Beschouwingen op risicomanagement in relatie tot veiligheidsmanagement
Voorwoord In de afgelopen jaren is er zorgbreed veel aandacht gekomen voor patiëntveiligheid. Eind 2008 is in de ggz Veilige zorg, ieders zorg - het patiëntveiligheidsprogramma ggz 2008-2011 van start gegaan. Zes ggz-instellingen nemen aan dit programma deel als pilotinstelling1. Zij nemen als koplopers en pioniers op het gebied van patiëntveiligheid deel aan de stuurgroep en de ontwikkelgroep en zijn doende invulling te geven aan het veiligheidsmanagementsysteem (VMS) De ervaring bij deze instellingen leert dat ze allemaal bezig zijn met de zoektocht hoe het VMS in te bedden in het integrale (kwaliteits- en risico)managementsysteem. Deze zoektocht is aanleiding geweest voor de organisatie van een bestuurlijke conferentie over ‘Risicomanagement, toegespitst op patiëntveiligheid’ op 26 november 2010. De zoektocht en de presentaties en discussies tijdens deze conferentie hebben geleid tot voorliggend document. Veiligheidsmanagement en risicomanagement Speerpunt 1 van het patiëntveiligheidsprogramma betreft het veiligheidsmanagementsysteem. De ggz heeft zich verbonden aan de doelstelling dat 80% van de HKZ-gecertificeerde ggzinstellingen aan het eind van de programmaperiode beschikt over een effectief operationeel veiligheidsmanagementsysteem. De ggz hanteert het uitgangspunt dat veiligheid(smanagement) niet los kan staan van kwaliteit(smanagement). Sinds juni 2009 beschikt de ggz-sector over het HKZ Certificatieschema ggz waarin veiligheidsnormen zijn vervlochten2. Hiermee wordt het VMS integraal onderdeel van het kwaliteitsmanagementsysteem en ook als zodanig integraal getoetst door de certificerende instelling. Alle zorginstellingen zijn bezig met het realiseren van organisatiebrede risicomanagementsystemen. Veiligheidmanagement kan gezien worden als een onderdeel van het organisatiebrede risicomanagement. Andersom redeneren kan ook: een onderdeel van veiligheidsmanagement is risicomanagement. Hoe het ook zij, vanuit beide optieken is risicobewustzijn in de organisatie van belang. Want iedereen, op alle niveaus en op alle plaatsen in de organisatie heeft een verantwoordelijkheid voor en levert een bijdrage aan de veiligheid van de organisatie. De zorgbrede Governancecode (2009) geeft over risicomanagement aan dat vooral de introductie van gereguleerde marktwerking en de daarmee samenhangende introductie van risico in de bedrijfsvoering nieuwe besturingsvragen oproept. Dit hangt mede samen met het feit dat een aantal incidenten in de zorg het vertrouwen in het bestuur onder druk heeft gezet. Risicomanagement, kwaliteit en veiligheid van zorg vragen meer dan ooit de aandacht van bestuur en toezicht. Bestuurlijke verantwoordelijkheid voor kwaliteit en veiligheid De laatste jaren zijn over de verantwoordelijkheid voor kwaliteit en veiligheid diverse rapporten verschenen. Een van deze rapporten willen we hier uitlichten. Eind 2009 verscheen de Staat van de Gezondheidszorg (SGZ 2009) ‘De vrijblijvendheid voorbij. Sturen en toezicht houden op kwaliteit en veiligheid’. Dit rapport heeft betrekking op de bestuurlijke verantwoordelijkheid voor kwaliteit en veiligheid: het invullen en nakomen van de rollen en verantwoordelijkheden van professionals, bestuur en Raad van Toezicht als het gaat om kwaliteit en veiligheid.
1
De pilotinstellingen zijn Dimence, GGZ Breburg, Kijvelanden, Leo Kannerhuis, Rivierduinen en Symfora/GGz Centraal. Januari 2011 wordt een addendum, de HKZ ggz-module patiënt-/cliëntveiligheid opgeleverd. Deze module bevat een aantal aanvullende normen waarmee het HKZ certificatieschema ggz 2009 qua veiligheidsnormen gelijkwaardig wordt aan het HKZ model cliënt-/patiëntveiligheid; de door HKZ gedefinieerde normen voor het veiligheidsmanagementsysteem, afgeleid van de NTA 8009:2007. 2
2
De Inspectie voor de Gezondheidszorg geeft in dit rapport aan dat wanneer deze drie partijen hieraan op toetsbare wijze invulling geven, hier verantwoording over afleggen en calamiteiten melden aan de inspectie, dat de IGZ er dan op vertrouwt dat in een dergelijke zorginstelling wordt voldaan aan de voorwaarden voor verantwoorde zorg. Hiermee zijn de garanties optimaal dat de patiënt/cliënt verantwoorde zorg ontvangt. De inspectie noemt dat: de zorginstelling is ‘in control'. De IGZ stelt daarbij dat vertrouwen niet kan zonder verifiëren en controleren. Dit geldt zowel voor de relatie van professionals onderling als voor de relatie tussen professional en bestuur, maar ook voor de relatie tussen Raad van Toezicht en bestuur en/of professionals. Een adequaat kwaliteits- en veiligheidsmanagementsysteem bevat een systeem van controle en verificatie (intervisie, feedback, beoordelen van functioneren, intercollegiale toetsing, audits, etc.). Dit systeem dient ook consequenties te hebben en mag niet vrijblijvend zijn. De IGZ stelt dat verifiëren en controleren hoort bij vertrouwen, het is geen blijk van wantrouwen.
Kernbegrippen
Sleutels
Thema
Patiënt/Cliënt: Gerechtvaardigd vertrouwen in verantwoorde zorg
Professionals ‘maken’ K&V samen Vakmanschap & samenwerken
Horizontaal aanspreken én verticaal toezien Verbinden
In contact met patiënt/ cliënt maak je K&V
Ketenprestatie voor patiënt/cliënt is leidend
- professionals zijn de hoeksteen - de eed is anker - Gilde-model; met normen en verantwoording - vakmanschap is ook teamwork en samenwerken - basis ligt in opleiding - herdefiniering relatie (health 2.0)
- heldere taken, verantwoord- en bevoegdheden nodig - respect voor elkaars rol en verantwoordelijkheid - constructieve relatie - consistent en samen werkend maken - systemen kunnen helpen - herdefiniëring relatie en samenwerking professional en instelling
K&V vereist sturing
Goede informatie is voorwaarde
Bestuurders zijn van betekenis
Meten èn (aan-)voelen
Beter leren toezien Kunst én kunde
Bestuurders betrokken bij patiënt/cliënt
Patiënt/cliënt is essentiële infobron
Patiënt/cliënt belang staat voorop
- functie: eindverantwoordelijk zijn, verantwoording willen afleggen, hygiëne op orde - persoon: heeft visie, is consistent en zichtbaar, toont daadkracht - draagt zorg voor organisatie waarin K&V gedijt
- functies: leren, normeren, prikkelen, verantwoorden - weten èn meten: kwalitatief én kwantitatief - wanneer leidt weten tot ingrijpen?! - combineer altijd gedrag én systeem - onderscheidt externe verantwoording en interne bronnen
- Toezichthouder heeft goede kennis en competenties - heeft K&V op de agenda - verstaat de kunde én de kunst van het ‘toezien’ - is gekwalificeerd
11
(Bron: Presentatie W.M.L.C.M. Schellekens. Uit: SGZ 2009 -De vrijblijvendheid voorbij)
De IGZ kondigde in de SGZ 2009 aan te komen met een Toezichtkader voor de bestuurlijke verantwoordelijkheid voor kwaliteit en veiligheid. De inspectie heeft in 2010 een consultatieversie voorgelegd aan veldpartijen en zal vanaf 2011 het toezichtkader hanteren bij de handhaving.
3
Introductie over veiligheidsmanagement en risicomanagement Voorliggende ‘Beschouwingen..’ bundelen bovenstaande en andere noties over risicomanagement ‘in den breede’ met patiëntveiligheid en veiligheidsmanagement in de ggz. Naast het instrumentarium dat voor de ggz beschikbaar is zoals HKZ en voor prestatiesturing prestatie-indicatoren, uitkomstenmetingen (ROM) en klanttevredenheid (CQI), is het van belang goed te kunnen sturen op risico’s, met kritische risico-indicatoren en zicht op de organisatie- en procesrisico’s. Het managen van risico’s betreft zowel de beheersing en de verantwoording maar ook de ontwikkeling en besturing van een organisatie. Patientveiligheidsprogramma ggz 2008-2011 Veilige zorg, ieders zorg Voor Veilige zorg, ieders zorg zijn een zevental speerpunten voor de ggz verwoord. Naast de twee randvoorwaardelijke speerpunten veiligheidsmanagementsysteem en veilig incidenten melden zijn vijf inhoudelijke speerpunten benoemd: agressie; psychiatrische en somatische comorbiditeit; suïcidepreventie; medicatieveiligheid en last but not least dwang en drang. Met deze vijf speerpunten zijn de belangrijkste inhoudelijke risicodossiers voor patiënten/cliënten in de ggz gedefinieerd. Met de realisatie van patiënt/cliëntveiligheid wordt de bodem gelegd voor verantwoorde kwaliteit van zorg. Het managen van risico’s op deze speerpunten komt de patiëntveiligheid in de ggz ten goede. Bestuurlijke conferentie Risicomanagement, toegespitst op patiëntveiligheid 26 november 2010 Prof. dr. A.C.N. van de Ven opende het programma met een lezing over patiëntveiligheid in de huidige risicosamenleving. Vervolgens lichtte de heer J.P. Visser, lid van de Onderzoeksraad voor Veiligheid, toe welke lessen geleerd kunnen worden uit onderzoek in andere (zorg)sectoren in de samenleving. De heer. W.M.L.C.M. Schellekens, hoofdinspecteur Curatieve gezondheidszorg, deelde met aanwezigen de visie van de IGZ op veiligheid en het toezicht van de IGZ daarop. Met de twee presentaties van de heren S. Bangma van Dimence en R. Laport van Rivierduinen werden de ontwikkelingen en gemaakte keuzes in deze twee pilotinstellingen belicht. Diverse sheets en quotes zijn in de notitie verwerkt. De volledige presentaties van deze conferentie zijn in de bijlagen opgenomen. Tot slot Met deze notitie bieden we u een diverse beschouwingen over het ontwikkelen van integraal risico-/veiligheidsmanagement in de ggz-sector. Reacties op deze noties zijn van harte welkom. Onze eigen ervaringen en uw reacties zullen wij gebruiken om deze notitie en het patiëntveiligheidsprogramma verder te ontwikkelen. Wij wensen u veel inspiratie toe bij een succesvolle realisatie van uw veiligheidsmanagementsysteem gebaseerd op de algemene principes van risicomanagement.
Amersfoort, januari 2011
4
Inhoudsopgave Voorwoord
2
Inhoudsopgave
5
1. Risicomanagement 1.1 Risicomanagement en veiligheidsmanagement 1.2 De definitie van ‘risico’ 1.3 De definitie van ‘risicomanagement’ 1.4 Normen voor veiligheids-/risicomanagement in het HKZ Certificatieschema ggz 2009 en de Veiligheidsmodule ggz 2011
6 6 6
2. Risicomanagementproces 2.1 Processtappen risicomanagement Stap 1 – stellen van doelen Stap 2 – risico’s identificeren of inventariseren Stap 3 – beoordelen en analyseren van risico’s Stap 4 – het bepalen van reacties op risico’s Stap 5 – monitoring en controle activiteiten Stap 6 – communicatie en rapportage van risico’s
11 11 11 11 13 19 25 23
3. Risicomanagementbeleid 3.1 Risicobewustzijn en risicoprofiel van de organisatie 3.2 Risicomanagement onderdeel van integraal managementsysteem
25 25 28
Bijlage1 Risicomodellen Bijlage 2 Strategische en procesrisico’s Bijlage 3 Valkuilen en tips
29 35 39
10
Bijlagen 4 – 8 Presentaties Op de website www.veiligezorgiederszorg.nl / VMS / presentaties vindt u de powerpointpresentatie van de sprekers tijdens de conferentie Risicomanagement, toegespitst op patientveiligheid. Colofon
40
5
1. Risicomanagement 1.1 Risicomanagement en veiligheidsmanagement Risicomanagement is een actueel, maatschappelijk thema. Dit komt tot uitdrukking in recente regelgeving en in publicaties en opvattingen over ‘corporate governance’. Dat er meer aandacht is gekomen voor risicomanagement is niet zonder reden. In de afgelopen jaren hebben zich een aantal incidenten voorgedaan die de continuïteit van organisaties bedreigden, zowel in de gezondheidszorg (bijvoorbeeld het overlijden in de separeer bij Arkin, het overlijden ten gevolge van de brand in de operatiekamer in het ziekenhuis te Almelo, miljoenenverliezen door vastgoedtransacties in de gehandicaptenzorg) alsook buiten de gezondheidszorg (beursschandalen, falend bestuur en/of toezicht bij Albert Heijn, ABN Amro, DSB etc.) Dergelijke situaties leiden tot een roep om meer transparantie en meer toezicht, controle, borging en certificatie. Ook binnen de gezondheidszorg komen incidenten naar buiten die kunnen leiden tot het persoonlijk aansprakelijk stellen van de bestuurders en toezichthouders. Zorgorganisaties worden zich steeds meer bewust van de noodzaak tot het managen van risico’s.
“We leven tegenwoordig in een risk society. In een risk society overheerst het discours over risico’s en beheersbaarheid. De programmeerbaarheid en voorspelbaarheid van het leven is minder groot dan vroeger. En als er iets mis gaat, dan weet ook iedereen dit gelijk. Met deze vergrootte onzekerheid vertrouwen we minder op de professionals en meer op abstracte systemen. En als er dan iets mis gaat, gaan we de systemen verbeteren. Maar kunnen de systemen dit wel aan?” (A.C.N. van de Ven, hoogleraar Universiteit Tilburg) “Er is sprake van een vertrouwenscrisis in de huidige samenleving. Hoe zit het met het vertrouwen in de zorg? Patiëntveiligheid is een verborgen probleem in de gezondheidszorg. We hebben te maken met onderrapportage. Zie het voorbeeld van de surpass methode van het AMC: één interventie spaart meer levens uit dan het totale aantal vermijdbare sterfgevallen dat vermeldt wordt in het recente Nivel-onderzoek. Hoe zit het in de ggz?
Het ‘in control’ zijn wordt expliciet vereist door de Zorgbrede Governancecode (2010) en documenten zoals de Staat van de gezondheidszorg 2009 en Ruimte en rekenschap voor zorg en·ondersteuning (2009). Bestuurders en toezichthouders willen ‘in control’ zijn en richten hiervoor een risicomanagementsysteem in. Dit betekent dat risico’s worden opgespoord, dat er werkende beheersmaatregelen geïmplementeerd worden en dat de organisatie zich continu gevoed weet (via managementsrapportages) dat de risico’s en genomen maatregelen effectief zijn.
6
“Er zijn steeds weer andere gaten in het systeem. En mensen maken fouten: To err is human. A human error is a symptom, not a cause. Daarom is het van belang dat iedere organisatie en iedere medewerker zijn eigen verantwoordelijkheid voor veiligheid kent en kan invullen. Iedere medewerker heeft recht op regels en toezicht, heeft recht op een eigen VMS.” (J.P. Visser, Onderzoeksraad voor Veiligheid)
Het veiligheidsmanagementsysteem (VMS) is te beschouwen als integraal onderdeel van het kwaliteitsmanagementsysteem en als onderdeel van het organisatiebrede (risico)managementsysteem. Een veiligheidscultuur, een van de elementen van het VMS, veronderstelt risicobewustzijn en verantwoordelijkheid bij alle medewerkers in de organisatie. Veiligheidsmanagement kan geïllustreerd worden met het Zwitserse Kaas Model van James Reason
Referentiekader veiligheid
Safety Management System
• Eigen verantwoordelijkheid “wat zijn de risico’s en hoe worden die beheerst?” – Inzicht in risico’s – Aantoonbare en realistische veiligheidsaanpak – Uitvoeren en handhaven veiligheidsaanpak – Continue aanscherping veiligheidsaanpak – Managementsturing, betrokkenheid en communicatie
Hazard/ Risk
Barriers or Controls
WORK
Dus een Veiligheidsmanagementsysteem (VMS)
Undesirable outcome
(Afbeelding rechts: Het Zwitserse Kaas Model van James Reason. Bron: presentatie J.P. Visser, Onderzoeksraad voor Veiligheid)
1.2 De definitie van ‘risico’ Er zijn verschillende definities van risico. Afhankelijk van de wijze waarop de organisatie risicomanagement wil gaan toepassen in de organisatie kan zij een keuze maken uit definities. Veelal wordt een risico benaderd vanuit een ongewenste situatie, dus risico’s zijn de zaken die we het liefst uitsluiten. In de literatuur staan verschillende definities: 1. Risico is het effect van onzekerheid op (het behalen van) doelstellingen. (ISO/IEC guide 73) 2. Een risico is de kans op het optreden van een gebeurtenis die een positieve impact en/of een negatieve impact kan hebben op het behalen van de organisatiedoelstellingen (Risico = kans x impact).
7
3. Risico is de mate van waarschijnlijkheid dat een gebeurtenis kan leiden tot ongewenste consequenties. (Institute of Risk Management IRM). 4. Risico is de kans van optreden van een gebeurtenis maal het effect dat de gebeurtenis heeft. (INK) Ter toelichting op deze definities het volgende: Er is alleen sprake van een risico als er sprake is van onzekerheid. Als de gebeurtenis al heeft plaatsgevonden, dan is er sprake van een incident of probleem. Als de onzekerheid wordt weggenomen kan dat twee dingen betekenen. Of de gebeurtenis zal zich zeker voordoen of de gebeurtenis zal zich zeker niet voordoen. In beide gevallen is er geen sprake meer van een risico. In een van de definities wordt gesproken over positieve impact en/of negatieve impact. Met negatieve impact worden de zogenaamde zuivere risico’s bedoeld. Bij strategische risico’s is de mogelijkheid aanwezig op zowel een positieve als een negatieve impact. De Wetenschappelijke Raad voor het Regeringsbeleid (WRR) onderscheidt vier typen risico’s: eenvoudige risico’s waarbij de kans op voorkomen en schade bekend zijn; complexe risico’s waarbij de kans en voorkomen bekend zijn, maar niet de interveniërende factoren die de uitkomst van de som beïnvloeden; onzekere risico’s die niet bekend zijn of niet kunnen zijn; ambigue risico’s waarbij sprake is van zowel onbekendheid als onenigheid bij betrokkenen over de beoordeling van deze risico’s. Risico’s kleven aan allerlei processen, gebeurtenissen en handelingen op alle niveaus in de organisatie. Het onvoldoende naleven van de eisen op het gebied van hygiëne verhoogt het risico op infecties. Het verstrekken van een foutieve dosering medicatie kan bijvoorbeeld leiden tot bijwerkingen variërend in ernst van mild tot overlijden. Een ander voorbeeld is dat fouten in de administratie kunnen leiden tot een financieel verlies voor de instelling. Het niet beantwoorden aan de verwachtingen van de politiek, burgers, media en financiers verhoogt het risico op een schadeclaim of imagoschade. In de definitie van risico’s komt naar voren dat een risico gevaar oplevert voor het behalen van de doelstellingen van uw organisatie. Onderstaand treft u een voorbeeld aan: Doelstelling: kwalitatief hoogstaande zorg Er zijn risico’s uit drie risicogebieden die het bieden van kwalitatief hoogstaande zorg negatief kunnen beïnvloeden: Medewerkers, Patiëntveiligheid en Management van Processen. De risico’s uit het risicogebied Medewerkers worden hier nader toegelicht. Risicogebied: Medewerkers Risico 1: Kwalitatief goede zorg wordt niet geleverd doordat de deskundigheid van personeel niet goed aansluit op de gevraagde zorg. De omgeving van Adhesie verandert snel en het is zaak om op de veranderende zorgvraag in te spelen. Tegelijkertijd is de arbeidsmarkt momenteel schaars voor een aantal functies. Met name HBO/WO functies voor verpleegkundigen, artsen, psychiaters en senior behandelaren zijn in dit verband genoemd. De kans dat personeel niet altijd over de juiste kennis en vaardigheden beschikt, wordt daarom als relatief hoog geschat. Het gevolg hiervan kan zijn dat patiënten niet altijd de goede zorg krijgen en/of naar andere zorgaanbieders gaan. (Bron: Adhesie, rechtsvoorganger Dimence, 2008)
8
In bovenstaand voorbeeld wordt, gerelateerd aan de organisatiedoelstelling, een risicogebied geformuleerd. Vervolgens zijn binnen dit risicogebied de risico’s te inventariseren. Vooral de inschatting van de consequenties van het risico is ‘persoonsbepaald’. Door hierover in discussie te gaan komt de organisatie tot een set beheersmaatregelen: Wat opvalt is dat managers verschillend aankijken tegen beheersing van dit risico. Een aantal is berustend en accepteert daarmee de risico’s omdat schaarste niet goed te beïnvloeden is, een aantal noemt beheersmaatregelen om het risico te reduceren. Genoemde beheersmaatregelen die de kans verlagen dat dit risico optreedt zijn: Continu opleiden en bijscholen, blijven leren (zelf opleiden van medewerkers); Werving van personeel op het juiste niveau; Breedte aan disciplines in huis hebben; Goede zorgprogrammering: continue kijken / bijstellen welke competenties nodig zijn voor het werk dat gedaan moet worden. Het risico hiervan is overigens wel dat zorgprogrammering te star wordt toegepast. (Bron: Adhesie, rechtsvoorganger Dimence, 2008)
Bovenstaand voorbeeld van Adhesie/Dimence is in de WRR-risicotypering te typeren als ambigue risico. Diverse risico’s in de (geestelijke) gezondheidszorg zijn als ambigue te typeren.
“De IGZ worstelt nog met de vraag ‘wat is veiligheid, wat zijn de risico’s in de ggz’? Er is nog maar weinig onderzoek verricht in de ggz. De bekende schade is niet zozeer somatisch van aard maar treft de kwaliteit van leven. Uit recent onderzoek bleek dat het aantal medicatie-incidenten met 80% afnam, toen taken van verpleegkundigen door ‘dedicated’ doktersassistenten werden uitgevoerd. Geldt dit ook zo voor de ggz? In hoeverre is er in de ggz sprake van ‘boardroom killing’, een sterfgeval of ernstig incident ten gevolge van een besluit van u als Raad van Bestuur? Weet u dit? De ggz kent slechts de ‘Arkin-crisis’. Achter deze crisis school een dysfunctionerend kwaliteitsmanagementsysteem. Realiseren we in de ggz een fundamentele verandering/verbetering zonder crisis? We weten het niet. Maar: never wast a good crisis! ‘Veilige zorg, ieders zorg’ is gestart met de speerpunten veiligheidsmanagementsysteem en veilig incidenten melden. Hierbij gaat het om leiderschap, cultuur, veiligheidsbeleid, de risico’s in kaart, het veilig leren van incidenten en continu verbeteren. Want: wie stop met beter worden, stopt met goed te zijn!” (W.M.L.C.M. Schellekens, Inspectie voor de Gezondheidszorg)
1.3 De definitie van ‘risicomanagement’ Risicomanagement wordt veelal gedefinieerd als een continu proces van identificatie, beoordeling en evaluatie van risico’s en beheersmaatregelen. Risico’s kunnen slechts beheerst
9
worden wanneer ze geïdentificeerd en gekend zijn. Het cyclische proces van risicomanagement bevat ondermeer de volgende processtappen: Het vaststellen van doelen; Het op een gestructureerde manier in kaart brengen van de risico’s; Het analyseren en wegen van deze risico’s; Het koppelen van beheersmaatregelen aan deze risico’s; Het zorgdragen van een continue informatiestroom (monitoring en controle) om de effectiviteit van de genomen beheersmaatregelen te monitoren. In de gezondheidszorg is op vele niveaus en momenten sprake van risicomanagement: Voor de directe patiëntenzorg worden signaleringsplannen en protocollen opgesteld om te voorkomen dat er in de patiëntenzorg ongelukken gebeuren of onnodige risico’s worden gelopen. De bewakings- en controlecyclus rondom medicatiebeleid (van voorschrijven tot toedienen) is een voorbeeld van een controlesysteem om risico’s c.q. de medicatieveiligheid te beheersen. In het kader van beleidsontwikkeling of -evaluatie worden periodiek de bedrijfskritische functies onder de loep genomen, de operationele risico’s geïdentificeerd en beheersmaatregelen afgesproken; Organisatiecontinuïteitsplannen worden opgesteld om te voorkomen dat de continuïteit van de organisatie in gevaar komt. Wat te doen bij/ ter voorkoming van een mogelijke uitval van essentiële ICT-systemen, financiële risico´s, een grieppandemie, een langdurige stroomuitval of een crisissituatie?
“Het risiso reduceren tot nul is onmogelijk. Als je dat wilt, neem je enorme risico’s!” “Bij risico-/veiligheidsmanagement gaat het er om dat je er alles aan doet om het zo veilig mogelijk te doen. Het risico is daarbij ALARP: as low as reasonably practicable.” “Veiligheidsmanagement is verandermanagement” (K.J. Visser, Onderzoeksraad voor Veiligheid)
1.4
Normen voor veiligheids-/risicomanagement in het HKZ certificatieschema ggz (2009) en de veiligheidsmodule ggz (2011) In het HKZ Certificatieschema ggz (2009), inclusief de module waarmee het schema gelijkwaardig is geworden aan de veiligheidsnormen in het HKZ Model Cliënt-/Patiëntveiligheid, zijn de veiligheidsnormen integraal verweven in de normenkader voor het kwaliteitsmanagementsysteem; want zonder veiligheid geen kwaliteit. Als juni 2012 de overgangstermijn verlopen is, zijn alle HKZ-gecertificeerde instellingen ook gecertificeerd op de veiligheidsnormen die zijn verweven in het schema 2009. Nadat de overgangstermijn verstreken
10
is van de module, zijn de gecertificeerde instellingen ook op deze aanvullende normen gecertificeerd. HKZ gecertificeerd zijn betekent dan dat de ggz-instelling onder eindverantwoordelijkheid van de Raad van Bestuur/directie op organisatieniveau een (meerjaren) veiligheidsbeleid heeft waarbij doelen, taken, verantwoordelijkheden, bevoegdheden en middelen duidelijk zijn verwoord. Het beleid is aantoonbaar terug te vinden in het kwaliteitshandboek / het documentenbeheerssysteem. De uitvoering van de activiteiten in het kader van het veiligheidsbeleid worden gemonitord. De organisatie bevordert aantoonbaar een veiligheidscultuur waarin medewerkers worden gestimuleerd om incidenten te melden, erover te communiceren en er van te leren. Naast incidentregistratie vindt incidentanalyse plaats en worden verbetermaatregelen genomen en gemonitord/beheerst. De instelling voert periodiek veiligheidsaudits uit. De resultaten van het veiligheidsbeleid komen aan de orde in de directiebeoordeling. Het systematisch op verbetering gerichte veiligheidsbeleid waar de HKZ-certificering op gericht is, richt zicht op patiënt-/cliëntveiligheid alsook op medewerkerveiligheid. Dit gebeurt mede op basis van een risico-inventarisatie en risicoanalyse/evaluatie (RIE) en periodieke patiënten/cliënten- en medewerkerraadplegingen. De instelling hanteert hierbij zowel retrospectieve (schema 2009) als prospectieve (module 2011) analysemethoden. Op zowel het niveau van de zorg- of dienstverlenings- en de ondersteunende processen als op het niveau van de individuele zorg- en dienstverlening aan de cliënt/patiënt voert de instelling op methodische wijze een risico-inventarisatie (schema 2009) en -analyse (module 209) uit met behulp van een deskundig multidisciplinair team. HKZ stelt dat de focus op de kritische processen de basis vormt voor het verdere risicomanagement. Het HKZ-certificaat veronderstelt dat alle medewerkers bekend zijn met de veiligheidsaspecten, het risicovolle karakter van de eigen handelen, de eigen verantwoordelijkheid en eigen bijdrage hierin. Op basis van de risico-inventarisatie en -analyse maakt de organisatie ook afspraken met ketenpartners. Bij de ontwikkeling van nieuw zorgaanbod wordt beoordeeld of de cliënt/patiëntveiligheid gegarandeerd is. De organisatie onderzoek en beoordeelt voortdurend of externe ontwikkelingen van invloed zijn op de (cliënt)veiligheid.
Zonder veiligheid geen kwaliteit Ve il
igh
4
(Bron: presentatie R. Laport, Rivierduinen)
11
eid
2. Risicomanagementproces 2.1 Processtappen risicomanagement Het risicomanagementproces bestaat uit een aantal basisstappen. Deze zijn als volgt weer te geven:
(Bron: INK en risicomanagement (pg 12))
In onderstaande paragrafen belichten we alle stappen in dit proces. Stap 1 – stellen van doelen Het is belangrijk van tevoren de doelen goed te bepalen, bij risico’s gaat het immers om de kans dat het gewenste doel niet wordt bereikt. Bij het stellen van doelen is het van belang om de volgende vragen te beantwoorden. Welke resultaten moeten wanneer bereikt worden? En welke afwijking is nog acceptabel? In onderstaand voorbeeld een concrete doelstelling uit een projectplan Dwang en Drang van de Symfora groep:
12
Symfora groep beschikt eind 2010 voor alle gesloten (sub) acute opnameafdelingen in de volwassenenpsychiatrie over een ICU-ruimte dan wel comfortruimte waar patiënten 1 op 1 begeleiding kunnen krijgen. Eind 2010 levert het gebruik van ICU-ruimte en/of comfortruimte met het hanteren van de beschreven werkwijze tot 15%-30% verdere vermindering van het aantal dwang- en drangmaatregelen op. Medewerkers van alle gesloten (sub) acute opnameafdelingen in de volwassenenpsychiatrie passen eind 2010 de beschreven werkwijze en beschikbare alternatieven zoals beschreven in de kadernota dwang en drang en het klinisch pad toe, welke zichtbaar terug te vinden zijn in de dossiervoering van patiënten en jaarplannen van de betreffende behandelprogramma’s. (Bron: Symfora groep, 2010)
Stap 2 - risico’s identificeren of inventariseren De volgende stap bij het beheersbaar maken van risico’s is het inventariseren of identificeren van de risico’s. Het identificeren van de risico’s is het meest essentiële onderdeel van het risicomanagement. Deze stap vraagt de benodigde aandacht, met de identificatie worden immers de uitgangspunten voor het risicomanagement bepaald. Identificeren betekent het bepalen van de mogelijke gebeurtenissen die een bedreiging vormen voor de realisatie van de doelstellingen van de organisatie. Wat zou er kunnen gebeuren? Risico’s kunnen op diverse niveaus worden geïdentificeerd en vanuit diverse invalshoeken zoals bijvoorbeeld vanuit patiëntveiligheid, arbeidsomstandigheden/medewerkerveiligheid, de AO/IC en ICT. Het identificeren van de risico’s neemt veel tijd in beslag, omdat het bereiken van de overeenstemming over de mogelijke gebeurtenissen die een bedreiging vormen voor strategische, tactische en/of operationele doelstellingen een intensief en tijdrovend proces is. De mogelijke risico’s die het behalen van de Dwang & Drang doelstellingen bedreigen zijn: 1. Onvoldoende middelen om de comfortruimte of ICU-ruimte te realiseren; 2. Medewerkers zijn onvoldoende opgeleid om het nieuwe D&D beleid uit te voeren; 3. …
Methoden voor identificatie of inventarisatie van risico’s: Er zijn verschillende methodieken om risico’s te identificeren en analyseren. Binnen de Arbowereld zijn al langere tijd speciale Risico Inventarisatie en Evaluatie (zogenaamde RI&E) lijsten per branche beschikbaar. Ook binnen de ggz zijn de zogenaamde ZorgRies beschikbaar. Als het gaat om patiëntveiligheid en het veiligheidsmanagementsysteem wordt in het HKZ ggzschema 2009 en het model cliëntveiligheid van HKZ gesproken over prospectieve risicoanalyse en retrospectieve risicoanalyse. Deze twee analyse methoden kunnen gebruikt worden om risico’s te inventariseren en te identificeren. Op dit moment is er nog weinig ervaring met beide methodieken en treft u hieronder vooral voorbeelden aan waarmee het proces van het inventariseren wordt uitgediept zodat ervaring wordt opgebouwd.
13
Prospectieve risico inventarisatie (PRI) De prospectieve risico inventarisatie houdt in dat risico’s vooraf, dus voordat er iets is gebeurd, proactief worden geïnventariseerd. Door preventieve maatregelen in te zetten kunnen deze risico’s zoveel mogelijk worden beheerst, zodat de schade niet of in geringe mate optreedt. Een voorbeeld van een prospectieve risico inventarisatiemethodiek is SAFER, dit is de Nederlandse vertaling van de HFMEA, de Health Care Failure Mode and Effective Analyses. Binnen het UMCU is veel ervaring opgedaan met deze methode. Binnen de ggz zijn organisaties zich aan het oriënteren op de SAFER methodiek. In onderstaand voorbeeld staan doelstellingen met betrekking tot de implementatie van deze methodiek. -
Rivierduinen concern en elk centrum heeft eind 2010 een top 3 benoemd van kritische processen Medio 2011 zijn de kwaliteitsadviseurs en overige experts op het gebied van veiligheid getraind in de SAFER-methodiek Rivierduinen concern en elk centrum heeft in 2011 tenminste 1 van de kritische processen geanalyseerd met behulp van de SAFER-methodiek en vertaald in preventieve maatregelen Eind 2010 is een checklist voor risico-inventarisatie cliënt gerealiseerd en opgenomen in EPD Eind 2010 is onderzoek verricht naar iRisk van Infoland.
(Bron: Rivierduinen, 2010)
Retrospectieve risico identificatie De retrospectieve risico inventarisatie houdt in dat informatie uit gegevensbestanden van incidentmeldingen (VIM-systeem) worden gebruikt om de belangrijke trends te herkennen en deze als risico vast te leggen. Door het uitvoeren van een retrospectieve risico inventarisatie worden de trends herkend en beheersmaatregelen genomen om deze trendmatig (structureel) voorkomende risico’s te elimineren. Zie hiervoor ook de Handreiking VIM (link invoegen) Voorbeelden van retrospectieve analysemethoden zijn PRISMA en SIRE. In onderstaand voorbeeld zijn doelstellingen opgenomen met betrekking tot het melden van incidenten en het gebruiken van meldgegevens voor analyse. -
-
-
Einde 2010 is de VIM-classificatie van medicatie incidenten aangepast aan de CMR-GGZ. Meldingen worden geanonimiseerd geëxporteerd naar de landelijke CMR database. Einde 2011 wordt geëvalueerd of deze aansluiting op het landelijke CMR voldoende meerwaarde heeft om de meerkosten te rechtvaardigen Einde 2011 is er een aanzienlijke toename (25%) van het aantal meldingen in meldingscategorieën waarbij momenteel sprake is van ondermelding. Einde 2011 is er aan aanzienlijke toename (25%) van het aantal meldingen in centra die momenteel op jaarbasis geen 1.00 melding op 1 FTE halen Einde 2011 is er een aanzienlijke toename (25%) van het aantal melders uit personeelscategorieën waarbij momenteel sprake is van ondermelding. Het betreft vooral de categorieën gedragswetenschappelijke zorgverleners en ondersteunend personeel. Einde 2011 is het percentage meldingen van bijna-incidenten en veiligheidsrisico‟s toegenomen tot 45% Einde 2011 worden per centrum gemiddeld tenminste 20 Prisma-analyses per jaar uitgevoerd (of indien lager, tenminste 10% van het aantal meldingen) Einde 2011 is gerealiseerd dat de kennis uit PRISMA analyses en de aanbevelingen voor verbetering
14
-
wordt gedistribueerd onder de centra. Ieder aanbeveling aan een centrumdirectie –tenzij aantoonbaar irrelevant- wordt beschouwd als een aanbeveling voor geheel Rivierduinen in 2011 wordt bij de Prisma-analyses gefocust op de inhoudelijke speerpunten van het project Veilige zorg ieders zorg van GGZ Nederland. Eventueel worden ieder speerpunt door één of meerdere centra geadopteerd Einde 2010 is de VIM hecht aangesloten op het verbetermanagementsysteem van Rivierduinen Einde 2011 is voor elk type incident materiedeskundigheid op het niveau van Rivierduinen beschikbaar Einde 2011 kunnen cliënten zelf incidenten melden op het besloten cliëntenportaal van de website De rol van leidinggevende wordt in 2011 nader geëxpliciteerd in een TBV.
(Bron: Rivierduinen 2010)
Checklist voor identificatie van risico´s Voor het identificeren van de risico´s worden ook gestandaardiseerde checklisten gebruikt. Hierdoor wordt het identificeren van de risico´s eenvoudiger.
RISICOMANAGEMENT: FAÇADE? Het gebruik van risicomanagement methodieken heeft minder te maken met echte kansen en bedreigingen dan wordt gedacht, maar het gaat meer om het afleggen van verantwoording en legitimatie (Power 2007)
NIET DE METHODE MAAR DE INVULLING BEPAALT DE EFFECTIVITEIT VAN RISICOMANAGEMENT !
5
6
Tijdens de conferentie tekent de heer Van de Ven bij deze methoden aan dat een methode zeker helpt, maar geen panacee is: “De menselijke factor is het fundament. Als dit fundament niet goed is, dan werkt het niet om steviger muren te willen bouwen. Het gaat om ethisch leiderschap op alle niveaus in de organisatie.” (A.C.N. van de Ven) “Iedereen is 100% verantwoordelijk voorhet eigen handelen. De veiligheidsorganisatie ziet er zo uit:” (J.P. Visser)
Line Responsibility SAFETY SAFETY
SAFETY
SAFETY
SAFETY
SAFETY
SAFETY
SAFETY
SAFETY
SAFETY
SAFETY
SAFETY
SAFETY
SAFETY
SAFETY
SAFETY
SAFETY
SAFETY
SAFETY
SAFETY
SAFETY
SAFETY
15
(J.P. Visser, Onderzoeksraad voor Veiligheid)
Stap 3 - beoordelen en analyseren van risico’s Bij deze stap gaat het om het beoordelen en vervolgens het analyseren van risico’s. Het beoordelen van de risico´s geeft de mogelijkheid aan het management om de geïdentificeerde risico´s te prioriteren. Het beoordelen van een risico houdt in dat de kans en de impact van een risico worden bepaald. Met het beoordelen worden risico´s gewaardeerd. Hierdoor worden ze met elkaar vergelijkbaar gemaakt. Er zijn verschillende methoden om risico’s te beoordelen: Beoordelen risico’s: bepalen impact Met de impact wordt de grootte van mogelijke consequenties van de risico´s voor de organisatie bedoeld. De impact wordt gecategoriseerd in oplopende schalen. Het aantal stappen in deze schaal is afhankelijk van de voorkeur van de organisatie. Hierbij moeten tenminste drie stappen opgenomen worden om de toename te benadrukken. Impact kan ook uitgedrukt worden in financiële cijfers. Maar in de meeste gevallen kan er geen schatting gemaakt worden over de grootte van de financiële impact. Een voorbeeld hiervan is te vinden in onderstaand schema: Score 1
2
Financieel
Minder dan 10% impact op het bedrijfsresultaat
Operationeel
Beperkte impact op het bereiken van de operationele doelstellingen
Minimaal verlies van kwaliteit van zorg Minimaal verlies van veiligheid van patiënt Minimale verlies van mensen en/of middelen Geen onderbreking primair proces Reputatie Lage politieke en/of maatschappelijke gevoeligheid Geen negatieve aandacht in de media slechts intern bekend (Voorbeeld Impact scores)
3
4
Meer dan 10% en minder dan 25% op impact het bedrijfsresultaat Grote impact op het bereiken van de operationele doelstellingen Gematigd verlies van kwaliteit van zorg Gematigd verlies van veiligheid van patiënt Gematigd verlies van mensen en/of middelen Kortstondige onderbreking primair proces Gematigde politieke en/of maatschappelijke gevoeligheid Negatieve aandacht in de regionale media
16
5
6
Meer dan 25% impact op het bedrijfsresultaat Grote impact op bereiken van de strategische - en operationeledoelstellingen Significant verlies van kwaliteit van zorg Significant verlies van veiligheid van patiënt Significant verlies van mensen en/of middelen Langdurige onderbreking primair proces Significante politieke en/of maatschappelijke gevoeligheid Negatieve aandacht in de nationale media
Beoordelen risico’s: bepalen kans Met kans wordt een termijn aangeduid waarin het risico kan optreden. Hiertoe kan onderstaande waarderingsschaal worden gebruikt
Kans
Score 1 2 Treedt waarschijnlijk niet op binnen 5 jaar Zeldzaam/erg onwaarschijnlijk, zou verassend zijn als het zou optreden Heeft zich niet eerder voorgedaan in de bedrijfstak
3
4
5
6
Treedt waarschijnlijk binnen 3 jaar. Heeft zich in het verleden vaker voorgedaan.
Treedt waarschijnlijk op binnen 1 jaar Heeft potentie om meerdere keren op te treden binnen de komende 5 jaar
Zou geen grote verassing zijn indien het zich voordoet.
Heeft zich in de laatste 2 jaar voorgedaan.
(Voorbeeld Kansscores)
Beoordelen risico’s: taxeren risicogebieden Een ander voorbeeld om de risico’s te beoordelen is het benoemen van risicogebieden, de omvang ervan en de waarschijnlijkheid van optreden. Risico 1. Klantveiligheid 2. Goed (zorg)personeel 3. Professioneel inzicht & beoordeling 4. Stagnerende organisatie 5. Stuurinformatie 6. Leiderschap 7. Vastgoed 8. Marktgerichte houding 9. Concurrentie ( Voorbeeld taxatie)
Omvang Belangrijk Belangrijk Belangrijk Gemiddeld Belangrijk Belangrijk Belangrijk Belangrijk Gemiddeld
Waarschijnlijkheid Waarschijnlijk Waarschijnlijk Waarschijnlijk Waarschijnlijk Misschien Misschien Misschien Misschien Waarschijnlijk
Een matrix kan ondersteuning bieden bij het bepalen welke incidenten (uitgebreid) geanalyseerd moeten worden en of een melding met een hoog potentieel risico (rood) op organisatieniveau gerapporteerd moet worden. In onderstaande matrix is een voorbeeld uitgewerkt waarmee de organisatie haar risico’s kan classificeren en taxeren:
17
Frequentie
Ernst Catastrofaal Ca
Groot Gr
Matig Ma
Klein Kl
Wekelijks We
Zeer hoog
Zeer hoog
Hoog
Laag
Maandelijks Ma
Zeer hoog
Hoog
Laag
Zeer laag
Jaarlijks Ja
Hoog
Laag
Laag
Zeer laag
Minder dan 1x per jaar <Ja
Laag
Zeer laag
Zeer laag
Zeer laag
(Risico-inventarisatiematrix, ernst en frequentie. Bron: Handreiking VIM)
Veel ggz-instellingen hanteren de regel dat de groene vlakken geen (uitgebreide) analyse voor trendbewaking behoeven. Bij de gele, oranje of rode vlakken kan een analyse naar basisoorzaken inzicht bieden in de keuzes die de organisatie gaat maken en welke maatregelen zullen worden getroffen. Deze analyse kan bijvoorbeeld met de Prisma-analyse plaatsvinden. Instellingen zijn nu zoekende naar een geschikte methode en er wordt zelfs gesproken van een PRISMA-light variant. Op basis van de beoordeling wordt bepaald of het al dan niet noodzakelijk is om een uitgebreide analyse te doen. Door middel van het analyseren wordt de oorzaak van de risico´s achterhaald. Hierdoor kan het probleem bij de oorzaak aangepakt worden. Analyseren van de risico’s De grootte en mogelijke acceptatie van een risico wordt bepaald door de kans op voorkomen x de impact voor de organisatie. Om dit zo goed mogelijk in te schatten worden positieve en negatieve ervaringen uit het verleden nader onderzocht (retrospectieve risicoanalyse). Met behulp van de risicomatrix wordt de kans op een gebeurtenis afgezet tegen de mogelijke impact. Hierdoor ontstaat inzicht in kritieke, significante en niet significante risico’s.
“Wanneer is het risico ALARP (as low as reasonably practicable)? Hoe maak je als organisatie deze ALARP-afweging?” (J.P. Visser, Onderzoeksraad voor Veiligheid)
18
Risico analyse Waar lopen we tegenaan?
Risico inventarisatie Doelstelling Kwalitatief hoogstaande zorg Risicogebied Medewerkers Risico Kwalitatief goede zorg wordt niet geleverd doordat de deskundigheid van personeel niet goed aansluit op de gevraagde zorg Risico-indicatie 1
2
3
4
5
6
KANS IMPACT
(Bron: presentatie S. Bangma, Dimence)
Stap 4 – bepalen van reactie op risico’s Het reageren op de risico´s houdt in dat er een gewenste reactie op de risico´s bepaald wordt. Deze risicorespons is afhankelijk van de grootte van het risico en de risicohouding van de organisatie. Als de instelling de risico’s als zeer hoog prioriteert, wordt verwacht dat passende
19
beheersmaatregelen worden genomen. Als die lastig te benoemen zijn (omdat ze onvoldoende beïnvloedbaar zijn of onvoldoende bekend) zullen veelal ad hoc zaken geregeld worden. Daar waar de beheersmaatregelen genomen zijn, effectief zijn en continue gemonitord zijn spreekt men van risicomanagement, waarbij de risico’s in control zijn. In een instelling kan men de volgende acceptatie afspraken maken: Groen betekent dat structurele beheersmaatregelen zijn genomen, de effectiviteit van de beheersmaatregelen zijn geëvalueerd, beheersmaatregelen zijn geoptimaliseerd, het overblijvende restrisico komt overeen met de risicotolerantie van de organisatie. Geel betekent dat structurele maatregelen getroffen zijn, maar de maatregelen zijn nog niet geëvalueerd. De organisatie kan niet vaststellen of het restrisico overeenkomt met de risicotolerantie. Rood betekent dat op adhoc basis bepaalde maatregelen worden toepast. De organisatie kan niet helder krijgen wat de eigen risicotolerantie is. Nadat de al getroffen beheersmaatregelen in kaart zijn gebracht, moet het management passend binnen het eigen risicomanagementbeleid een keuze maken. Het management heeft voor elk risico een aantal opties/strategieën: Hierbij zijn de volgende reacties of strategieën te onderscheiden: Risicorespons: vermijden Hierbij wordt besloten om een risicovolle activiteit niet (meer) te ondernemen. Dit kan doordat het beleid waardoor het risico ontstaat wordt beëindigd; het beleid op een andere manier wordt vorm gegeven of geen beleid gestart wordt dat een risico met zich meebrengt. Ook kunnen werkprocessen zo ingevuld worden, dat op die manier de bepaalde risico’s worden vermeden. Risicorespons: reduceren Acties worden ondernomen om de impact totaal of gedeeltelijk te reduceren. Door het risico af te dekken door een verzekering, een voorziening of een ander budget in de begroting. Hiermee beperkt de financieel manager de gevolgen van een risico. Tevens kan men bij verminderen denken aan het aanpakken of wegnemen van de oorzaak van het risico. Risicorespons: overdragen Hierbij wordt het risico geheel of gedeeltelijk overgedragen aan een andere partij. Dit kan door het beleid dat een risico met zich meebrengt, uit te laten voeren door een andere partij die daarmee ook de financiële risico’s overneemt. Risicorespons: accepteren Accepteren: dit betekent dat de risico onderkend is, maar geen actie ondernomen wordt. Kan een risico niet worden vermeden, verminderd of overgedragen, dan kan de manager het risico accepteren. De eventuele financiële schade moet volledig worden afgedekt. Dit betekent niet dat het risico niet beïnvloedbaar is. Het betekent alleen dat het risico op dit moment geaccepteerd wordt en niet op een andere wijze is afgedekt. “Het is lastig om de juiste mix van maatregelen te vinden. Het risico is dat het nemen van beheersmaatregelen verstikkend gaan werken. Houd kritisch voor ogen dat je gericht maatregelen treft bij de risico’s die gekoppeld zijn aan je organisatiedoelstellingen.” (A.C.N. van de Ven)
20
Afhankelijk van de gewenste reacties worden beheersmaatregelen gedefinieerd en uitgevoerd. Organisaties kunnen zich onderscheiden ten opzichte van elkaar / hun concurrenten door de risico’s efficiënter te beheersen. Risico’s moeten de verantwoordelijkheid worden van die persoon die ze het beste beheersen kan. Het is daarom noodzakelijk een risico-eigenaar aan te wijzen.
Wat hebben we met de risico analyse gedaan? •
Top 10 risicodossiers zijn benoemd in kaderbrief:
•
Extra risicodossiers RvB-RvT:
– – – – – – – – – –
Dwang & Drang Veilig werken Medicatieveiligheid Suïcidepreventie Psychiatrische en somatische comorbiditeit Voedselveiligheid Gebouwveiligheid (incl. brandveiligheid) Informatiebeveiliging Personeel Financiën
– Vastgoed – Governance
(Bron: presentatie S. Bangma, Dimence)
Stap 5 - monitoring en controle activiteiten “Als het management van mening is dat iets zodanig belangrijk is om er een maatregel voor te treffen, dan moet het ook voldoende belangrijk zijn om de nalaving en de effectiviteit van deze maatregel te monitoren.” (A.C.N. van de Ven) “Voor het monitoren van / toezichthouden op je risico’s en je beheersmaatregelen, is het interne systeem het fundament. De bijdrage van extern toezicht is belangrijke aanvulling voor elke organisatie. (J.P. Visser, Onderzoeksraad voor Veiligheid)
Onder monitoren wordt het continu bewaken van de risico’s verstaan. Voor het bewaken van de risico’s worden kritische risico-indicatoren ontwikkeld. Met een kritisch risico-indicator worden kwantitatieve gegevens bedoeld die op structurele basis verzameld kunnen worden. Deze
21
indicatoren geven het management de mogelijkheid het risicobeheersingproces continu te monitoren. Kritische Risico-indicatoren Voor het monitoren van risico’s wordt vaak gebruik gemaakt van de Kritische Risico Indicatoren (KRI’s). De risico’s worden meetbaar gemaakt met deze KRI’s. De KRI’s zijn indicatoren die een voorspellende waarde hebben over de verandering in interne risico’s. Dit betekent dat de verandering in de KRI ook een verandering in het risico teweeg brengt. Anders gezegd; er is een causaal verband tussen de KRI en het risico. Voor het meetbaar maken van risico’s moeten per risico een geschikte KRI bepaald worden. Hierbij kunnen al ontwikkelde indicatoren voor andere projecten en verplichtingen, zoals veilig melden, HKZ en interne controle gebruikt worden om de KRI’s voor risicomanagement samen te stellen. De KRI’s leveren kwantitatieve informatie over toestand van een bepaald risico. Een goede KRI voldoet aan de volgende voorwaarden: Meetbaar: de KRI moeten kwantitatief meetbaar zijn; Ondersteunend voor besluitvormingsproces: op basis van de KRI zijn besluiten te nemen; Eenvoudig: de KRI moet de risico’s op een eenvoudige manier weergeven; Causaal verband: tussen de KRI en het risico bestaat een causaal verband; Continuïteit: KRI’s zijn altijd beschikbaar zijn. Tijdelijke beschikbaarheid heeft geen nut; Gerelateerd aan strategie/doel: KRI’s hangen samen met organisatiestrategie en –doel; Limiet bepaald: per KRI is aangegeven wat de limiet is (risicotolerantie); Efficiency: de kosten voor de KRI mogen de kosten van de risico niet overstijgen; Tijdigheid: de KRI’s moeten op tijd waarschuwen voor het dreigende risico; Betrouwbaar: De KRI levert betrouwbare gegevens op. “Veiligheid is lastig te meten en wordt vaak gemeten via onveiligheid. “ (J.P. Visser, Onderzoeksraad voor Veiligheid)
Controle maatregelen Met controlerende onderzoeken (audits) kan de risico-eigenaar bepalen of hij/zij ‘in control’ is ten aanzien van een bepaald risico. In control zijn betekent niet dat een risico volledig onder controle is. Het betekent wel dat de benodigde stappen ondernomen zijn om het risico beheersbaar te maken. Na het doorlopen van de volgende stappen kan de risico eigenaar bepalen of hij/zij ‘in control’ is.
Gradatie 0 1 2
Omschrijving Geen Maatregel Binnen de organisatie bestaan geen beheersmaatregelen Ad-hoc basis Op adhoc basis zijn de beheersmaatregelen binnen de organisatie uitgewerkt Gestructureerde aanzet Aanzet wordt gegeven voor de gestructureerde aanpak van de beheersmaatregelen
22
3
Gedefinieerd Beheersmaatregelen zijn aanwezig. Beheersmaatregelen zijn gestandaardiseerd, gedocumenteerd en toegepast. 4 Beheerst systeem Beheersmaatregelen worden intern periodiek geëvalueerd en bijgestuurd. Er is sprake van een adequaat en doeltreffend systeem. 5 Geoptimaliseerd Beheersmaatregelen worden voortdurend geoptimaliseerd. (‘In control’ kenmerken) “Besturen is bijsturen. Besturen is verbeteren. De les uit de Staat van de Gezondheidszorg 2009 (IGZ) is dat u niet kunt besturen zonder informatie. U heeft harde en zachte informatie (pluis, niet pluis) nodig. Deze zachte informatie is minstens zo belangrijk, want harde informatie loopt altijd achter! (W.M.L.C.M. Schellekens, Inspectie voor de Gezondheidszorg)
Bij controle en vertrouwen moet sprake zijn van een goede wisselwerking. Het zijn geen substituten van elkaar.
‘Vertrouwen is goed, controle is beter’ uitspraak toegeschreven aan Lenin
Bestuurders kunnen en mogen niet vertrouwen op risicomanagement systemen. Het management speelt zelf een cruciale rol. De effectiviteit van beheersmaatregelen is een complexe wisselwerking van harde en zachte controls.
‘Controle is goed, vertrouwen is nog beter’ (Cools 2005) ‘Vertrouw op Allah, maar bind wel je kameel vast’ (Shah 2003:18) 17
““Als je niet kunt meten, kan je niet managen. Maar als je niet kunt managen, hoef je ook niet te meten.” (A.C.N. van de Ven)
Stap 6 - communicatie en rapportage van risico’s Een van de belangrijkste elementen van risicomanagement is het intern rapporteren over risico’s. Voor het management is het van belang goed inzicht te hebben in de aard en de omvang van de risico’s.
23
Steeds meer instellingen hanteren een risicoparagraaf in het jaarplan en jaarverslag. Daarnaast werken de interne auditsystemen als signaleringssystemen van risico’s op diverse terreinen (arbo, AO/IC, managementletter accountant, CI rapportage, rapportages VIM-systemen, directiebeoordeling). De samenvoeging van de risico’s en het toedelen aan de organisatieniveaus en/of projecten en processen is een eerste lastige stap in het ontwikkelen van een risicomanagemensysteem.
“Het communiceren over risico’s en verbetermaatregelen is heel belangrijk. Het is belangrijk dat blame free gemeld kan worden. Dan kunt u leren en verbeteren. Sorry zeggen tegen clienten ligt nog erg gevoelig, maar het erkend krijgen van een fout wordt door de client heel erg gewaardeerd. Dit geldt helemaal als u ook aangeeft dat u er wat mee heeft gedaan om er van te leren.“ De IGZ vraagt nooit naar de inhoud van VIM-meldingen. Wel of u een VIM-systeem heeft, wie dit beheert en welke verbeteracties hieruit zijn voortgekomen. Het is belangrijk dat de inhoud van uw VIM-meldingen laag in de organisatie behandeld wordt, als Raad van Bestuur hoeft u niet op deze inhoud te sturen, u moet sturen op de verbeteracties. Daarbij moet u zich bewust zijn van de glijdende schaal waarin het niet acceptabele geaccepteerd wordt. Veel van uw mensen zijn getraind om gedrag te accepteren dat elders niet geaccepteerd wordt. Daarvoor heeft gedragscodes en is uw voorbeeldgedrag van belang. Het bestuur stelt de norm. Hoe moet u besturen als u geen normen stelt? Ethisch leiderschap is van enorm belang. “ (W. Schellekens, Inspectie voor de Gezondheidszorg) “Uw laagste norm is de hoogste norm voor uw direct ondergeschikte.” (A.C.N. van der Ven)
24
3. Risicomanagementbeleid 3.1 Risicobewustzijn en risicoprofiel van de organisatie In voorgaande hoofdstukken zijn risico’s, risicomanagement en het risicomanagementproces belicht en met voorbeelden aan patiëntveiligheid en veiligheidsmanagement verbonden. Cultuur en leiderschap zijn een onlosmakelijk onderdeel van alle aspecten van het risicomanagementmodel. Het is te verwachten dat door het doorlopen van het risicomanagementproces het risicobewustzijn / veiligheidsbewustzijn in uw organisatie wordt verhoogt. Het creëren en/of vergroten van het risicobewustzijn vergt in veel gevallen een gedragsverandering van medewerkers. Dit vereist een andere manier van denken en een cultuuromslag. De psychologische kant van risicobeheersing is gelegen in bewustwording dat er risico’s worden gelopen en dat dit schade tot gevolg kan hebben. Het gaat bij leiderschap met name om het creëren van een cultuur van: open communicatie over fouten en afwijkingen; met een gemeenschappelijke taal; een werkomgeving waarbij vrijwillige melding van fouten/afwijkingen ‘normaal’ is en een wijze van omgaan met meldingen waarbij blame free reporting het kernbegrip is Het management creëert de voorwaarden voor het ontstaan van een risicobewuste en veilige cultuur. “We zijn bij Dimence al jaren bezig om het risicomanagementsysteem vorm te geven. We moeten in de zorg van een sturingsmodel gericht op controleren naar een systeem van leren. Hiervoor is vertrouwen van belang. Patientveiligheid is bij ons niet apart, het is ingebed in de normale planning en control cyclus. Patientveiligheid daarnaast plaatsen werkt niet. Als Raad van Bestuur sturen/managen we op risico’s en niet op incidenten. Het in kaart brengen van de risico’s en deze goed neer te leggen bij alle medewerkers in de organisatie, dat is een enorme klus! We hebben nu een risico-top 10, deze risicodossiers staan standaard op de agenda van de Raad van Bestuur met de Raad van Toezicht, van de RvB met het management, van het management met de teamleiders en van de afdelingsoverleggen. Van elk organisatieonderdeel hebben we een risicoprofiel. (S. Bangma, Dimence)
25
Governance en risicomanagement
(Bron: presentatie S. Bangma, Dimence)
Opdracht kwaliteit en veiligheid: 1 + 2 P50
f
f 2
80%
1
5%
-
20%
+ Q
+Q -
8
(Bron: presentatie W. Schellekens, Inspectie voor de Gezondheidszorg)
26
Voordat een organisatie het proces van risicomanagement ingaat, is het van belang een zelfanalyse van de eigen organisatie, een risicoprofiel, te maken. Daarbij gaat het om de volgende vragen: Wat is onze houding ten opzichte van risico’s? Zijn we ondernemend of behoudend? Waar spelen integriteit en ethiek een rol. Hierbij valt te deken aan beroepsethiek en wet- en regelgeving in het primair proces; Welke managementstijl is wenselijk / praktijk? Is dit coachend, integraal of duaal? Welke organisatiestructuur kent de eigen organisatie. Is dit bureaucratisch, of een matrix? Welke ruimte is er voor zelfstandig handelen? Denk aan professionaliteit en beroepscodes. Wat is de samenstelling van het personeelsbestand en hoe functioneert het beloningssysteem (inspannings- versus prestatiegericht). Uit de analyse van bovengenoemde items vloeit de risico-acceptatiegraad (mate van risicotolerantie) van een organisatie. De raad van bestuur bepaalt welke risico’s de organisatie bewust kan nemen en binnen welke grenzen. Zowel managers als medewerkers hebben vervolgens binnen de organisatie met bepaalde interne afspraken te maken.
Risico acceptatiegraad (2) RA
Laag
Midden
Hoog
Doelstelling x
Kwalitatief hoogstaande zorg Veilige omgeving voor patiënt en medewerker
x x
Toonaangevende innovatieve kennisorganisatie x
Dimence ontwikkelt mensen Financieel gezonde organisatie
x
Maatschappelijk verantwoorde organisatie
x
Geïntegreerde geestelijke gezondheidszorg
x
Gastvrije zorg en cliëntgerichte zorg
x
(Bron: presentatie S. Bangma, Dimence) We realiseren ons dat wij bepaalde risico’s moeten nemen om onze doelstellingen te kunnen bereiken. Wij stellen ons op als risicobewuste organisatie. Als zorgorganisatie zijn we over het algemeen terughoudend in het nemen van risico’s. Echter op bepaalde gebieden zijn we bereid een weloverwogen risicovoller beleid te voeren. We beseffen ons hierbij dat wanneer gekozen wordt voor een soms onzekere ontwikkeling, niet alleen de kans op succes maar ook de kans op mislukking altijd aanwezig zal zijn. Op deze van te voren gedefinieerde gebieden zijn we bereid dit risico te nemen. (Bron: Dimence)
27
3.2 Risicomanagement onderdeel van integraal managementsysteem Risicomanagement, veiligheidsmanagement, kwaliteitsmanagement, informatiemanagement, etc zijn allemaal elementen van het integrale managementsysteem van de organisatie. “We zijn onderweg. Het is een samenspel van acties om veiligheidsdoelstellingen te bereiken. Dat maakt het voor het bestuur ook complex. Veel verbeterslagen komen door alle discussies die we gezamenlijk voeren. Het risico is dat VMS een papieren tijger wordt. Je moet je professionals niet verlammen, we gaan niet uit van risicoloos werken. Het is een mix van hard en zacht, hard als het gaat om de stuurinformatie die je nodig hebt in je P&C. De Raad van Bestuur is voor heldere kaders, zij zet de stip op de horizon. Het is de kunst iedereen voortdurend naar die stip te laten kijken. Veiligheidsmanagement als onderdeel van het (risico)managementsysteem vraagt dat het management goed wordt gepositinoeerd: het management moet leren veiligheidsrisico’s te managen, het is een essentieel onderdeel van de functie, hierin moeten ze willen excelleren.” (R. Laport, Rivierduinen)
Onze aanpak: van patchwork ...
... naar integraal Incident
Incident
Incident
Incident
Incident
Herstellen MIP MIP
ARBO ARBO
Klacht Klacht
Fysieke Fysieke veiligheid veiligheid
Etc. Etc.
Melden Analyseren Verbeteren
Een eigen loket en een eigen proces per type incident
Nu: vier vaste stappen
6
7
De vier stappen
Verdere integratie Incident
Incident
Incident
Wat
Wie
Waartoe
Herstellen
Medewerkers o.v.v. teammanagers
Beperken en herstellen van schade en nadeel
Herstellen
Melden
ALLE medewerkers
Leren van incidenten en risico’s
Melden
Analyseren
Deskundigen, zoals VIM- Verbetervoorstellen cie’s
Verbeteren
Raad van Bestuur en directies
Incident
Analyseren
Meer kwaliteit en veiligheid
Verbeteren Loketten waar mogelijk combineren 8
9
Bijlage 1 - Risicomodellen 28
Incident
Om de aanpak van het risicomanagement te standaardiseren zijn er door verschillende normbepalende instanties risicomodellen ontwikkeld. Deze modellen geven in hoofdlijnen voorwaarden bij de implementatie van risicomanagement aan. Een risicomodel is een standaardclassificatie van alle typen risico’s waar een organisatie mee te maken kan hebben. De risicogebieden waaruit het risicomodel is opgebouwd dekken samen op een relatief hoog abstractieniveau het gehele risico-universum van de organisatie af. Het model geeft aan hoe breed of eng een organisatie tegen risicomanagement aankijkt (risicobereidheid). Het model is een nuttige kapstok voor het inventariseren van risico’s en de verschillende stappen van het risicomanagementproces. Het uniform gebruik van een model en de bijbehorende risico-omschrijvingen vereenvoudigt in de hele organisatie de communicatie over risico’s en risicomanagement. Daarbij heeft het hanteren van een risicomodel als voordeel dat de integrale benadering wordt benadrukt en dat de systematische aanpak gegarandeerd is. Organisaties kunnen zelf een keuze maken voor een model. Drie gerenomeerde en op organisatieniveau uitgewerkte risicomodellen zijn ERM/Coso, ISO en INK. Deze modellen zijn allen vanuit internationale standaarden ontworpen en vanuit organisatieprincipes uitgedacht. De stappen in deze modellen voor het implementeren van het risicomanagement komen redelijk met elkaar overeen. De keuze van een model is niet de belangrijkste stap bij het implementeren van het risicomanagement. De belangrijkste stap is bepalen hoe risicomanagement binnen de organisatie geïmplementeerd gaat worden. De drie genoemde risicomodellen worden hieronder in hoofdlijnen beschreven.
1. EnterpriseRiscManagement (ERM) via het Coso-model ERM of Coso is in eerste instantie ontwikkeld als een ‘intern control’ raamwerk. Later werd dit model uitgebreid met de aspecten vanuit risicomanagement. Het is een open source model. Dit betekent dat er geen kosten verbonden zijn aan het gebruik van dit model. De meeste non-profit organisaties gebruiken dit model om risicomanagement te implementeren. Het Coso-model gaat uit van het begrip EnterpriseRiscManagement ofwel Ondernemingsrisicomanagement. Dit omvat:
Afstemmen van risicoacceptatiegraad en strategie Het management overweegt de risicoacceptatiegraad van de organisatie bij de evaluatie van de strategische alternatieven, formuleert hierbij behorende doelen en ontwikkelt een mechanisme om verbonden risico’s te beheersen. Versterken van de beslissingen ten aanzien van de reactie op risico Ondernemingsrisicomanagement zorgt voor het kader waarbinnen alternatieve reacties op het risico te identificeren en te selecteren - risicovermijding, vermindering, delen en accepteren. Vermindering operationele verrassingen en verliezen Ondernemingen vergroten hun vermogen om potentiële gebeurtenissen te identificeren en antwoorden hierop te formuleren om verrassingen en verbonden kosten of verliezen te reduceren. Identificeren en beheersen van meervoudige en dwars door de organisatie lopende ondernemingsrisico’s
29
Elke onderneming heeft te maken met een veelheid aan verschillende risico’s die verschillende delen van de organisatie beïnvloeden. Ondernemingsrisicomanagement ondersteunt een effectieve reactie op onderling verbonden gevolgen en integreert reacties op meervoudige risico’s. Kansen benutten Door alle mogelijke potentiële gebeurtenissen te overwegen, is het management in staat de kansen te identificeren en proactief de mogelijkheden te benutten. Verbeteren van de inzet van kapitaal Het verkrijgen van robuuste risico-informatie stelt het management in staat effectief de kapitaalbehoefte in te schatten en de allocatie van kapitaal te verbeteren.
Deze mogelijkheden inherent aan ondernemingsrisicomanagement helpen het management de prestatiedoelen van de onderneming te bereiken en verlies van middelen te voorkomen.
Componenten van ondernemingsrisicomanagement Ondernemingsrisicomanagement bestaat uit acht met elkaar verbonden componenten. Deze componenten zijn afgeleid van de wijze waarop het management een onderneming runt en zijn verbonden met het managementproces. De componenten zijn:
Interne omgeving De interne omgeving omvat de cultuur van een organisatie en stelt de basis voor hoe risico’s worden beschouwd en aangepakt door de mensen van een onderneming, inclusief risicobeheer en risicoacceptatiegraad, integriteit, ethische normen en waarden en de omgeving waarin zij opereren. Formuleren van doelstellingen Doelstellingen moeten bestaan voordat het management potentiële gebeurtenissen die invloed hebben op het behalen van deze doelen kan erkennen. Ondernemingsrisicomanagement bewerkstelligt dat het management een proces heeft dat doelstellingen vastlegt, dat gekozen doelstellingen afgestemd zijn op en de missie ondersteunen en consistent zijn met de risicoacceptatiegraad. Identificeren van gebeurtenissen Interne en externe gebeurtenissen die invloed hebben op het behalen van de doelstellingen van de ondernemingen moeten worden geïdentificeerd, daarbij onderscheid makend tussen risico s en kansen. Kansen worden teruggekoppeld naar het strategie- en/of doelstellingenformulerings-proces. Risicobeoordeling Risico’s worden geanalyseerd, rekening houdend met hun waarschijnlijkheid en impact, als basis voor het vaststellen hoe deze zouden moeten worden beheerst. De inherente en restrisico’s worden geschat. Reactie op risico Het management selecteert de reacties op risico’s vermijden, accepteren, verminderen of delen van risico waarbij een set acties wordt ontwikkeld om risico s af te stemmen op de risicotolerantie en risicoacceptatiegraad. Beheersingsactiviteiten Richtlijnen en procedures worden geformuleerd en geïmplementeerd om te waarborgen dat de reacties op risico effectief worden uitgevoerd. Informatie en Communicatie
30
Relevante informatie wordt geïdentificeerd, verzameld en gecommuniceerd in een vorm en tijdsbestek die mensen in staat stellen hun verantwoordelijkheden uit te voeren. Effectieve communicatie vindt ook in ruimere zin plaats, horizontaal, verticaal en bilateraal binnen een onderneming. Bewaking De totaliteit van ondernemingsrisicomanagement wordt bewaakt en wijzigingen worden waar nodig aangebracht. Bewaking wordt mogelijk gemaakt door voortdurende managementactiviteiten, afzonderlijke evaluaties of beide. Ondernemingsrisicomanagement is niet alleen een chronologisch proces, waar de ene component invloed heeft op de volgende. Het is een herhalend proces dat zich in verschillende volgorden kan bewegen en waarbij bijna alle componenten invloed op elkaar kunnen en zullen hebben.
Relatie tussen doelstellingen en componenten Er is een directe relatie tussen de doelstellingen die een onderneming tracht te behalen en de componenten van ondernemingrisicomanagement, die aangeven wat nodig is om deze doelen te realiseren. De relatie is afgebeeld in een driedimensionale matrix, in de vorm van een kubus. De vier categorieën doelstellingen strategisch, operationeel, rapportage compliance zijn weergegeven in de verticale kolomen. De acht componenten zijn opgenomen in de horizontale rijen en de onderdelen van de onderneming zijn te vinden in de derde dimensie. Deze afbeelding weerspiegelt de mogelijkheid om te focussen op het risicomanagement van de onderneming in totaliteit of per categorie doelstellingen, per component, per bedrijfsonderdeel of een deel hiervan. Ondernemingsrisicomanagement ondersteunt effectief rapporteren, naleven van de wetten en voorschriften, het voorkomen van schade aan de reputatie van de onderneming en daaraan verbonden gevolgen. Samenvattend: ondernemingsrisicomanagement helpt een onderneming te komen daar waar ze heen wil waarbij verrassingen en verliezen onderweg worden vermeden. Lees meer op de website www.coso.org. 2. ISO 31000:2009 en ISO guide 73:2009 ISO is een instituut dat internationale standaarden ontwikkelt voor de producten en diensten. ISO heeft ook een risicomodel ontwikkeld.. Het model is in 2010 vrijgegeven. Hierbij heeft ISO aangegeven dat ze geen intenties heeft om een certificeringstraject te starten voor het risicomanagement. Binnen dit normenkader wordt risico gedefinieerd als het effect van onzekerheid op het behalen van doelstellingen. (link: KAM Nieuwsbrief 3/2009; ISO 31000: het nieuwe referentiekader voor Risicomanagement)
31
Principes van risicomanagement ISO 31000 bestaat uit drie hoofdonderdelen: de principes voor risicomanagement, het risk management framework en het risicomanagementproces. De onderlinge relatie wordt aangegeven in onderstaande figuur. Belangrijke kenmerken van risicomanagement: Het voegt waarde toe en draagt bij aan de verbetering van de organisatie; Het is een integraal onderdeel van de (besluitvormings) processen; Het is maatwerk, past bij de context van de organisatie en volgt de veranderingen; Het is een systematische en op feiten gebaseerd proces; Het is open en transparant en houdt rekening met menselijke en culturele factoren. De eerste drie kenmerken vormen de basis voor het Risk Management Framework en de laatste twee zijn vooral terug te vinden in het Risk Management Proces.
3.
Risicomanagement en het INK-managementmodel
Het INK managementmodel heeft vele overeenkomsten met het ERM framework, zoals ondermeer de PDCA-cyclus en het denken in doelen en prestaties. Ook het denken vanuit de positie van belanghebbenden, de focus van processen en de relatie tussen strategie en uitvoering.
32
(Bron: B&G, oktober 2004, Jan Trapman)
33
(Bron: B&G, oktober 2004, Jan Trapman)
34
Bijlage 2 Strategische en procesrisico’s Bij de invulling van risicodenken en risicomanagement is het van belang onderscheid te maken tussen management- en procesrisico’s. Managementrisico’s worden benoemd vanuit de (strategische) doelen van de organisatie en komen vaak naar voren bij de vraag “Waar lig je wakker van als je nadenkt over je organisatie?”. Procesrisico’s worden veelal al via bestaande checks geïdentificeerd zoals via audits als AO/IC, HKZ en inspectiebezoeken maar ook via analyse van klachten en incidentmeldingen. Het onderscheid in management- en procesrisico’s levert ook onderscheid in het sturen en beheersen van deze risico’s op (management control (MC) en proces control (PC)).
1 doelstellingen 2 prioriteitstelling 3 strategieën 4 randvoorwaarden 5 risicoanalyse
Management Control Driehoek
MC
PC
kernvraag: welke inhoud elk onderdeel
6 sturing
7 beheersing
processen /controles uitvoering
monitoring
registratie Overview risicomanagement 14 september 2010
(Bron: Interne beheersing, prof. dr. A.C.N. van de Ven)
Het verschil tussen management control en procesbeheersing is dat procesbeheersing control realiseert door voornamelijk gebruik te maken van het dwingend voorschrijven van activiteiten. Hierbij zijn sprekende voorbeelden als instructies voor toediening van injecties en het medicatietoedieningsproces. Ook bij procescontrol geldt dat variatie van processen altijd in combinatie dient plaats te vinden tegen de achtergrond van procesdoelstellingen en alleen als het strategische waarde heeft. Daarnaast dient er gewaakt te worden voor het implementeren van stappen die weer nadelig werken op bijvoorbeeld doorlooptijden en aantal actoren binnen het proces. Evidence-based behandelwijzen staan voorop of anders: ‘’tell me, show me and proof me’’. Bij management control werken andere mechanismen. Als een organisatie besluit op prestaties te sturen, dan is het van belang dat de risico’s en daaruit voortvloeiende beheersmaatregelen ook prestatiegerichte informatie geven. De beheersinformatie moet de mate van de naleving weergeven. Let er altijd op dat er een mogelijke negatieve invloed van maatregelen op
35
doelstellingen kan bestaan.
data
Doelen
Risico’s
Sturing
Maatregelen
effectiviteit sturing
naleving, effectiviteit maatregelen
gegevens
informatie
beslissing
uitvoering
(Bron: Interne beheersing, prof. dr. A.C.N. van de Ven)
Cruciaal binnen risicomanagement is dat naast de identificatie van risico’s en daarbij passende maatregelen vaststellen, de organisatie erop toeziet dat de maatregelen worden nageleefd en effectief zijn. Informatie die hierop antwoorden geeft is andere informatie dan die antwoord geeft op de effectiviteit van sturing. Daarnaast is het zo dat alleen de relatie van het risico dat wordt gelopen samen met de mix van maatregelen en de ‘’risk appetite’’ (zie 4. Risicobeleid), iets zegt over of het rest-risico voor de organisatie acceptabel is. De naleving van de maatregel is een essentieel element van een adequate beheersing. Verschillende rampen hadden kunnen worden voorkomen, maar niet door betere maatregelen maar wel door eerder vast te stellen dat getroffen maatregelen niet worden nageleefd!. Hieruit is ook te concluderen dat een procedure eigenlijk geen effectieve maatregel is, want de maatregel is pas effectief bij gedragsverandering en naleving. Een aantal voorbeelden van geïdentificeerde organisatierisico’s (vanuit management control) binnen de ggz: 1. Kwaliteit en kwantiteit personeel onvoldoende aansluitend op vraag 2. Concurrentie/verdringing in de markt 3. Kwaliteit management onvoldoende in lijn strategie en competenties 4. Aanpassingsvermogen instelling onvoldoende flexibel 5. Betrouwbaarheid gegevens onvoldoende waardoor verkeerde beslissingen worden genomen. 6. Interne samenwerking onvoldoende 7. Budgetcultuur ipv opbrengstgericht 8. Investeringen financieel (liquiditeit onvoldoende) 9. Effectiviteit primair proces (wachtlijsten) 10. Overschrijding bouwplanning Belangrijk is dat bovengenoemde risico’s verder gespecificeerd worden en tot een eenduidige gebeurtenis worden benoemd. Dan pas kunnen de maatregelen die de oorzaak en eventuele gevolgen van deze gebeurtenis wegnemen vastgesteld worden.
36
Ter illustratie ook een aantal vanuit proces control geïdentificeerde risico’s binnen de ggz: Medicatie (van prescriptie tot toediening) Suïcide-risicotaxatie Laboratoriumonderzoek Somatische screening/onderzoek Separeren/fixeren Heelkundige handelingen Verrichten van katherisaties (diverse onderscheiden vormen), Geven van injecties, Verrichten van venapuncties Toepassen van elektroconvulsieve therapie Ontvluchting/vermissing Bezetting van klinieken en acute diensten Multi/interdisciplinaire samenwerking Brandveiligheid BHV Legionella Gevaarlijke stoffen Calibratie/onderhoud van hulpmiddelen, weeg- en meerapparatuur HACPP Infectieziekten Prik/krab/bijtincidenten Elektrische apparaten NEN 3140 Informatiebeveiliging NEN 7510 Schoonmaakhygiëne Risicovolle werktuigen/gereedschappen
37
Bijlage 3 Tips en valkuilen Als de instelling riscomanagement goed in de organisatie borgt, zal enerzijds de veiligheid beter geborgd zijn, waardoor het vertrouwen van de patiënten in de instelling toeneemt. Anderzijds is de instelling ook in staat haar kosten beter te beheersen en de inzet van middelen te rationaliseren. Er bestaat inzicht in wat de belangrijkste risico’s zijn en waar de beschikbare middelen (geld, tijd e.d.) het beste aan kunnen worden besteed. Managementkeuzes worden explicieter en bewuster gemaakt. De mate waarin de instelling erin slaagt deze voordelen te behalen is afhankelijk van de kwaliteit van de uitvoering. Vaak worstelen organisaties met de effectieve toepassing van risicomanagement. De oorzaken hiervan zijn vaak terug te voeren op enkele misvattingen of valkuilen (Risicomanagement - De praktijk in Nederland, 2006). Valkuil 1: Risicomanagement is vooral is iets voor de controller Doordat risico’s altijd financiële consequenties hebben en veelal als zodanig uitgedrukt worden, wordt al gauw gesproken over financiële risico’s. Op grond daarvan wordt de verantwoordelijkheid al gauw neergelegd bij de financiële functionaris. Dit zelfde kan gebeuren met veiligheidsrisico’s, die dan de verantwoordelijkheid worden van de kwaliteitscoördinator. Risico’s moeten echter niet te worden geclassificeerd naar gevolg, maar naar ontstaansgrond. Dit is zuiverder, nauwkeuriger en gemakkelijker als het gaat om het bepalen van mogelijke maatregelen en het toewijzen van verantwoordelijkheden. Eigenaarschap is cruciaal in risico’s onderkennen en managen. De ontstaansgrond ligt dikwijls bij de processen, systemen en organisatieonderdelen waar de lijnmanager voor verantwoordelijk is. Risicomanagement is typisch iets van het management. Draagvlak voor risicomanagement dient dan ook zeer breed en hoog in de organisatie gedragen te worden met nadrukkelijke betrokkenheid van het (top)management. Valkuil 2: De kenmerken van een riscio zijn voor alle betrokkenen gelijk Het is sterk afhankelijk van de positie in de instelling, zowel verticaal als horizontaal, hoe risico’s worden ervaren. Daarnaast spelen het referentiekader (kennis van omgeving, organisatie en eerdere ervaringen) en de risicobereidheid een belangerijke rol. Het is daarom belangrijk met een multidisciplinaire groep risico’s te inventariseren en analyseren. Deze groep moet niet alleen verschillende vakgebieden vertegenwoordigen, maar ook afgevaardigden uit verschillende lagen in de organisatie hebben. Bewustzijn van de context van risicomanagement is hierbij ook essentieel. Valkuil 3: Risico’s managen is een éénmalige of jaarlijks uit te voeren excercitie Veel organisaties worden door incidenten of door ex- en/of interne regelgeving geconfronteerd met risicomanagement. Hierdoor wordt het gezien als een ogenschijnlijk nieuw bedrijfsvoeringsconcept naast de vele andere managementconcepten zoals HKZ en ISO. Risicomanagement wordt gezien als een trucje dat één maal per jaar vanachter het bureau uitgevoerd wordt door bijvoorbeeld stafmedewerkers. Dit heeft grote gevolgen voor de kwaliteit van de uitvoering van risicomanagement. Risicomanagement moet juist gezien worden als bindend element tussen al die concepten, gericht op de organisatiedoelstellingen en de integrale sturing en beheersing. Risicomanagement moet continu plaatsvinden onder verantwoordelijkheid van het management. De lijnmanagers moeten voldoende betrokken zijn als eigenaar van de risico’s.
38
Valkuil 4: een risico houdt in een doelstelling niet halen of een niet-functionerende beheersmaatregel Een doelstelling niet halen is wellicht het ultieme risico, maar het is onvoldoende specifiek. Om een risico te kunnen managen is het relevant om de oorzaak (gebeurtenis, omstandigheid, activiteit) te benoemen, die de realisatie van de doelen bedreigt. Tips om deze valkuil te voorkomen zijn: maak duidelijke en gedetailleerde omschrijvingen van de risico’s; stel vast of het risico voldoende specifiek is en iets zegt over de organisatie of de omgeving; benoem zoveel mogelijk oorzaak en gevolg van het risico; probeer een relatie te leggen met andere reeds benoemde risico’s en bepaal of dit risico daadwerkelijk is toevoegt of een verkapte disfunctionerende beheersmaatregel is; laat een relatieve buitenstaander met kennis van risicomanagement de lijst van risico’s beoordelen of gebruik een risicomanagement-specialist om het proces van risicoinventarisatie en anlyse te ondersteunen en door te vragen. Andere tips zijn verder nog: Houdt het aantal op bestuursniveau te behandelen risico’s beperkt. Maak een top 10 van meest belangrijke risico’s. Maak een duidelijke koppeling tussen de strategie en de risico´s. De risico´s die een bedreiging kunnen vormen voor de strategische doelstellingen worden gemonitord. Maak de te monitoren risico’s meetbaar. Met de ontwikkelde meetbare kengetallen worden de risico´s gekwantificeerd. Draag zorg voor organisatiebreed commitment. Organiseer gerichte acties onder leidinggevenden en medewerkers om het commitment te verhogen. De Raad van Bestuur gaat hierin voorop. Implementatie van risicomanagement vraagt om een gefaseerde aanpak.
39
(W.M.L.C.M. Schellekens , Inspectie voor de Gezondheid szorg)
Bijlagen 4 – 8 Presentaties Op de website www.veiligezorgiederszorg.nl vindt u de volgende presentaties: 1. Patiëntveiligheid in een risicosamenleving Prof. dr. A.C.N. (Arco) van de Ven, RA; hoogleraar Bestuurlijke Informatievoorziening, TiasNimbas Business School, Universiteit van Tilburg 2. Patiënt)veiligheid - ‘lessons learned’. Patiëntveiligheid en de rol van bestuurders en toezichthouders Dr. ir. J.P. (Koos) Visser; lid van de Onderzoeksraad voor Veiligheid 3. Patiëntveiligheid op de bestuurlijke agenda! Over het belang van patiëntveiligheid op de bestuurlijke agenda en het IGZ Toezichtkader bestuurlijke verantwoordelijkheid voor kwaliteit en veiligheid W.M.L.C.M. (Wim) Schellekens, arts, Hoofdinspecteur Curatieve Gezondheidszorg IGZ 4. Integraal risicomanagement binnen Dimence. Hoe geeft Dimence invulling aan veiligheidsmanagement als onderdeel van het integrale risicomanagement? Dhr. S.P. Bangma, voorzitter raad van bestuur Dimence, stuurgroep Veilige zorg, ieders zorg 5. Veiligheidsmanagement binnen Rivierduinen, patchwork of integraal?Hoe geeft Rivierduinen invulling aan veiligheidsmanagement? Dhr. R. (Ron) Laport, geneesheer-directeur en lid Raad van Bestuur
Colofon Deze Introductie op veiligheidsmanagement en risicomanagement is vastgesteld op .. 2011 door de Stuurgroep Veilige zorg, ieders zorg – patiëntveiligheidsprogramma GGZ 2008 – 2011 Opgesteld door: Caroline van der Linde, CKMZ te Hendrik Ido Ambacht Linda van den Brink, Dimence Djieuwke Verseput, GGZ Nederland in samenspraak met de overige leden van de Ontwikkelgroep Veilige zorg, ieders zorg – patiëntveiligheidsprogramma GGZ 2008 – 2011. Met behulp van en veel dank voor de presentaties van de bestuurlijke conferentie Risicomanagement, toegespitst op patientveiligheid, 26 november 2010 Eindredactie: GGZ Nederland Copyrights: Aan de inhoud van deze uitgave kunnen geen rechten worden ontleend. Ondanks de zorgvuldigheid waarmee deze handreiking tot stand is gekomen, is het patiëntveiligheidsprogramma Veilige zorg, ieders zorg of GGZ Nederland niet aansprakelijk voor eventuele fouten, noch voor gebruik van de inhoud van de teksten en de daaruit voortvloeiende feiten, omstandigheden en gevolgen. Overname van teksten is toegestaan.
40
