Trusselscenarioene visualiseres i en risikomatrise som vist i tabellen “Risikomatrise” under. Her er eksempelscenario 1.1.1 fra vedlegg XX plottet inn i matrisen. Scenarioet er plassert tre steder i matrisen for å illustrere at hendelsen har ulike konsekvenser for henholdsvis liv og helse (1.1.1 A), operativ evne (1.1.1 B) og omdømme (1.1.1 C). Scenarioet medfører en høy risiko knyttet til både liv og helse og operativ evne (1.1.1 A og 1.1.1 B). Risiko må derfor reduseres gjennom ytterligere risikoreduserende tiltak.
Scenarioet medfører en tolererbar risiko knyttet til omdømme (1.1.1 C), og er plassert i «ALARP-området». Risikoreduserende tiltak må derfor vurderes basert på ALARP-prinsippet.
Risikomatrisen er en veiledning til hvordan trusselscenarioer kan evalueres med hensyn til risikonivå og behov for risikoreduserende tiltak. Hensikten er å bidra til å rette søkelyset mot scenarioer og tiltak som krever særskilt oppfølging, men ikke å automatisere beslutninger om risikoaksept. Risikomatrisen må derfor avstemmes med prosjekteier før den legges til grunn.
Som del av risikoevalueringen skal det vurderes i hvilken grad fastlagte sikkerhetsmål er nådd.
Risikohåndtering#
Prosjekteier har ansvar for risikohåndteringen, som innebærer å beslutte og følge opp risikoreduserende tiltak basert på sikringsrisikovurderingene. Tiltak som ikke aktivt forkastes skal inngå i prosjektets sikringskonsept. Risikohåndteringen må bygge på helseforetakets system for helhetlig risiko- og sikkerhetsstyring.
Balansert sikring handler om å kombinere fysiske, elektroniske og organisatoriske tiltak på en måte som gir helhetlig beskyttelse uten å svekke funksjonalitet eller arbeidsmiljø. Tiltakene må tilpasses trusselbildet, verdienes kritikalitet og virksomhetens risikotoleranse. Risikoaksept skal baseres på ALARPALARP-prinsippetAs Low As Reasonable Practicable (ALARP)-prinsippet der risiko reduseres til et nivå som er forsvarlig og praktisk gjennomførbart, med bevisste valg om hvor langt man går i retning av neglisjerbar risiko.
Grunnlaget for å gjennomføre en ALARP-prosess er alle de mulige risikoreduserende tiltakene som er listet opp i forbindelse med risikoidentifiseringen. Tiltak kan også komme fra andre steder, for eksempel forskrifter, veiledninger, god praksis m.m. Prosessen dokumenteres i et eget tiltaksregister. Tabellen under er et eksempel på et slik tiltaksregister. Konklusjonen fra ALARP-prosessen kan være at tiltak forkastes, at tiltak er under vurdering, at tiltak implementeres, eller at de videreføres til neste fase. For å sikre kontinuitet overleveres ALARP-registeret alltid til neste prosjektfase.
For å vurdere hvorvidt et tiltak anbefales implementert i en ALARP-prosess skal følgende kriterier anvendes:
- God praksis:
Tiltaket er helt vanlig på norske sykehus, dvs regnes som god praksis innen sikring av sykehus. - Risikoreduserende effekt:
Tiltaket har en sterk risikoreduserende effekt på enkeltscenarioer eller en bred risikoreduserende effekt (virker på flere trusselscenarioer). Særlig relevant hvis tiltaket har risikoreduserende effekt på scenarioer med storulykkepotensial. - Kostnad:
Skjønnsmessig vurdering av kostnaden ved tiltaket. Dette omfatter særlig de økonomiske konsekvensene av tiltaket, men kan også omfatte andre ulemper, for eksempel funksjonelle eller estetiske ulemper.