Sådan laver I hændelsesrapportering for lavere IT- og HSE-risiko
Ulykker sker næsten aldrig uden varsel. Alle har på et tidspunkt oplevet en nærved-ulykke: Du var lige ved at vælte på cyklen og ramme kantstenen – men heldigvis gjorde du det ikke. Du ånder letter op, lærer af det og går videre. I en virksomhedsindstilling gælder den samme logik. I dette tilfælde giver hændelsesrapportering din virksomhed mulighed for at lære og forhåbentlig forhindre fremtidige ulykker.
“Skøn viser, at i I-lande kommer op mod 1 af 10 patienter til skadet mens de modtager hospitalsbehandling. Skaderne er forårsaget af en række utilsigtede hændelser, hvor ca. 50% kunne have været forhindret med korrekt forebyggelse.”
Hvem
I dette indlæg vil vi give dig en introduktion til hændelsesrapportering, som er det første skridt mod hændelsesstyring. Du vil også lære at indsamle værdifulde erfaringer fra dine kolleger.
Undervejs vil vi hente inspiration fra hændelsesrapportering i de standarder, der dækker dette område: Sundhed, sikkerhed og miljø (ISO 45 001-standard) og informationssikkerhed (ISO 27 001-standard).
Indholdsfortegnelse
- Hvad er forskellen på hændelser, ikke-konformiteter og afvigelser?
- Tre grunde til, at hændelsesrapportering mislykkes
- To hovedtyper af hændelser, der skal rapporteres
- De tre trin til rapportering af en hændelse
- Går fra rapportering af hændelser til håndtering af hændelser
- Konklusioner
- Hyppigt stillede spørgsmål
Hvad er forskellen på hændelser, ikke-konformiteter og afvigelser?
Nogle refererer til hændelser og andre til afvigelser. Lad os hurtigt få styr på fagsproget. ISO-standarder og proceslitteratur giver følgende definitioner:
- Ikke-overensstemmelse: Manglende opfyldelse af et krav.
- Afvigelse: Afvigelse fra en godkendt instruktion eller standard.
- Hændelse: En uventet operationel hændelse uden for standardoperationerne.
- Afvigelse: En mangel i et produkts egenskaber, der gør det uacceptabelt eller ikke opfylder specificerede krav.
Disse definitioner omfatter to hovedkarakteristika:
- Uplanlagte hændelser opstår.
- Planlagte begivenheder udebliver.
Afvigelser i denne sammenhæng fokuserer primært på produktets kvalitetspåvirkning snarere end årsagen til den. Ud over produktrelaterede problemer omfatter uønskede hændelser nærved-hændelser, skader, ulykker, compliance-problemer og forspildte muligheder.
I sundhedssektoren er hændelser (ofte kaldet “utilsigtede hændelser”) dyre, skadelige og kan til en vis grad forebygges. Selvom alle er enige om behovet for at forebygge ulykker, er der flere faktorer, der forhindrer en effektiv rapportering af hændelser.
Nedenfor dykker vi ned i tre hovedårsager til udfordringerne med rapportering af hændelser.
Tre grunde til, at hændelsesrapportering mislykkes
#1 I en kultur af perfektion er der ikke plads til fejl.
Hvem vil være den idiot, der indrømmer, at der var en hændelse?
I en ‘skyldkultur’ vil ingen indrømme, at de har begået en fejl.
Hvis hændelsen ikke direkte påvirkede nogen – hvorfor så rapportere den og fremstå i et negativt lys?
Husk: Når du opretter et hændelsesrapporterings-system, skal virksomheden samtidigt fremme en kultur omkring åbenhed og tillid. Hændelser skal ses som potentiale for organisatorisk læring mere end individers fejl.
IT kan hjælpe ved at sikre anonymitet og fjerne potentielle sanktioner for indberetteren. Men det er i modstrid med formålet om at skabe en åbenhedskultur, hvor alle arbejder hen imod et fælles mål om systematisk forbedring.
Ledelsen skal stå i spidsen for denne kulturændring og omfavne hændelsernes potentiale for innovation og forbedring. For mere om dette emne, kan du læse Harvard Business Reviews “The failure-tolerant leader”.
Fejl er – når alt kommer til alt – bedre end konsekvente, gentagne fejl.
#2 det er for svært at rapportere en hændelse
Hvis processen med at rapportere en hændelse er for besværlig, er der en god chance for, at den ikke bliver rapporteret overhovedet. Alle, der laver hændelsesanalyser, vil gerne have flere data, men husk, at frontmedarbejdere er travle bier. Hvis hændelsen ikke bliver rapporteret kort tid efter, vil medarbejderne gå videre til den næste opgave på deres to-do-liste.
“Bureaukrati er kunsten at gøre det mulige umuligt”
En desillusioneret person
At finde en balance mellem at få nok data til at forstå hændelsen og gøre processen let nok til at sikre, at den er afsluttet, er afgørende for at få de nødvendige data.
Brugervenlighed for alle er afgørende for overhovedet at få data.
Start gratis prøve
Tilmeld dig en 30-dages prøveperiode.
Der kræves intet kreditkort.
Rapportering af hændelser i #3 får ingen respons
Som det gælder for enhver indsats, er det vigtigt at se, at dit input betyder noget. Hvis der er en fornemmelse af, at ledelsen bare vil ignorere de rapporterede hændelser, chancerne er, at fremtidige hændelser ikke vil blive rapporteret.
At sige “tak” for rapporten, anmelde, når det bliver håndteret (eller endda gennemført) er en enkel, effektiv og billig måde at vise påskønnelse. Taknemmelighed behøver ikke at være monetær, især når hændelsesrapporter hjælpe hele virksomheden.
Igen – uden indberetning af hændelser fra medarbejderne er der ingen data til at forhindre fremtidige ulykker. Så husk på disse kulturelle faktorer.
To hovedtyper af hændelser, der skal rapporteres
For at forberede os på korrekt hændelsesrapportering er vi nødt til at kategorisere hændelser i to meget forskellige typer, som kan opstå i enhver organisation. Hver er omfattet af sin egen ISO standard:
ISO 45001: Hændelser inden for sundhed, sikkerhed og miljø (HSE)
En hændelse, der ikke forårsager skade, men har potentialet til forårsage personskade, tab af ejendom eller materiale eller ulykker under lignende forhold. For eksempel ikke iført en hjelm på en byggeplads. I sig selv betyder det ikke noget, men på grund af det farlige miljø er beskyttelse afgørende for at forhindre ulykker.
ISO 27001: IT-cybersikkerhedshændelser
I modsætning til et egentligt databrud betyder en cybersikkerhedshændelse ikke nødvendigvis, at oplysninger er kompromitteret; det betyder kun, at oplysninger er truet. For eksempel har en organisation, der med succes afviser et cyberangreb, oplevet en hændelse, men ikke et brud.
De tre trin til rapportering af en hændelse
#1 Forhindre, at hændelsen udvikler sig til en ulykke
Den første aktivitet bør altid være at stoppe (hvis det er muligt) noget dårligt foregår. Lad mig give et par eksempler.
Hvad skal man overveje for HSE hændelser?
HSE hændelser kræver oftest fysisk indgriben:
- Hænger stikket halvvejs ude?
– sæt det ind igen. - Er en maskine ude af kontrol?
– sluk for den. - Sæbe på skibsdækket?
– vask det bort.
Husk at du skal passe på dig selv undervejs!
Sikr stedet ved at barrikadere området, hvis det er muligt, og forhindr yderligere adgang, så dine kolleger ikke kommer til skade.
Hvad skal man overveje ved IT-hændelser?
Cyberkriminalitet er sværere at opdage. Der er sjældent maskerede mennesker raiding serverrummet. Indgriben kan ske på mange måder – hvis det overhovedet er muligt.
Du kan måske forhindre phishing-mails i at blive videresendt (eller du kan sende advarselsmails til alle), og hvis du har mistanke om, at nogen har hovedadgangskoden, kan det være et godt tidspunkt at ændre den.
#2 Indsaml oplysninger
Dokumentér hændelsens detaljer grundigt. Medtag oplysninger som dato, klokkeslæt og sted for hændelsen, navne på involverede parter og eventuelle vidner. Tag billeder eller videoer, hvis det er sikkert at gøre det.
#2 Rapporter hændelsen
Nu er det tid til at udfylde en hændelsesformular og starte den formelle hændelseshåndteringsproces. Til det har du brug for det rigtige format. Vi dækker dette i en separat artikel, som vi håber, du vil finde nyttig: Forbedring af rapporter om medarbejderhændelser for bedre data ↗️
Går fra rapportering af hændelser til håndtering af hændelser
Lad os antage, at du nu har en hændelsesrapportering på plads. Så er det tid til at gøre noget ved rapporterne og faktisk lære og forbedre sig ud fra dem. Dette er toppen af ‘incident management’. Vi har skrevet denne artikel som en introduktion på højt niveau til emnet Hvorfor enhver virksomhed har brug for et Incident Management System ↗️
Endelig er der en trinvis vejledning i, hvordan man opretter en hændelsesrapporteringsproces ved hjælp af processtyringsplatformen Gluu. Baseret på viden fra ISO 27001- og ISO 45001-standarderne vil vi oprette en hændelsesrapporteringsproces i Gluu Sådan opretter du din hændelsesstyringsproces.
Konklusioner
Dette indlæg understreger hændelsesrapporteringens vigtige rolle i forebyggelsen af arbejdsulykker og fremme af organisatorisk læring. Den relaterer nærved-ulykker i privatlivet til hændelser i erhvervslivet og understreger fordelene ved at rapportere, så risikoen reduceres. Artiklen introducerer hændelsesrapportering med referencer til ISO-standarder (ISO 45001 og ISO 27001) og forklarer nøglebegreber som non-conformity, deviation og incident.
Den peger på tre almindelige problemer, der hindrer effektiv rapportering af hændelser:
En perfekthedskultur, der afskrækker fra at indrømme fejl.
Komplekse rapporteringsprocesser.
Utilstrækkelig bekræftelse eller reaktion på rapporter.
Behovet for at opdyrke åbne og tillidsfulde rapporteringsmiljøer understreges. Hændelser kategoriseres i HSE- og IT Cybersecurity-typer, der hver især kræver hurtig handling for at forhindre ulykker. De tre rapporteringstrin – ulykkesforebyggelse, informationsindsamling og rapportering – er detaljeret beskrevet med praktisk vejledning.
Samlet set understreger artiklen hændelsesrapporteringens rolle i forbedringen af sikkerhed og risikostyring på arbejdspladsen og fremhæver kompleksiteten og udfordringerne ved implementeringen.
Start gratis prøve
Tilmeld dig en 30-dages prøveperiode.
Der kræves intet kreditkort.
Hyppigt stillede spørgsmål
Gluus værktøj til rapportering af hændelser er designet til at give en problemfri og effektiv brugeroplevelse. Det, der adskiller den fra lignende software på markedet, er dens omfattende pakke af funktioner, som omfatter hændelsessporing i realtid, automatiserede workflows og rapportskabeloner, der kan tilpasses. Dets vægt på brugervenlighed betyder, at brugerne hurtigt kan rapportere hændelser uden at skulle navigere gennem komplekse grænseflader. Desuden lægger Gluus værktøj vægt på samarbejde, så medlemmer af en organisation kan arbejde sammen om at adressere og løse hændelser.
Når det gælder datasikkerhed, har Gluus værktøj til rapportering af hændelser en proaktiv tilgang. Det sikrer brugerdata gennem en kombination af strenge sikkerhedsprotokoller, herunder datakryptering, adgangskontrol og sikker cloud-lagring. Der udføres regelmæssige sikkerhedsrevisioner for at identificere og håndtere potentielle sårbarheder. Brugerne kan derfor stole på, at Gluu bevarer privatlivets fred og integriteten af deres data.
Ja, brugere kan få adgang til Gluus værktøj til hændelsesrapportering på flere enheder, herunder computere, tablets og smartphones. Denne tilgængelighed på flere platforme sikrer, at brugerne kan rapportere og spore hændelser, uanset hvor de er, hvilket i høj grad forbedrer den operationelle effektivitet. Hvad angår systemkrav, betyder Gluus webbaserede natur, at det kan tilgås på enhver enhed med en webbrowser og internetforbindelse. Derfor er der ingen strenge systemkrav, men brugerne vil få den bedste oplevelse med en stabil internetforbindelse og en opdateret webbrowser for optimal ydeevne og sikkerhed. Denne funktionalitet på tværs af platforme og minimale systemkrav gør Gluus hændelsesrapporteringsværktøj både tilgængeligt og praktisk for brugere på tværs af en organisation, hvilket letter en mere proaktiv og responsiv tilgang til hændelseshåndtering.
