For kolonne 2-virksomheder er der ikke krav om et egentligt ledelsessystem, men et sæt kontrolprocedurer. For kolonne 3-virksomheder er der krav om et sikkerhedsledelsessystem med løbende revision og evaluering af systemet.
Ledelsessystem dækker i denne beskrivelse dermed over et sæt kontrolprocedurer for kolonne 2-virksomheder og et egentligt sikkerhedsledelsessystem for kolonne 3-virksomheder.
Sikkerhedsdokumentationen skal indeholde en beskrivelse af ledelsessystemet. Herved forstås, at der gives en overordnet beskrivelse af ledelsessystemet. Dette gøres, mest hensigtsmæssigt, ved at beskrive, hvilke overordnede ledelsesmæssige procedurer man har for at opfylde kravene i bekendtgørelsen:
- Organisation og personale
- Identifikation og vurdering af risiko
- Driftskontrol
- Kontrol af ændringer
- Håndtering af nødsituationer
- Løbende overvågning
- Revision og evaluering
Selve ledelsessystemet er et separat afsnit i sikkerhedsdokumentet/sikkerhedsrapporten. Procedurerne, der dækker kravene i risikobekendtgørelsen, skal vedlægges som bilag.
De fleste virksomheder har i forvejen et ledelsessystem, som kan tilpasses til kravene i risikobekendtgørelsen. Det gælder således de fleste virksomheder, som har indført ISO 9001 og/eller ISO 14001.
Dansk Standard har udgivet følgende standarder for risikoledelse:
- DS/ISO 31000:2009, Risikoledelse - Principper og vejledning
- DS/EN 31010:2010, Risikoledelse - Teknikker til risikovurdering
- DS/ISO Guide 73:2009, Risikoledelse - Ordliste
Opbygningen af et ledelsessystem gennemføres mest hensigtsmæssigt ved at udarbejde specifikke velafgrænsede procedurer for hver af virksomhedens arbejdsområder, opdelt enten på fysiske områder, processer eller andre relevante områder. Herved bliver procedurerne betydeligt lettere at anvende, end hvis det hele var skrevet i et stort dokument. Tilsvarende reduceres arbejdet med opdateringer og revisioner betydeligt.
Procedurer
Der er ingen faste regler for hvordan procedurer og instrukser, til brug for risikostyring, skal opbygges. Følgende generelle anbefalinger kan dog gives:
- Proceduren eller instruksen skal have en entydig identifikation og versionsstyring med versionsnummer og/eller dato, således at der ikke er tvivl om hvilket dokument, der henvises til og som er gældende.
- Det bør fremgå, hvem der har ansvaret for, at proceduren altid er opdateret og vedligeholdt i forhold til virksomhedens udvikling og øvrige regler og procedurer.
- Formål og gyldighedsområde bør fremgå, således at der ikke er tvivl om, hvad eller hvem, proceduren dækker eller ikke dækker.
- Dokumentets status bør fremgå, herunder om der er tale om et godkendt dokument eller et udkast til en ny version. Dersom ledelsessystemet er baseret på et elektronisk system vil dokumentstatus og versionsstyring ofte være automatisk. I sådanne systemer bør der til gengæld være regler for, at printede dokumenter højst er gyldige i en meget kort periode fra det tidspunkt de er printet, eksempelvis, kun samme dag.
- Selve indholdet af proceduren eller instruksen bør beskrives så kort og præcist som muligt. Det gøres bedst ved at dele beskrivelse op i små afsnit, beskrevet i en logisk rækkefølge. Det er vigtigt, at det for hver delaktivitet i beskrivelsen klart defineres hvem der har ansvaret for handlingen, tidsplanen og deadlines mv. i det omfang, at det er væsentligt eller nødvendigt.
- Det er vigtigt, at der med hensyn til ansvar ikke angives personer eller navne, men funktioner. Det er her nødvendigt, at der i systemet findes en, til hver tid, opdateret oversigt over organisationens opbygning og ansvarsfordeling.
- Det er vigtigt, at proceduren eller instruksen indeholder henvisninger til tilknyttede dokumenter i form af procedurer, instrukser og registreringer. Angivelser af tilknyttede dokumenter bør være så præcis, at det kan ses, at der ikke er huller i ansvarsfordelingen i ledelsessystemet.
- Ved at arbejde med små dokumenter opnås en god overskuelighed. Det bør derfor tilstræbes at procedurer og instrukser ikke fylder mere end et par A4 sider afhængig af virksomhedens størrelse og kompleksitet.
Revideret: 18.07.2018