ISO 45001: Din guide til sertifisering
Ifølge Den internasjonale arbeidsorganisasjonen (ILO) dør mer enn 7600 mennesker hver dag som følge av arbeidsrelaterte
ulykker eller sykdommer – det er over 2,78 millioner hvert år.
Først og fremst har dette enorme menneskelige kostnader. Samtidig er den økonomiske byrden av dårlige arbeidsforhold også betydelig, med anslagsvis 3,94 % av det globale bruttonasjonalproduktet per
år. Kjenner du til kostnadene ved arbeidsrelaterte ulykker og sykdommer i din virksomhet?
Hvis arbeidsplassen din ønsker å forbedre arbeidsmiljøet og sikkerheten, kan en ISO 45001-sertifisering utgjøre en stor forskjell. I dette innlegget kan du lese mer om denne ISO-standarden, hva som
karakteriserer den, hva du bør vite om den, og hvilke trinn du bør følge for å komme i mål.
Nyttige ting å vite om ISO 45001
Hva er ISO 45001?
ISO 45001 er en internasjonal standard som har som mål å sikre et godt arbeidsmiljø med kontinuerlig fokus på de ansattes fysiske og psykiske arbeidsmiljø. Med et styringssystem for
arbeidsmiljøet gjør du selskapets HMS-ledere oppmerksomme på eventuelle HMS-utfordringer, slik at bedriften din er garantert kontinuerlige målsetninger for de ansattes sikkerhet og helse.
ISO 45001:2018 erstatter OHSAS 18001 fra British Standards Institution, som vil bli trukket tilbake etter den treårige overgangsperioden. Virksomheter som er sertifiserte iht. OHSAS 18001 hadde i
utgangspunktet en frist til utgangen av mars 2021 for migrere sertifiseringen sin til ISO 45001. Om man har blitt forsinket i dette arbeidet på grunn av COVID-19, er det gitt en 6 måneders
utsettelse som varer ut september 2021.
Standarden er strukturert i henhold til samme struktur som ISO-standard 9001:2015 for kvalitetsstyring og ISO-standard 14001:2015 for miljøledelse – den såkalte høynivå strukturen (HLS), som
definert i vedlegg L, tidligere vedlegg SL. Høynivå strukturen er en overordnet struktur som starter med tre deler innledende informasjon, etterfulgt av syv deler basert på PDCA-syklusen
(Plan-Do-Check-Act).
Hvorfor bli ISO 45001-sertifisert?
Ønsker du å ha en god HMS-ledelse i virksomheten din, trenger du først og fremst et systematisk rammeverk. Det finner beskrevet i ISO 45001 Ledelsessystemer for arbeidsmiljø – Krav og
veiledning om bruk, som er en internasjonal anerkjent standard. Den norske versjonen, NS/ISO 45001:2018, kan kjøpes fra Standard
Norge. Den kan hjelpe virksomheten med å forhindre arbeidsrelaterte dødsfall, skader og sykdommer, å overholde kravene i regelverk, systematisk forbedre sikkerheten, og å nå HMS-målene som er
bestemt i virksomheten.
Det er ikke et regelverkskrav om at HMS-styringssystemer skal revideres av et uavhengig sertifiseringsorgan i henhold til ISO 45001-standarden, men det er obligatorisk om man ønsker en
sertifisering. Alternativt kan du velge å lage en egenerklæring om overholdelse av standarden for å unngå kostnadene ved en sertifisering. Noen forretningspartnere foretrekker eller krever imidlertid at deres leverandører og
entreprenører er sertifisert etter ISO 45001.
Hvordan skiller den nye ISO 45001 seg fra OHSAS 18001?
ISO 45001 fokuserer på prosesser, hele virksomheten og ulike interessenter. OHSAS 18001 er prosedyrebasert og tar ikke hensyn til interesserte parter utenfor den aktuelle virksomheten, og tar for seg kun risiko, i motsetning til ISO 45001 som tar for seg både risiko og muligheter.
Fokuserer på omverdenen
ISO 45001-standarden inneholder et nytt krav: Virksomhetens kontekst (punkt 4) må etableres. Med virksomhetens kontekst menes de forholdene som er relevante for virksomhetens formål, og som har en
positiv eller negativ innvirkning på de ønskede resultatene av HMS-styringssystemet. Eksempler på slike forhold er regelverk, det politiske eller konkurransedyktige miljøet samt endringer, i
tillegg til leverandører, partnere, ny teknologi eller ressurser. Det er ikke bare ansattes behov og forventninger som skal fastsettes, men også kravene til andre interessenter (som kunder,
aksjonærer, leverandører og personer som er berørt av virksomhetens aktiviteter). Behov og forventninger kan bli juridiske krav i fremtiden. Disse problemstillingen og kravene danner sammen med
arbeidsrelaterte aktiviteter, produkter og tjenester grunnlaget for innholdet i det systematiske HMS-arbeidet. Dette innholdet må dokumenteres. I praksis krever ISO 45001-standarden at virksomheten
gjennomgår sitt samspill med omverdenen og fremtiden, mens OHSAS 18001 fokuserte mer på egen virksomhet, dens fasiliteter og mennesker, samt gjeldende juridiske krav.
Ansattes rolle
Mens OHSAS 18001 fokuserte i praksis på egne ansatte, entreprenører og besøkende på virksomhetens arbeidsplass, inkluderer ISO 45001 ansatte fra eksterne leverandører, entreprenører,
enkeltpersoner, midlertidige arbeidstakere og andre personer som virksomheten eventuelt har ansvar for gjennom sitt arbeid eller sine arbeidsrelaterte aktiviteter (punkt 3.3). Entreprenører,
eksterne ansatte og til og med leverandører må inkluderes i sikkerhetsstyring som en del av omfanget. Toppledelsen er også inkludert som ansatte.
OHSAS 18001 stilte kun krav til å informere ansatte om virksomhetens retninglinjer for sikkerhet, juridiske krav og andre sikkerhetskrav, konsekvenser og egen rolle, mens ISO 45001 stiller krav til
å konsultere og involvere personell som ikke er i ledelsen. Deres behov og forventninger må tas i betraktning. ISO 45001 beskriver i detalj situasjonene der ansatte skal konsulteres og involveres.
For mer informasjon om dette, se pkt. 5.4. i standarden.
ISO 45001 introduserer muligheter i HMS-arbeidet
OHSAS 18001 dekker bare de negative risikoene – i OHSAS 18001 defineres «en risiko» som en kombinasjon av sannsynligheten og konsekvensene av en farlig hendelse, mens ISO 45001 definerer «risiko»
som en effekt av usikkerhet og påvirkning, som kan være både positiv og negativ. Derfor introduserer ISO 45001 begrepet HMS-mulighet, som er omstendigheter som kan føre til forbedring av
gjennomføringen av HMS-arbeidet på arbeidsplassen.
Hva er omfanget?
I likhet med OHSAS 18001 inkluderer ikke ISO 45001 produktsikkerhet, skade på eiendom eller miljøpåvirkning i andre henseender enn risiko for ansatte og andre relevante interessenter. Fokuset i ISO
45001 er fortsatt på risiko og muligheter i arbeidsmiljøet. Dette er beskrevet i punkt 1 i standarden.
Viktige punkter i ISO 45001 du bør vite
Det er en rekke punkter i ISO 45001 som er vesentlig forskjellige fra OHSAS. Nedenfor har vi samlet noen av punktene du bør være spesielt oppmerksom på.
Punkt 4.1: Forstå virksomheten og dens rammer og betingelser
Den første som identifiseres er alle relevante interne og eksterne problemstillinger som har innvirkning på virksomhetens evne til å oppnå de tiltenkte resultatene i det systematiske HMS-arbeidet.
Hvis du vil se en liste over et bredt spekter av eksempler, kan du se vedlegg A.4.1. Disse kan identifiseres på mange måter, for eksempel ved hjelp av en SWOT: Styrker, svakheter, muligheter,
trusler (SWOT) analyse eller en PESTLE (Pestle: Politisk, økonomisk, sosial, teknologisk, juridisk, miljømessig) analyse.
Les mer om virksomhetens rammeverk og vilkår her.
Punkt 4.2: Behovene og forventningene til ansatte og andre interessenter
I tillegg til ansatte må virksomheten identifisere andre interessenter som er relevante for virksomhetens systematise HMS-arbeid. Interessenter er personer eller virksomheter som kan ha innvirkning
på eller bli påvirket av (eller bare føle seg påvirket av) en beslutning eller aktivitet (punkt 3.2). Deretter må behovene og forventningene til de ansatte og identifiserte intressenter, samt
eksisterende eller potensielle fremtidige lovkrav knyttet til disse behovene og forventningene, identifiseres. Dette resulterer i en rekke krav.
Punkt 4.3: Omfanget av det systematiske HMS-arbeidet
Det tredje som kreves er dokumentasjon av produkter, tjenester og arbeidsrelaterte aktiviteter (operasjoner) som kan påvirke virksomhetens HMS-resultat. I lys av disse betraktningene, kravene og
operasjonene må det reelle omfanget av HMS-arbeidet dokumenteres. Omfanget skal være saklig og representativt for virksomheten.
Punkt 5.1, 5.2 og 5.3: Ledelse
I den nye ISO 45001-standarden er det lagt enda mer vekt på toppledelsen og engasjementet for systematisk HMS-arbeid enn i OHSAS 18001-standarden. Punkt 5.1 viser forpliktelsene til toppledelsen.
Kort sagt, toppledelsen må:
- Ta ansvar og eierskap for å tilby et trygt og sunt arbeidsmiljø og forebygge arbeidsrelaterte skader og sykdommer.
- Utarbeide HMS-retningslinjer (se punkt 5.2) og tilhørende mål i samsvar med virksomhetens strategi og standardens krav.
- Forsikre deg om at HMS-arbeidet når sine mål.
- Støtte kontinuerlig forbedring (PDCA-syklus).
- Integrer det systematiske HMS-arbeidet i virksomhetens forretningsprosesser.
- Sikre at kompetente ressurser er tilgjengelige for å utvikle og vedlikeholde det systematiske HMS-arbeidet.
- Deleger ansvar for å sikre at HMS arbeidet oppfyller standarden og at resultatene av HMS-arbeidet rapporteres til toppledelsen (se pkt. 5.3).
- Støtte mellomledere ved å vise lederskap.
- Etabler en virksomhetsskultur som bygger opp under retningslinjene og målene for HMS-arbeidet.
- Beskytt ansatte mot gjengjeldelse ved rapportering av hendelser og farer.
- Informer ansatte og andre interessenter om viktigheten av å ha effektiv internkontroll og å følge kravene som er bestemt for det systematiske HMS-arbeidet.
- Sørge for at det er prosesser for å konsultere og involvere de ansatte og at det er opprettet et arbeidsmiljøutvalg.
Toppledelsen må kunne dokumentere at disse forpliktelsene er oppfylt.
Punkt 5.4: Konsultasjon og involvering av ansatte
Toppledelsen må skape en kultur for åpen kommunikasjon, og dette må støttes av ledelsen på mellom- og lavere nivå. Gjennom en kombinasjon av lederopplæring, eksisterende og nye prosesser og
verktøy, og ved å bryte ned barrierer for deltakelse, kan folk i virksomheten oppnå en åpen og trygg sikkerhetskultur der ansatte står fritt til å uttrykke sine synspunkter og hvor deres innspill
blir verdsatt. Ansatte skal til en hver tid enkelt ha tilgang til tydelig og forståelig informasjon om det systematiske HMS-arbeidet og hva det innebærer.
Dette punktet inneholder en egen liste over situasjoner der ansatte uten lederansvar må konsulteres og involveres. Dette gjelder i hovedsak spørsmål der ansatte har spesifikk kunnskap eller
erfaring, eller problemer som direkte påvirker ansatte, for eksempel identifisering av farer, undersøkelser av hendelser, fastsettelse av kontrolltiltak eller avklaring av ansattes behov for
opplæring. Ansatte uten lederansvar skal konsuleteres i saker som gjelder styringen av HMS-arbeidet, som interessenters behov og forventninger, retningslinjer for HMS-arbeidet og sikkerheten,
roller i virksomheten osv.
Punkt 6.1: Tiltak for å håndtere risiko og muligheter
Risikoene og mulighetene som skal håndteres baserer seg på omfanget (punkt 4.3), kravene (punkt 4.2), problemstillingene (punkt 4.1), lovkravene og andre krav (6.1.3) og mulighetene for å eliminere
farer eller redusere risiko (6.1.2.3).
Farer må identifiseres (6.1.2.1) og risiko vurderes (6.1.2.2). Standarden krever opprettholdelse av en pågående og proaktiv prosess for fareidentifikasjon og definering av metodene som skal brukes
til å identifisere farer og muligheter. En god tilnærming er ofte et gruppemøte (vanligvis 2-6 personer) bestående av ansatte og mellomledere som representerer de relevante fagområdene i tillegg
til en HMS-ansvarlig, der man bruker en grundig fareidentifikasjonsmetode (f.eks. et programvareverktøy). Dette kan vanligvis være en kombinasjon av tilstrekkelig omfattende sjekklister og
nøkkelord. På bakgrunn av dette gjennomfører man en økt med idémyldring der fokuset er på risikoene og mulighetene som må løses. Et åpent sinn på dette stadiet er viktig.
Risikovurdering og evaluering krever derimot analytisk tenkning. Derfor kan du vurdere å la arbeidstakergruppen gjennomføre risikovurderingen separat fra fareidentifikasjonen. Risikovurderingen
skal gjennomføres systematisk. Den skal baseres på virksomhetens spesifikke, forhåndsdefinerte metode(er) og risikoklassifiseringskriterier (se 6.1.2.2). Her vil en risikomatrise vanligvis brukes
til å avklare sannsynligheten og alvorlighetsgraden til en hendelse.
Det er alltid å foretrekke å redusere alvorlighetsgraden av en fare ved å bruke grunnleggende sikkerhetsregler; Dette kan også være HMS-muligheter. Bruk det såkalte farekontrollhierarkiet:
- Eliminering av fare (Trevor Kletz, 1978: det du ikke har, kan ikke lekke).
- Substitusjon av faren. Faren erstattes med mindre farlig fare. Med andre ord reduseres faren ved å ta i bruk grunnleggende sikkerhetsmekanismer. Dette gjøres ved å:
- redusere mengden farlige materialer (minimere),
- bruk mindre farlige materialer eller prosesser (erstatninger),
- minimere de farlige forholdene og redusere konsekvensene ved hjelp av smart utforming (moderat),
- forenkle arbeidsflyt eller materialflyt (forenkle),
- teknisk utforming som håndterer problem uten å ta skade (feiltoleranse). Dette kan for eksempel gjøres ved å bruke sterkere deler, avgrense og lukke inne de farlige prosessene og legge til
ekstra inneslutning, installere automatiske sprinklersystemer, eksplosjonspaneler, etc.
- Gjennomføringav tekniske kontrolltiltak
- benytte instrumenter og kontrolltiltak (sannsynlighetsreduksjon);
- benytte sensorer, alarmer, automatiske sikringssystemer, sprinkleranlegg, etc. (reduksjon av sannsynlighet)
- sørge for at det er beredskapstiltak i forhold til de identifiserte farene, for eksempel tap av inneslutning, brann og eksplosjon, for eksempel brannslukkingsutstyr, røyk- og brannalarmer
og opplæring av ansatte. - bruke sprinkleranlegg, sensorer og alarmer, brannslukningsmonitorer, etc. (aktiv beskyttelse, begrensning av konsekvens);
- Gjennomføring av administrative kontrolltiltak
- prosedyrer, sjekklister, inkludert personalopplæring, testing, vedlikehold og regelmessige øvelser;
- bruke relevant personlig verneutstyr (PVU)
Lovkrav og andre krav som er relevant for farene i virksomheten må følges. Tiltak bør alltid vurderes i ovennevnte rekkefølge: eliminasjon, substitusjon, tekniske kontrolltiltak, administrative
kontrolltiltak. Personlig verneutstyr er ikke den første løsningen man skal vurdere for å håndtere en fare, men det kan være den eneste mulige løsningen.
Det anbefales å holde risikomatrisen så enkel som mulig, eller å ha en tydelig definisjon i metoden for hvordan alvorlighetsgraden og sannsynligheten skal spesifiseres. Formålet med dette er å
unngå lange diskusjoner om hvilket felt i risikomatrisen den aktuelle risikoen tilhører, og sikre at risikovurderingsresultatet er uavhengig av hvilket team som gjennomfører risikovurderingen.
I mange tilfeller er en enkel 3×3 risikomatrise nok til å klassifisere yrkesrisiko. Alvorlighetsgraden av en forretningsfare avhenger av virksomheten og prosessene. En fare som potensielt kan ha
permanente eller alvorlige konsekvenser for ansatte, kan klassifiseres som en alvorlig risiko. En fare som potensielt kan forårsake betydelig skade og sykefravær for en ansatt, er klassifisert i
denne matrisen som en moderat risiko. En fare som kan føre til midlertidige og mindre plager eller mindre skader som ikke krever medisinsk behandling eller sykefravær, kan klassifiseres som en
ubetydelig risiko.
I stedet for å bruke absolutte sannsynligheter, som for eksempel én gang i året, én gang hvert tiende år osv., kan tre følgende kontrollnivåer brukes på den andre aksen i stedet:
- Faren er under tilstrekkelig kontroll / det har ikke vært noen problemer
- Kontroll på farene kan bli bedre / det har vært problemer
- Store problemer med å få faren under kontroll / Det er ofte problemer
På denne måten kan du avklare om det er behov for ytterligere tiltak. Det er relativt enkelt å vurdere yrkesrisiko ut fra dette kriteriet
Eksempel på 3×3 risikomatrise:
Forebyggende tiltak er nødvendig for moderat, høy og uakseptabel risiko i denne risikomatrisen. I høyrisikoindustri brukes mer komplekse risikomatriser (for eksempel en 5×5-matrise med logaritmiske
sannsynligheter) og risikovurderingsmetoder.
Punkt 8.3, 8.4 og 8.5: Innkjøp, entreprenører og outsourcing
ISO 45001 krever en eller flere prosesser for å kontrollere anskaffelsen av produkter og tjenester for å sikre at de er i henhold til virksomhetens HMS-styringssystem. De definerte HMS-kriteriene
skal brukes ved valg av entreprenører. Bygningsarbeidere må følge kravene i virksomhetens HMS-styringssystem, og farer og risikoer for virksomheten knyttet til entreprenørens aktiviteter, samt
farer og risikoer for entreprenøren knyttet til virksomhetens aktiviteter, må vurderes og kontrolleres. For eksempel kan dette gjøres som følger:
- Entreprenøren har ISO 45001-sertifisering, eller
- Entrepenøren skal ha en egenerklæring om overholdelse av ISO 45001 og/eller
- Kunden eller en tredjepart utfører HMS-revisjoner og observasjoner hos entreprenøren, og
- Tilbud og kontrakt inneholder nødvendige og tydelige HMS-krav, inkludert krav til rapportering, reglement og sikkerhetsmøter;
- Møter og dokumentasjon for å koordinere sikkerheten avholdes og utarbeides før jobben startes på.
Obligatoriske dokumenter og rapporteringer etter ISO 45001
Kontroller at følgende dokumentasjon er tilgjengelig:
Obligatoriske dokumenter:
- HMS-styringsystemets virkeområde (punkt 4.3)
- HMS-retningslinjer (- > punkt 5.2)
- Ansvar og myndigheter i internkontrollen (punkt 5.3)
- HMS-prosesser for håndtering av risiko og muligheter (- > punkt 6.1.1).
- Metoder og kriterier for vurdering av HMS-risikoer (- > punkt 6.1.2.2)
- HMS-mål og hvordan de oppnås (- > punkt 6.2.2).
- Beredskap og handlingsplan (punkt 8.2)
Obligatoriske rapporteringer:
- HMS-risikoer og muligheter og tiltak for å håndtere dem (- > punkt 6.1.1).
- Lovkrav og andre relevante krav (punkt 6.1.3)
- Dokumentasjon av kompetanse (punkt 7.2)
- Dokumentasjon av kommunikasjon (punkt 7.4.1)
- Beredskap og handlingsplan (punkt 8.2)
- Resultater fra overvåking, målinger, analyser og evaluering av resultater (9.1.1)
- Vedlikehold, kalibrering eller verifisering av overvåkingsutstyr (9.1.1)
- Resultater av samsvarsevaluering (- > punkt 9.1.2)
- Plan for internrevisjon (punkt 9.2.2)
- Internrevisjonsrapport (punkt 9.2.2)
- Resultater fra ledelsesevaluering (punkt 9.3)
- Hendelser eller avvik og tilknyttede tiltak som er iverksatt (punkt 10.2)
- Resultater av tiltak og korrigerende tiltak, inkludert deres effektivitet (punkt 10.2)
- Dokumentasjon på resultatene fra arbeid med kontinuerlig forbedring (punkt 10.3)
Din vei til en ISO 45001-sertifisering
Hvis din virksomhet ønsker å bli sertifisert i henhold til ISO 45001, anbefaler vi at du følger disse trinnene:
- Lær mer om standarden.
- Opprett et kompetent, motivert og representativt prosjektteam. Sørg for at prosjektgruppen og interne revisorer får nødvendig opplæring. Involver representative linjeledere og ansatte.
- Utfør en gapanalyse av det eksisterende system for internkontroll sammenlignet med kravene i ISO 45001. Dette gjøres ved å sette alle eksisterende elementer i det eksisterende
internkontrollsystemet opp mot ISO 45001-standarden og se hvor det er avvik. Selv om virksomheten ikke er sertifisert i henhold til OHSAS 18001, krever nasjonal HMS-lovgivning at virksomheten
allerede har mange av elementene på plass. - Utarbeide en prosjektplan, inkludert datoen for en overgangsrevisjon i samarbeid med prosjektgruppen og representanten for sertifiseringsorganet.
- Lukk avvikene. Avvikene består vanligvis av de ovennevnte nye punktene i ISO 45001-standarden. Deleger ansvar for å korrigere avvikene, dokumentere prosessen, informere og lære opp virksomheten
i de nye prosedyrene og å følge opp fremdriften. Kontroller at de endrede prosedyrene er implementert. - Gjennomfør en internrevisjon og korriger alle avvik før overgangsrevisjonen.
- Planlegg overgangsrevisjonen for å oppnå sertifiseringen.
- Sett sammen et lite team bestående av representanter fra linjeledelse, ansatte og interne revisorer som kan opprettholde og forbedre internkontrollen.
Gjør ledelsen av ISO 45001-sertifiseringen enklere
God HMS-ledelse og -utvikling på 2020-tallet krever digitale prosesser og verktøy. En funksjonell og brukervennlig digital
løsning gjør det mulig for alle ansatte å bidra til et trygt arbeidsmiljø. Vår software, EcoOnline EHS, er spesielt designet for å møte disse HMS-behovene. Programvaren er enkel å implementere i
samarbeid med oss og et godt hjelpemiddel til å implementere ISO 45001-standarden, samt involvere ansatte i disse aktivitetene og dermed ta sikkerhetskulturen til neste nivå.