Lärdomar kring säkerhetsrevisioner

En par intressanta händelser under det gångna året har varit de myndighetsingripanden som gjorts mot företag som ansetts ha en bristande säkerhetsstyrning. Nyligen har Finansinspektionen gjort ingripanden mot företag som outsourcat delar av sitt säkerhetsansvar och tidigare under året har Transportstyrelsen gjort ingripande mot företag där säkerhetsstyrningen påvisats ha vissa brister.

Mer information finns på respektive myndigheters hemsidor där både aktuella förordningar och beslut i tillsynsfrågor finns tillgängliga.  Vissa ärenden har också överklagats så det kan komma ytterligare uppgifter under 2017.

Det är alltid lätt i efterhand att peka på saker som har gått fel, men hur ska man egentligen undvika den här typen av händelser? Några generella slutsatser kan man dra utan att kommentera enskilda ingripanden.

• För det första behöver det inte ha inträffat några allvarliga incidenter för att en tillsynsmyndighet ska vilja göra ett ingripande. Det räcker med att företaget inte klarar av att styrka
• För det andra är det företaget som har bevisbördan att visa att interna rutiner har följts, att riskanalyser och interna revisioner genomförts i rätt tid, att incidenter utretts och återkoppling skett till företagsledning och att regelverket uppdaterats vid behov.Detta kräver att interna protokoll skrivs och att alla dokument finns versionshanterade.
• För det tredje är det företagets skyldighet att underrätta tillsynsmyndigheten löpande om förändringar i organisation,  delegering av ansvar eller säkerhetsregelverk, då incidenter inträffat eller vid andra situationer som de aktuella regelverken anger.
• Slutligen är alla i företaget tvungna att kunna redogöra för sitt ansvar enligt säkerhetsregelverket. Vid de kontroller som tillsynsmyndigheten gör så kan alla personer som har ett uttalat ansvar komma att tillfrågas.

Finns det några andra faktorer som är värda att tänka på? Inför en revision av tillsynsmyndigheten kan det vara svårt att sammanställa nödvändiga underlag eftersom ansvaret för säkerheten normalt är utspritt inom företaget. Både företagsledning, säkerhetsansvariga på olika positioner och internrevisionen har ett ansvar. Nedanstående beskrivning är starkt förenklad och företag kan ha starkt varierande organisation.

Företagsledningens ansvar

Frågan av mer allmänt intresse är vilket ansvar för säkerhetsstyrningen som ledningen har och hur man egentligen påvisar att ledningen tagit sitt ansvar. Företagsledningen kan delegera det direkta operativa säkerhetsansvaret, men har hela tiden det övergripande ansvaret för att säkerheten är tillräcklig. Detta kan exempelvis omfatta att formulera ett regelverk, att delegera ett ansvar, att bestämma en organisation och en budget samt att kontrollera och följa upp säkerhetsstyrningen genom återkommande uppföljningsmöten, riskbedömningar och revisioner.

Givetvis måste ledningen själva kunna redovisa sitt eget ansvar, men man måste också kunna leda verksamheten och tillämpa sitt eget regelverk i en kritisk situation. Detta ansvar omfattar även att besvara och delegera uppgifter inom och utanför den egna organisationen samt säkerställa att all anställd och inhyrd personal känner till regelverket.

Säkerhetsansvariges ansvar

Inom ett företag finns ofta en utsedd säkerhetschef och även andra roller med direkt säkerhets eller riskansvar, exempelvis controllers. Det finns ofta en uttalad person som ansvarar för företagets säkerhetsstyrning, ändringar i säkerhetsregelverk och hanterar kravställda möten och utbildningar.

Även konsulter kan arbeta med att ta fram, följa upp eller tillämpa säkerhetsregelverk i samverkan med en utsedd säkerhetschef som rapporterar till en företagsledning. Detta kan ibland skapa ett avstånd mellan företagsledningen och de som granskar eller följer upp säkerhetsregelverket eller riskanalyser för den lokala verksamheten. Ofta har ledningen ändå nödvändig kunskap genom framtagna regelverk, avrapporteringar, tillämpningsövningar och faktiska händelser. Men de myndighetsingripanden som gjorts visar ett behov att formellt påvisa att ansvaret uppfyllts.

Den person som utsetts inom företaget som övergripande sammanhållande för säkerhetsstyrningen bör tillsammans med företagsledningen inför ett möte med tillsynsmyndigheten repetera regelverk och ansvar, samt gå igenom aktuella händelser, aktuella riskanalyser, genomförda säkerhetsmöten och fattade beslut så att man kan påvisa att all berörd personal, inklusive ledningen, har nödvändig kunskap och befogenheter och att säkerhetsstyrningen fungerat som avsett eller förbättrats vid behov. Man bör också säkerställa att alla skriftliga regelverk, relevanta mötesprotokoll och tidigare incidentrapporter är fullständiga inför en avrapportering till myndigheten.

Internrevisionens ansvar

Internrevisionens ansvar är i första hand att kontrollera att företagets interna rutiner fungerar samt att rapportera sina iakttagelser till företagsledningen. För företag som har en säkerhetsstyrning så gör internrevisionen även de kontroller som står angivna i säkerhetsplanen. Det är dock viktigt att komma ihåg att internrevisionens kontroller och rapportering till företagsledningen inte med automatik kan översättas till att tillsynsmyndighetens revision kommer att utfalla positivt.

Även vid extern förvaltningsrevision kontrolleras att företagsledningen sköter sina uppgifter enligt bolagsordningen och att företaget följer lagar och regelverk av betydelse. Men varken positiva besked från intern eller extern granskning är någon garanti för att tillsynsmyndigheten inte ska göra något ingripande.

Några praktiska rekommendationer

Följ alltid upp tidigare påpekanden från myndigheten. En brist som kvarstår eller upprepas kan annars leda till ett ingripande.

Studera de beslut som myndigheten tagit tidigare och tänk ut vad som kan göras för att slippa att hamna i en liknande situation.