4.2 Riskhantering

Sammanfattning

Riskhantering handlar om att identifiera, analysera, värdera och åtgärda risker. En risk- och sårbarhetsanalys är ett verktyg som hjälper din organisation att få ett grepp om detta. Svenskt Vatten rekommenderar att VA-verksamheter utför risk- och sårbarhetsanalyser för att kunna planera sitt säkerhetsarbete på bästa sätt.

Risk- och sårbarhetsanalysen syftar till att reducera risker, minska sårbarheter och att förbättra vår förmåga att förebygga, motstå och hantera störningar och extraordinära händelser. Den ökar medvetenheten och kunskapen hos beslutsfattare och ansvariga om hot, risker och sårbarheter inom den egna verksamheten och att skapa ett underlag för egen planering. 

I konventionellt säkerhetsarbete används en metod som beskrivs i denna handbok, där risken är en sammanvägning av sannolikheten för att en händelse ska inträffa och omfattningen av konsekvensen när den har skett. Om man inte har identifierat sina sårbarheter är det svårt att bestämma skyddsbehovet. Riskhanteringen bör alltid ske i en strukturerad och systematisk process med syftet att vara en kontinuerlig del av verksamheten. Det finns alternativa förfaranden som till exempel Grovanalys, FMEA etc. För mer information om riskanalys se Fördjupning. 

Kommunens ansvar att ta fram och fastställa en plan för hanteringen av extraordinära händelser

Svenskt Vatten rekommenderar att VA-verksamheter utför risk- och sårbarhetsanalyser för att kunna planera sitt säkerhetsarbete på bästa sätt. Utifrån sammanhanget är det dock av relevans att betona att en VA-organisation inte har ett lagstiftat ansvar att göra en risk- och sårbarhetsanalys som kommunen har, se avsnitt 2.3 Lagar och krav.

Kommunens risk- och sårbarhetsanalys behöver dock täcka in områdena vatten och avlopp och en risk- och sårbarhetsanalys för dricksvatten- och avloppsförsörjningen är där ett viktigt underlag. VA-organisationens analys är begränsad till de förhållanden som VA-huvudmannen kan påverka eller har ansvar för. Den omfattar därför endast VA-verksamhetsområdet och i övrigt de kunder som huvudmannen har tecknat avtal med. Risk- och sårbarhetsanalysen är också en viktig förutsättning för fungerande beredskapsplanering för vattenförsörj- ningen. Kommunen och VA-organisationen kan komma överens om vilka delar av risk- och sårbarhetsanalysen som VA-organisationen ska genomföra.

Med beaktande av vad som framkommer i risk- och sårbarhetsanalyserna, ska kom- muner och regioner ta fram och fastställa en plan för hanteringen av extraordinära händelser för varje ny mandatperiod. Av 5 kap. 1 § kommunallagen följer att det är kom- munfullmäktige som ska anta planen. MSB har utfärdat föreskrifter kring kommunernas och regionernas sammanställning av risk- och sårbarhetsanalyser samt hur dessa ska rapporteras och följas upp. Rapportering ska ske vart fjärde år under det första kalender- året efter ordinarie val till region- respektive kommunfullmäktige. I anslutning till före- skrifterna finns det allmänna råd avseende innehållet i risk- och sårbarhetsanalyserna.

Uppmaning eller viktig information

VA-verksamheten bör aktivt delta i kommunens riskhanteringsarbete. I dialog påtala behovet av att kommunens verksamheter måste planera för och ha en beredskap för störningar i leveransen av dricksvatten och spillvatten.

Steg 1. Bilda en arbetsgrupp för analysarbetet 

När analysarbetet påbörjas bör frågor ställas kring verksamhetens säkerhet och sårbarhet. Den riskanalys som ska utgöra underlag för en risk- och sårbarhetsanalys bör utarbetas av en intern arbetsgrupp med kompetens inom säkerhet, dricksvattenberedning, avloppvattenrening, ledningsnät, styrning och övervakning. Vid behov anlitas även externa resurser. Tänk dock på säkerheten och delning av känsligt material. 

Steg 2. Identifiera känsliga objekt

Upprätta en lista över alla känsliga objekt i vatten- och/eller avloppsförsörjningssystemet. Listan ska täcka hela kedjan från vattentäkt till kund.

Objektslistan kan innehålla:

• Vattentäkt.
• Vattenverk. 
• Reservoarer.
• Tryckstegringsstationer.
• Vattenledningsnät inklusive ventilkammare, brandposter, serviser, med mera.
• Pumpstationer.
• Avloppsreningsverk. 

Ledningsnätet består av ett stort antal objekt som inte kan listas vart och ett. Ledningar i särskilt sårbara lägen, exempelvis sjöledningar eller ledningar i broar, bör tas upp på listan. Samma sak kan gälla mätarkammare i utsatta lägen eller förbindelsepunkter till större anläggningar eller liknande. I övrigt kan listan innehålla även generella objekt, till exempel brandposter och serviser, så att skyddsbehovet kan bedömas även för dessa. För dessa skyddsvärda objekt bör därefter skyddet av uppgifterna som rör objektet ses över.

Om exempelvis delar av ledningsnätet bedöms vara sårbart bör skyddet av uppgifterna kring ledningsnätskartor ses över. Gå igenom hela verksamheten så att viktiga delar inte missas. 

Tabellerna nedan visar exempel på objektslista.

Objekts-ID	Anläggningsbenämning
FRD-12	Förråd och reservdelslager/ kemikalielager
BPS-1002	Brandpost Liljegatan Väst
BRR-1	Lidens Borrfält
PST-45	Berga tryckstegringsstation
SCD-1	SCADA-system

Objekts-ID	Anläggningsbenämning
VVK-2	Äspelidens vattenverk
VVK-2.1	Bassänghall
HRE-01	Högklintens Reservoar
KON-2	Kontoret Äspeliden
KON-2-1.1	Serverrum/Arkiv kontor

Steg 3. Lista tänkbara händelser 

Lista tänkbara händelser, orsakade av sabotage eller annan typ av skadegörelse, som kan påverka verksamheten. Händelserna listas per objekt. I detta arbete är det bra att ta hjälp av en publicerad så kallad hotkatalog för att få med alla typer av hot. En sådan katalog tas fram bl. a för elbranschen och sammanställer vanliga hot som förekommer i det moderna samhället i allmänhet. Se även den riskkatalog som finns i MSBs Handbok i kommunal krisberedskap, länk finns nedan. Nedan följer ett exempel hur listan kan utformas för ett vattenverk. Varje verksamhet behöver överväga vad som ska ingå i denna typ av verktyg. 

Tabellen nedan visar exempel på händelser.

Objekt	Händelse	Sannolikhet	Konsekvens	Skyddsnivå
Vattenverk	Kemisk förorening orsakad av sabotage
	Mikrobiologisk förorening orsakad av sabotage
	Skadegörelse på byggnad
	Skadegörelse av vital utrustning (ex. pumpar, doseringsutrustning)
	Stöld av vital utrustning (ex. driftdatorer)
	Dataintrång (intrång i styrsystem)

Steg 4. Bedöm sannolikhet 

Med sannolikhet menas hur ofta den aktuella händelsen kan tänkas inträffa. Här kan man utgå både från egna erfarenheter och erfarenheter från branschen. Det är viktigt att täcka in förändringar i omvärldsläget som till exempel klimat, hotbild och höjd beredskap. 

Tabellen nedan visar exempel på kriterier för sannolikhetsbedömning. 

Sannolikhet	Kriterier
S1: Liten sannolikhet	- Händelsen är okänd i branschen - En fackmässig bedömning visar att händelsen inte kan uteslutas
S2: Medelstor sannolikhet	- Händelsen har inträffat i branschen de senaste 5 åren - En fackmässig bedömning visar att händelsen kan inträffa de närmaste 10–50 åren
S3: Stor sannolikhet	- Händelsen inträffar i branschen årligen - Händelsen har inträffat eller varit nära att inträffa i den egna verksamheten - En fackmässig bedömning visar att händelsen kan inträffade närmaste 1–10 åren
S4: Mycket stor sannolikhet	- Händelsen förekommer nu och då i den egna verksamheten

Steg 5. Bedöm konsekvens 

Nästa steg är att bedöma konsekvensen av en tänkbar händelse utifrån objekten på listan. Kan ett antal kunder bli utan vatten? Kan de få förorenat vatten? Hur många kunder berörs om objektet blir utsatt? För att underlätta arbetet kan uppställning i en tabell göras. 

För varje objekt i listan väljs en konsekvensnivå med stöd av tabellen nedan. Den ska ses som ett exempel på hur man kan värdera konsekvenser. Den som gör analysen avgör vad som ska ingå i respektive konsekvensnivå. Den bedömning som gjorts dokumenteras genom att objektslistan kompletteras med konsekvensnivå för varje objekt. Observera att dokumentationen i sig blir ett känsligt dokument som kan behöva sekretessbeläggas enligt offentlighets- och sekretesslagens 18 kap 13 §, se avsnitt 4.5.9 under 4.5.

Tabellen nedan är ett exempel på hur man skulle kunna tänka när man delar in sina ”objekt” i konsekvensnivåer. Konsekvensen av en händelse bör vara det som sedan styr skyddsbehovet. Exempelvis kan man i sin analys konstatera att en oönskad händelse i en punkt får konsekvensen att hela eller mycket stora delar av dricksvattenförsörjningen i kommunen slås ut. Denna punkt får då ett stort skyddsbehov medan andra konstaterade konsekvenser får mindre påverkan och alltså har en annan typ av skyddsbehov. 

I tabellen nedan ges förslag till kriterier för bedömning av konsekvenser med fokus på dricksvatten. Även konsekvenser kopplade till personskada, förtroendeförlust, miljöskada (avlopp) och skada på samhället bör definieras. 

Tabellen visar exempel på bedömning av konsekvenser gällande dricksvatten. 

Konsekvensnivå	Konsekvenser
	Drift Produktion och distrubition	Hälsa Dricksvattenkvalitet	Egendom Byggnader, maskinpark, med mera	Ekonomi
K1: Liten / Försumbar	Ingen påverkan. Normal leverans kan upprätthållas	Obetydlig påverkan på vattenkvaliteten. Inga anmärkningar.	Förlust av icke eller ringa betydelsefull egendom	Mindre kostnader
K2: Medelstor / Måttlig	Liten störning. Kortvarigt leveransav- brott (några timmar) till ett begränsat område. Inga sårbara kunder drabbas.	Påverkan hos enstaka kunder. Tillfälliga anmärkningar som berör många kunder.	Förlust av mindre betydelsefull egendom	Icke obetydliga kostnader
K3: Stor / Betydande	Betydande störning. Långvarigt avbrott (timmar-dagar) i leveransen till begränsat område. Även sårbara abonnenter drabbas.	Påverkan hos begränsat antal kunder. Icke godkänt vatten som berör många.	Förlust av betydelsefull egendom	Kännbara kostnader
K4: Mycket stor / Allvarlig	Stora störningar. Långvarigt leveransavbrott (dagar) som drabbar ett stort antal användare. Sårbara kunder drabbas.	Påverkan på stort antal kunder. Icke godkänt vatten med fara för liv och hälsa	Förlust av mycket betydelsefull egendom	Höga kostnader

Osäkerhet om konsekvenserna av en händelse bör hanteras på följande sätt:

• Vid liten osäkerhet bör den mest realistiska konsekvensen användas.
• Vid stor osäkerhet bör en mer pessimistisk bedömning göras enligt försiktighetsprincipen. 

Vid konsekvensbedömningen kan det visa sig att en oönskad händelse som konsekvens genererar en ny oönskad händelse. Metodiken kan inte hantera den typen av händelsekedjor I detta fall kvarstår den ursprungliga händelsen i listan och den överordnade genererade konsekvensen bedöms på övergripande nivå. Exempel; vattenläcka som stoppar järnvägstrafik. 

Steg 6. Utför riskbedömning 

När bedömning av sannolikhet och konsekvens för en aktuell händelse har gjorts sammanvägs sannolikhet och konsekvens till en risknivå med hjälp av en riskmatris. För en riskbedömning kan en detaljeringsgrad på fyra nivåer vara lämplig, se tabell nedan. Det finns många goda exempel på riskmatriser och kriterier för bedömning där man också använder en 5-gradig skala. 

Risknivåerna ges av färgerna i matrisen och har följande innebörd: 

• Svart: Akut risk – korrigerande/förebyggande åtgärder måste genomföras omedelbart. 
• Röd: Risken måste reduceras – korrigerande/förebyggande åtgärder är nödvändiga.
• Gul: Aktiv riskhantering – korrigerande/förebyggande åtgärder ska övervägas.
• Grön: Förenklad riskhantering – förebyggande åtgärder som egenkontroll och avvikelsehantering ska upprätthållas. 

Osannolika händelser, som om de inträffar får mycket stora konsekvenser, omfattas av riskmatrisen och utreds och blir föremål för beredskapsplaneringen. 

Tabell för riskmatris – sannolikhet och konsekvens. 

Sannolikhet	Konsekvens
	K1 Liten / Försumbar	K2 Medelstor / Måttlig	K3 Stor/ Betydande	K4 Mycket stor / Allvarlig
S4 – mycket stor	Grön	Gul	Röd	Svart
S3 – stor	Grön	Gul	Röd	Röd
S2 – medelstor	Grön	Grön	Gul	Röd
S1 – liten	Grön	Grön	Gul	Gul

Steg 7. Genomför skyddsklassificering 

När man har tilldelat en konsekvensnivå för varje objekt i listan har man underlag för att välja lämpliga skyddsåtgärder. Arbetet underlättas om man har skapat en tabell som visar vilket fysiskt skydd som motsvarar varje skyddsklass. Alla objekt är ju inte lika, och i vissa fall kan man behöva anpassa skyddsåtgärderna uppåt eller nedåt. Som exempel kanske man i vissa fall kan ersätta uttag ur brandpost med uttag ur vattenkiosk. Orsaken till ändringen och vilka anpassningar man gjort bör dokumenteras i objektslistan. 

Tabell över nivå på skyddsåtgärder.

Färg	Nivå skyddsåtgärd
Svart	4
Röd	3
Gul	2
Grön	1

Tabell med exempel på objektslista med nivå på skyddsåtgärder. 

Objekts-ID	Anläggningsbenämning	Nivå skyddsåtgärd	Skyddsåtgärder
FRD-12	Förråd och reservdelslager/ kemikalielager	1
BPS-1002	Brandpost Liljegatan Väst	3	Låsning och återströmningsskydd.
BRR-1	Lidens Borrfält	4	Komplettera med områdesskydd
PST-45	Berga tryckstegringsstation	3
SCD-1	SCADA-system	3
VVK-2	Äspelidens vattenverk	3
VVK-2.1	Bassänghall	4
HRE-01	Högklintens Reservoar	3
KON-2	Kontoret Äspeliden	4
KON-2-1.1	Serverrum/Arkiv kontor	4

Tabell med exempel på skyddsåtgärder. 

Nivå skyddsåtgärd	Skyddsåtgärder
	Förebyggande	Upptäckande	Skadebegränsande	Tillträdeskontroll
Nivå 1	Tillsyn/skyltning	Tillsyn enligt egenkontroll	Brandredskap	Enkel låsning/olåst
Nivå 2	Tillsyn veckovis Juridiskt områdesskydd	Tillsyn enligt egenkontroll ”Allmänheten” Ev. larm	Avstängning	Låst Eventuell nyckelkontroll
Nivå 3	Fysiskt skydd Eventuellt områdesskydd	Brandlarm Inbrottslarm	Avstängning Manuell omkopplingsmöjlighet	Godkänd låsning Nyckelkontroll Ledsagning
Nivå 4	Områdesskydd Fysiskt skydd Larmhantering Åtgärdsplanering Reservmaterial	Brandlarm Inbrottslarm med åtgärd Kamerabevakning	Brandceller Avstängning Inre sektionering Manuell körning	Godkänd låsning Nyckelkontroll Passagekontroll Loggning Ledsagning

Information vad gäller fysiskt skydd och larm finns i avsnitt 4.8.2 under 4.8.

Uppmaning eller viktig information

”Ha i åtanke att den som deltar eller har deltagit i en kommuns eller en regions verksamhet med beredskap för eller åtgärder under extraordinära händelse i fredstid och höjd beredskap får inte obehörigen röja eller utnyttja vad han eller hon därigenom har fått veta om organisationens krisledningsförmåga och förmågestärkande åtgärder.” (Lag (2006:544) om kommuners och regioners åtgärder inför och vid extraordinära händelser i fredstid och höjd beredskap, 7 kap 1 §).

Tips

Börja med att skapa en enkel utgångspunkt. Prata med berörda personer och sammanfatta det ni kommer fram till i en Excelfil – på så sätt har du en utgångspunkt inför kommande arbete. Se aktörsexempel i bilaga 1.

Se aktörsexempel i bilaga 1.

Framgångsfaktorer

• Dela upp analysarbetet på rätt arbetstagare, exempelvis utifrån geografiskt område eller funktion (till exempel avlopp, dricksvatten). 
• Avgränsa analysen. Börja i mindre omfattning och utveckla allt eftersom. Undvik att göra analyserna för stora; de kan bli svåra att arbeta utifrån.
• Arbeta metodiskt och titta på resultatet av tidigare riskanalyser.
• Få in riskhanteringen i vardagen. Gör riskhantering till en punkt på dagordningen – Vad har hänt i omvärlden? Gör enkla övningar och öka delaktigheten.