Governance & Risicobeheersing in Zorginstellingen Koen Claessens 6 mei 2015
Een paar definities Governance Een reeks regels en gedragingen die bepalen hoe organisaties worden bestuurd en gecontroleerd. Of ook: goed bestuur / management. Risicobeheersing Een gestructureerd proces, met het oog op het onderkennen, evalueren en beheren van de risico s van de organisatie Of ook: het beheersen van de risico s van een organisatie. Interne controle Elke maatregel van het management, de RVB en andere partijen om de risico s te beheersen en de waarschijnlijkheid te verhogen dat de beoogde doelstellingen zullen gerealiseerd worden. Of ook: maatregelen nemen om risico s te beheersen. 2
Waarom belangrijk? Enkele uitgangspunten: Zorginstellingen hebben inherent grote risico s door de aard van hun activiteiten. Zorginstellingen zijn vaak zeer complexe omgevingen, waardoor ze moeilijk beheersbaar zijn (inclusief hun risico s). Organisatie en processen van zorginstellingen zijn vaak niet matuur, waardoor er effectief significante risico s zijn. 1e focus: verhoging van de maturiteit van processen teneinde operationele en financiële risico s beter te beheersen. 3
Risicobeheersing 3 Lines of Defense 1 st line Business Owns, executes and manages internal control and risk management activities 2 nd line Risk Management Establish risk management process and oversees the complete span of risk and controls 3 rd line Internal Audit Provide assurance that risk and control systems operate effectively Of nog: initiële inspanningen van risicobeheersing moeten zich concentreren op de 1st line of defense : maturiteit van processen en professioneel management. 4
Inherente risico s in zorginstellingen zijn groot Risico = kans x gevolg Gevolg (impact): leven en dood Kans: geregelde berichtgeving in media Gevaren intern / extern SCHADE Organisatie Trigger : gebeurtenis die ervoor zorgt dat het gevaar zich realiseert op het risico-object en dat een schade wordt veroorzaakt Wet van Murphy Alles wat mis kan gaan, zal vroeg of laat misgaan. Tweede wet van Murphy Ook als er niets mis kan gaan, zal er vroeg of laat toch iets misgaan. 5
Risico s in zorginstellingen zijn groot En toch wordt er op een vrij nonchalante wijze mee omgegaan. Risico s vaak pas aangepakt wanneer er zich ook effectief incidenten hebben voorgedaan er externe druk wordt uitgeoefend (vb. door Overheid) Raden van Bestuur: zelden risicobeheersing op de agenda alle bestuurders bewust van hun aansprakelijkheid? weinig Audit Comité s en Interne Audit functies Rechtzaken: just a matter of time? 6
Zorginstellingen: een complexe omgeving Zorginstellingen zijn vaak zeer complexe omgevingen, waardoor ze moeilijk beheersbaar zijn Balans tussen rentabiliteit, kostenefficiëntie en kwaliteit zorg Balans medische raad en directie Zeer uitgebreid & veranderend wettelijk kader Veranderende regels voor financiering Verscheidenheid medewerkers: loontrekkenden en zelfstandigen Patiënten die zich meer en meer gedragen als consumenten 7
Zorginstellingen: een complexe omgeving Complexer dan private organisaties: een paar voorbeelden 3 inkomstenstromen (patiënten, mutualiteiten, overheid) i.p.v. 1 (klanten). Diverse productie en producten (hospitalisatie, verpleging, consultaties, medicatie, labo, kine,..). Complexe processen en IT: geen ERP-pakket dat alle processen afdekt, maar een amalgaam aan te integreren pakketten. Het patiëntendossier: medisch, verpleegkundig, medicatie. En dan nog: vereisten qua data privacy, accreditatie,.. 8
Een simpele omgeving: productieonderneming Complexiteit benadert die van de apotheek van een ziekenhuis 9
Een complexe omgeving 10
Maturiteit van organisatie en processen Maturiteit van organisatie en processen van zorginstellingen is vaak te verbeteren, alsmede een algemene professionalisering Afdelingen zijn vaak op een organische wijze gegroeid: Van (1 e ) teamlid naar hoofd afdeling (manager): typisch op IT, apotheek, data management Niet noodzakelijk management ervaring en skills Goede professional <> goede manager Externe managers aanwerven moeilijk vanwege grote verschillen met private sector, moeilijke integratie en beperkingen qua salaris Dit leidt vaak tot Niet effectieve of efficiënte processen Operationele en financiële risico s gerelateerd aan deze processen 11
Typische operationele en financiële risico s Tarfac: onvolledige of laattijdige facturatie Typische oorzaken: onvolledige ingave prestaties, slechte controle anomaliën in tarificatie proces, slechte integratie departementale pakketen Tarfac-pakket. Afdelingen werken vaak geïsoleerd, End-to-end view is belangrijk Aankoop: niet geautoriseerde of niet kost-efficiënte aankopen Decentrale aankopen (door afdelingen zelf). Geen standaard proces, door systeem ondersteund. Gebruik van aankoopcentrales, maar niet voor alle aankopen Apotheek: incorrectheid inventaris en onvolledigheid facturatie Combinatie van centrale en decentrale stock (in afdelingen) Niet alle toedieningen geregistreerd en gefactureerd Elektronisch voorschrift niet door dokter zelf getekend 12
Andere risico domeinen Financiële afdeling Geen budget & opvolging Geen cost controlling Human resources Focus vaak volledig op personeelsadministratie en payroll Zelden evaluatieproces, objectieven, jobprofielen,.. Geen volledig correct zicht op FTE s per afdeling Medisch dossier Niet volledig elektronisch, nog stukken op papier Niet goed beveiligd (principe: alleen toegang indien zorgrelatie) Onduidelijke toekomst van software pakketten 13
En IT... Algemeen IT beheer IT processen: change & incident mgt IT (planning korte en lange termijn) IT budget Beheer IT service providers Ad hoc processen, geen registratie van tickets en opvolging Geen formeel IT plan, geen overzicht en rapportering over vooruitgang IT projecten IT budget omvat enkel infrastructuur Integratie en implementatie Overzicht applicatie architectuur Helpdesk problemen eindgebruikers Beheer IT service providers applicaties Onvoldoende overzicht applicaties Deels bij applicatiebeheerders, deels bij Infohos (Meddos te verbeteren) Geen opvolging van incidenten, change requests en facturen Applicatiebeheer Infrastructuurbeheer Installatie en onderhoud server infrastructuur Installatie en onderhoud end-user equipment (PC, printers) Helpdesk problemen eindgebruikers Beheer IT service providers infrastructuur Het meeste zelf gedaan, geen afhankelijkheid van derde partijen Goede en moderne IT infrastructuur, weinig problemen Goede ondersteuning eindgebruikers (maar dus geen single point of contact) 14
Risicobeheersing 3 Lines of Defense 1 st line Business Owns, executes and manages internal control and risk management activities 2 nd line Risk Management Establish risk management process and oversees the complete span of risk and controls 3 rd line Internal Audit Provide assurance that risk and control systems operate effectively Daarom eerste focus: verhogen maturiteit van processen: dit start vaak met een doorlichting van de processen en resulteert vaak in procedures. 15
Voorbeeld End-to-End proces analyse facturatie General Remarks Application Architecture A. Prescription and delivery of medicine is not registered in Infohos B. Only consumption is interfaced towards Infohos C. No online stock level in Infohos (incorrect indication)
Voorbeeld doorlichting IT Typische IT topics Applicaties: Ondersteunen de applicaties de organisatie en processen op een adequate wijze? Hebben we de juiste applicaties, ook naar de toekomst toe Infrastructuur (servers & netwerk): Ondersteund de infrastructuur de applicaties op een adequate wijze? Zijn er risico s naar continuïteit en beveiliging toe? Organisatie: Ondersteund het IT team de applicaties en infrastructuur op een adequate wijze? Wat doen we zelf en wat besteden we uit? Hebben we hier de juiste keuzes gemaakt? Hebben we de juiste mensen naar de toekomst toe? 17
Verhoging maturiteit processen door procedures Procedures Procedures concerning reception of patients: Searching a patient file How to coop with doubles (example) Verification and completion of patient file Creating a new patient file
Het risicobeheersingsproces Risicobeheersing = het nemen van bewuste beslissingen omtrent risico s en te nemen interne controle maatregelen. Documentatie van deze beslissingen kan belangrijk zijn ingeval van incidenten en aansprakelijkheid. 19
Het risicoregister Audit Universe Ziekenhuizen Administration External Factors Strategy Board of Directors Competition Financial transparency Customer demands Governance Corporate vision & Economic conditions / values Industry trends Care processes Corporate Assets Finance Vendor Mgt & Purchasing Sales Administration Human Resources Information Technology Medical Company strategy Facilities and Equipment Accounting Vendor selection process Tarification Corporate Culture Architecture Medical records Alliances Intangible Assets Planning, budgeting & Tendering process forecasting Patient admin & data integrity HR Policies & Procedures BCM & DRP Business Model Phyiscal security Capital Management Purchasing procedures Patient invoicing Organisational structure Theft Financial asset investments Vendor contract management Invoicing mutualiteiten Legal compliance of contracts Customer invoicing Monitoring & Auditing External fraud Innovation Risk oversight Hazards / Catastrophic losses Mergers & Acquisitions Credit Law s & regulations Outsourcing Government Financing Markets Pricing Vendor invoices Third Party / JV Requirements Technology Vendor payments Service Level Collection processes Agreements (SLAs) Nursing Pharmacie Compliance & Reporting Patient safety & quality Prescriptions Patient safety Toediening Accreditation Compliance Compliance culture Reporting Compliance w ith Accounting Standards Compliance organization Financial disclosures Change management Regulatory environment Financial statement fraud Staffing Contracting & outsourcing Compliance reporting Management reporting Payroll Information security & data privacy Performance management Operations Talent management & Incident & problem recruiting management Retirement programs Technology & licensing Controls & monitoring Regulatory reporting Policies & procedures Government reporting Risk assessment Supervision Alle geïdentificeerde risico s worden in het risicoregister weergegeven 20
Risk identification & assessment 21
De risico heat map Another important deliverable of the 1st phase will be the ESE Risk Heat Map. All risks will be quantified in terms of likelihood and impact, using the scales on the previous page. This will result in a comprehensive graphical EUREKA Risk Universe representation of the risk areas indicating their importance Operations Governance and strategy Compliance & Quality Boards & Committees Projects Financial Management Vendor Mgt & Purchasing Funding HR IT Eurostars Other projects Regulatory environment Accounting Vendor selection process Request Recruitment Information security & data privacy Project issuing Project issuing Financial transparency Legal compliance Planning, budgeting & forecasting Tendering process approval Performance management Systems continuity Project (budget) approval Project (budget) approval Organisational structure Quality Project budget follow up Purchasing procedures follow -up Payroll Change management Project organisation Project organisation Strategy Financial fraud risk Vendor contract management Creditor management Travel & other expenses Problem & incident management Project follow -up Project follow -up Monitoring & Auditing Financial statement risk Legal compliance of contracts Accounts receivables IT budgeting Project risk management Project risk management Vision & values Financial asset investments Service Level Agreements (SLAs) Project funding Project funding Staffing De risico heat map geeft aan welke risico s het meest kritisch zijn en meest dringende actie behoeven. 22
Governance in een ruimer kader Another important deliverable of the 1st phase will be the ESE Risk Heat Map. All risks will be quantified in terms of likelihood and impact, using the scales on the previous page. This will result in a comprehensive graphical representation of the risk areas indicating their importance Toetsing van de 9 principes van de Corporate Governance code aan de realiteit van de ziekenhuizen 23
Ref: Hospital Governance (H. Casteleyn) Another important deliverable of the 1st phase will be the ESE Risk Heat Map. All risks will be quantified in terms of likelihood and impact, using the scales on the previous page. This will result in a comprehensive graphical representation of the risk areas indicating their importance 24
Governance: het audit comité en interne audit Raad van Bestuur Audit Comité CEO Interne Audit Organisatie Teneinde onafhankelijkheid te garanderen, bevindt Interne audit zich buiten het organogram en rapporteert aan het Audit Comité 25
Interne audit best practices & standaarden Het Instituut van Interne Auditors (IIA) levert duidelijke richtlijnen omtrent het organiseren en uitvoeren van Interne Audits Het naleven van de Standaarden en de Code of Ethics is verplicht voor alle leden van het IIA en Certified Internal Auditors (CIAs) http://www.theiia.org/ Controle frameworks die gebruikt worden zijn 26
Methodologie voor opzetten van Interne Audit Het opzetten van de interne audit functie gebeurt in fazes 1-2-3 Na faze 3 wordt het Interne Audit plan gevalideerd door het Audit Comité Na goedkeuring van het audit plan begint de uitvoering van de audits volgens het audit plan (faze 4), en de rapportering aan het Audit Comité (faze 5) 27
Thank you!!! koen.claessens@bdo.be 0497/51.53.83