Risicomanagement in de zorg Een praktische invulling voor een integrale aanpak Diana Dingemans en Eveline Rutgers
In de zorg neemt de belangstelling voor risicomanagement toe. Naast financiële risico’s draait het ook om risico’s op het gebied van kwaliteit en patiëntveiligheid. Incidenten, slechte scores op prestatie indicatoren en andere kwaliteitsaspecten kunnen grote impact hebben op zorginstellingen. Genoeg redenen voor zorginstellingen om aan de slag te gaan met risicomanagement. Wat is een goede manier om dit op te pakken? Hoe kunt u het integreren binnen uw bestaande kwaliteits en/of veiligheidsmanagementsysteem? Q-Consult geeft een praktische invulling voor een integrale aanpak van risicomanagement.
De ISO 31000 norm aan de basis In veel zorginstellingen wordt op deelgebieden al aan risicomanagement gedaan, maar de stap naar integraal risicomanagement is nog lastig te maken. Voor het opzetten van risicomanagement wordt vaak het COSO model gebruikt. Dit model legt echter de nadruk op rapporteren en verantwoorden en besteedt geen aandacht aan cultuuraspecten. Deze zijn wel heel belangrijk voor een succesvolle implementatie. De ISO 31000 is een norm die wel concrete handvatten biedt om integraal risicomanagement te verankeren in de organisatie. Enerzijds door het onderscheid dat wordt gemaakt tussen de principes van risicomanagement, een raamwerk voor risicomanagement en het risicomanagementproces. Anderzijds door een duidelijke koppeling aan doelstellingen voor verschillende gebruikers.
Kwaliteit-, veiligheid- en risicomanagement in één verbetersysteem Q-Consult zet in op het integreren van het kwaliteits-, veiligheids- en risicomanagementsysteem in één verbetersysteem (zie figuur 1). Risicomanagement is immers onlosmakelijk verbonden met kwaliteits- en veiligheidsmanagement. Wanneer u uw risico’s niet beheerst, kan de veiligheid niet worden gegarandeerd en komt de kwaliteit die u wilt leveren onder druk te staan. Andersom geldt dit ook. Wanneer kwaliteit onder de maat is, brengt dit verhoogde risico’s met zich mee, waardoor de veiligheid in het geding komt.
F IGUUR 1. K WALITEITS -, VEILIGHEIDS - EN RISICOMANAGE MENT ALS ONDERDELEN VAN ÉÉN VERBETERSYSTEEM
Werken aan integraal risicomanagement Hoe pakt u het implementeren van integraal risicomanagement aan binnen uw zorginstelling? Het is handig om daarbij gebruik te maken van een kader, zoals de ISO 31000 norm dat biedt. Deze norm biedt de mogelijkheid om rekening te houden met een breed scala aan risicofactoren bij het bereiken van strategische doelstellingen. Daarnaast onderstrepen we dat aandacht voor cultuur en houding essentieel is voor een succesvolle implementatie. We geven u een praktische invulling voor de verschillende onderdelen van de ISO 31000 norm. Zeelandsingel 40, 6845 BH Arnhem | T 026 383 05 65 | F 026 383 05 67 |
[email protected] | www.qconsult.nl
Principes van risicomanagement Het is verleidelijk om direct van start te gaan met een raamwerk en implementeren van het risicomanagementproces. Het is echter belangrijk om eerst stil te staan bij de principes van risicomanagement. Ga na waarom de organisatie aan risicomanagement wil doen. Wat ze ermee wil bereiken en voor wie ze het eigenlijk wil gaan doen. Wil de organisatie hiermee tegemoet komen aan de eisen van interne en externe toezichthouders? Of wordt risicomanagement beschouwd als een instrument om de ambities van de organisatie te realiseren? Een manier om hier achter te komen is via interviews met bestuur en hoger management over hun visie op risicomanagement. Vervolgens kunt u in een plenaire bijeenkomst de principes van risicomanagement met hen delen. De resultaten van de interviewronde worden gepresenteerd en de deelnemers werken gezamenlijk toe naar een gedeelde visie op risicomanagement. Daarnaast is het belangrijk om de verschillende gebruikers van risicomanagement duidelijkheid te verschaffen over de toegevoegde waarde. Zowel op bestuurlijk als op operationeel niveau. Dit kunt u doen door rechtstreeks bij de managers in alle lagen te inventariseren wat hun belangen zijn, welke taken en verantwoordelijkheden zij hebben, welke doelen en resultaten zij willen behalen, welke kansen en risico’s zij zien. Op deze manier kunt u hen de relatie tussen risicomanagement en doelrealisatie laten inzien en het belang van communicatie over risico’s en kansen.
Mandaat en draagvlak Implementeren van integraal risicomanagement vraagt om mandaat en draagvlak van het bestuur. Dat vraagt om een bestuur dat het wat, waarom en hoe van risicomanagement toelicht en blijft uitdragen. Hiervoor kan de bestuurder natuurlijk: op de zeepkist klimmen; risicomanagement als vast agendapunt opnemen van relevante overleggen; zelf een actieve bijdrage leveren in de op te zetten interne campagne rondom veiligheidscultuur; et cetera. Om de betrokkenheid van het bestuur te garanderen is het essentieel risico’s te koppelen aan de doelstellingen op organisatieniveau. Op die manier zorg je dat risicomanagement bijdraagt aan de ambities van de organisatie. Zorg er daarom voor dat risicomanagementinformatie standaard wordt gebruikt bij het opstellen van de strategische planning. Een laatste taak van het bestuur is dat zij de verantwoordelijkheid in de lijn legt. Risicomanagement moet worden gedragen en actief worden ondersteund door het management. Bij grote en complexe organisaties wordt daarnaast ook wel gekozen om verantwoordelijkheid toe te wijzen aan een risicomanager. Dit kan een kritische succesfactor zijn, mits deze functionaris kan rekenen op de steun van bestuur en management en zelf beschikt over de nodige competenties.
Raamwerk voor het managen van risico’s Voor een succesvolle implementatie van integraal risicomanagement is een raamwerk nodig, zoals dit in de ISO 31000 wordt voorgesteld (zie figuur 2). Dit raamwerk moet aansluiten bij de bestaande processen en procedures. We bevelen daarom aan vooraf een nulmeting te doen. Door middel van interviews en documentencheck kunt u in relatief korte tijd inzicht krijgen in de bestaande processen en procedures. Evenals relevante aspecten van de interne en externe omgeving, zoals de P&C-cyclus, overlegstructuur, TVB´s, informatiesystemen en de toprisico´s.
Zeelandsingel 40, 6845 BH Arnhem | T 026 383 05 65 | F 026 383 05 67 |
[email protected] | www.qconsult.nl
Figuur 2. Raamwerk voor risicomanagement
Het raamwerk moet ook aansluiten bij het risicomanagementbeleid. Een belangrijke voorwaarde is dan ook dat dit beleidsplan is opgesteld en onder meer de volgende onderwerpen bevat: Het doel en de gewenste effecten van risicomanagement Keuze voor een model Verantwoordelijkheidsverdeling Koppeling P&C Rapportage Communicatie en cultuur Borging en evaluatie Risico-eigenaren Het is zaak om risico-eigenaren aan te wijzen om verantwoordelijkheden te verdelen Het is raadzaam om hierbij zoveel mogelijk aan te sluiten bij de bestaande portefeuille-/ verantwoordelijkheidsverdeling. Een mogelijkheid is om risicodomeinen te benoemen en daar een risico-eigenaar aan te koppelen. Interne risicodomeinen kunnen de essentiële pijlers van de organisatie zijn, bijvoorbeeld strategie, organisatie en processen. Externe risicodomeinen zijn dan de belangrijkste factoren die de organisatie van buitenaf beïnvloeden, zoals politieke, economische, technologische en demografische ontwikkelingen. Een ander optie is om risico-eigenaren te koppelen aan de elementen van het INK-model. Met de risico-eigenaren, maar ook met de andere managers in alle lagen van de organisatie, worden prestatieafspraken gemaakt. Hiervoor kunt u werken met managementcontracten, maar het kan bijvoorbeeld ook een onderdeel zijn van de beoordelingssystematiek. Risicomanagementcoördinatoren Naast risico-eigenaren zijn er mensen nodig die het risicomanagementproces begeleiden: risicomanagementcoördinatoren. Bijvoorbeeld beleidsmedewerkers van een stafafdelingen Kwaliteit en Veiligheid kunnen deze rol krijgen. Belangrijk is aandacht voor het functieprofiel van de risicomanagementcoördinator, die in ieder geval niet verantwoordelijk gemaakt moet worden voor de risico´s. Wel kunnen zij bijvoorbeeld de rol van procesbegeleider vervullen bij het uitvoeren van prospectieve risico-inventarisaties. Als de aard en omvang van de taken is vastgesteld, kan een inschatting worden gemaakt van de benodigde Fte´s en noodzakelijke scholing. Bijvoorbeeld op het gebied van risicomanagement, procesbeschrijvingen maken, methoden voor retro- en prospectieve risicoanalyses, begeleiden van groepsprocessen, etc. Zeelandsingel 40, 6845 BH Arnhem | T 026 383 05 65 | F 026 383 05 67 |
[email protected] | www.qconsult.nl
Communicatie Wat wordt er gecommuniceerd, hoe, met wie en wanneer? Een kritische succesfactor bij de implementatie van risicomanagement is positieve communicatie over risicomanagement. De resultaten zijn niet bedoeld om mensen op af te rekenen, maar helpen de organisatie om prioriteiten te stellen, organisatiekeuzes te maken en haar ambities te halen.
Implementatie van risicomanagement Overgaan tot implementatie van risicomanagement, betekent dat de verschillende stappen in het risicomanagementproces (zie figuur 3) gevolgd gaan worden. Naast de bekende stappen als het bepalen van de context en risicobeheersing, hanteert ISO 31000 twee elementen die de link vormen met het raamwerk: 1. Communicatie & consultatie: om te zorgen dat iedereen op dezelfde manier tegen de risico’s aankijkt, is goede communicatie over het risicomanagementproces en consultatie van de belanghebbenden essentieel. 2. Monitoren & beoordelen: om te zorgen dat het risicomanagementproces adequaat verloopt en passend is bij de organisatie(doelen), is het essentieel om het proces te monitoren, beoordelen en waar nodig te herzien.
Vaststellen van de context
Risicobeoordeling
Risico-analyse
Risico evaluatie
Monitoring en beoordeling
Communicatie en consultatie
Risico- identificatie
Risico behandeling
Figuur 3. Risicomanagementproces bron: risicomanagement proces ISO 31000
Plan van aanpak Voordat u daadwerkelijk overgaat tot het implementeren van integraal risicomanagement, schrijft u een plan van aanpak . We bevelen aan om eerst een pilot te doen met één risicodomein. Alle stappen in het risicomanagementproces worden gevolgd. Achteraf kunt u de pilot evalueren zodat u zo nodig aanpassingen in het raamwerk kunt doen. Zo waarborgt u een succesvolle instellingsbrede implementatie van risicomanagement. Risicomanagementcultuur Risicomanagement beslaat de hele organisatie. Uiteindelijk zullen alle medewerkers het moeten uitdragen. Daarom is het belangrijk om veel aandacht te besteden aan het creëren van een risicomanagementcultuur. Dit bereikt u om te beginnen door de verantwoordelijkheid voor het beheersen van risico´s in de lijn te leggen. Daarnaast betekent dit werken aan risicobewustzijn. Bijvoorbeeld door VIM of door medewerkers te betrekken bij het uitvoeren van retro-/ en prospectieve risicoanalyses. Ook kunt u sessies voor medewerkers organiseren die hen bewust Zeelandsingel 40, 6845 BH Arnhem | T 026 383 05 65 | F 026 383 05 67 |
[email protected] | www.qconsult.nl
maken van de risico´s, zoals de Muziektheatervoorstelling Dag&Nacht over patiëntveilige ziekenhuiscultuur. Een ander optie is het trainen van teams in Team Resource Management, door middel van klassikale en interactieve scholing, flight simulator sessies en videofeedback. Communicatie Bij een implementatietraject van een dergelijke omvang is het raadzaam om een communicatieplan op te stellen. Het is uiterst belangrijk om alle belanghebbenden in een zo vroeg mogelijk stadium en gedurende de implementatie van risicomanagement periodiek te informeren over de plannen, planning, vorderingen, stand van zaken, etc. Informeren betekent mensen betrekken en dat draagt bij aan de motivatie voor risicomanagement. Communiceren kan op vele manieren. Denk bijvoorbeeld aan een (digitale) nieuwsbrief over de implementatie van risicomanagement een vaste rubriek in een intern krantje/bulletin, publicaties op intranet, rapportages, intervisie of informatieve bijeenkomsten. En laat bijvoorbeeld deelnemers aan de pilot vertellen (of schrijven) over hun ervaringen, de ´lessons learned´ en de geboekte successen. De koplopers krijgen hiermee een stukje erkenning en waardering voor hun inzet en de collega´s zijn vaak juist geïnteresseerd in deze praktijkervaringen.
Monitoren, analyseren en (continu) herzien van het raamwerk Om te zorgen dat het risicomanagementproces een continue en effectief proces blijft, is periodiek monitoren en analyseren va het raamwerk noodzakelijk. Het is relevant – zeker in het begin - om de (mate van ) implementatie en uitvoering te monitoren. Hiervoor kunt u een monitoringssysteem inrichten. Aan de hand van een stoplichtrapportage bijvoorbeeld, wordt inzichtelijk waar in de organisatie, op welke gebieden, risicomanagement wel of niet (volledig) geïmplementeerd is. Met interne audits kunt u nagaan of het raamwerk nog wel aansluit bij de organisatiedoelen, interne processen en procedures en de interne en externe omgeving. Andere mogelijkheden zijn: Directiebeoordeling: risicomanagement als vast thema binnen de directiebeoordeling Management review: evaluaties met het managementteam van de risicogebieden en het risicomanagementproces met een rapportage aan de directie. Als blijkt dat het raamwerk niet (meer) passend is, wordt het op de betreffende onderdelen herzien. Aan de hand van een inventarisatie van de knelpunten, kunt u verbetermaatregelen opstellen. Stel hierbij prioriteiten, verdeel ze in categorieën en pas de PDCA-cyclus toe. Voor de borging van verbeteringen kunt u denken aan het toezien op de toepassing van kwaliteitsprocedures, deskundigheidsbevordering en themagericht auditen.
Conclusie Het implementeren van integraal risicomanagement vraagt om een goede voorbereiding: - Stilstaan bij de principes van risicomanagement. - Duidelijkheid verschaffen van de toegevoegde waarde voor alle gebruikers. - Zorgen voor mandaat en draagvlak van het bestuur. - Een raamwerk opzetten om risicomanagement op alle organisatieniveaus in te bedden en te integreren in het kwaliteit- en veiligheidsmanagementsysteem. Belangrijk daarbij is om de aansluiting te zoeken met de organisatiedoelen. Een kritische succesfactor is de belanghebbenden in een vroeg stadium en gedurende het hele implementatietraject te betrekken. Communiceren en consulteren zijn de sleutelwoorden om te werken aan een proactieve risicobeheersing. En daar gaat het uiteindelijk om! Auteurs Drs. Diana Dingemans en Eveline Rutgers MSc. zijn werkzaam bij bedrijfskundig adviesbureau Q-Consult (www.qconsult.nl) en consulteren zorginstellingen op het gebied van kwaliteit-, veiligheid- en risicomanagement. Zeelandsingel 40, 6845 BH Arnhem | T 026 383 05 65 | F 026 383 05 67 |
[email protected] | www.qconsult.nl
