Att identifiera och kartlägga risker som utgör hot mot verksamheten är den första fasen i riskhanteringsarbetet. Risker som har förverkligats i form av skadehändelser och tillbud samt risker som kan drabba verksamheten i framtiden ska listas.
Det är viktigt att ta del av medarbetares kunskap inom respektive område. Kunskap hos alla anställda om de risker som finns i en verksamhet är väsentligt för ett bra riskhanteringsarbete. Ett sätt att öka medvetenheten om risker och riskhantering är att arbeta med riskinventering och riskanalyser i arbetsmöten.
Värdera de identifierade riskerna med avseende på sannolikhet för ett inträffande och konsekvensen av inträffandet.
Utgångspunkterna vid värderingen är
hur ofta en risk bedöms förekomma hur sannolik risken är
vilka konsekvenser risken har för verksamheten om den leder till skadehändelser eller tillbud
vilken kostnad risken medför
vilken betydelse risken har i förhållande till andra risker
En vanlig nivåskala som används går från 1 till 5, där 1 anger lägsta sannolikhet respektive konsekvens och 5 anger högsta.
Sannolikhetsnivå multiplicerat med konsekvensnivå ger händelsens riskvärde. Ett högt riskvärde ger högre prioritet än ett lågt. Prioritetsbedömningar kan göra det lättare att strukturera och värdera risker.
Riskvärderingen ska leda fram till en översikt över vilka risker som hanteras tillräckligt bra och vilka som behöver hanteras bättre.
När riskerna har identifierats, värderats och prioriterats ska de hanteras genom att
eliminera risken
begränsa risken genom skadeförebyggande och skadebegränsade åtgärder
överföra/dela risken, exempelvis genom försäkring eller annat avtal
acceptera risken - behålla risken utan att vidta någon ytterligare åtgärd. Riskens påverkan kan till exempel vara minimal, åtgärderna för kostsamma, eller risken ej möjlig att åtgärda eftersom den helt beror på externa händelser. Riskacceptansen kan förändras över tiden.
Notera att även riskacceptans att inte göra någonting bedöms som en aktiv åtgärd.
Åtgärdsplaner upprättas och förvaras lokalt på institutionerna. I åtgärdsplaner ska identifierade risker och till dem beslutade och prioriterade åtgärder dokumenteras.
Ingen riskinventering utan åtgärd - även att inte göra någonting (acceptera risken) bedöms i sammanhanget som en åtgärd.
Beslut om åtgärder dokumenteras i åtgärdsplaner.
Riskanalysen måste regelbundet följas upp och uppdateras.