|
Forfatter |
Sven Olav Wold |
|
Sist revidert |
19.11.2025 |
|
Revisjonsfrist |
19.11.2027 |
|
Revisjonsnr. |
3 |
|
Godkjenner |
Ole Magnus Nyheim |
Rammeverket for risikostyring skal bidra til å realisere positive gevinstmuligheter, samt bidra til å unngå tap relatert til blant annet liv og helse, driftsavbrudd, ytre miljø, omdømme eller økonomiske/ materielle verdier.
Et felles rammeverk skal sikre en systematisk og enhetlig tilnærming, og derigjennom konsistente og sammenlignbare resultater til bruk i virksomhetsstyringen.
Rammeverket for risikostyring angir retningslinjer for all type risiko virksomhetene i foretaksgruppen står overfor, både av strategisk, finansiell og operasjonell art.
Rammeverket er gyldig for alle virksomheter og nivå i foretaksgruppen, og risikostyring skal integreres i alle virksomhetenes aktiviteter.
Rammeverket kan i tillegg benyttes for styring av risiko identifisert gjennom aktsomhetsvurderinger. Aktsomhetsvurderinger forstås som en prosess der virksomheter kartlegger, forebygger, begrenser og gjøre rede for hvordan de håndterer eksisterende og potensielle negative eksterne konsekvenser av sin virksomhet.
Det regionale rammeverket for risikostyring er operasjonalisert gjennom en tilhørende regional prosedyre. De enkelte virksomheter i foretaksgruppen kan dessuten vurdere behovet for lokale prosedyrer for risikostyring, som et tillegg til den regionale prosedyren.
Rammeverket er gyldig frem til en ny versjon av dokumentet er godkjent.
Rammeverket eies og forvaltes av Helse Midt-Norge RHF. Det publiseres i regional prosedyrebank, og kobles derfra inn i foretakenes EQS. Det er de aktuelle foretakenes ansvar å innrette sin virksomhet i tråd med dokumentet, og gjøre det kjent i egen organisasjon.
Dokumentansvarlig i Helse Midt-Norge RHF følger opp behov for revidering av rammeverket. Dette skal som et minimum vurderes årlig. Helseforetakene i Midt-Norge har et selvstendig ansvar for å gi tilbakemelding til Helse Midt-Norge RHF dersom de anser at dokumentet bør endres utenom denne fristen. Dokumentansvarlig i Helse Midt-Norge RHF skal da vurdere behovet for å revidere dokumentet.
Ved større revisjoner eller behov for utfasing skal alle helseforetakene i Midt-Norge involveres i prosessen fra starten av. Dette innebærer at de skal varsles om gjennomgangen i god tid i forkant, og gis tid og anledning til å sette av ressurser til å bidra inn i prosessen. Mindre redaksjonelle endringer kan gjøres av dokumentansvarlig i Helse Midt-Norge RHF uten videre prosess, og kommuniseres til HF.
Det henvises for øvrig til NS 5814: 2021 for mer detaljert veiledning på gjennomføring av risikovurderinger, samt temaspesifikke standarder og veiledninger, for eksempel ISO 27000-serien for informasjonssikkerhet.
For aktsomhetsvurderinger henvises det til Regjeringens veileder for temaet.
Øvrige relevante regionale dokumenter for risikostyring:
· Risikostyring av informasjonssikkerhet og personvern i Helse Midt-Norge
· Finansiell usikkerhetsstyring av investeringer i Helse Midt-Norge
· Prosedyre for aktsomhetsvurderinger i Helse Midt-Norge
· Forskrift om ledelse og kvalitetsforbedring i helse- og omsorgstjenesten
Følgende begrep anses som sentrale for forståelsen og anvendelsen av rammeverket. Definisjonene er basert på ISO 31000: 2018 der annet ikke er angitt. Mindre sentrale begreper defineres fortløpende ettersom de introduseres i rammeverket.
|
Risiko |
Usikkerhet knyttet til om en uønsket hendelse vil inntreffe og hvilke konsekvenser den kan få[1] |
|
Risikostyring |
Koordinerte aktiviteter for å rettlede og kontrollere en organisasjon med hensyn til risiko. |
|
Risikoeier |
Leder i linjeorganisasjonen som er delegert ansvaret for et område, og derigjennom risiko tilknyttet dette området. Risikoeier har myndighet til å bestemme hvilke risikoer som krever tiltak, og hva tiltakene skal være. I ytterste konsekvens er dette styret for virksomheten. |
|
Risikovurdering |
Prosessen bestående av risikoidentifisering, risikoanalyse og risikoevaluering. |
|
Risikokilde |
Element som alene eller i kombinasjon har et iboende potensial til å forårsake risiko.[2] |
|
Hendelse |
Forekomst av eller endring i et bestemt sett med omstendigheter. |
|
Sannsynlighet |
Potensialet for at noe kan skje. |
|
Konsekvens |
Resultatet av en hendelse som påvirker mål. |
|
Risikohåndtering |
Prosess som modifiserer risiko. |
|
Kontroll |
Tiltak som opprettholder og/eller modifiserer risiko.[3] |
|
Virksomhetsstyring |
Den del av virksomhetens styring som omfatter hvordan virksomhetens aktiviteter planlegges, gjennomføres, evalueres og korrigeres i samsvar med krav fastsatt i eller i medhold av helse- og omsorgslovgivningen. |
Risikostyring i Helse Midt-Norge (HMN) skal:
· Være en integrert del av virksomhetsstyringen i hele foretaksgruppen, der risikovurderinger understøtter beslutningstaking og prioriteringer både innenfor styring av kjernevirksomheten og øvrige aktiviteter.
· Tilpasses virksomhetens omfang, behov og kontekst.
· Være en inkluderende prosess, der både interne og eksterne interessenter informeres og involveres og på en forsvarlig måte og til rett tid, slik at det er mulig å ta hensyn til deres kunnskap, synspunkter og oppfatninger.
· Være en dynamisk og kontinuerlig prosess, der risikostyringen endrer seg i takt med risikobildet og tar hensyn til endringer i både kunnskap og kontekst slik at risikobildet alltid er oppdatert.
· Legge vekt på oppfølging og evaluering av risikoreduserende tiltak.
· Kontinuerlig forbedres gjennom erfaring og læring, og i samsvar med til enhver tid gjeldende regelverk og retningslinjer.
Virksomhetens øverste leder er ansvarlig for å sikre at risikostyring er en integrert del av all styring av virksomheten.
Ansvaret omfatter å ta initiativ til å vurdere risiko knyttet til drift, mål, strategier og planer, samt å gjøre seg kjent med risikobildet innenfor sitt ansvarsområde og derigjennom kunne prioritere tiltak for å oppnå et akseptabelt risikonivå. Risikostyringsprosessen skal involvere og ta hensyn til medarbeidere og øvrige interessenter.
Virksomhetenes øverste leder er ansvarlig for å sikre at roller og ansvar tildeles og kommuniseres på alle nivå i foretaket og at risikostyringsarbeidet tildeles tilstrekkelig og kompetente ressurser.
Risikostyring i HMN er bygd opp omkring risikostyringsprosessen slik den er beskrevet i ISO31000: 2018. Prosedyren for risikostyring gir mer detaljert informasjon om hvordan risikovurdering, risikohåndtering samt registrering og rapportering skal gjennomføres i Helse Midt-Norge.
[1] Definisjon fra standard for risikovurderinger NS 5814. I ISO 31000: 2018 er risiko definert slik: Virkningen av usikkerhet knyttet til et mål. En virkning er et avvik fra det forventede, enten positiv eller negativ. Risiko uttrykkes ofte i form av risikokilder, potensielle hendelser, sannsynligheten for at de skal forekomme, og deres mulige konsekvenser.
[2] En hendelse kan være en risikokilde.
[3] (Risikoreduserende) tiltak benyttes som synonym til kontroll i dette rammeverket.