten har gjennomført en risikoanalyse må resultatet vurderes med hensyn til om den identifiserte risikoen kan aksepteres. Hvis den er høyere enn det virksomheten aksepterer, må det iverksettes tiltak for å redusere risikoen.
Som støtte for slike beslutninger brukes akseptkriterier for risiko. Mange velger å bruke en risikomatrise som definerer risikonivåer som kan neglisjeres, aksepteres eller som er uakseptable. Anerkjent praksis tilsier at risikoakseptkriteriene skal fastsettes før risikoanalyser gjennomføres (jf. også Norsk Standard for risikostyring (NS-ISO 31000) pkt. 5.3.5.)
Oppfølging av risikovurderinger
Virksomhetens bestemmelser må beskrive hvordan risikoer som ikke er akseptable skal følges opp, for eksempel ved at en aktivitet innstilles eller at det iverksettes tiltak som reduserer risikoen til et akseptabelt nivå.
Bestemmelsene må sikre at det er tildelt ansvar for oppfølging og at det iverksettes tiltak, inkludert eventuelle midlertidige tiltak inntil endelige tiltak er på plass.
Eksempler på avvik i SJTs tilsyn
Her er typiske eksempler på avvik identifisert på tilsyn knyttet til risikovurderinger.
Avvik, eksempel 1
Bestemmelser for identifisering og oppfølging av risiko knyttet til publikum er mangelfulle.
Eksempler:
- Det er ikke angitt hvilke forpliktelser prioriteringskategoriene som virksomheten benytter i sitt skjema for risikoanalyse, innebærer
- Det er ikke krav om å identifisere risiko før det gjøres endringer
Merknad/veiledning
Eksempel på endringer kan være å endre organiseringen av arbeidet ved for eksempel å tillegge en person/funksjon nye sikkerhetsmessige oppgaver, å markedsføre og ta imot kinesiske skiturister som ikke har samme type skierfaring som dagens publikum, å starte med å ta imot syklister i stolheisen, eller å endre vedlikeholdsrutiner.
Avvik, eksempel 2
Det er ikke utført risikoanalyser (dvs. identifisering av risiko) for alle forhold av betydning for publikums sikkerhet.
Eksempler:
- Det er bare utført risikoanalyse knyttet til noen forhold som angår redning
- Utførte risikoanalyser gjelder først og fremst egne ansatte
- Det er ikke gjennomført en risikoanalyse for drift av stolheis ved ugunstige værforhold
Merknad/veiledning
Hensikten med å ha bestemmelser om å identifisere og følge opp risiko er at bestemmelsene skal benyttes. Selv om det ikke er uttrykkelig formulert i taubaneforskriften, er det underforstått at bestemmelsene skal benyttes.
Avvik, eksempel 3
Det er ikke etablert tilstrekkelige kompetansekrav for alle funksjoner av betydning for sikkerheten, for eksempel for:
- Vedlikeholdspersonell
- Funksjoner som utfører risikoanalyser
Avvik, eksempel 4
Det er ikke beskrevet en prosedyre for risikoanalyser knyttet til publikum
Merknad
Det er utarbeidet en prosedyre for sikker jobb-analyse (som gjelder egne ansatte).
Typiske spørsmål vi kan stille på tilsyn
Her er utvalgte spørsmål vi ofte stiller om temaet risikovurderinger ute på tilsyn:
- Inneholder bestemmelsene beskrivelse av metode som er egnet for bruk i virksomheten?
- Er det dokumentert hvem som har ansvar for å drive prosessen med å identifisere og følge opp risiko?
- Har relevant personell deltatt i utarbeidelsen, og forstår de vurderingen?
- Angir vurderingen tydelig begrensninger og forutsetninger?
- Har dere reflektert over hvor stor usikkerhet det knytter seg til de fastsatte risikoene?
- Er det beskrevet kompetansekrav til den/dem som utfører risikovurderinger?
- Har de som bruker bestemmelsene fått tilstrekkelig opplæring i å utarbeide og bruke vurderinger?
- Dersom risikovurderingen er utarbeidet av en ekstern konsulent: Hvordan har personell fra egen virksomhet vært involvert i utarbeidelsen av vurderingen, og hvordan har de sikret seg at de forstår vurderingen?
- Dekker fareidentifiseringen de største farene?
- Hva er grunnlaget for fastsettelse av sannsynligheten i risikovurderingen?
- Er resultatene fulgt opp? Er de for eksempel formidlet til aktuelt personell og/eller inkludert i rutiner? Finnes en handlingsplan for gjennomføring av tiltak?
- Er risikovurderingen brukbar som beslutningsstøtte? Er det for eksempel beskrevet kriterier som kan brukes til å vurdere om identifisert risiko på ulike områder kan aksepteres, eller om det må iverksettes tiltak?
- Er det etablert bestemmelser for oppdatering av risikovurderinger, for eksempel regelmessig og ved endringer?
- Brukes uønskede hendelser som innspill til risikovurderingen?
- Er resultatet fulgt opp (formidlet til personell og inkludert i rutiner)?
Referanser
- Norsk standard for risikostyring NS-ISO 31000
- Norsk Standard NS 5814 Krav til risikovurderinger
Veiledere om risikovurderinger:
- DIFI: Om risiko og risikovurdering
- Arbeidstilsynet: Risikovurdering
- DSB: Temaveiledning i risikoanalyse for risikofylte forbrukertjenester
Henvendelser
SJT ønsker å sikre at aktørene er kjent med gjeldende regelverk. Derfor legger vi vekt på veiledning. Ta kontakt for utdypende informasjon eller kommentarer til veilederen. Kom også med tips om andre emner dere mener bør være tema for veiledning. Tilbakemelding kan gis på e-post.