Forfatter	Sven Olav Wold
Sist revidert	19.11.2025
Revisjonsfrist	19.11.2027
Revisjonsnr.	3
Godkjenner	Ole Magnus Nyheim

 

1. Introduksjon

1.1 Formål

Dette dokumentet beskriver en prosedyre for risikostyring i Helse Midt-Norge. Prosedyren er en operasjonalisering av rammeverket for risikostyring i Helse Midt-Norge. Mens rammeverket beskriver på et overordnet nivå hva som skal gjøres innen risikostyring, beskriver denne prosedyren de konkrete oppgavene som skal løses.

Risikostyring har til hensikt å gi virksomhetene, ledere og medarbeidere en strukturert tilnærming til å identifisere, vurdere, håndtere og kommunisere risiko, og derigjennom understøtte styringsevnen og trygge måloppnåelsen i hele foretaksgruppen. Risikostyring inngår i beslutningstaking, og bidrar til prioritering og velbegrunnede valg. Prosedyren for risikostyring angir hvilke aktiviteter som skal gjøres for å rettlede og kontrollere Helse Midt-Norge med hensyn til risiko.

1.2 Omfang og gyldighet

Prosedyren for risikostyring i Helse Midt-Norge omhandler all type risiko virksomhetene i foretaksgruppen står overfor, både av strategisk, finansiell og operasjonell art. Prosedyren er gyldig for alle virksomheter og nivå i foretaksgruppen.

Prosedyren operasjonaliserer det regionale rammeverket for risikostyring. De enkelte virksomheter i foretaksgruppen oppfordres til å vurdere behovet for lokale prosedyrer for risikostyring, som et tillegg til den regionale prosedyren. De enkelte virksomheter i foretaksgruppen angir selv eierskap og krav til forvaltning for sine eventuelle lokale prosedyrer for risikostyring. 

Prosedyren er gyldig frem til en ny versjon av dokumentet er godkjent. 

1.3 Roller og ansvar

Prosedyren eies og forvaltes av Helse Midt-Norge RHF. Den publiseres i regional prosedyrebank, og kobles derfra inn i foretakenes EQS. Det er de aktuelle foretakenes ansvar å innrette sin virksomhet i tråd med dokumentet, og gjøre det kjent i egen organisasjon. 

Dokumentansvarlig i Helse Midt-Norge RHF følger opp behov for revidering av prosedyren. Dette skal som et minimum vurderes årlig. Helseforetakene i Midt-Norge har et selvstendig ansvar for å gi tilbakemelding til Helse Midt-Norge RHF dersom de anser at dokumentet bør endres utenom denne fristen. Dokumentansvarlig i Helse Midt-Norge RHF skal da vurdere behovet for å revidere dokumentet. 

Ved større revisjoner eller behov for utfasing skal alle helseforetakene i Midt-Norge involveres i prosessen fra starten av. Dette innebærer at de skal varsles om gjennomgangen i god tid i forkant, og gis tid og anledning til å sette av ressurser til å bidra inn i prosessen. Mindre redaksjonelle endringer kan gjøres av dokumentansvarlig i Helse Midt-Norge RHF uten videre prosess, og kommuniseres til HF.

1.4 Øvrige relevante dokumenter og krav

Se Rammeverk for risikostyring i Helse Midt-Norge for oversikt over relevante dokumenter og krav.

1.5 Definisjoner

Følgende begrep anses som sentrale for forståelsen og anvendelsen av prosedyren. Definisjonene er basert på ISO 31000: 2018 der annet ikke er angitt. Mindre sentrale begreper defineres fortløpende ettersom de introduseres.

 

Risiko	Usikkerhet knyttet til om en uønsket hendelse vil inntreffe og hvilke konsekvenser den kan få[1]
Risikostyring	Koordinerte aktiviteter for å rettlede og kontrollere en organisasjon med hensyn til risiko.
Risikoeier	Leder i linjeorganisasjonen som er delegert ansvaret for et område, og derigjennom risiko tilknyttet dette området. Risikoeier har myndighet til å bestemme hvilke risikoer som krever tiltak, og hva tiltakene skal være.
Risikovurdering	Prosessen bestående av risikoidentifisering, risikoanalyse og risikoevaluering.
Risikokilde	Element som alene eller i kombinasjon har et iboende potensial til å forårsake risiko.[2]
Hendelse	Forekomst av eller endring i et bestemt sett med omstendigheter.
Sannsynlighet	Potensialet for at noe kan skje.
Konsekvens	Resultatet av en hendelse som påvirker mål.
Risikohåndtering	Prosess som modifiserer risiko.
Kontroll	Tiltak som opprettholder og/eller modifiserer risiko.[3]
Restrisiko	Risiko som gjenstår etter risikohåndtering.

2. Risikostyringsprosessen

Risikostyring i HMN er bygd opp omkring risikostyringsprosessen slik den er beskrevet i ISO31000: 2018. En oversikt over hovedelementene i denne prosessen er beskrevet i Figur 1 og de påfølgende avsnittene.

Figur 1, Risikostyringsprosessen, iht. ISO31000:2018

Prosedyren for risikostyring gir mer detaljert informasjon om hvordan risikovurdering, risikohåndtering samt registrering og rapportering skal gjennomføres i Helse Midt-Norge.

2.1 Omfang, kontekst og kriterier

Formålet med å fastlegge omfang, kontekst og kriterier er å tilpasse risikostyringsprosessen slik at virkningsfull risikovurdering og hensiktsmessig risikohåndtering muliggjøres. Dette innebærer fastsettelse av omfanget av prosessen og forståelse av den eksterne og interne konteksten:

·         Omfang

Hvilken organisatorisk enhet eller aktivitet i virksomheten som skal gjøres til gjenstand for risikovurdering, og hva som er leveransen fra arbeidet.

 

·         Kontekst

Eksterne og virksomhetsinterne parametere som påvirker og blir påvirket av risikostyringsprosessen.

Den eksterne konteksten omfattes blant annet av, men er ikke begrenset til, politiske forhold, relevant regelverk og ulike interessenter. Den interne konteksten omfatter på sin side parametere som virksomhetens styringssystem, beslutningsprosesser, ressurstilgang, informasjonsflyt og interne interessenter.

Både eksterne og interne interessenter bør kartlegges og vurderes med tanke på involvering i risikostyringsprosessen. I tillegg bør en se på hvordan øvrig aktivitet påvirker og påvirkes av risikovurderingen.

 

·         Kriterier for vurdering og evaluering av risiko.

Helse Midt-Norge har etablert felles anbefalte kriterier for vurdering og evaluering av risiko på tvers av virksomhetene i foretaksgruppen, ref. Kapittel 4. Valg av relevante sannsynlighets- og konsekvenskriterier gjøres som en del av forberedelsen til risikovurderingen.

 

Ved oppstart bør det samtidig gjøres en vurdering av:

·         Metoder og verktøy

Det forventes at metoden for gjennomføring av risikovurdering er i samsvar med gjeldende rammeverk og prosedyre. Verktøy for risikovurdering er tilgjengeliggjort av Helse Midt-Norge RHF, og kan benyttes der det vurderes som egnet.

 

·         Roller og bidragsytere

Risikoeier skal utpekes, og det skal beskrives hvem som ellers kan bidra inn i prosessen med relevant kunnskap og synspunkter. Ressursbehov må beskrives.

2.2 Risikovurdering

Risikovurdering består av tre ledd – risikoidentifisering, risikoanalyse og risikoevaluering. De ulike delene er nærmere beskrevet nedenfor.

2.2.1 Risikoidentifisering

Formålet med risikoidentifisering er å identifisere og beskrive risikokilder som kan forhindre, eller bidra positivt til, at virksomheten når sine mål. Et mål kan i denne sammenhengen også være å unngå tap.

Det primære formålet med denne delen av prosessen er å identifisere alle risikokilder som kan være av betydning for virksomhetens måloppnåelse, innenfor et på forhånd avgrenset område.

Det er flere mulige kilder for risikoidentifisering, deriblant tilgjengelig statistikk, rapporter fra verifikasjoner, tilsyn og avvik, prognoser, tidligere risikovurderinger, mv. Selve prosessen med risikoidentifisering kan gjerne organiseres i form av et arbeidsmøte, der en møteleder tar deltakerne gjennom en styrt prosess, gjerne ved bruk av en forberedt liste med relevante stikkord (ledeord). Et slik arbeidsmøte kan gjerne utvides til også å omfatte risikoanalysen (neste steg).

Uavhengig av datakilder og metode, bør prosessen med risikoidentifisering resultere i en bruttoliste med risikokilder for videre risikoanalyse. Risikokildene bør beskrives og skilles tydelig fra sine respektive årsaker og konsekvenser.

2.2.2 Risikoanalyse

Risikoanalysen tar utgangspunkt i risikokildene som er identifisert, og gir en mer detaljert forståelse og beskrivelse av årsaker, sannsynlighet, konsekvenser og usikkerhet.

Årsak og sannsynlighetsvurdering

Mulige utløsende årsaker bør beskrives for alle identifiserte risikokilder. Dette kan være direkte årsaker av teknisk og operasjonell art, eller bakenforliggende/organisatoriske årsaker.

Alle identifiserte risikokilder skal deretter vurderes med tanke på sannsynlighet. Dette kan enten gjøres samlet for hver risikokilde (grovanalyse), eller differensiert på årsak (detaljanalyse). Denne vurderingen skal som hovedregel benytte felles anbefalte kriterier for sannsynlighetsvurdering i HMN (jfr. tabell 2), differensiert ut fra om risikovurderingen omfatter strategiske mål, styringsmål, ordinær drift eller prosjekt. Sannsynlighetsvurderingen skal ta hensyn til dokumenterte eksisterende sannsynlighetsreduserende tiltak.

Konsekvensvurdering

Alle identifiserte risikokilder skal vurderes med tanke på alle relevante konsekvens(er). Denne vurderingen gjøres uavhengig av årsaker og sannsynlighet, og skal som hovedregel benytte felles anbefalte kriterier for konsekvensvurdering i HMN (jf. tabell 3), differensiert på ulike konsekvensområder. Hver risikokilde kan ha konsekvenser innenfor ett eller flere konsekvensområder. Konsekvensvurderingen skal ta hensyn til dokumenterte eksisterende konsekvensreduserende tiltak.

Sløyfemodellen

Sløyfemodellen (bow-tie) kan benyttes som analytisk rammeverk i risikovurderingen. Modellen bygger på velkjente teknikker som feiltre og hendelsestre, og illustrerer hendelsesforløp med ulike årsaker, konsekvenser og kontroller på en enkel og intuitiv måte. Se Figur 2.

Figur 2, Illustrasjon av sløyfemodellen, fra NS5814:2021

En sløyfemodell har en venstre side og en høyre side som brukes til å plassere henholdsvis sannsynlighetsreduserende barrierer og konsekvensreduserende barrierer. Venstresiden kan illustrere mulige årsaksfaktorer til den uønskede hendelsen, enten det er en tilsiktet eller en utilsiktet hendelse som er plassert i midten. Modellen gir grunnlag for å drøfte og illustrere forebyggende sikkerhetsarbeid og beredskapsarbeid.

For andre aktuelle risikovurderingsmetoder henvises det til ISO31010: 2019 Risikovurderingsteknikker.

Usikkerhetsvurdering

Usikkerhet forbundet med risikoanalysen skal beskrives og dokumenteres som en del av risikovurderingsprosessen. Dette er viktig for å synliggjøre usikkerhet for beslutningstakere som benytter risikovurderingen som en del av sitt beslutningsgrunnlag, samt for å gjøre resultatene fra risikoanalysen etterprøvbar.

Ettersom risikoanalysens natur er å si noe om fremtidig risiko, bygger alle risikoanalyser på et sett med forutsetninger og antakelser. Omfanget av disse forutsetningene og antagelsene utgjør viktige elementer av risikoanalysens usikkerhet. Andre elementer som bidrar til usikkerhet er kvaliteten på informasjonen som ligger til grunn for analysen, samt deltakernes kunnskap og oppfatninger.

2.2.3 Risikoevaluering

Basert på vurdert sannsynlighet og konsekvens for en gitt risikokilde, skal risikonivået angis i Helse Midt-Norge sin felles risikomatrise.

I tilfeller der samme risikokilde har konsekvenser innenfor mer enn ett konsekvensområde, bør risikokilden plasseres i matriser for hvert av konsekvensområdene. Hvis dette ikke gjøres, skal konsekvensområdet med den høyest vurderte risikoen benyttes videre.

Resultatene fra risikoanalysen skal evalueres ved en sammenligning med gjeldende risikoakseptkriterier i Helse Midt-Norge, og dokumenteres.

Tabell 1 beskriver de ulike risikonivåene i matrisen og hvilke vurderinger som skal gjøres for risiko på de ulike nivåene.

Tabell 1, Risikonivå og fullmakter for aksept av risiko

Risikonivå	Beskrivelse
Lav	Risiko kan aksepteres uten å vurdere nye risikoreduserende tiltak.
Moderat	Risiko kan aksepteres, men nye risikoreduserende tiltak bør vurderes med basis i 2.3 Risikohåndtering.
Høy	Risiko kan aksepteres, men nye risikoreduserende tiltak skal vurderes med basis i 2.3 Risikohåndtering.
Svært høyt	Risiko bør kun unntaksvis aksepteres. Nye risikoreduserende tiltak skal vurderes svært grundig med basis i 2.3 Risikohåndtering.

 

Det er kun risikoeier eller ledere høyere opp i styringslinja som kan akseptere risiko. I ytterste konsekvens er dette styret for virksomheten. Alle virksomheter skal ha interne rutiner for eskalering av risiko.

2.3 Risikohåndtering

All risiko som er vurderes som høy eller svært høy innenfor ett eller flere konsekvensområder skal håndteres av risikoeier. Risikohåndtering kan omfatte implementering av sannsynlighets- og/eller konsekvensreduserende tiltak, eventuelt alternative løsninger, som for eksempel å foreta mer grundigere analyser for økt forståelse, eller å vedlikeholde/forbedre eksisterende tiltak. Risikohåndtering kan også innebære tiltak for å dra nytte av muligheter (positiv risiko).

Hvis ingen alternativer for håndtering er tilgjengelig, eller hvis alternativene for håndtering ikke modifiserer risiko tilstrekkelig, bør risikoen overvåkes kontinuerlig. Et mulig utfall av risikohåndteringsprosessen kan være at risikoen aksepteres, for eksempel dersom kostnaden[4] ved mulige risikoreduserende tiltak vurderes som høyere enn risikoen i seg selv. I slike tilfeller er det særdeles viktig at beslutningen og vurderingene bak dokumenteres grundig. I tilfeller der en risiko antar å påvirke andre virksomheter og/eller enheter i foretaksgruppen, gjelder informasjonsplikten også horisontalt i organisasjonen. Høy risiko som treffer øvrige virksomheter i foretaksgruppen skal løftes i den regionale nettverksstrukturen, og om nødvendig til det regionale direktørmøtet.

All moderat risiko bør vurderes i et kost/nytte perspektiv med tanke på mulige risikoreduserende tiltak. Risikoreduserende tiltak kan også iverksettes for risiko som vurderes som lav, men kun dersom kostnaden er vesentlig lavere enn den forventede nytten ved tiltaket. Dette prinsippet kan også omtales som ALARP-prinsippet (As Low As Reasonably Practicable).

Alle implementerte tiltak bør vurderes med tanke på deres forventede effekt på risikonivået, samt omfatte en plan for hvordan tiltakene planlegges fulgt opp for å sikre denne effekten opprettholdes over tid.

2.4 Kommunikasjon og konsultasjon

Formålet med kommunikasjon og konsultasjon er å bistå relevante interessenter i å forstå risiko, grunnlaget for beslutningstakingen og årsakene til at bestemte tiltak er påkrevd. Kommunikasjon og konsultasjon med hensiktsmessige eksterne og interne interessenter bør finne sted innenfor og gjennom alle trinn i risikostyringsprosessen.

Kommunikasjon og konsultasjon har som mål å:

·         Bringe forskjellige områder av ekspertise sammen for hvert trinn i risikostyringsprosessen;

·         Sikre at forskjellige synspunkter tas tilstrekkelig hensyn til når risikokriterier skal fastsettes, og når risikoer skal evalueres;

·         Gi tilstrekkelig informasjon for å lette oversikten over risiko og beslutningstaking;

·         Bygge en forståelse av å være inkludert og ha eierskap blant dem som er berørt av risiko.

2.5 Overvåkning og gjennomgåelse

Formålet med overvåking og gjennomgåelse er å sikre og forbedre kvaliteten på risikostyringen. Overvåking og gjennomgåelse bør skje på alle stadier av prosessen. Overvåking og gjennomgåelse omfatter planlegging, innsamling og analyse av informasjon, registrering av resultater og å gi tilbakemelding.

Risikostyringsprosessen bør som hovedprinsipp rulleres ved vesentlige endringer i risikobildet, eller minimum ved faste intervaller. Endringer i risikobildet kan blant annet opptre som følge av endringer i tekniske (for eksempel innføring av ny teknologi), operasjonelle (for eksempel endringer i arbeidsprosesser) eller organisatoriske (for eksempel organisasjonsutvikling) forutsetninger, eller øvrig endring i kontekst (for eksempel endringer i behandlingsmetoder, reguleringer eller økonomiske rammer).

3. Registrering og rapportering

3.1 Generelt

Risikostyringsprosessen skal dokumenteres, fortrinnsvis elektronisk i et dertil egnet system. Registrering av risiko bør minimum inneholde beskrivelse av følgende:

·         Analyseobjektet og avgrensinger

·         Usikkerhet og eventuelle antagelser

·         Prosessen og deltagere

·         Identifiserte risikokilder

·         Årsaker per risikokilde

·         Vurdering av sannsynlighet per risikokilde (eventuelt fordelt på årsak), inkl. eventuelle eksisterende sannsynlighetsreduserende tiltak

·         Vurdering av konsekvens per risikokilde, fordelt på relevante konsekvenskategorier, inkl. eventuelle eksisterende konsekvensreduserende tiltak

·         Vurdering av risiko

·         Forslag til nye risikoreduserende tiltak

·         Vurdering av restrisiko, gitt implementering av foreslåtte risikoreduserende tiltak

Det er risikoeier som har ansvar for dokumentasjon av risikostyringsprosessen, samt for å vurdere behov for oppdatering ved visse intervaller og/eller vesentlige endringer i risikobildet. Alle ferdigstilte risikovurderinger skal arkiveres i henhold til gjeldende regelverkskrav.

Risikoeier har også ansvar for at uakseptabel risiko formidles til nærmeste leder, slik at vedkommende kan ta høyde for denne risikoen i vurderingen av sitt eget risikobilde. I denne prosessen med aggregering av risiko er det avgjørende å ta hensyn til eventuell ulik anvendelse av sannsynlighets- og konsekvenskriterier.

3.2 Helseforetakenes rapportering

Alle helseforetakene skal rapportere følgende tertialvis til sitt eget styre og til RHF-et:

·         Risiko knyttet til oppnåelse av styringsmål

·         Topp 10 risiko

De to rapporteringsformene er ment å utfylle hverandre, og den samlede målsettingen med de to rapporteringene er å gi en samlet oversikt over det overordnede risikobildet i virksomheten.

Risiko knyttet til oppnåelse av styringsmål

Helseforetakene skal vurdere risikoen for oppnåelse av styringsmålene gitt som oppdrag fra RHF som en del av sin tertialrapportering.

Format og omfang av rapporteringen fastsettes årlig av Helse Midt-Norge RHF som en del av arbeidet med årets styringskrav og rammer. Det er en intensjon at formatet på rapporteringen skal være slik at det legger til rette for kontinuerlig risikostyring, på tvers av kalenderår.

Topp 10 risiko

Helseforetakene skal tertialvis rapportere status på de ti risikokildene som foretaket selv vurderer som mest alvorlig. Ti er et veiledende, ikke et absolutt antall.

Hver av de ti risikokildene som rapporteres skal som et minimum omfatte følgende elementer:

·         Beskrivelse av risikokilden, inkl. risikoeier

·         Mulige årsaker

·         Vurdert sannsynlighet

·         Vurderte konsekvenser

·         Vurdert risiko (høyeste hvis flere)

·         Foreslåtte risikoreduserende tiltak, med tidsfrist

·         Eventuelt justert risiko, dersom tiltak er implementert

·         Evaluering av effekten av tidligere beskrevne tiltak

Risikoene skal være resultat av en overordnet og helhetlig risikovurdering av foretaket, og kan omfatte risikokilder innenfor alle definerte konsekvensområder (jfr. tabell 3). Risikobildet bør etableres som et resultat av en intern prosess for aggregering av risiko fra hele virksomheten.

3.3 RHF-ets rapportering til eget styre

Det regionale helseforetakets rapportering til eget styre skal følge samme mal og frekvens som helseforetakenes rapportering til eget styre, og tar med seg innholdet i risikorapportene fra helseforetakene i vurderingen.

4. Risikokriterier

4.1 Kriterier for å vurdere og evaluere risiko

Helse Midt-Norge har etablert felles anbefalte kriterier for vurdering av sannsynlighet, konsekvens og beskrivelse av risiko på tvers av virksomhetene i foretaksgruppen. Kriteriene kan i særlige tilfeller fravikes, men begrunnelse for valg av alternative kriterier bør redegjøres for.

Kriteriene for sannsynlighetsvurdering er differensiert ut fra om risikovurderingen omfatter strategiske mål, styringsmål, prosjekt eller ordinær drift, og er beskrevet i Tabell 2. Valg av relevante sannsynlighetskriterier gjøres som en del av forberedelsene til risikovurderingen.

Tabell 2 Kriterier for sannsynlighetsvurdering

Type	Svært lav	Lav	Middels	Høy	Svært høy
Tidsavgrensede mål (strategiske mål, styringsmål, prosjekt)	Estimert 0-10 % sannsynlig i perioden	Estimert 10-35 % sannsynlig i perioden	Estimert 35-65 % sannsynlig i perioden	Estimert 65-90 % sannsynlig i perioden	Estimert 90-100 % sannsynlig i perioden
Drift**	Sjeldnere enn 1 hendelser per X år	1-4 hendelser per X år	5-10 hendelser per X år	11-50 hendelser per X år	Flere enn 50 hendelser per X år
Hjelpetekst/ kvalitativ vurdering	Blir svært overrasket om det skjer	Antar at det ikke vil skje	Kan skje (like sannsynlig at det skjer som at det ikke skjer)	Antar at det vil skje	Blir svært overrasket om det ikke skjer

* Benyttes for å vurdere sannsynlighet innenfor en bestemt tidsperiode.

** Benyttes for å vurdere sannsynlighet i et kontinuerlig driftsperspektiv. Risikovurdering av hendelser i ordinær drift vil kunne variere med tanke på tidsperspektivet på vurdering. Det anbefales derfor å inkludere dette tidsperspektivet i valget av sannsynlighetskriterier.

Tabell 3 på neste side viser de 11 definerte konsekvensområdene i Helse Midt-Norge med tilhørende kriterier for vurdering av konsekvens. Valg av relevante konsekvenskriterier gjøres som en del av forberedelsene til risikovurderingen. Det kan ved behov vurderes konsekvenser for øvrige områder. I slike tilfeller må konsekvenskriteriene fastsettes spesifikt, og i forkant av risikovurderingen.

Tabell 3 Kriterier for konsekvensvurdering, fordelt på konsekvensområder

Konsekvens-område	Ubetydelig / marginal	Liten	Moderat	Alvorlig	Svært alvorlig
Pasient-sikkerhet	Ingen eller ubetydelig skader / prognosetap	Mindre skade og/eller mindre prognosetap for et lite antall pasienter	Moderate skader / moderate prognosetap for et betydelig antall pasienter, eller alvorlige skader for et lite antall pasienter	Alvorlig skade og/eller alvorlige prognosetap for et betydelig antall pasienter og / eller tap av liv for enkeltpersoner	Alvorlig skade / prognosetap for et stort antall pasienter og / eller tap av liv for flere pasienter
HMS / arbeidsmiljø	Ubetydelig helseplage, personskade, emosjonell belastning. Ikke fravær. Antall ansatte utsatt for belastning kan ha betydning for alvorlighetsgraden	Mindre skade, helseplage, emosjonell belastning. Kan gi fravær. Antall ansatte utsatt for belastning kan ha betydning for alvorlighetsgraden	Moderat skade, sykdom, emosjonell belastning. Kan gi langvarige følger evt. fravær. Antall ansatte utsatt for belastning vil ha betydning for alvorlighetsgraden	Alvorlig skade, sykdom, emosjonell belastning. Kan føre til fravær, varige mén og/eller arbeidsuførhet. Antall ansatte utsatt for belastning vil ha betydning for alvorlighetsgraden	Alvorlig skade, sykdom, emosjonell belastning som kan medføre varig arbeidsuførhet og/eller tap av liv
Personvern	Intet uautorisert innsyn i helse- og personopplysninger. Ikke brudd på personvernet	Uautorisert innsyn i enkelte helse- og personopplysninger og/eller brudd på personvernet for et lite antall individer	Uautorisert innsyn i flere helse- og personopplysninger, mulighet for endring og/eller brudd på personvernet for et moderat antall individer	Uautorisert innsyn i store mengder helse- og personopplysninger, mulighet for endring og/eller brudd på personvernet for et stort antall individer	Fullt uautorisert innsyn i eller mulighet for endring av alle helse- og personopplysninger og/eller brudd på personvern
Ytre miljø	Ubetydelig innvirkning på ytre miljø	Mindre og kortvarig innvirkning på ytre miljø	Moderat innvirkning på ytre miljø av betydelig varighet, eller alvorlig, kortvarig innvirkning på ytre miljø	Alvorlig innvirkning på ytre miljø av betydelig varighet	Alvorlig og langvarig / permanent innvirkning på ytre miljø
Drift / Tjeneste-produksjon	Ubetydelig innvirkning, tilnærmet normal drift	Mindre og kortvarig reduksjon i tjenesteleveranse	Moderat reduksjon i tjenesteleveranse av betydelig varighet, eller alvorlig, kortvarig reduksjon i tjenesteleveranse	Alvorlig reduksjon i tjenesteleveranse av betydelig varighet	Alvorlig og langvarig reduksjon i tjenesteleveranse
Merarbeid	Intet eller ubetydelig merarbeid	Merarbeid for få ansatte eller av kort varighet	Merarbeid for flere ansatte eller av middels varighet	Merarbeid for mange ansatte eller av lang varighet	Merarbeid for svært mange ansatte, av svært stort omfang eller av svært lang varighet
Økonomi	Ingen eller ubetydelig påvirkning på verdier, inntekter eller utgifter	Mindre påvirkning på verdier, inntekter eller utgifter	Moderat tap av verdier, inntekter eller påførte utgifter med betydelige konsekvenser for økonomisk handlingsrom	Alvorlige tap av verdier, inntekter eller påførte utgifter med store konsekvenser for økonomisk handlingsrom	Alvorlig tap av verdier, inntekter eller påførte utgifter med ødeleggende konsekvenser for økonomisk handlingsrom
Tillit, omdømme	Ubetydelig svekkelse av tillit/omdømme	Liten og kortvarig svekkelse av tillit / omdømme	Moderat svekkelse av tillit/omdømme av betydelig varighet, eller alvorlig, kortvarig svekkelse av tillit/omdømme	Alvorlig svekkelse av tillit/omdømme av betydelig varighet	Alvorlig og langvarig/permanent svekkelse av tillit/omdømme
Forskning og utvikling	Ingen eller minimal svekkelse av evnen til å drive forskning eller utvikling	Liten og kortvarig svekkelse av evnen til å drive forskning eller utvikling	Moderat svekkelse av evnen til å drive forskning eller utvikling av betydelig varighet, eller alvorlig, kortvarig svekkelse av evnen til å drive forskning eller utvikling	Alvorlig svekkelse av evnen til å drive forskning eller utvikling, av betydelig varighet	Alvorlig og langvarig/permanent svekkelse av evnen til å drive forskning eller utvikling
Utdanning	Ingen eller minimal svekkelse av evnen til å drive utdanning	Liten og kortvarig svekkelse av evnen til å drive utdanning	Moderat svekkelse av evnen til å drive utdanning av betydelig varighet, eller alvorlig, kortvarig svekkelse av evnen til å drive utdanning	Alvorlig svekkelse av evnen til å drive utdanning av betydelig varighet	Alvorlig og langvarig/permanent svekkelse av evnen til å drive utdanning
Samhandling	Ingen eller minimal svekkelse av evnen til samhandling internt og/eller eksternt	Liten og kortvarig svekkelse av evnen til samhandling internt og/eller eksternt	Moderat svekkelse av evnen til samhandling av betydelig varighet, eller alvorlig, kortvarig svekkelse av evnen til samhandling	Alvorlig svekkelse av evnen til samhandling av betydelig varighet, internt og/eller eksternt	Alvorlig og langvarig/permanent svekkelse av evnen til samhandling internt og/eller eksternt

4.2 Kriterier for aksept av risiko

 

I Helse Midt-Norge skal følgende risikomatrise benyttes:

Tallene i matrisen angir scoring. Denne er usymmetrisk, hvor konsekvens vektes høyere enn sannsynlighet.

Risikoer med likt nivå på initiell risiko rangeres som følgende:

-          Høyeste nivå på restrisiko

-          Høyeste score

-          Høyeste K-kategori

-          Nest høyeste K-kategori osv.

-          Høyeste S-kategori