Beschouwingen op risicomanagement in relatie tot veiligheidsmanagement

Beschouwingen op risicomanagement in relatie tot veiligheidsmanagement

Voorwoord In de afgelopen jaren is er zorgbreed veel aandacht gekomen voor patiëntveiligheid. Eind 2008 is in de ggz Veilige zorg, ieders zorg - het patiëntveiligheidsprogramma ggz 2008-2011 van start gegaan. Zes ggz-instellingen nemen aan dit programma deel als pilotinstelling 1. Zij nemen als koplopers en pioniers op het gebied van patiëntveiligheid deel aan de stuurgroep en de ontwikkelgroep en zijn doende invulling te geven aan het veiligheidsmanagementsysteem (VMS) De ervaring bij deze instellingen leert dat ze allemaal bezig zijn met de zoektocht hoe het VMS in te bedden in het integrale (kwaliteits- en risico)managementsysteem. Deze zoektocht is aanleiding geweest voor de organisatie van een bestuurlijke conferentie over Risicomanagement, toegespitst op patiëntveiligheid op 26 november 2010. De zoektocht en de presentaties en discussies tijdens deze conferentie hebben geleid tot voorliggend document. Veiligheidsmanagement en risicomanagement Speerpunt 1 van het patiëntveiligheidsprogramma betreft het veiligheidsmanagementsysteem. De ggz heeft zich verbonden aan de doelstelling dat 80% van de HKZ-gecertificeerde ggzinstellingen aan het eind van de programmaperiode beschikt over een effectief operationeel veiligheidsmanagementsysteem. De ggz hanteert het uitgangspunt dat veiligheid(smanagement) niet los kan staan van kwaliteit(smanagement). Sinds juni 2009 beschikt de ggz-sector over het HKZ Certificatieschema ggz waarin veiligheidsnormen zijn vervlochten 2. Hiermee wordt het VMS integraal onderdeel van het kwaliteitsmanagementsysteem en ook als zodanig integraal getoetst door de certificerende instelling. Alle zorginstellingen zijn bezig met het realiseren van organisatiebrede risicomanagementsystemen. Veiligheidmanagement kan gezien worden als een onderdeel van het organisatiebrede risicomanagement. Andersom redeneren kan ook: een onderdeel van veiligheidsmanagement is risicomanagement. Hoe het ook zij, vanuit beide optieken is risicobewustzijn in de organisatie van belang. Want iedereen, op alle niveaus en op alle plaatsen in de organisatie heeft een verantwoordelijkheid voor en levert een bijdrage aan de veiligheid van de organisatie. De zorgbrede Governancecode (2009) geeft over risicomanagement aan dat vooral de introductie van gereguleerde marktwerking en de daarmee samenhangende introductie van risico in de bedrijfsvoering nieuwe besturingsvragen oproept. Dit hangt mede samen met het feit dat een aantal incidenten in de zorg het vertrouwen in het bestuur onder druk heeft gezet. Risicomanagement, kwaliteit en veiligheid van zorg vragen meer dan ooit de aandacht van bestuur en toezicht. Bestuurlijke verantwoordelijkheid voor kwaliteit en veiligheid De laatste jaren zijn over de verantwoordelijkheid voor kwaliteit en veiligheid diverse rapporten verschenen. Een van deze rapporten willen we hier uitlichten. Eind 2009 verscheen de Staat van de Gezondheidszorg (SGZ 2009) De vrijblijvendheid voorbij. Sturen en toezicht houden op kwaliteit en veiligheid. Dit rapport heeft betrekking op de bestuurlijke verantwoordelijkheid voor kwaliteit en veiligheid: het invullen en nakomen van de rollen en verantwoordelijkheden van professionals, bestuur en Raad van Toezicht als het gaat om kwaliteit en veiligheid. 1 De pilotinstellingen zijn Dimence, GGZ Breburg, Kijvelanden, Leo Kannerhuis, Rivierduinen en Symfora/GGz Centraal. 2 Januari 2011 wordt een addendum, de HKZ ggz-module patiënt-/cliëntveiligheid opgeleverd. Deze module bevat een aantal aanvullende normen waarmee het HKZ certificatieschema ggz 2009 qua veiligheidsnormen gelijkwaardig wordt aan het HKZ model cliënt-/patiëntveiligheid; de door HKZ gedefinieerde normen voor het veiligheidsmanagementsysteem, afgeleid van de NTA 8009:2007. 2

Kernbegrippen Sleutels Thema De Inspectie voor de Gezondheidszorg geeft in dit rapport aan dat wanneer deze drie partijen hieraan op toetsbare wijze invulling geven, hier verantwoording over afleggen en calamiteiten melden aan de inspectie, dat de IGZ er dan op vertrouwt dat in een dergelijke zorginstelling wordt voldaan aan de voorwaarden voor verantwoorde zorg. Hiermee zijn de garanties optimaal dat de patiënt/cliënt verantwoorde zorg ontvangt. De inspectie noemt dat: de zorginstelling is in control'. De IGZ stelt daarbij dat vertrouwen niet kan zonder verifiëren en controleren. Dit geldt zowel voor de relatie van professionals onderling als voor de relatie tussen professional en bestuur, maar ook voor de relatie tussen Raad van Toezicht en bestuur en/of professionals. Een adequaat kwaliteits- en veiligheidsmanagementsysteem bevat een systeem van controle en verificatie (intervisie, feedback, beoordelen van functioneren, intercollegiale toetsing, audits, etc.). Dit systeem dient ook consequenties te hebben en mag niet vrijblijvend zijn. De IGZ stelt dat verifiëren en controleren hoort bij vertrouwen, het is geen blijk van wantrouwen. Patiënt/Cliënt: Gerechtvaardigd vertrouwen in verantwoorde zorg Professionals maken K&V samen Vakmanschap & samenwerken Horizontaal aanspreken én verticaal toezien Verbinden K&V vereist sturing Bestuurders zijn van betekenis Goede informatie is voorwaarde Meten èn (aan-)voelen Beter leren toezien Kunst én kunde In contact met patiënt/ cliënt maak je K&V - professionals zijn de hoeksteen - de eed is anker - Gilde-model; met normen en verantwoording - vakmanschap is ook teamwork en samenwerken - basis ligt in opleiding - herdefiniering relatie (health 2.0) Ketenprestatie voor patiënt/cliënt is leidend - heldere taken, verantwoord- en bevoegdheden nodig - respect voor elkaars rol en verantwoordelijkheid - constructieve relatie - consistent en samen werkend maken - systemen kunnen helpen - herdefiniëring relatie en samenwerking professional en instelling Bestuurders betrokken bij patiënt/cliënt - functie: eindverantwoordelijk zijn, verantwoording willen afleggen, hygiëne op orde - persoon: heeft visie, is consistent en zichtbaar, toont daadkracht - draagt zorg voor organisatie waarin K&V gedijt Patiënt/cliënt is essentiële infobron - functies: leren, normeren, prikkelen, verantwoorden - weten èn meten: kwalitatief én kwantitatief - wanneer leidt weten tot ingrijpen?! - combineer altijd gedrag én systeem - onderscheidt externe verantwoording en interne bronnen Patiënt/cliënt belang staat voorop - Toezichthouder heeft goede kennis en competenties - heeft K&V op de agenda - verstaat de kunde én de kunst van het toezien - is gekwalificeerd 11 (Bron: Presentatie W.M.L.C.M. Schellekens. Uit: SGZ 2009 -De vrijblijvendheid voorbij) De IGZ kondigde in de SGZ 2009 aan te komen met een Toezichtkader voor de bestuurlijke verantwoordelijkheid voor kwaliteit en veiligheid. De inspectie heeft in 2010 een consultatieversie voorgelegd aan veldpartijen en zal vanaf 2011 het toezichtkader hanteren bij de handhaving. 3

Introductie over veiligheidsmanagement en risicomanagement Voorliggende Beschouwingen.. bundelen bovenstaande en andere noties over risicomanagement in den breede met patiëntveiligheid en veiligheidsmanagement in de ggz. Naast het instrumentarium dat voor de ggz beschikbaar is zoals HKZ en voor prestatiesturing prestatie-indicatoren, uitkomstenmetingen (ROM) en klanttevredenheid (CQI), is het van belang goed te kunnen sturen op risico s, met kritische risico-indicatoren en zicht op de organisatie- en procesrisico s. Het managen van risico s betreft zowel de beheersing en de verantwoording maar ook de ontwikkeling en besturing van een organisatie. Patientveiligheidsprogramma ggz 2008-2011 Veilige zorg, ieders zorg Voor Veilige zorg, ieders zorg zijn een zevental speerpunten voor de ggz verwoord. Naast de twee randvoorwaardelijke speerpunten veiligheidsmanagementsysteem en veilig incidenten melden zijn vijf inhoudelijke speerpunten benoemd: agressie; psychiatrische en somatische comorbiditeit; suïcidepreventie; medicatieveiligheid en last but not least dwang en drang. Met deze vijf speerpunten zijn de belangrijkste inhoudelijke risicodossiers voor patiënten/cliënten in de ggz gedefinieerd. Met de realisatie van patiënt/cliëntveiligheid wordt de bodem gelegd voor verantwoorde kwaliteit van zorg. Het managen van risico s op deze speerpunten komt de patiëntveiligheid in de ggz ten goede. Bestuurlijke conferentie Risicomanagement, toegespitst op patiëntveiligheid 26 november 2010 Prof. dr. A.C.N. van de Ven opende het programma met een lezing over patiëntveiligheid in de huidige risicosamenleving. Vervolgens lichtte de heer J.P. Visser, lid van de Onderzoeksraad voor Veiligheid, toe welke lessen geleerd kunnen worden uit onderzoek in andere (zorg)sectoren in de samenleving. De heer. W.M.L.C.M. Schellekens, hoofdinspecteur Curatieve gezondheidszorg, deelde met aanwezigen de visie van de IGZ op veiligheid en het toezicht van de IGZ daarop. Met de twee presentaties van de heren S. Bangma van Dimence en R. Laport van Rivierduinen werden de ontwikkelingen en gemaakte keuzes in deze twee pilotinstellingen belicht. Diverse sheets en quotes zijn in de notitie verwerkt. De volledige presentaties van deze conferentie zijn in de bijlagen opgenomen. Tot slot Met deze notitie bieden we u een diverse beschouwingen over het ontwikkelen van integraal risico-/veiligheidsmanagement in de ggz-sector. Reacties op deze noties zijn van harte welkom. Onze eigen ervaringen en uw reacties zullen wij gebruiken om deze notitie en het patiëntveiligheidsprogramma verder te ontwikkelen. Wij wensen u veel inspiratie toe bij een succesvolle realisatie van uw veiligheidsmanagementsysteem gebaseerd op de algemene principes van risicomanagement. Amersfoort, januari 2011 4

Inhoudsopgave Voorwoord 2 Inhoudsopgave 5 1. Risicomanagement 6 1.1 Risicomanagement en veiligheidsmanagement 6 1.2 De definitie van risico 6 1.3 De definitie van risicomanagement 1.4 Normen voor veiligheids-/risicomanagement in het HKZ Certificatieschema ggz 2009 en de Veiligheidsmodule ggz 2011 10 2. Risicomanagementproces 11 2.1 Processtappen risicomanagement 11 Stap 1 stellen van doelen 11 Stap 2 risico s identificeren of inventariseren 11 Stap 3 beoordelen en analyseren van risico s 13 Stap 4 het bepalen van reacties op risico s 19 Stap 5 monitoring en controle activiteiten 25 Stap 6 communicatie en rapportage van risico s 23 3. Risicomanagementbeleid 25 3.1 Risicobewustzijn en risicoprofiel van de organisatie 25 3.2 Risicomanagement onderdeel van integraal managementsysteem 28 Bijlage1 Risicomodellen 29 Bijlage 2 Strategische en procesrisico s 35 Bijlage 3 Valkuilen en tips 39 Bijlagen 4 8 Presentaties Op de website www.veiligezorgiederszorg.nl / VMS / presentaties vindt u de powerpointpresentatie van de sprekers tijdens de conferentie Risicomanagement, toegespitst op patientveiligheid. Colofon 40 5

1. Risicomanagement 1.1 Risicomanagement en veiligheidsmanagement Risicomanagement is een actueel, maatschappelijk thema. Dit komt tot uitdrukking in recente regelgeving en in publicaties en opvattingen over corporate governance. Dat er meer aandacht is gekomen voor risicomanagement is niet zonder reden. In de afgelopen jaren hebben zich een aantal incidenten voorgedaan die de continuïteit van organisaties bedreigden, zowel in de gezondheidszorg (bijvoorbeeld het overlijden in de separeer bij Arkin, het overlijden ten gevolge van de brand in de operatiekamer in het ziekenhuis te Almelo, miljoenenverliezen door vastgoedtransacties in de gehandicaptenzorg) alsook buiten de gezondheidszorg (beursschandalen, falend bestuur en/of toezicht bij Albert Heijn, ABN Amro, DSB etc.) Dergelijke situaties leiden tot een roep om meer transparantie en meer toezicht, controle, borging en certificatie. Ook binnen de gezondheidszorg komen incidenten naar buiten die kunnen leiden tot het persoonlijk aansprakelijk stellen van de bestuurders en toezichthouders. Zorgorganisaties worden zich steeds meer bewust van de noodzaak tot het managen van risico s. We leven tegenwoordig in een risk society. In een risk society overheerst het discours over risico s en beheersbaarheid. De programmeerbaarheid en voorspelbaarheid van het leven is minder groot dan vroeger. En als er iets mis gaat, dan weet ook iedereen dit gelijk. Met deze vergrootte onzekerheid vertrouwen we minder op de professionals en meer op abstracte systemen. En als er dan iets mis gaat, gaan we de systemen verbeteren. Maar kunnen de systemen dit wel aan? (A.C.N. van de Ven, hoogleraar Universiteit Tilburg) Er is sprake van een vertrouwenscrisis in de huidige samenleving. Hoe zit het met het vertrouwen in de zorg? Patiëntveiligheid is een verborgen probleem in de gezondheidszorg. We hebben te maken met onderrapportage. Zie het voorbeeld van de surpass methode van het AMC: één interventie spaart meer levens uit dan het totale aantal vermijdbare sterfgevallen dat vermeldt wordt in het recente Nivel-onderzoek. Hoe zit het in de ggz? Het in control zijn wordt expliciet vereist door de Zorgbrede Governancecode (2010) en documenten zoals de Staat van de gezondheidszorg 2009 en Ruimte en rekenschap voor zorg en ondersteuning (2009). Bestuurders en toezichthouders willen in control zijn en richten hiervoor een risicomanagementsysteem in. Dit betekent dat risico s worden opgespoord, dat er werkende beheersmaatregelen geïmplementeerd worden en dat de organisatie zich continu gevoed weet (via managementsrapportages) dat de risico s en genomen maatregelen effectief zijn. 6

Er zijn steeds weer andere gaten in het systeem. En mensen maken fouten: To err is human. A human error is a symptom, not a cause. Daarom is het van belang dat iedere organisatie en iedere medewerker zijn eigen verantwoordelijkheid voor veiligheid kent en kan invullen. Iedere medewerker heeft recht op regels en toezicht, heeft recht op een eigen VMS. (J.P. Visser, Onderzoeksraad voor Veiligheid) Het veiligheidsmanagementsysteem (VMS) is te beschouwen als integraal onderdeel van het kwaliteitsmanagementsysteem en als onderdeel van het organisatiebrede (risico)managementsysteem. Een veiligheidscultuur, een van de elementen van het VMS, veronderstelt risicobewustzijn en verantwoordelijkheid bij alle medewerkers in de organisatie. Veiligheidsmanagement kan geïllustreerd worden met het Zwitserse Kaas Model van James Reason Referentiekader veiligheid Eigen verantwoordelijkheid wat zijn de risico s en hoe worden die beheerst? Inzicht in risico s Aantoonbare en realistische veiligheidsaanpak Uitvoeren en handhaven veiligheidsaanpak Continue aanscherping veiligheidsaanpak Managementsturing, betrokkenheid en communicatie Dus een Veiligheidsmanagementsysteem (VMS) Safety Management System Hazard/ Risk Barriers or Controls Undesirable outcome WORK (Afbeelding rechts: Het Zwitserse Kaas Model van James Reason. Bron: presentatie J.P. Visser, Onderzoeksraad voor Veiligheid) 1.2 De definitie van risico Er zijn verschillende definities van risico. Afhankelijk van de wijze waarop de organisatie risicomanagement wil gaan toepassen in de organisatie kan zij een keuze maken uit definities. Veelal wordt een risico benaderd vanuit een ongewenste situatie, dus risico s zijn de zaken die we het liefst uitsluiten. In de literatuur staan verschillende definities: 1. Risico is het effect van onzekerheid op (het behalen van) doelstellingen. (ISO/IEC guide 73) 2. Een risico is de kans op het optreden van een gebeurtenis die een positieve impact en/of een negatieve impact kan hebben op het behalen van de organisatiedoelstellingen (Risico = kans x impact). 7

3. Risico is de mate van waarschijnlijkheid dat een gebeurtenis kan leiden tot ongewenste consequenties. (Institute of Risk Management IRM). 4. Risico is de kans van optreden van een gebeurtenis maal het effect dat de gebeurtenis heeft. (INK) Ter toelichting op deze definities het volgende: Er is alleen sprake van een risico als er sprake is van onzekerheid. Als de gebeurtenis al heeft plaatsgevonden, dan is er sprake van een incident of probleem. Als de onzekerheid wordt weggenomen kan dat twee dingen betekenen. Of de gebeurtenis zal zich zeker voordoen of de gebeurtenis zal zich zeker niet voordoen. In beide gevallen is er geen sprake meer van een risico. In een van de definities wordt gesproken over positieve impact en/of negatieve impact. Met negatieve impact worden de zogenaamde zuivere risico s bedoeld. Bij strategische risico s is de mogelijkheid aanwezig op zowel een positieve als een negatieve impact. De Wetenschappelijke Raad voor het Regeringsbeleid (WRR) onderscheidt vier typen risico s: eenvoudige risico s waarbij de kans op voorkomen en schade bekend zijn; complexe risico s waarbij de kans en voorkomen bekend zijn, maar niet de interveniërende factoren die de uitkomst van de som beïnvloeden; onzekere risico s die niet bekend zijn of niet kunnen zijn; ambigue risico s waarbij sprake is van zowel onbekendheid als onenigheid bij betrokkenen over de beoordeling van deze risico s. Risico s kleven aan allerlei processen, gebeurtenissen en handelingen op alle niveaus in de organisatie. Het onvoldoende naleven van de eisen op het gebied van hygiëne verhoogt het risico op infecties. Het verstrekken van een foutieve dosering medicatie kan bijvoorbeeld leiden tot bijwerkingen variërend in ernst van mild tot overlijden. Een ander voorbeeld is dat fouten in de administratie kunnen leiden tot een financieel verlies voor de instelling. Het niet beantwoorden aan de verwachtingen van de politiek, burgers, media en financiers verhoogt het risico op een schadeclaim of imagoschade. In de definitie van risico s komt naar voren dat een risico gevaar oplevert voor het behalen van de doelstellingen van uw organisatie. Onderstaand treft u een voorbeeld aan: Doelstelling: kwalitatief hoogstaande zorg Er zijn risico s uit drie risicogebieden die het bieden van kwalitatief hoogstaande zorg negatief kunnen beïnvloeden: Medewerkers, Patiëntveiligheid en Management van Processen. De risico s uit het risicogebied Medewerkers worden hier nader toegelicht. Risicogebied: Medewerkers Risico 1: Kwalitatief goede zorg wordt niet geleverd doordat de deskundigheid van personeel niet goed aansluit op de gevraagde zorg. De omgeving van Adhesie verandert snel en het is zaak om op de veranderende zorgvraag in te spelen. Tegelijkertijd is de arbeidsmarkt momenteel schaars voor een aantal functies. Met name HBO/WO functies voor verpleegkundigen, artsen, psychiaters en senior behandelaren zijn in dit verband genoemd. De kans dat personeel niet altijd over de juiste kennis en vaardigheden beschikt, wordt daarom als relatief hoog geschat. Het gevolg hiervan kan zijn dat patiënten niet altijd de goede zorg krijgen en/of naar andere zorgaanbieders gaan. (Bron: Adhesie, rechtsvoorganger Dimence, 2008) 8

In bovenstaand voorbeeld wordt, gerelateerd aan de organisatiedoelstelling, een risicogebied geformuleerd. Vervolgens zijn binnen dit risicogebied de risico s te inventariseren. Vooral de inschatting van de consequenties van het risico is persoonsbepaald. Door hierover in discussie te gaan komt de organisatie tot een set beheersmaatregelen: Wat opvalt is dat managers verschillend aankijken tegen beheersing van dit risico. Een aantal is berustend en accepteert daarmee de risico s omdat schaarste niet goed te beïnvloeden is, een aantal noemt beheersmaatregelen om het risico te reduceren. Genoemde beheersmaatregelen die de kans verlagen dat dit risico optreedt zijn: Continu opleiden en bijscholen, blijven leren (zelf opleiden van medewerkers); Werving van personeel op het juiste niveau; Breedte aan disciplines in huis hebben; Goede zorgprogrammering: continue kijken / bijstellen welke competenties nodig zijn voor het werk dat gedaan moet worden. Het risico hiervan is overigens wel dat zorgprogrammering te star wordt toegepast. (Bron: Adhesie, rechtsvoorganger Dimence, 2008) Bovenstaand voorbeeld van Adhesie/Dimence is in de WRR-risicotypering te typeren als ambigue risico. Diverse risico s in de (geestelijke) gezondheidszorg zijn als ambigue te typeren. De IGZ worstelt nog met de vraag wat is veiligheid, wat zijn de risico s in de ggz? Er is nog maar weinig onderzoek verricht in de ggz. De bekende schade is niet zozeer somatisch van aard maar treft de kwaliteit van leven. Uit recent onderzoek bleek dat het aantal medicatie-incidenten met 80% afnam, toen taken van verpleegkundigen door dedicated doktersassistenten werden uitgevoerd. Geldt dit ook zo voor de ggz? In hoeverre is er in de ggz sprake van boardroom killing, een sterfgeval of ernstig incident ten gevolge van een besluit van u als Raad van Bestuur? Weet u dit? De ggz kent slechts de Arkin-crisis. Achter deze crisis school een dysfunctionerend kwaliteitsmanagementsysteem. Realiseren we in de ggz een fundamentele verandering/verbetering zonder crisis? We weten het niet. Maar: never wast a good crisis! Veilige zorg, ieders zorg is gestart met de speerpunten veiligheidsmanagementsysteem en veilig incidenten melden. Hierbij gaat het om leiderschap, cultuur, veiligheidsbeleid, de risico s in kaart, het veilig leren van incidenten en continu verbeteren. Want: wie stop met beter worden, stopt met goed te zijn! (W.M.L.C.M. Schellekens, Inspectie voor de Gezondheidszorg) 1.3 De definitie van risicomanagement Risicomanagement wordt veelal gedefinieerd als een continu proces van identificatie, beoordeling en evaluatie van risico s en beheersmaatregelen. Risico s kunnen slechts beheerst 9

worden wanneer ze geïdentificeerd en gekend zijn. Het cyclische proces van risicomanagement bevat ondermeer de volgende processtappen: Het vaststellen van doelen; Het op een gestructureerde manier in kaart brengen van de risico s; Het analyseren en wegen van deze risico s; Het koppelen van beheersmaatregelen aan deze risico s; Het zorgdragen van een continue informatiestroom (monitoring en controle) om de effectiviteit van de genomen beheersmaatregelen te monitoren. In de gezondheidszorg is op vele niveaus en momenten sprake van risicomanagement: Voor de directe patiëntenzorg worden signaleringsplannen en protocollen opgesteld om te voorkomen dat er in de patiëntenzorg ongelukken gebeuren of onnodige risico s worden gelopen. De bewakings- en controlecyclus rondom medicatiebeleid (van voorschrijven tot toedienen) is een voorbeeld van een controlesysteem om risico s c.q. de medicatieveiligheid te beheersen. In het kader van beleidsontwikkeling of -evaluatie worden periodiek de bedrijfskritische functies onder de loep genomen, de operationele risico s geïdentificeerd en beheersmaatregelen afgesproken; Organisatiecontinuïteitsplannen worden opgesteld om te voorkomen dat de continuïteit van de organisatie in gevaar komt. Wat te doen bij/ ter voorkoming van een mogelijke uitval van essentiële ICT-systemen, financiële risico s, een grieppandemie, een langdurige stroomuitval of een crisissituatie? Het risiso reduceren tot nul is onmogelijk. Als je dat wilt, neem je enorme risico s! Bij risico-/veiligheidsmanagement gaat het er om dat je er alles aan doet om het zo veilig mogelijk te doen. Het risico is daarbij ALARP: as low as reasonably practicable. Veiligheidsmanagement is verandermanagement (K.J. Visser, Onderzoeksraad voor Veiligheid) 1.4 Normen voor veiligheids-/risicomanagement in het HKZ certificatieschema ggz (2009) en de veiligheidsmodule ggz (2011) In het HKZ Certificatieschema ggz (2009), inclusief de module waarmee het schema gelijkwaardig is geworden aan de veiligheidsnormen in het HKZ Model Cliënt-/Patiëntveiligheid, zijn de veiligheidsnormen integraal verweven in de normenkader voor het kwaliteitsmanagementsysteem; want zonder veiligheid geen kwaliteit. Als juni 2012 de overgangstermijn verlopen is, zijn alle HKZ-gecertificeerde instellingen ook gecertificeerd op de veiligheidsnormen die zijn verweven in het schema 2009. Nadat de overgangstermijn verstreken 10

is van de module, zijn de gecertificeerde instellingen ook op deze aanvullende normen gecertificeerd. HKZ gecertificeerd zijn betekent dan dat de ggz-instelling onder eindverantwoordelijkheid van de Raad van Bestuur/directie op organisatieniveau een (meerjaren) veiligheidsbeleid heeft waarbij doelen, taken, verantwoordelijkheden, bevoegdheden en middelen duidelijk zijn verwoord. Het beleid is aantoonbaar terug te vinden in het kwaliteitshandboek / het documentenbeheerssysteem. De uitvoering van de activiteiten in het kader van het veiligheidsbeleid worden gemonitord. De organisatie bevordert aantoonbaar een veiligheidscultuur waarin medewerkers worden gestimuleerd om incidenten te melden, erover te communiceren en er van te leren. Naast incidentregistratie vindt incidentanalyse plaats en worden verbetermaatregelen genomen en gemonitord/beheerst. De instelling voert periodiek veiligheidsaudits uit. De resultaten van het veiligheidsbeleid komen aan de orde in de directiebeoordeling. Het systematisch op verbetering gerichte veiligheidsbeleid waar de HKZ-certificering op gericht is, richt zicht op patiënt-/cliëntveiligheid alsook op medewerkerveiligheid. Dit gebeurt mede op basis van een risico-inventarisatie en risicoanalyse/evaluatie (RIE) en periodieke patiënten- /cliënten- en medewerkerraadplegingen. De instelling hanteert hierbij zowel retrospectieve (schema 2009) als prospectieve (module 2011) analysemethoden. Op zowel het niveau van de zorg- of dienstverlenings- en de ondersteunende processen als op het niveau van de individuele zorg- en dienstverlening aan de cliënt/patiënt voert de instelling op methodische wijze een risico-inventarisatie (schema 2009) en -analyse (module 209) uit met behulp van een deskundig multidisciplinair team. HKZ stelt dat de focus op de kritische processen de basis vormt voor het verdere risicomanagement. Het HKZ-certificaat veronderstelt dat alle medewerkers bekend zijn met de veiligheidsaspecten, het risicovolle karakter van de eigen handelen, de eigen verantwoordelijkheid en eigen bijdrage hierin. Op basis van de risico-inventarisatie en -analyse maakt de organisatie ook afspraken met ketenpartners. Bij de ontwikkeling van nieuw zorgaanbod wordt beoordeeld of de cliënt- /patiëntveiligheid gegarandeerd is. De organisatie onderzoek en beoordeelt voortdurend of externe ontwikkelingen van invloed zijn op de (cliënt)veiligheid. Zonder veiligheid geen kwaliteit Veiligheid 4 (Bron: presentatie R. Laport, Rivierduinen) 11

2. Risicomanagementproces 2.1 Processtappen risicomanagement Het risicomanagementproces bestaat uit een aantal basisstappen. Deze zijn als volgt weer te geven: (Bron: INK en risicomanagement (pg 12)) In onderstaande paragrafen belichten we alle stappen in dit proces. Stap 1 stellen van doelen Het is belangrijk van tevoren de doelen goed te bepalen, bij risico s gaat het immers om de kans dat het gewenste doel niet wordt bereikt. Bij het stellen van doelen is het van belang om de volgende vragen te beantwoorden. Welke resultaten moeten wanneer bereikt worden? En welke afwijking is nog acceptabel? In onderstaand voorbeeld een concrete doelstelling uit een projectplan Dwang en Drang van de Symfora groep: 12

Symfora groep beschikt eind 2010 voor alle gesloten (sub) acute opnameafdelingen in de volwassenenpsychiatrie over een ICU-ruimte dan wel comfortruimte waar patiënten 1 op 1 begeleiding kunnen krijgen. Eind 2010 levert het gebruik van ICU-ruimte en/of comfortruimte met het hanteren van de beschreven werkwijze tot 15%-30% verdere vermindering van het aantal dwang- en drangmaatregelen op. Medewerkers van alle gesloten (sub) acute opnameafdelingen in de volwassenenpsychiatrie passen eind 2010 de beschreven werkwijze en beschikbare alternatieven zoals beschreven in de kadernota dwang en drang en het klinisch pad toe, welke zichtbaar terug te vinden zijn in de dossiervoering van patiënten en jaarplannen van de betreffende behandelprogramma s. (Bron: Symfora groep, 2010) Stap 2 - risico s identificeren of inventariseren De volgende stap bij het beheersbaar maken van risico s is het inventariseren of identificeren van de risico s. Het identificeren van de risico s is het meest essentiële onderdeel van het risicomanagement. Deze stap vraagt de benodigde aandacht, met de identificatie worden immers de uitgangspunten voor het risicomanagement bepaald. Identificeren betekent het bepalen van de mogelijke gebeurtenissen die een bedreiging vormen voor de realisatie van de doelstellingen van de organisatie. Wat zou er kunnen gebeuren? Risico s kunnen op diverse niveaus worden geïdentificeerd en vanuit diverse invalshoeken zoals bijvoorbeeld vanuit patiëntveiligheid, arbeidsomstandigheden/medewerkerveiligheid, de AO/IC en ICT. Het identificeren van de risico s neemt veel tijd in beslag, omdat het bereiken van de overeenstemming over de mogelijke gebeurtenissen die een bedreiging vormen voor strategische, tactische en/of operationele doelstellingen een intensief en tijdrovend proces is. De mogelijke risico s die het behalen van de Dwang & Drang doelstellingen bedreigen zijn: 1. Onvoldoende middelen om de comfortruimte of ICU-ruimte te realiseren; 2. Medewerkers zijn onvoldoende opgeleid om het nieuwe D&D beleid uit te voeren; 3. Methoden voor identificatie of inventarisatie van risico s: Er zijn verschillende methodieken om risico s te identificeren en analyseren. Binnen de Arbowereld zijn al langere tijd speciale Risico Inventarisatie en Evaluatie (zogenaamde RI&E) lijsten per branche beschikbaar. Ook binnen de ggz zijn de zogenaamde ZorgRies beschikbaar. Als het gaat om patiëntveiligheid en het veiligheidsmanagementsysteem wordt in het HKZ ggzschema 2009 en het model cliëntveiligheid van HKZ gesproken over prospectieve risicoanalyse en retrospectieve risicoanalyse. Deze twee analyse methoden kunnen gebruikt worden om risico s te inventariseren en te identificeren. Op dit moment is er nog weinig ervaring met beide methodieken en treft u hieronder vooral voorbeelden aan waarmee het proces van het inventariseren wordt uitgediept zodat ervaring wordt opgebouwd. 13

Prospectieve risico inventarisatie (PRI) De prospectieve risico inventarisatie houdt in dat risico s vooraf, dus voordat er iets is gebeurd, proactief worden geïnventariseerd. Door preventieve maatregelen in te zetten kunnen deze risico s zoveel mogelijk worden beheerst, zodat de schade niet of in geringe mate optreedt. Een voorbeeld van een prospectieve risico inventarisatiemethodiek is SAFER, dit is de Nederlandse vertaling van de HFMEA, de Health Care Failure Mode and Effective Analyses. Binnen het UMCU is veel ervaring opgedaan met deze methode. Binnen de ggz zijn organisaties zich aan het oriënteren op de SAFER methodiek. In onderstaand voorbeeld staan doelstellingen met betrekking tot de implementatie van deze methodiek. - Rivierduinen concern en elk centrum heeft eind 2010 een top 3 benoemd van kritische processen - Medio 2011 zijn de kwaliteitsadviseurs en overige experts op het gebied van veiligheid getraind in de SAFER-methodiek - Rivierduinen concern en elk centrum heeft in 2011 tenminste 1 van de kritische processen geanalyseerd met behulp van de SAFER-methodiek en vertaald in preventieve maatregelen - Eind 2010 is een checklist voor risico-inventarisatie cliënt gerealiseerd en opgenomen in EPD - Eind 2010 is onderzoek verricht naar irisk van Infoland. (Bron: Rivierduinen, 2010) Retrospectieve risico identificatie De retrospectieve risico inventarisatie houdt in dat informatie uit gegevensbestanden van incidentmeldingen (VIM-systeem) worden gebruikt om de belangrijke trends te herkennen en deze als risico vast te leggen. Door het uitvoeren van een retrospectieve risico inventarisatie worden de trends herkend en beheersmaatregelen genomen om deze trendmatig (structureel) voorkomende risico s te elimineren. Zie hiervoor ook de Handreiking VIM (link invoegen) Voorbeelden van retrospectieve analysemethoden zijn PRISMA en SIRE. In onderstaand voorbeeld zijn doelstellingen opgenomen met betrekking tot het melden van incidenten en het gebruiken van meldgegevens voor analyse. - Einde 2010 is de VIM-classificatie van medicatie incidenten aangepast aan de CMR-GGZ. Meldingen worden geanonimiseerd geëxporteerd naar de landelijke CMR database. Einde 2011 wordt geëvalueerd of deze aansluiting op het landelijke CMR voldoende meerwaarde heeft om de meerkosten te rechtvaardigen - Einde 2011 is er een aanzienlijke toename (25%) van het aantal meldingen in meldingscategorieën waarbij momenteel sprake is van ondermelding. - Einde 2011 is er aan aanzienlijke toename (25%) van het aantal meldingen in centra die momenteel op jaarbasis geen 1.00 melding op 1 FTE halen - Einde 2011 is er een aanzienlijke toename (25%) van het aantal melders uit personeelscategorieën waarbij momenteel sprake is van ondermelding. Het betreft vooral de categorieën gedragswetenschappelijke zorgverleners en ondersteunend personeel. - Einde 2011 is het percentage meldingen van bijna-incidenten en veiligheidsrisico s toegenomen tot 45% - Einde 2011 worden per centrum gemiddeld tenminste 20 Prisma-analyses per jaar uitgevoerd (of indien lager, tenminste 10% van het aantal meldingen) - Einde 2011 is gerealiseerd dat de kennis uit PRISMA analyses en de aanbevelingen voor verbetering 14

wordt gedistribueerd onder de centra. Ieder aanbeveling aan een centrumdirectie tenzij aantoonbaar irrelevant- wordt beschouwd als een aanbeveling voor geheel Rivierduinen - in 2011 wordt bij de Prisma-analyses gefocust op de inhoudelijke speerpunten van het project Veilige zorg ieders zorg van GGZ Nederland. Eventueel worden ieder speerpunt door één of meerdere centra geadopteerd - Einde 2010 is de VIM hecht aangesloten op het verbetermanagementsysteem van Rivierduinen - Einde 2011 is voor elk type incident materiedeskundigheid op het niveau van Rivierduinen beschikbaar - Einde 2011 kunnen cliënten zelf incidenten melden op het besloten cliëntenportaal van de website - De rol van leidinggevende wordt in 2011 nader geëxpliciteerd in een TBV. (Bron: Rivierduinen 2010) Checklist voor identificatie van risico s Voor het identificeren van de risico s worden ook gestandaardiseerde checklisten gebruikt. Hierdoor wordt het identificeren van de risico s eenvoudiger. RISICOMANAGEMENT: FAÇADE? Het gebruik van risicomanagement methodieken heeft minder te maken met echte kansen en bedreigingen dan wordt gedacht, maar het gaat meer om het afleggen van verantwoording en legitimatie (Power 2007) NIET DE METHODE MAAR DE INVULLING BEPAALT DE EFFECTIVITEIT VAN RISICOMANAGEMENT! 5 6 Tijdens de conferentie tekent de heer Van de Ven bij deze methoden aan dat een methode zeker helpt, maar geen panacee is: De menselijke factor is het fundament. Als dit fundament niet goed is, dan werkt het niet om steviger muren te willen bouwen. Het gaat om ethisch leiderschap op alle niveaus in de organisatie. (A.C.N. van de Ven) Iedereen is 100% verantwoordelijk voorhet eigen handelen. De veiligheidsorganisatie ziet er zo uit: (J.P. Visser) Line Responsibility 15 (J.P. Visser, Onderzoeksraad voor Veiligheid)

Stap 3 - beoordelen en analyseren van risico s Bij deze stap gaat het om het beoordelen en vervolgens het analyseren van risico s. Het beoordelen van de risico s geeft de mogelijkheid aan het management om de geïdentificeerde risico s te prioriteren. Het beoordelen van een risico houdt in dat de kans en de impact van een risico worden bepaald. Met het beoordelen worden risico s gewaardeerd. Hierdoor worden ze met elkaar vergelijkbaar gemaakt. Er zijn verschillende methoden om risico s te beoordelen: Beoordelen risico s: bepalen impact Met de impact wordt de grootte van mogelijke consequenties van de risico s voor de organisatie bedoeld. De impact wordt gecategoriseerd in oplopende schalen. Het aantal stappen in deze schaal is afhankelijk van de voorkeur van de organisatie. Hierbij moeten tenminste drie stappen opgenomen worden om de toename te benadrukken. Impact kan ook uitgedrukt worden in financiële cijfers. Maar in de meeste gevallen kan er geen schatting gemaakt worden over de grootte van de financiële impact. Een voorbeeld hiervan is te vinden in onderstaand schema: Financieel Operationeel Score 1 2 3 4 5 6 Minder dan 10% impact op Meer dan 10% en minder Meer dan 25% impact op het bedrijfsresultaat dan 25% op impact het het bedrijfsresultaat Beperkte impact op het bereiken van de operationele doelstellingen Minimaal verlies van kwaliteit van zorg Minimaal verlies van veiligheid van patiënt Minimale verlies van mensen en/of middelen Geen onderbreking primair proces Reputatie Lage politieke en/of maatschappelijke gevoeligheid Geen negatieve aandacht in de media slechts intern bekend (Voorbeeld Impact scores) bedrijfsresultaat Grote impact op het bereiken van de operationele doelstellingen Gematigd verlies van kwaliteit van zorg Gematigd verlies van veiligheid van patiënt Gematigd verlies van mensen en/of middelen Kortstondige onderbreking primair proces Gematigde politieke en/of maatschappelijke gevoeligheid Negatieve aandacht in de regionale media Grote impact op bereiken van de strategische - en operationeledoelstellingen Significant verlies van kwaliteit van zorg Significant verlies van veiligheid van patiënt Significant verlies van mensen en/of middelen Langdurige onderbreking primair proces Significante politieke en/of maatschappelijke gevoeligheid Negatieve aandacht in de nationale media 16

Beoordelen risico s: bepalen kans Met kans wordt een termijn aangeduid waarin het risico kan optreden. Hiertoe kan onderstaande waarderingsschaal worden gebruikt Kans Score 1 2 3 4 5 6 Treedt waarschijnlijk niet op binnen 5 jaar Treedt waarschijnlijk binnen 3 jaar. Treedt waarschijnlijk op binnen 1 jaar Zeldzaam/erg onwaarschijnlijk, zou verassend zijn als het zou optreden Heeft zich in het verleden vaker voorgedaan. Heeft potentie om meerdere keren op te treden binnen de komende 5 jaar Heeft zich niet eerder voorgedaan in de bedrijfstak Zou geen grote verassing zijn indien het zich voordoet. Heeft zich in de laatste 2 jaar voorgedaan. (Voorbeeld Kansscores) Beoordelen risico s: taxeren risicogebieden Een ander voorbeeld om de risico s te beoordelen is het benoemen van risicogebieden, de omvang ervan en de waarschijnlijkheid van optreden. Risico Omvang Waarschijnlijkheid 1. Klantveiligheid Belangrijk Waarschijnlijk 2. Goed (zorg)personeel Belangrijk Waarschijnlijk 3. Professioneel inzicht & beoordeling Belangrijk Waarschijnlijk 4. Stagnerende organisatie Gemiddeld Waarschijnlijk 5. Stuurinformatie Belangrijk Misschien 6. Leiderschap Belangrijk Misschien 7. Vastgoed Belangrijk Misschien 8. Marktgerichte houding Belangrijk Misschien 9. Concurrentie Gemiddeld Waarschijnlijk ( Voorbeeld taxatie) Een matrix kan ondersteuning bieden bij het bepalen welke incidenten (uitgebreid) geanalyseerd moeten worden en of een melding met een hoog potentieel risico (rood) op organisatieniveau gerapporteerd moet worden. In onderstaande matrix is een voorbeeld uitgewerkt waarmee de organisatie haar risico s kan classificeren en taxeren: 17

Frequentie Ernst Catastrofaal Ca Groot Gr Matig Ma Klein Kl Wekelijks We Maandelijks Ma Jaarlijks Ja Zeer hoog Zeer hoog Hoog Laag Zeer hoog Hoog Laag Zeer laag Hoog Laag Laag Zeer laag Minder dan 1x per jaar <Ja Laag Zeer laag Zeer laag Zeer laag (Risico-inventarisatiematrix, ernst en frequentie. Bron: Handreiking VIM) Veel ggz-instellingen hanteren de regel dat de groene vlakken geen (uitgebreide) analyse voor trendbewaking behoeven. Bij de gele, oranje of rode vlakken kan een analyse naar basisoorzaken inzicht bieden in de keuzes die de organisatie gaat maken en welke maatregelen zullen worden getroffen. Deze analyse kan bijvoorbeeld met de Prisma-analyse plaatsvinden. Instellingen zijn nu zoekende naar een geschikte methode en er wordt zelfs gesproken van een PRISMA-light variant. Op basis van de beoordeling wordt bepaald of het al dan niet noodzakelijk is om een uitgebreide analyse te doen. Door middel van het analyseren wordt de oorzaak van de risico s achterhaald. Hierdoor kan het probleem bij de oorzaak aangepakt worden. Analyseren van de risico s De grootte en mogelijke acceptatie van een risico wordt bepaald door de kans op voorkomen x de impact voor de organisatie. Om dit zo goed mogelijk in te schatten worden positieve en negatieve ervaringen uit het verleden nader onderzocht (retrospectieve risicoanalyse). Met behulp van de risicomatrix wordt de kans op een gebeurtenis afgezet tegen de mogelijke impact. Hierdoor ontstaat inzicht in kritieke, significante en niet significante risico s. Wanneer is het risico ALARP (as low as reasonably practicable)? Hoe maak je als organisatie deze ALARP-afweging? (J.P. Visser, Onderzoeksraad voor Veiligheid) 18

Risico analyse Waar lopen we tegenaan? Risico inventarisatie Doelstelling Kwalitatief hoogstaande zorg Risicogebied Medewerkers Risico Kwalitatief goede zorg wordt niet geleverd doordat de deskundigheid van personeel niet goed aansluit op de gevraagde zorg Risico-indicatie 1 2 3 4 5 6 KANS IMPACT (Bron: presentatie S. Bangma, Dimence) Stap 4 bepalen van reactie op risico s Het reageren op de risico s houdt in dat er een gewenste reactie op de risico s bepaald wordt. Deze risicorespons is afhankelijk van de grootte van het risico en de risicohouding van de organisatie. Als de instelling de risico s als zeer hoog prioriteert, wordt verwacht dat passende 19

beheersmaatregelen worden genomen. Als die lastig te benoemen zijn (omdat ze onvoldoende beïnvloedbaar zijn of onvoldoende bekend) zullen veelal ad hoc zaken geregeld worden. Daar waar de beheersmaatregelen genomen zijn, effectief zijn en continue gemonitord zijn spreekt men van risicomanagement, waarbij de risico s in control zijn. In een instelling kan men de volgende acceptatie afspraken maken: Groen betekent dat structurele beheersmaatregelen zijn genomen, de effectiviteit van de beheersmaatregelen zijn geëvalueerd, beheersmaatregelen zijn geoptimaliseerd, het overblijvende restrisico komt overeen met de risicotolerantie van de organisatie. Geel betekent dat structurele maatregelen getroffen zijn, maar de maatregelen zijn nog niet geëvalueerd. De organisatie kan niet vaststellen of het restrisico overeenkomt met de risicotolerantie. Rood betekent dat op adhoc basis bepaalde maatregelen worden toepast. De organisatie kan niet helder krijgen wat de eigen risicotolerantie is. Nadat de al getroffen beheersmaatregelen in kaart zijn gebracht, moet het management passend binnen het eigen risicomanagementbeleid een keuze maken. Het management heeft voor elk risico een aantal opties/strategieën: Hierbij zijn de volgende reacties of strategieën te onderscheiden: Risicorespons: vermijden Hierbij wordt besloten om een risicovolle activiteit niet (meer) te ondernemen. Dit kan doordat het beleid waardoor het risico ontstaat wordt beëindigd; het beleid op een andere manier wordt vorm gegeven of geen beleid gestart wordt dat een risico met zich meebrengt. Ook kunnen werkprocessen zo ingevuld worden, dat op die manier de bepaalde risico s worden vermeden. Risicorespons: reduceren Acties worden ondernomen om de impact totaal of gedeeltelijk te reduceren. Door het risico af te dekken door een verzekering, een voorziening of een ander budget in de begroting. Hiermee beperkt de financieel manager de gevolgen van een risico. Tevens kan men bij verminderen denken aan het aanpakken of wegnemen van de oorzaak van het risico. Risicorespons: overdragen Hierbij wordt het risico geheel of gedeeltelijk overgedragen aan een andere partij. Dit kan door het beleid dat een risico met zich meebrengt, uit te laten voeren door een andere partij die daarmee ook de financiële risico s overneemt. Risicorespons: accepteren Accepteren: dit betekent dat de risico onderkend is, maar geen actie ondernomen wordt. Kan een risico niet worden vermeden, verminderd of overgedragen, dan kan de manager het risico accepteren. De eventuele financiële schade moet volledig worden afgedekt. Dit betekent niet dat het risico niet beïnvloedbaar is. Het betekent alleen dat het risico op dit moment geaccepteerd wordt en niet op een andere wijze is afgedekt. Het is lastig om de juiste mix van maatregelen te vinden. Het risico is dat het nemen van beheersmaatregelen verstikkend gaan werken. Houd kritisch voor ogen dat je gericht maatregelen treft bij de risico s die gekoppeld zijn aan je organisatiedoelstellingen. (A.C.N. van de Ven) 20