Metoder for risiko- og sårbarhetsvurderinger i HNT - ROS v. 7.1

Hensikt

Dette dokumentet gir overordnede føringer for gjennomføring av risiko- og sårbarhetsvurderinger (ROS) i HNT. Risikovurderinger har til hensikt å gi virksomheten, ledere og medarbeidere en strukturert tilnærming til å identifisere, vurdere, håndtere og kommunisere risiko, og derigjennom understøtte styringsevnen og trygge måloppnåelsen. Risikostyring er en integrert del av virksomhetsstyringen i Helse Nord-Trøndelag og bidrar til prioritering og velbegrunnede valg. Risikovurderinger inngår i arbeidet med å realisere muligheter samt å unngå tap. Dette kan være relatert til blant annet liv og helse, driftsavbrudd, ytre miljø, infosikkerhet, omdømme eller økonomiske/ materielle verdier.

Omfang

Alle i HNT med leder- og fagansvar som utfører risikovurderinger - begrunnet i lovkrav eller fag/drift/situasjon. Prosessen risikovurdering inkluderer planlegging, risikoidentifisering, risikoanalyse og risikoevaluering, men ikke risikohåndteringen.

Prosedyren er basert på NS 5814:2021 (Krav til risikovurderinger) og NS-ISO 31000:2018 (Risikostyring retningslinjer). Prosedyren følger de regionale dokumentene

Risikostyring i Helse Midt-Norge - Rammeverk (RIS) (Ikke tilgjengelig) og

Risikostyring i Helse Midt-Norge - Prosedyre (RIS) (Ikke tilgjengelig)

inkl. risikokriterier, gradering av sannsynlighet og konsekvens, samt risikonivå og risikomatrise.

Grunnlagsinformasjon og definisjoner - se fanen "Bakgrunn".

Arbeidsbeskrivelse

Ansvar

Adm. direktør er ansvarlig for at nødvendige risiko- og sårbarhetsvurderinger gjøres og oppdateres på foretaksnivå.

Klinikkledere er ansvarlig for at nødvendige risiko- og sårbarhetsvurderinger gjøres og oppdateres i klinikken.

Kvalitetssjef i HNT har ansvar for prosedyre, metodikk og systemstøtte.

Risikovurderinger er i mange tilfeller lovpålagt, se fanen "Bakgrunn"

Arbeidets gang

Hvilken metode som velges vil være avhengig av temaet/analyseobjektets kompleksitet, pris og verdi. Jo høyere kompleksitet og verdi jo mer kompleks metode bør velges. ROS-vurderingen skal tilpasses formålet, og ikke være mer omfattende enn nødvendig.

4 metoder med ferdige maler er tilgjengelig i HNT under fanen Relatert: _

ROS - enkel vurdering (kompleksitet liten - sjekklisteform i word)
ROS - kvalitativ grov vurdering, krever ikke spesifisering av graderingen av sannsynlighet og konsekvens (kompleksitet middels - Excel skjema)
ROS - kvantitativ grov vurdering, benytter spesifisering av graderingen sannsynlighet og konsekvens med tilhørende tallgradering for risiko (kompleksitet noe høyre enn kvalitativ).
I EQS risikomodul med eget risikoskjema og egen dokumenttype for rapportgenerering, se

Risikovurdering i EQS, brukerveiledning

I alle metodene stiller man de 3 spørsmålene:

Hva kan gå galt (uønsket hendelse, risikokilde), hvor sannsynlig er det, og hva er konsekvensene?
Hva kan vi gjøre for å hindre dette, eller redusere sannsynligheten for at det skjer?
Hva kan vi gjøre for å redusere konsekvensen dersom det likevel skjer?

Figur 3 Risikostyringsprosessen, ihht. ISO 31000:2018

Risikovurdering

Risikovurderingen er den overordnede prosessen med de 3 aktivitetene:

Risikoidentifisering
Risikoanalyse
Risikoevaluering

Risikoidentifiseringen

Her lages en liste av uønskede hendelser og farer. Denne delen er særdeles viktig. Kommer en uønsket hendelse eller fare ikke med her, blir den ikke behandlet senere i prosessen. Det er derfor viktig at gruppen er tverrfaglig sammensatt, og tilsammen behersker alle deler av prosessen/temaet som skal risikovurderes. Risikoidentifiseringen kan gjøres ved ulike former for «brainstorming» eller systematisk gruppearbeid, f.eks. en SWOT-analyse. Arbeidet starter med en systematisk informasjonsinnhenting av:

• Prosessanalyse, gjerne med en oppdeling i delprosesser
• Potensielle risikokilder (uønskede hendelser/farer), kartlegge farer uavhengig av grad av egenkontroll

• Tidligere hendelser, egne og andres (avvik)

• Liknende hendelser, egne og andres (avvik)

• Kjente eller mistenkte «svake ledd», statistikk

• Kontekst og interesseparter

• Arten og verdien av verdiene

• Informasjon som reduserer virkningen av antagelser/ståsted/«fordommer»

Risikoanalysen

Prosess for å forstå formen/arten for risiko og bestemme risikonivået.
Det gjøres ved å finne og vurdere/gradere:

Konsekvensene av hendelsene
Årsakene til hendelsene
Sannsynligheten for at hendelsene skal skje
Hvilke barrierer/tiltak har vi - for å hindre at hendelsen skjer og at eventuelle konsekvenser reduseres dersom det skjer

Figur 4 Analyseverktøyet "Bow-tie" - kan brukes i risikoanalysen

Her er det viktig at man legger særlig vekt på å identifiserer de utløsende/initierende uønskede hendelsene.

Risikoevalueringen

Risikoevalueringen innebærer en sammenligning av resultatene av risikoanalysen med fastsatte akseptkriterier.

Ytterligere nye risikoreduserende tiltak er nødvendige dersom risikoen er svært høy (rød) eller høy (orange).

Hvis rød eller orange: utarbeid nye tiltak og vurder den nye risikoen ut fra ny konsekvens og/eller ny sannsynlighet.

Resultatene dokumenteres og drøftes, og brukes som grunnlag i den fremtidige risikohåndteringen. Det er særdeles viktig å sette ord på og drøfte usikkerheten i de ulike konekvensområdene. Risikohåndteringen omtales ikke i dette dokumentet.

Gradering av konsekvens og sannsynlighet

Malene har ferdige utgangspunkt til graderinger av konsekvens- og sannsynlighet, ref. vedlegg A til det regionale rammeverket for risikostyring. Disse må noen ganger tilpasses det som skal risikovurderes, slik at det står i rimelig forhold til akseptkriteriene (hva som kan aksepteres og ikke kan aksepteres). Noen ganger har det konsekvenser bare for pasienten, andre ganger også for ansatte, avdelingen, foretaket, samfunnet eller miljøet. Gjøres endringer av gradering av konsekvens og sannsynlighet, må dette dokumenteres og begrunnes. Brukes regneark for plassering i risikomatrisen må tallene for sannsynlighet og konsekvens hentes fra figur 1.

Si noe om usikkerhet (kunnskapsstyrken for sannsynlighetsvurderingen)

Risikoakseptkriterier og risikomatrise

Risikoakseptkriterium: kriterium som legges til grunn for beslutning om akseptabel risiko. Risikonivå kan uttrykkes med ord eller være graderte med tall etter en tabell, eller en kombinasjon, f.eks. ulike soner i en risikomatrise, se fig 1 og 2.

Akseptabel risiko er en risiko som aksepteres i en gitt sammenheng basert på gjeldende verdier i samfunnet og virksomheten.

Å fastsette akseptkriteriene er vanligvis ikke en del av risikovurderingen, men en viktig del av risikostyringen som må være på plass før risikovurderingen oppstartes. Dette er spesielt viktig ved bruk av ROS kvantitativ grov vurdering. Akseptkriteriene i risikomatrisen er faste for foretaket, og skal ikke endres. Gjøres det likevel endringer må disse begrunnes og dokumenteres skriftlig, og hvis mulig gjøres før risikoanalysen påbegynnes.

Referanser

Hovedreferanser:
NS 5814:2021 Krav til risikovurderinger

NS-ISO 31000: 2018 Risikostyring. Prinsipper og retningslinjer

Risikostyring i Helse Midt-Norge - Rammeverk (RIS), EQS ID 35590 v.2.0

Risikostyring i Helse Midt-Norge - Prosedyre (RIS) - EQS ID 35591 v. 1.0

Litteratur

NS-ISO/IEC 31010:2019 Risikostyring. Metoder for risikostyring

Risikoanalyse - prinsipper og metoder, med anvendelser, Terje Aven, Willy Røed og Hermann S. Wienche, Universitetsforlaget 2017

Risikoanalyse – teori og metoder, Rausand og Utne,Tapir, 2009

Risikoanalyse. Hendelsesanalyse: Håndbok for helsetjenesten. HOD IS-0583 (2016)

Risikostyring i staten. Metodedokument SSØ 01/2008

Grunnlagsinformasjon

Risikostyring inngår som en del av internkontrollsystemet, og er en sentral del av virksomhetsstyringen i foretaket (se Virksomhetsstyring i Helse Nord-Trøndelag (Ikke tilgjengelig). Metoden har som formål å understøtte foretakets måloppnåelse, ved å belyse relevante risikoer som truer denne. Relevante tiltak for å redusere risiko, er et lederansvar og oppfølging av risikoreduserendetiltak er en sentral del av lederansvaret.

ROS-vurderingen skal tilpasses formålet. Omfanget av risiko- og sårbarhetsvurderingen bør bestemmes med utgangspunkt i grunnleggende kunnskap om virksomheten og/eller omfang og alvorlighetsgrad av mulige uønskede hendelser som avdekkes i grovanalysen.

HMN sin felles risikomatrise er vist nedenfor - for detaljer og forklaringer for gradering av sannsynlighet og konsekvens, se tabell 2 og 3 (side 10) i Risikostyring i Helse Midt-Norge - Prosedyre (RIS) (Ikke tilgjengelig)

Sannsynlighet ( S )	Svært høy S=6
	Høy S=4
	Middels S=3
	Lav S=2
	Svært lav S=1
		Ubetyd./ marginal K=1	Liten___ K=2	Moderat K=3	Alvorlig_ K=5	Svært alvorlig_ K=8
		Konsekvens (K, alvorlighetsgrad)

Figur 1 HMN sin risikomatrise, se fargebeskrivelsen til risikonivåene i figur 2 nedenfor

Risikonivå	Beskrivelse (eventuelt som sannsynlighet x konsekvens)
Lav	Risiko kan aksepteres uten å vurdere nye risikoreduserende tiltak. (R = S x K = fra 1 til 4)
Moderat	Risiko kan aksepteres, men nye risikoreduserende tiltak bør vurderes med basis i 4.3 Risikohåndtering i Regionalt rammeverk for risikostyring i HMN. (R = S x K = fra 5 til 15)
Høy	Risiko kan aksepteres, men nye risikoreduserende tiltak skal vurderes med basis i 4.3 Risikohåndtering i Regionalt rammeverk for risikostyring i HMN. (R = S x K = fra 16 til 24)
Svært høyt	Risiko bør kun unntaksvis aksepteres. Nye risikoreduserende tiltak skal vurderes svært grundig med basis i 4.3 Risikohåndtering i Regionalt rammeverk for risikostyring i HMN. (R = S x K = fra 30 til 48)

Figur 2 HMN sine 4 risikonivå med beskrivelse, med tall fra fig. 1 ved eventuell bruk av regneark

Kommentar til fig. 2.:
All risiko som er vurdert som høy eller svært høy innenfor ett eller flere konsekvensområder skal håndteres av risikoeier. Risikohåndtering kan omfatte implementering av sannsynlighets- og/eller konsekvensreduserende tiltak, eventuelt alternative løsninger, som for eksempel å foreta mer grundigere analyser for økt forståelse, eller å vedlikeholde/forbedre eksisterende tiltak. Risikohåndtering kan også innebære tiltak for å dra nytte av muligheter (positiv risiko).
Hvis ingen alternativer for håndtering er tilgjengelig, eller hvis alternativene for håndtering ikke modifiserer risiko tilstrekkelig, bør risikoen overvåkes kontinuerlig.

Et mulig utfall av risikohåndteringsprosessen kan være at risikoen aksepteres, for eksempel dersom kostnaden (ikke avgrenset til økonomisk kostnad) ved mulige risikoreduserende tiltak vurderes som høyere enn risikoen i seg selv. I slike tilfeller er det særdeles viktig at beslutningen og vurderingene bak dokumenteres grundig.
All moderat risiko bør også vurderes i et kost/nytte perspektiv med tanke på mulige risikoreduserende tiltak. Risikoreduserende tiltak kan også iverksettes for risiko som vurderes som lav, men kun dersom kostnaden er vesentlig lavere enn den forventede nytten ved tiltaket.
Alle implementerte tiltak bør vurderes med tanke på deres forventede effekt på risikonivået, samt omfatte en plan for hvordan tiltakene planlegges fulgt opp for å sikre denne effekten opprettholdes over tid.

Risikovurderinger skal gjøres i forkant av store endringer, endringer med høy usikkerhet, alvorlige eller gjenntakende uønskede hendelser.

Risikovurderinger er i mange tilfeller lovpålagt (listen er ikke komplett)*:

Arbeidsmiljøloven (§§3-1 og 4-1)
Forskrift om organisering, ledelse og medvirkning (Kap.7. Risikovurdering)•Internkontrollforskriften (§5. pkt 6)
Forskrift om ledelse og kvalitetsforbedring i helse- og omsorgstjenesten (§ 6. pkt d og e)
Mi dlertidig forskrift om medisinsk utstyr - Lovdata

•Pluss mange bransjespesifikke lov- og forskriftskrav om å gjøre risikovurderinger

Definisjoner

Analyseobjektet:
Tekniske, organisatoriske, miljømessige og menneskelige systemer/forhold/tema som omfattes av risikovurderingen.

Konsekvens:
Resultatet av en hendelse.
Konsekvens kan uttrykkes med ord, kategori eller som en tallverdi (kvalitativt eller kvantitativt).En hendelse kan medføre flere konsekvenser!Konsekvenser for omfanget av skade eller gevinst på:
- mennesker (liv og helse)
- miljø
- verdier (materielle eller immaterielle, inkl. omdømme)
- funksjoner

Fare:
Handling eller forhold /situasjon som kan føre til en uønsket hendelse/risikokilde

Risiko:
• En funksjon av sannsynligheten for at en uønsket hendelse kan inntreffe og konsekvensen - for arbeidstakernes liv eller helse (fra Forskrift om organisering, ledelse og medvirkning)

• Virkningen av usikkerhet knyttet til mål (fra ISO 31000). Virkningen kan være positiv eller negativ. Usikkerhet er mangel på informasjon

• Risiko er en funksjon av konsekvens og sannsynlighet (for ROS-grovanalyse, kvalitativ)

• Risiko = konsekvens x sannsynlighet (for ROS-grovanalyse, kvantitativ)

Risiko- og sårbarhetsanalyse (ROS-analyse):
Systematisk fremgangsmåte for å beskrive og/eller beregne risiko.
«Formål: sette en i stand til å prioritere tiltak for å redusere sårbarhet»

Sannsynlighet:

•Sannsynlighet for at en hendelse skal skje, eller frekvens innen en gitt tidsperiode

•Potensialet for at noe skal skje - muligheten

•Beskrives subjektivt eller objektivt, kvalitativt eller kvantitativt

•Eng: «Likelihood / probability»

Sårbarhet:
Et uttrykk for et analyseobjekt (foretak, avdeling, prosess, funksjon) sin manglende evne til å fungere og oppnå sine mål når det utsettes for påkjenninger (uønskede hendelser)

Uønsket hendelse:
Hendelse som kan medføre tap av verdier. En hendelse kan være tilsiktet (sikring/ «securty») eller utilsiktet (sikkerhet/ «safety»)

ALARP:

As Low As Reasonably practicable (eng.) / ALARA - As Low As Reasonably Achievable (USA).: "Så lav som praktisk mulig/oppnåelig", dvs de risikoreduserende tiltak vurderes å være innenfor kostnader/ulemper (ikke bregenset til kroner) som anses rimelig sett i forhold til gevinsten som oppnås.

Forfatter:	Hilde Fossland (Direktør for virksomhetsstyring) Ove Arne Pedersen (Kvalitetsrådgiver)
Godkjent av:	Hilde Fossland (Kvalitetsjef)
Dokumentadministrator:	Ove Arne Pedersen (Kvalitetsrådgiver)
Dokument-ID:	1909
Gyldig fra:	11.03.2024
Revisjonsfrist:	11.03.2026