Enterprise risicomanagement Bart Bolwijn
Inhoud presentatie Enterprise risicomanagement (ERM); Implementatie ERM: voorbeeld Ziekenhuis; Randvoorwaarden Proces ERM ondersteund door irisk; Vragen.
Definities Risicomanagement: > kennen en reduceren risico s op schade patiënt/organisatie Veiligheidsmanagement: > Veiligheid patiënt, medewerker, bezoeker Kwaliteitsmanagement: > kwaliteit
Veiligheidsmanagement Risicomanagement + 69 Normen > NIAZ 2.3. Leiderschap, Strategie en Beleid, Middelen, Personeel, Processen Score: 1 2 3-4 (operationeel + borging)
Kwaliteitsmanagement Risico- + Veiligheidsmanagement + 116 normen NIAZ 2.3 + o.a tevredenheid patiënten- medewerkers-verwijzers, wachttijden, financiën, Score: 1 2 3-4 (operationeel + borging)
Samenhang Kwaliteits management Veiligheidsmanagement Risicomanagement
Risicomanagement Welke risico s heeft het totale ziekenhuis op schade? = risicoprofiel ziekenhuis Welke risico s heeft elk organisatieonderdeel op schade? = risicoprofiel specialisme/dienst/proces Schade = schade aan patiënt en/of organisatie
High Reliability Organization (HRO) Focus op voorkomen van fouten Verwacht het onverwachte Borg dat fouten niet leiden tot calamiteiten Preventie én schade beperken
Risicobeheersing: strategieën
Risicoanalyse Retrospectief = terugkijken (i+ria) Prospectief = vooruitkijken (irisk / i+pra) Prospectieve risicoanalyse is essentieel om schade te voorkomen (Bow-tie/HFMEA / SAFER)
Risicomanagement: historische ontwikkeling Prospectieve risicoanalyse (detailniveau) Enterprise risicomanagement (organisatie brede doelstellingen) Retrospectieve incidentenanalyse
Waarom ERM? Voldoen aan wet- en regelgeving (corporate governance) Input voor stakeholders Strategische doelstellingen behalen
Suboptimaal risicomanagement Risicomanagement is nog te vaak: Ad hoc i.p.v. structureel en systematisch Gefragmenteerd: Blinde vlekken en overlap Onduidelijkheid in verantwoordelijkheden Diverse risicotalen (geen uniforme management informatie) Overkill aan (beperkt effectieve) maatregelen Decentrale aandacht voor verkeerde risico s Niet integraal en dus minder effectief
Rijnstate: Arnhem Rijnstate: Velp Ziekenhuis Rijnstate Rijnstate: Ziekenhuis Zevenaar Rijnstate: Poli Zuid
5 pijlers van veilig en betrouwbaar Rijnstate ziekenhuis Management Informatie Systeem Veilig Incidenten Melden (VIM) en Retrospectieve Incidenten Analyse Prospectieve Risico- Inventarisatie Best Practices (Veiligheids)cultuur
Veilig Incidenten Melden (VIM) Digitaal melden van ongewenste gebeurtenissen Afhandeling, analyse en rapportage door decentrale commissies (ca 56 commissies) Trendanalyse door centrale commissie Aantal meldingen februari 2008 juni 2013: 35.183 Meldingsbereidheid met factor 4 tot 5 toegenomen Klachten, agressieve gebeurtenissen, onveilige werksituaties, bedrijf, transmuraal
Voorbeeld van Domeinen Risicomanagement
Centraal: Risico s 8 domeinen, 52 risicogroepen, 86 risico s Patiënt Vallen, Medicatie, verwisseling dossiers, MRSA Niet verzekerde patiënt, foutief handelen, uitstel diagnose of behandeling, minder maximale behandeling Personeel aantal en kwaliteit personeel te weinig, overmatig verzuim, slecht management, ontevreden personeel, te hoge arbeidskosten.
Centraal: Risico s Governance: Wetgeving, strategische risico s Financiën Onvoldoende verzekeringen, fraude diefstal, niet voorspelde productie/omzet daling Gebouwen/apparatuur Brand, blokkering toegangen, uitval: elektriciteit, verwarming, water, telefoon
Centraal: Risico s ICT Uitval koeling, privacy, back-ups data, patiënten identificatie Imago Slechte persrelatie, ontevreden patiënten, negatieve publiciteit
Risico-score matrix Zeer waarschijnlijk Waarschijnlijk Onwaarschijnlijk Zeer onwaarschijnlijk 1 of meerdere keren per jaar Minder dan 1 keer per jaar Minder dan 1 keer per 5 jaar Minder dan 1 keer per 10 jaar Financieel Catastrofaal Directe of indirecte verliezen vanaf EUR 5.000.000 Hoog Directe of indirecte verliezen tussen EUR 500.000 en EUR 5.000.000 Gemiddeld Directe of indirecte verliezen tot EUR 500.000 Laag Directe of indirecte verliezen tot EUR 50.000 De belangrijkste risico s kunnen worden gevonden aan de hand van de volgende matrix (prioriteren): Kans / Gevolg Laag Gemiddeld Hoog Catastrofaal Zeer waarschijnlijk Waarschijnlijk Onwaarschijnlijk Zeer onwaarschijnlijk
ERM: Impact middels diverse gevolgklassen ERNST SCORE Ernst categorie Gevolgklasse Gering Klein Matig Groot Catastrofaal Personen Minimaal letsel; geen of minimale interventie of behandeling noodzakelijk; geen ziekteverzuim Beperkt letsel of ziekte; beperkte interventie of behandeling noodzakelijk; ziekteverzuim 3 dagen Matig letsel; professionele interventie of behandeling noodzakelijk; ziekteverzuim 4-14 dagen Ernstig letsel; langdurige of permanente gevolgen; ziektverzuim 15 dagen Overlijden; meervoudig permanent letsel Operationeel Verlies / onderbreking: > 1 uur Verlies / onderbreking: > 8 uur Verlies / onderbreking: > 1 dag Verlies / onderbreking: > 1 week Financieel Financieel verlies < 10.000; (incl. claims) < 5% over project budget Imago Risico op financieel verlies; niet significante toename van projectkosten Geruchten; mogelijkheid tot publieke bezorgdheid Aandacht van lokale media; daling van publieke vertrouwen op korte termijn Financieel verlies 10.000-100.000; 5-10% over project budget Aandacht van lokale media; daling van publieke vertrouwen op lange termijn Financieel verlies 100.000-1.000.000; 10-25% over project budget Aandacht van landelijke media; 3 dagen service beneden verwachting Permanent verlies van service of faciliteit Financieel verlies > 1.000.000; > 25% over project budget Aandacht van landelijke media; > 3 dagen service beneden verwachting; totaal verlies van publieke vertrouwen Bron: A risk matrix for risk managers (2008). NHS National Patient Safety Agency
Input voor Prospectieve Risicoanalyse: VIM meldingen; Claims; Complicaties; Klachten; Necrologie.
Centraal profiel: rode risico s Brand Wetgeving Overmatig verzuim CSA (tijdelijk)
Borging risicomanagement 4x per jaar monitoring voortgang Domeinhouders-RvB 1x per jaar voortgang: RvT Jaarlijks overzicht resultaten decentrale PRI s Resultaten beheersmaatregelen Actualisatie risicoprofiel Onderdeel management preview kwaliteit-veiligheid
Conclusie Risicoprofiel Rijnstate Niet: Systemen zijn niet geborgd. Continuïteit ziekenhuis in gevaar. Wel: Kennen van risico s. Gericht sturen. Reduceren en beheersen van risico s. Bijdragen aan continuïteit bedrijfsvoering.
In control!
Systemen Risicomatrix: centraal / decentraal COGNOS- management info itask: VIM, klachten, MAG itask: Verbeterpunten + resultaten Management review: kwaliteit en veiligheid Claims Complicatie registratie
Risicomanagement en iprova irisk: Breedte: Enterprise en/of organisatorische eenheden Diverse risicodomeinen Prospectief i + PRA: Diepte: 1 of enkele organisatorische eenheden Proces / project / onderwerp Prospectief i + RIA: Diepte: 1 of enkele organisatorische eenheden Incident / ongewenste gebeurtenis Retrospectief
ERM volgens ISO 31000
ORGANISATIE EENHEID A EENHEID B EENHEID C
Kenmerken irisk Benoemen van risicodomeinen incl. risico-eigenaren Per domein mogelijke risico s inventariseren Per risico vastleggen van: Oorzaken Risicoscore (evt. doel risicoscore) Bestaande en geplande beheersmaatregelen Analyses op centraal niveau en op decentraal niveau Analyseprojecten Filter- en exportmogelijkheden Krachtige integratie met itask voor opvolging van verbetermaatregelen
irisk: risicoprofiel in matrixweergave
ERM: valkuilen Verkeerde positionering: Toezicht i.p.v. beheer Belegd bij één persoon Eenmalige actie i.p.v. continu proces Te weinig communicatie Gebruik van standaard checklist Mate van detail
Risico van risicomanagement of ontbreken ervan? Denken dat er niets meer fout kan gaan Risico s die je niet ziet, zijn de echte risico s
ERM: noodzaak én (vooral) kans Risicomanagement gaat niet over het voorspellen van de toekomst, maar over de beheersing van risico s door te kijken naar de toekomst (Halman, 2008)