Konsernrevisjonen var i fjor høst på befaring til Kvanndalsvatnet i Eksingedalen. Fra venstre anleggsleder. Einar Hovda Nilsen, HMS-rådgiver Stein Edvardsen, verneombud May Irene Langhelle og prosjektleder Bjørnar Rettedal. (Foto: Mette D. Storvestre)
Konsernrevisjonen var i fjor høst på befaring til Kvanndalsvatnet i Eksingedalen. Fra venstre anleggsleder. Einar Hovda Nilsen, HMS-rådgiver Stein Edvardsen, verneombud May Irene Langhelle og prosjektleder Bjørnar Rettedal. (Foto: Mette D. Storvestre)

Er kultur et tema for internrevisjon?

Publisert

KRONIKK av Veronica S. Kvinge, prosjektleder i konsernrevisjonen, BKK og Mette D. Storvestre, konsernrevisjonssjef i BKK.

Er kultur et tema for en internrevisjon? Ja, i aller høyeste grad sier Veronica S. Kvinge og Mette D. Storvestre i BKK. I denne artikkelen peker de på at kultur er et område der en internrevisjon virkelig kan tilføre verdi til organisasjonen. I BKK utfører mange ansatte farlig arbeid, og risikoen må reduseres med sikkerhetstiltak. Etter flere revisjoner på sikkerhetsområdet i BKK, viser funnene at kultur er en av de viktigste rotårsakene til gjentakende positive observasjoner men også til forbedringsområder.

[Annonse]

BKK, Veidekke, Statoil, AF Decom, Statnett, Arbeidstilsynet, Petroluemstilsynet og flere andre deltar med foredrag på Høydekonferansen. Kommer du?

[Annonse slutt]

Det er vanligvis ikke mangler i retningslinjer og prosedyrer som er årsak til at ulykker skjer, men kulturen, det som sitter i veggene i BKK. Det lederne gjør, og det de aksepterer at utførende personell gjør, blir praksis. Derfor er det viktig for en internrevisjon å finne rotårsaken til en ulykke, og ikke bare registrere at regler blir brutt.

At kultur er et område som bør revideres får støtte fra flere hold. James C. Paterson(1) legger til grunn at kultur er et område det er viktig at internrevisjonen dekker, men også at det er et komplekst område å forholde seg til. IIA i UK utgav i 2014 en veileder med tittelen «Culture and the role of internal audit – looking below the surface”. I introduksjonen til denne veilederen slås det fast at internrevisjonen vil få en stadig viktigere rolle når det gjelder å revidere ulike kulturelle aspekter ved en organisasjon. Også nasjonalt settes kultur på agendaen. NTNU har blant annet utviklet en modell, Pentagonmodellen, for å analysere sikkerhetskultur i et utvidet perspektiv. Det ser dermed ut som det er på tide at internrevisjonsenheter som mener kultur ikke er et relevant tema, begynner å tenke nytt og utvider sin oppdragsportefølje.

Hva er sikkerhetskultur?

Sikkerhetskultur handler om felles verdier og normer om sikkerhet i en virksomhet som får betydning for arbeidspraksisen, altså hvordan vi gjør det hos oss. Begrepet dukket opp på 1980-tallet etter storulykker som Challenger og Tsjernobyl, der en dårlig sikkerhetskultur ble trukket frem som en rotårsak til ulykkene.

Den viktigste indikatoren på sikkerhetskultur i organisasjoner er hvordan ansatte aktivt forholder seg til sikkerhet i det daglige. En moden kultur kjennetegnes ved at sikkerhet gjennomgående prioriteres i forhold til andre mål helt fra øverste nivå i organisasjonen og ned til utførende personell. Dette innebærer at vi ikke bare sier at vi skal jobbe sikkert, men at vi jobber sikkert.

HMS-arbeidet kan forenklet sies å bestå av mennesker, prosedyrer og utstyr som virker sammen i en helhet. Det krever systematisk arbeid over tid før et sikkert arbeidsmiljø vil være etablert basert på et godt samspill mellom disse tre delene.

Kan man revidere en kultur?

Høsten 2016 reviderte konsernrevisjonen sikkerhetskulturen i BKK Produksjon, et av BKKs datterselskaper. Da vi tok fatt på denne oppgaven, var det første gang vi adresserte deler av en kultur som et revisjonstema, og det var ikke helt åpenbart for oss hvordan vi skulle gripe an arbeidet. Kritiske røster stilte spørsmål ved hvordan vi skulle kunne revidere en kultur, og anførte at det ikke «fantes et revisjonskriterium ».

Vi konkluderte med at sikkerhetskulturen måtte sees i sammenheng med konsernets sikkerhetsstyring. Sikkerhetsstyring har vi tolket som det systematiske arbeidet som har betydning for sikkerhetskulturen, og det omfatter i vårt tilfelle konsernets rammeverk med styrende dokumentasjon knyttet til personsikkerhet, systemet vi benytter for å rapportere ulykker og nesten ulykker, etablerte prosesser for å analysere rapporterte hendelser, systematisk arbeid for å innarbeide læring fra rapporterte hendelser også videre. En tilfredsstillende sikkerhetsstyring er nødvendig for å oppnå en moden sikkerhetskultur, men sikkerhetskulturen trenger ikke være moden selv om sikkerhetsstyringen er god. Sikkerhetsstyringen i konsernet ble vurdert opp mot gjeldende krav og mot god praksis. For sikkerhetskultur finnes det ikke tilsvarende klart definerte krav, så her ble revisjonskriteriet god praksis.

Metode og rammeverk

Formålet med revisjonsoppdraget var å vurdere arbeidet med sikkerhetskultur i BKK Produksjon og foreslå tiltak som kan bidra til å nå nullvisjonen(2). Oppdraget pågikk over 3 måneder og inkluderte befaring av flere anleggsplasser, gjennomgang av omfattende dokumentasjon samt intervju av om lag førti personer. Det ble lagt vekt på å intervjue et stort antall personer i «den skarpe enden», altså personer som faktisk utfører det farlige arbeidet i BKK. Det ble også gjennomført intervju med ledere på alle nivå fra førstelinjeledere på anleggsplassen til konsernsjef, samt med tillitsvalgte, verneombud, kvalitetsleder, bedriftslege, HMS-personell, beredskapsleder og lærlinger. Dette ble gjort for å få et best mulig grunnlag for å kunne vurdere statusen på området.

Konsernrevisjonen var i fjor høst på befaring til Kvanndalsvatnet i Eksingedalen. Fra venstre anleggsleder. Einar Hovda Nilsen, HMS-rådgiver Stein Edvardsen, verneombud May Irene Langhelle og prosjektleder Bjørnar Rettedal. (Foto: Mette D. Storvestre)
Konsernrevisjonen var i fjor høst på befaring til Kvanndalsvatnet i Eksingedalen. Fra venstre anleggsleder. Einar Hovda Nilsen, HMS-rådgiver Stein Edvardsen, verneombud May Irene Langhelle og prosjektleder Bjørnar Rettedal. (Foto: Mette D. Storvestre)

Vi tok utgangspunkt i James Reasons(3) perspektiv på sikkerhetskultur: en kultur kan endres over tid ved å påvirke adferd i ønsket retning(4). Reason kaller en kultur for sikker arbeidspraksis en informert kultur. Han beskriver dette som en kultur der alle forstår og respekterer farene ved arbeidet. De er oppmerksomme på hva som kan gå galt og tar sine forholdsregler for å unngå skader og ulykker. En informert kultur består ifølge Reason av de fire delene rapporterende, rettferdig, fleksibel og lærende(5).

Pentagonmodellen, som er utviklet ved NTNU , ble benyttet for å analysere BKKs arbeidspraksis. Den viser sammenhengen mellom relasjoner, samhandling, kultur, formell struktur og teknologi og utstyr. Modellen tar utgangspunkt i at arbeidspraksisen i en bedrift blir påvirket og formet av formelle rammebetingelser som hvordan arbeidet er organisert, ansvaret er fordelt og hvilke regler / prosedyrer som gjelder, og av uformelle rammebetingelser som hvilken kultur som er rådende, hvordan relasjonene mellom grupper som skal samarbeide er og hvordan samhandlingen foregår.

Figur 1: Pentagonmodellen slik den er benyttet i BKK
Figur 1: Pentagonmodellen slik den er benyttet i BKK

Noen kjennetegn ved en moden sikkerhetskultur

I en moden sikkerhetskultur går lederne foran som gode eksempler – walk the talk! Det er ikke et effektivitetspress som går på bekostning av sikkerheten, og kommunikasjonen om dette er utvetydig. Dersom det å utføre en jobb sikkert innebærer at den ikke kan gjøres innenfor budsjettert kostnad eller planlagt tidsramme, vil det intuitive valget for både ledere og anleggsarbeidere likevel være å utføre den sikkert. Lederne berømmer medarbeidere som griper inn og stopper farlig arbeid for å iverksette nødvendige tiltak. Lederne er synlige på anleggsplassen, de aksepterer ikke avvik og de griper inn dersom de observerer farlige situasjoner. Å bare rapportere en hendelse men ikke gå i dialog med involvert personell, oppleves som uakseptabelt.

Både ledere og øvrige medarbeidere tror at nullvisjonen kan oppnås. De er klar over farene et arbeid innebærer, og de etablerer nødvendige barrierer for å hindre hendelser. Det er en forbedringsorientert kultur som aktivt innarbeider erfaringer for å lære av tidligere hendelser. Ansatte trives på jobb, de sier fra til hverandre dersom de opplever farlige situasjoner, etterlever etablerte sikkerhetskrav og tar ikke unødvendig risiko.

Ledere og utførende personell har gjennomført nødvendig sikkerhetsopplæring og dilemmatrening, og føler seg trygge i arbeidet. Arbeidsoppgaver planlegges godt, og medarbeidere benytter nødvendig verneutstyr også når de skal utføre mer tilfeldige småjobber. Risikovurderinger og identifisering av nødvendige tiltak gjøres i samarbeid med utførende personell ved milepæler og ved endringer. Det gjøres også i forbindelse med det daglige arbeidet når den enkelte medarbeider ser behov for det. Ledere delegerer ansvar til utførende personell slik at de selv kan beslutte og iverksette nødvendige tiltak på anleggsplassen i et rimelig omfang.

Medarbeidere og ledere rapporterer hendelser for å lære av dem. Alvorlige hendelser følges opp på en konstruktiv måte og i en trygg setting for å lære av det som har skjedd. Det er ingen jakt på syndebukker, og medarbeidere vegrer seg ikke for å rapportere hendelser av frykt for konsekvenser for seg selv eller sine kollegaer. Erfaringsdeling skjer både mellom prosjekt og enheter, og det er lagt til rette slik at det er lett å finne frem erfaringer fra lignende jobber.

Tunnelarbeid kan være risikofylt. Arbeidet må planlegges godt og nødvendige tiltak iverksettes for å unngå ulykker. Her forestår Jan Agnar Trengereid (t.h.) og Arne Langedal tunnelrensking. (Foto: Jarle Hodne)
Tunnelarbeid kan være risikofylt. Arbeidet må planlegges godt og nødvendige tiltak iverksettes for å unngå ulykker. Her forestår Jan Agnar Trengereid (t.h.) og Arne Langedal tunnelrensking. (Foto: Jarle Hodne)

Beskrivelse av modenhetsnivå

Vi vurderte ulike måter å presentere resultatet av arbeidet på, og landet på at bruk av en modenhetsskala i dette tilfellet la til rette for en konstruktiv dialog om hvordan vi kan oppnå en enda sikrere arbeidspraksis i selskapet. En modenhetsskala ble også benyttet fordi det er vanskelig å gi en sikkerhetskultur en «karakter», samtidig som det vil være grunnlag for å si noe om nivået sammenlignet med beste praksis i bransjen.

Modenhetsmodellen ble benyttet aktivt i kommunikasjonen med revidert enhet. Ledelsen ble oppfordret til selv å vurdere modenhetsnivået på sikkerhetskulturen i selskapet, og det viste seg at denne i stor grad sammenfalt med vår vurdering.

Figur 2: BKKs modenhetsmodell for sikkerhetskultur – avledet av Hudsons kulturelle stige (2007)
Figur 2: BKKs modenhetsmodell for sikkerhetskultur – avledet av Hudsons kulturelle stige (2007)

Hva nå?

BKK Produksjon har over flere år arbeidet aktivt med sikkerhetskulturen i selskapet, har HMS-kompetanse og gode rollemodeller. Vi fant en rekke positive trekk ved sikkerhetskulturen i selskapet, men identifiserte også noen forbedringsområder, og det ble avtalt fem tiltak for å oppnå en enda sikrere arbeidspraksis. Sluttrapporten ble godt mottatt, og reviderte enheter er allerede godt i gang med arbeidet med å følge opp tiltakene. Vi legger til grunn at revisjonen har tilført verdi på et svært viktig område – alle skal komme trygt hjem hver dag!

Konsernrevisjonen i BKK har altså etablert en modell for å vurdere sikkerhetskulturen i et selskap, og vi ser ingen grunn til å stoppe der. Arbeidet med å gjennomføre et tilsvarende oppdrag inn mot BKKs entreprenørselskap er allerede godt i gang, og vi har også en ambisjon om å vurdere sikkerhetskulturen i nettselskapet vårt.

Å evaluere en sikkerhetskultur er ikke bare relevant når det gjelder personsikkerhet. Vi leker med tanken om å overføre konseptet til et annet høyaktuelt område, nemlig IKT-området. Også der er det et samspill mellom formelle og uformelle rammebetingelser, og også der står den menneskelige dimensjonen helt sentralt for å kunne oppnå et godt resultat. Stadig flere angrep er rettet mot medarbeidere, for eksempel i form av phishing. Årvåkne medarbeidere med gode grunnholdninger og fokus på informasjonssikkerhet blir stadig viktigere. Dette tilsier at det kan være hensiktsmessig med en gjennomgang av sikkerhetskulturen også på IKT-området.

  1. James C. Paterson er tidligere revisjonssjef for Astra Zeneca PLC, forfatter av en rekke bøker og artikler på revisjonsområdet, samt en anerkjent foredragsholder innen internrevisjon.
  2. BKK har en nullvisjon, altså en målsetting om å unngå alle personskader.
  3. James Reason er professor i psykologi på universitetet i Manchester, og har utgitt en rekke publikasjoner knyttet til temaet sikkerhetskultur.
  4. Et annet perspektiv er det fortolkende, der en kultur beskrives og fortolkes, men anses ikke å være påvirkbar.
  5. Jf. f eks. «Sikkerhet i organisasjoner» av Trond Kongsvik ved NTNU, 2013, for mer om Reasons perspektiv.
  6. Per Morten Schiefloe m.fl., NTNU (2008)
  7. Kronikken ble først publisert på IIA.no. Gjengitt med nettstedet og forfatternes tillatelse.

Powered by Labrador CMS