Nyhet · 2024-05-22

Fortifikationsverket: integrerade ledningssystemet klarar mängder av krav och standarder

Organisationer har ofta många krav och standarder som ska integreras i organisationens ledningssystem. Hur får man ihop helheten? Svar får vi när SIS utbildningsledare Malin Källbacka möter tre personer inom Fortifikationsverket med särskilda insikter i frågorna.

toppbild.png

Malin Källbacka: I de flesta organisationer som jag arbetar med i dag finns åtminstone tre till fem olika ledningssystemstandarder. Utöver det finns det även många produktstandarder som ska hanteras i organisationens ledningssystem, detta ska vi diskutera i dagens paneldiskussion.

Första frågan: vad behöver organisationer göra för att hantera en kraftig tillväxt i kombination med ökade krav och mål?

Sigrid Lange Silver: Utifrån perspektivet ledningssystem som vi pratar om här i dag, skulle jag säga att det primära är att förvaltning och utveckling av ledningssystemet samt att arbetet med att ständigt förbättra verksamheten inte prioriteras ned just när det behövs som mest.

Morgan Pettersson: Det är viktigt att hela verksamheten går åt samma håll och då är processer ett mycket bra verktyg för att skapa en gemensam väg framåt. Våra processer ska lira med varandra, och väva samman våra processer till en helhet.

Sigrid: Det senaste året har vi gjort en väldigt stor förflyttning mot att våra processer ska beskriva det värdeskapande flödet genom hela myndigheten mer, oberoende av vilken organisatorisk del som är ansvarig för respektive del. Detta i kombination med att alla processer successivt anpassas mer och mer utifrån målgruppens behov, så att användarna hittar den information som är relevant för just dem, när de behöver den, är väldigt viktigt för att vi ska uppnå ett ledningssystem som stödjer i tillväxt.

Morgan: Ja, utvecklingen har gått starkt framåt. Verksamheten har identifierat behovet och lagt krut på att identifiera gränssnitt, sett över vad som fattas och försökt få ihop helheten för respektive process. Samtidigt är det viktigt att vi på enheten Kvalitet och Miljö stödjer i detta och säkerställer enhetlighet genom hela ledningssystemet så att hela Vårt arbetssätt blir enhetligt, målgruppsanpassat och användarvänligt.

Susanne Lyckfjäll: Vi som myndighet i kraftig tillväxt behöver lägga särskilt vikt vid att vi arbetar med en hög precision i allt vi gör. Vi behöver lägga krutet på att göra rätt saker för att uppnå högsta möjliga effekt i våra leveranser. Vi behöver alla ha samma målbild och det måste vara tydligt hur och vad som ska göras och vem som ska göra det. Ett integrerat ledningssystem är en förutsättning för detta.

Malin: Målgruppsanpassat och användarvänligt är en av framgångsfaktorerna vad jag förstår, kan ni utveckla och beskriva detta?

Sigrid: Med målgruppsanpassat menar vi att olika målgrupper har olika behov av stöd, men att alla också har en grundläggande kompetens. Exempelvis så beskriver de processer som våra projektledare arbetar i inte hur en projektledare ska arbeta, utan snarare hur de leder projekt på Fortifikationsverket. Eller att hur vi utför tillsyn och skötsel är i den processen beskrivet utifrån hur detta planeras, utförs och följs upp i vår verksamhet, inte hur en tekniker utför tillsyn ock skötsel generellt. Sedan är också omfattningen på processerna olika utifrån olika målgrupper och benämningar med mera är anpassat så att vi pratar samma språk. Projektprocessen är mer omfattande medan processen för tillsyn och skötsel är mindre omfattande då teknikerna i stället har ett fastighetssystem som de arbetar i som är i enlighet med styrningen i processen.

Sedan har vi processer som alla medarbetare berörs av i olika omfattning och dessa behöver vara anpassade så att alla kan ta till sig och arbeta i enlighet med den. Här kan nämnas processer kopplade till hur vi arbetar med säkerhet och sekretess eller arbetsmiljö.

Morgan: När det gäller miljö så är det viktigt att säkerställa att väva in styrning och stöd gällande exempelvis miljöfarlig verksamhet i de processer som berörs av detta. Detta ska inte ligga separat utan ska vara integrerat i organisationens verksamhetsprocesser.

Susanne: En annan del är att skära processerna på ett sätt som ökar möjligheten att länka in dem smidigt i verksamhetens andra processer, till exempel att en användare som följer en process länkas vidare till att genomföra säkerhetsskyddsplanering.

Sigrid: Jag brukar beskriva detta som att du kan tänka dig en process som en tårta där de olika lagren av fyllning i tårtan motsvarar olika kravlager. Ett lager är krav utifrån kvalitetsperspektivet som då omfattar kvalitetskrav, användarkrav med mera, ett annat lager i tårtan motsvarar krav utifrån miljö, ett tredje krav utifrån säkerhet och sekretess, arbetsmiljö eller intern styrning och så vidare.  När en av våra medarbetare sedan tar en rutin från ledningssystemet ska alla dessa krav omfattas, precis som att när du tar en bit av tårtan får du med alla tårtlager.

Malin: Vilka ledningssystemstandarder och certifikat hanteras i er organisations ledningssystem?

Sigrid: Fortifikationsverket är certifierade mot ISO 9001 och 14001 men ledningssystemet ska även möta upp mot gällande krav i ISO 27001 samt krav på ett ledningssystem för arbetsmiljö så klart. Högsta ledningen är väldigt tydliga med att alla dessa krav ska integreras i Vårt arbetssätt, som är myndighetens integrerade ledningssystem.

Morgan: Sedan berörs ju vår verksamhet av väldigt många standarder utöver dessa. Vi abonnerar på nästan 100 standarder varav en hel del kopplar till egen produktutveckling. Nu när vi gått med i NATO så tillkommer fler krav och standarder.

Sigrid: Detta innebär så klart att våra processer anpassas löpande utifrån att nya krav kommer eller befintliga ändras.

Malin: Vilka lärdomar och erfarenheter kan ni dela från ert arbete med att integrera lagkrav och andra krav, ledningssystemstandarder och produktstandarder i er verksamhet?

Susanne: Jag tror att det är oerhört viktigt att alla medarbetare förstår myndighetens uppdrag, varför vi finns och vad vi är satta att bidra med. Tydlighet kring just regelefterlevnad utgör då en del i att myndigheten faktiskt ska kunna genomföra sitt syfte och den större uppgiften. Som exempel kan nämnas att vi har inlett en årligt återkommande informationssäkerhetsmånad. Den innehåller bland annat riktade utbildnings- och kommunikationsinsatser för att skapa medvetenhet och en generell kompetenshöjning inom vårt område. Efteråt kunde vi se i uppföljningar att det gav väldigt positiv effekt samtidigt som insatsen var mycket uppskattad av medarbetarna. 

Morgan: Det gäller att vara ödmjuk inför uppgiften då mycket ligger utspritt i vår stora organisation. Att inte gå för fort fram så att alla är med i båten och vid intern kommunikation verkligen fokusera på värdet av arbetet. Förringa inte vikten av kommunikation, upprepa och kommunicera.

Sigrid: Min erfarenhet är att detta kan vara lättare att komma framåt med om arbetet sker successivt. Alla kan nog vara överens om att det inte alltid är så lätt att identifiera och formulera dessa interna och externa krav som det kan framstå när en standard läses. Att sedan integrera dessa fullt ut i hela verksamheten är lättare sagt än gjort. När det gäller att identifiera kraven kan det vara en fördel att tänka på att alla intressenter och krav inte väger lika tungt. Därför kan det vara bra att identifiera alla krav på en specifik process, delprocess eller aktivitet med stöd av ett ”lök”-perspektiv. Börja med det yttersta lagret och arbeta inåt lager för lager över tid genom små ständiga förbättringar.

När det gäller att integrera dessa i hela verksamheten är det tänket med tårtan i kombination med målgruppsanpassade utbildnings, kommunikations- och stödjande insatser över tid som gäller. Men ju mer anpassat utifrån målgruppen vi paketerar det desto lättare kommer det att gå.

Malin: Hur kan utmaningarna se ut?

Sigrid: Några av utmaningarna med en verksamhet i stark tillväxt i en omvärld som ständigt förändras innebär också att krav och förutsättningar förändras löpande. I detta är det en stor utmaning att säkerställa att vi har ett ledningssystem och att det är där vi samlar vår styrning så att verksamheten kan hitta den lätt när de behöver den, så att inte parallella spår skapas i all hast.

Jag brukar beskriva det så här: tänk dig att varje ISO-standard för ett ledningssystem kan ses som en stomme till en garderob där exempelvis lagar och krav utgör ryggen av garderoben, riskhanteringen ena sidoväggen och ständiga förbättringar den andra sidoväggen och så vidare. Tänk dig sedan att du måste gå till kvalitetsgarderoben i ett rum för att hämta strumpor, en miljögarderoben i ett annat rum för att hämta byxor och en informationssäkerhetsgarderoben i ett tredje rum för att hämta en tröja. Så fungerar det ofta, men det är inte särskilt resurseffektivt. Om vi däremot har ett integrerat ledningssystem i form av en garderob anpassad för så väl strumpor, byxor och tröjor så skulle det vara mycket mer resurseffektivt att ta sig igenom som morgonrutin.

Jag tycker ett bra exempel på att förebygga detta var när Susanne kontaktade mig för att väva in kraven på ett ledningssystem för informationssäkerhet i Vårt arbetssätt.

Pusselv.png

Malin: Kan ni berätta mer om problematiken med spretande policyer och mål?

Morgan: På en övergripande nivå med mål och policyer som ska vara integrerade ser jag inte en utmaning. Exempelvis kan nämnas att vi har en gemensam kvalitets- och miljöpolicy. Det är snarare problematiskt om en process i verksamheten skapats på egen kammare utan att andra processer och avdelningar blir involverade.  Detta är en risk vi måste hantera.

Sigrid: Hos oss har vi hanterat denna risk genom att vi har utsedda kontaktpersoner från vår enhet som stödjer samtliga processer och som också kan fånga upp om detta skulle inträffa och stödja i att berörda intressenter involveras.

När det gäller eventuell problematik med flera policyer eller risker för målkonflikter så ser jag snarare vikten av en dokumentstruktur som tydliggör hierarkin mellan olika typer av styrande, stödjande och redovisande dokument, som tydliggör att en policy riktar sig till alla medarbetare och att den konkretiseras i en eller flera riktlinjer. Riktlinjerna omsätts sedan i verksamhetens processer och tillhörande processinformation. En tydlig hierarki och styrning av detta minskar risken av att det blir inflation i styrande dokument som ska gälla hela verksamheten och underlättar att dessa i stället kan riktas mot just berörd verksamhet.

Gällande mål så ser jag det som att kvalitetssäkrade processer hjälper verksamheten att uppnå målen inom miljö och informationssäkerhet. Kvalitetssäkrade processer innebär att processanvändaren har tillgång till rätt information när hen behöver den, att den är riktig och tillförlitlig samt att processen styr att redovisande information hanteras korrekt. Kvalitetssäkrade processer kan också bidra till minskad miljöpåverkan genom att exempelvis stödja att mer hållbara val görs vid upphandling och inköp där så är möjligt eller att oplanerade resor kan reduceras.

Malin: Vilka roller och vilken kompetens behövs för att driva detta viktiga arbete?

Morgan: Det behöver finnas verksamhetsutvecklare som arbetar med den övergripande inriktningen på ledningssystemet inom olika berörda områden som kvalitet, miljö och arbetsmiljö, men som också kan stödja i utvecklingen av arbetet på olika nivåer. Det är viktigt med kompetensförsörjningen i vilken verksamhet som helst, då behöver alla rätt kompetens och utbildning.

Sigrid: Vi har för varje verksamhetsprocess en utsedd processägare som styr och leder arbetet för processen. Processägaren har i sin tur en eller flera processledare som driver arbetet med att förvalta och utveckla verksamhetsprocessens delprocesser. För varje verksamhetsprocess finns också som jag nämnt tidigare en kontaktperson utsedd som stödjer processorganisationen. Utöver detta finns så klart också ett antal utbildade internrevisorer.

pusselbit.png

Malin: Vad finns det utmaningar och fallgropar?

Morgan: En stor utmaning är att säkerställa resurser till ledningssystemet. Hos oss är både processägare och processledare en tillika tjänst för chefer och medarbetare. Detta innebär att vi behöver vara ödmjuka för att se till att de inte tar i hur mycket som helst. Vi behöver anpassa och inte pusha för mycket. Ju mer vi syns desto mer arbete tar de på sig. Här behöver vi se till att vi inte pushar våra medarbetare för hårt och i stället bromsar vid behov.

Sigrid: Vi har jobbat för att få snöbollen i rullning men nu är det viktigt att snöbollen inte blir för stor och inte rullar för fort. För alla verksamheter är det viktigt att då och då stanna upp och låta nya arbetssätt sätta sig innan ytterligare åtgärder vidtas. Här är det viktigt att tänka ”lagom” och att få en balans i det vi gör så att det arbete vi gör skapar värde och i sin tur frigör mer tid – som vi kan lägga på att ständigt förbättra våra arbetssätt.

En fallgrop är vikten av att inte skapa parallella spår bara för att det är bråttom – att den som upprättar ett styrande dokument verkligen gör sin läxa och tittar om det finns andra angränsande eller till och med överlappande som kan revideras i stället för att ytterligare att skapas.

Susanne: En viktig fallgrop är att när det blir ont om resurser kan det tummas på kommunikationen. Gör inte det. Vikten av att göra kommunikationsinsatser riktade till olika målgrupper har vi ett tydligt exempel på i utfallet av de önskade effekterna av informationssäkerhetsmånaden 2023.

Sigrid: En sista fallgrop som jag önskar varna för är att inte fokusera för mycket på ett få ett dokumenterat ledningssystem, utan lägg lika mycket tid på att förbättra befintliga arbetssätt, göra dem tydligare, mer användarvänliga, identifiera och om möjligt hel eller delvis automatisera vissa arbetsmoment samt arbeta bort flaskhalsar och onödiga ledtider mm.

Malin: Vilka vinster ser ni efter ert gedigna arbete med det integrerade ledningssystemet?

Sigrid: Ledningssystemet är ju främst garderobsstommen och utifrån det perspektivet så är de främsta fördelarna att vi inte har flera ”garderober” att hämta styrning i. På så sätt minimeras påverkan på ordinarie verksamhet då interna verksamhetsrevisioner sker enligt gemensam revisionsplan och där revisorerna har kompetens inom samtliga standarder.

Andra fördelar är möjligheten att ha gemensamt arbetssätt med överenskommen nomenklatur för intressenthantering, interna kontroller, riskhantering samt hantering av olika typer av händelser. Detta är något som underlättar såväl för våra medarbetare, i och med att de känner igen sig, som för processledaren som ska förvalta och ständigt förbättra.

Susanne: Att målgruppsanpassa processerna har ökat samverkan mellan våra olika processorganisationer och att de olika kravlagrena mer och mer integreras i processerna. Sedan samplanerar och genomför vi våra interna revisioner för de olika ledningssystemsstandarderna vilket underlättar för revisorerna och belastar verksamheten mindre.

pusselman.png

Malin: Kan ni dela med er av tips på utbildnings- och utvecklingsprogram ni har för att organisationen ska ha rätt kompetens för detta viktiga arbete?

Morgan: Vår samlade insats för att kalibrera våra interna revisorer nu under våren var mycket bra. Det var en utbildning med e-learning i kombination med lärarledda utbildningstillfällen och workshop med SIS som du Malin och din kollega Hans höll för oss.

Sigrid: Ja, och denna utbildning var väldigt bra för att vi skulle få bättre koll på hur vi fångar även 27001-perspektivet vid våra revisioner. Dessutom var det så klart väldigt uppskattat av de som är nya som revisorer att få testa sina förvärvade kunskaper i ett rollspel på workhsopen.

Men annars är de målgrupper vi identifierat utbildningsbehov för på ledningssystemnivå:

  • samtliga medarbetare med exempelvis miljöutbildning för alla medarbetare
  • linjechefer
  • processledare och processägare
  • interna revisorer
  • kontaktpersoner

Våra utbildningsprogram sträcker sig från introduktion till ledningssystemet, hur vi arbetar med händelsehantering och en obligatorisk utbildning för alla medarbetare i grundläggande informationssäkerhet till riktade utbildningar för interna revisorer som den Morgan nämnde just.

Vi har valt att ha olika former och längd på utbildningarna. Det är klassrumsutbildningar, Skype-utbildningar och digitala utbildningar och längden sträcker sig från tredagarsutbildningen för interna revisorer som var en riktad insats nu under våren till micro-utbildningar på 5–10 minuter som genomförs på befintliga möten för processorganisationen. Sedan tar vi tillfället i akt när vi är på interna revisioner att höja medvetenhet och kunskap om själva ledningssystemet och då anpassa detta utifrån vilka det är vi träffar vid det aktuella tillfället och om de är nyanställda eller inte.

Jag rekommenderar starkt att satsa på att dela upp utbildningar i kortare block som fördelas över tid, då min erfarenhet är att dessa är lättare för verksamheten att prioritera, ta till sig och att omsätta. Men viktigast är så klart att se över vad verksamheten har för behov och förutsättningar och utgå ifrån dessa.

Sedan ligger det så klart på respektive processorganisation att identifiera behov av kommunikation och utbildningar för respektive process och utifrån detta arbeta fram och tillhandahålla dessa till processanvändarna som berörs.

Malin: Tack för ett superintressant samtal!  Sist men inte minst, ett medskick!
Vad ni tycker att man ska göra mindre av och vad ska man göra mer av i sin organisationsutveckling och i arbetet med integrerade ledningssystem?

Morgan: Mindre av fluff och mer konkretiseringar! Intressenter och omvärldens krav och behov är viktigt att få med i det systematiska arbetet, mer av det arbetet. Och mindre av att utgå från standarden. Skynda långsamt och möt utmaningarna med ödmjukhet.

Sigrid: Tänk på att säkra upp både omvärlds- och invärldsanalys som grund för ett väl fungerande ledningssystem och på att göra det enkelt. Det ska vara enkelt att ta fram en rutin, enkelt att ta till sig den och följa den, enkelt att förvalta den men även enkelt att vid behov anpassa och ständigt förbättra den.

Susanne: Samverkan, organisationen behöver se förbi organisatoriska stuprör och börja samverka för att skapa effektiva ledningssystem som är anpassade och som ger myndigheten rätt förutsättningar att kunna leverera med precision.

Panelen:

MalinRund.png

Malin Källbacka är utbildningsledare och konsult på Svenska Institutet för Standarder (SIS). Dessutom arbetar hon med att utveckla effektiva ledningssystem och genomför revisoner av olika slag.

SigridRund.png

Sigrid Lange Silver är verksamhetsutvecklare och kvalitetschef på Fortifikationsverket med ansvar för myndighetens integrerade ledningssystem. Arbetar även med IR.

MorganRund.png

Morgan Pettersson är hållbarhetschef på Fortifikationsverket och ansvarig för övergripande hållbarhetsarbete. Arbetar även med IR.

SusanneLyckfjäll.png

Susanne Lyckfjäll är informationssäkerhetschef på Fortifikationsverket.

Fortifikationsverket i korthet

  • Fortifikationsverket äger och utvecklar landets försvarsfastigheter.
  • I uppdraget ingår bland annat att tillhandahålla väl fungerande mark, anläggningar och lokaler för försvarssektorns behov, att utveckla fortifikatorisk kompetens och att bidra till landets försvarsförmåga och samhällsberedskap.
  • Myndigheten befinner sig i stark tillväxt i en omvärld som ställer ökade krav på säkerhet och robusthet.

Pussel.png