Governance & Risicobeheersing in Zorginstellingen Koen Claessens 6 mei 2015
Een paar definities Governance Een reeks regels en gedragingen die bepalen hoe organisaties worden bestuurd en gecontroleerd. Of ook: goed bestuur / management. Risicobeheersing Een gestructureerd proces, met het oog op het onderkennen, evalueren en beheren van de risico’s van de organisatie Of ook: het beheersen van de risico’s van een organisatie. Interne controle Elke maatregel van het management, de RVB en andere partijen om de risico’s te beheersen en de waarschijnlijkheid te verhogen dat de beoogde doelstellingen zullen gerealiseerd worden. Of ook: maatregelen nemen om risico’s te beheersen. 2
Waarom belangrijk? Enkele uitgangspunten: •
Zorginstellingen hebben inherent grote risico’s door de aard van hun activiteiten.
•
Zorginstellingen zijn vaak zeer complexe omgevingen, waardoor ze moeilijk beheersbaar zijn (inclusief hun risico’s).
•
Organisatie en processen van zorginstellingen zijn vaak niet matuur, waardoor er effectief significante risico’s zijn.
1e focus: verhoging van de maturiteit van processen teneinde operationele en financiële risico’s beter te beheersen.
3
Risicobeheersing – 3 “Lines of Defense”
1st line Business
2nd line Risk Management
Owns, executes and manages internal control and risk management activities
Establish risk management process and oversees the complete span of risk and controls
3rd line Internal Audit Provide assurance that risk and control systems operate effectively
Of nog: initiële inspanningen van risicobeheersing moeten zich concentreren op de ‘1st line of defense’: maturiteit van processen en professioneel management. 4
Inherente risico’s in zorginstellingen zijn groot Risico = kans x gevolg Gevolg (impact): leven en dood Kans: geregelde berichtgeving in media Gevaren intern / extern
SCHADE
Organisatie
Trigger : gebeurtenis die ervoor zorgt dat het gevaar zich realiseert op het risico-object en dat een schade wordt veroorzaakt
Wet van Murphy Alles wat mis kan gaan, zal vroeg of laat misgaan. Tweede wet van Murphy Ook als er niets mis kan gaan, zal er vroeg of laat toch iets misgaan. 5
Risico’s in zorginstellingen zijn groot En toch… wordt er op een vrij nonchalante wijze mee omgegaan. •
Risico’s vaak pas aangepakt wanneer • er zich ook effectief incidenten hebben voorgedaan • er externe druk wordt uitgeoefend (vb. door Overheid)
•
Raden van Bestuur: • zelden risicobeheersing op de agenda • alle bestuurders bewust van hun aansprakelijkheid? • weinig Audit Comité’s en Interne Audit functies
•
Rechtzaken: just a matter of time?
6
Zorginstellingen: een complexe omgeving Zorginstellingen zijn vaak zeer complexe omgevingen, waardoor ze moeilijk beheersbaar zijn •
Balans tussen rentabiliteit, kostenefficiëntie en kwaliteit zorg
•
Balans medische raad en directie
•
Zeer uitgebreid & veranderend wettelijk kader
•
Veranderende regels voor financiering
•
Verscheidenheid medewerkers: loontrekkenden en zelfstandigen
•
Patiënten die zich meer en meer gedragen als consumenten
7
Zorginstellingen: een complexe omgeving Complexer dan private organisaties: een paar voorbeelden •
3 inkomstenstromen (patiënten, mutualiteiten, overheid) i.p.v. 1 (klanten).
•
Diverse productie en producten (hospitalisatie, verpleging, consultaties, medicatie, labo, kine, ..).
•
Complexe processen en IT: geen ERP-pakket dat alle processen afdekt, maar een amalgaam aan te integreren pakketten.
•
Het patiëntendossier: medisch, verpleegkundig, medicatie.
•
En dan nog: vereisten qua data privacy, accreditatie, ..
8
Een simpele omgeving: productieonderneming
Complexiteit benadert die van de apotheek van een ziekenhuis 9
Een complexe omgeving
10
Maturiteit van organisatie en processen Maturiteit van organisatie en processen van zorginstellingen is vaak te verbeteren, alsmede een algemene professionalisering Afdelingen zijn vaak op een organische wijze gegroeid: • Van (1e) teamlid naar hoofd afdeling (manager): typisch op IT, apotheek, data management • Niet noodzakelijk management ervaring en skills • Goede professional <> goede manager • Externe managers aanwerven moeilijk vanwege grote verschillen met private sector, moeilijke integratie en beperkingen qua salaris Dit leidt vaak tot • Niet effectieve of efficiënte processen • Operationele en financiële risico’s gerelateerd aan deze processen
11
Typische operationele en financiële risico’s Tarfac: onvolledige of laattijdige facturatie • Typische oorzaken: onvolledige ingave prestaties, slechte controle anomaliën in tarificatie proces, slechte integratie departementale pakketen – Tarfac-pakket. • Afdelingen werken vaak geïsoleerd, End-to-end view is belangrijk Aankoop: niet geautoriseerde of niet kost-efficiënte aankopen • Decentrale aankopen (door afdelingen zelf). • Geen standaard proces, door systeem ondersteund. • Gebruik van aankoopcentrales, maar niet voor alle aankopen Apotheek: incorrectheid inventaris en onvolledigheid facturatie • Combinatie van centrale en decentrale stock (in afdelingen) • Niet alle toedieningen geregistreerd en gefactureerd • Elektronisch voorschrift niet door dokter zelf getekend 12
Andere risico domeinen Financiële afdeling • Geen budget & opvolging • Geen cost controlling Human resources • Focus vaak volledig op personeelsadministratie en payroll • Zelden evaluatieproces, objectieven, jobprofielen, .. • Geen volledig correct zicht op FTE’s per afdeling Medisch dossier • Niet volledig elektronisch, nog stukken op papier • Niet goed beveiligd (principe: alleen toegang indien zorgrelatie) • Onduidelijke toekomst van software pakketten
13
En IT... • IT processen: change & incident mgt
Algemeen IT beheer
Applicatiebeheer
Infrastructuurbeheer
• IT (planning korte en lange termijn)
• Ad hoc processen, geen registratie van tickets en opvolging
• IT budget
• Geen formeel IT plan, geen overzicht en rapportering over vooruitgang IT projecten
• Beheer IT service providers
• IT budget omvat enkel infrastructuur
• Integratie en implementatie
• Onvoldoende overzicht applicaties
• Overzicht applicatie architectuur
• Deels bij applicatiebeheerders, deels bij Infohos (Meddos te verbeteren)
• Helpdesk problemen eindgebruikers • Beheer IT service providers applicaties
• Geen opvolging van incidenten, change requests en facturen
• Installatie en onderhoud server infrastructuur
• Het meeste zelf gedaan, geen afhankelijkheid van derde partijen
• Installatie en onderhoud end-user equipment (PC, printers)
• Goede en moderne IT infrastructuur, weinig problemen
• Helpdesk problemen eindgebruikers
• Goede ondersteuning eindgebruikers (maar dus geen single point of contact)
• Beheer IT service providers infrastructuur
14
Risicobeheersing – 3 “Lines of Defense”
1st line Business
2nd line Risk Management
Owns, executes and manages internal control and risk management activities
Establish risk management process and oversees the complete span of risk and controls
3rd line Internal Audit Provide assurance that risk and control systems operate effectively
Daarom eerste focus: verhogen maturiteit van processen: dit start vaak met een doorlichting van de processen en resulteert vaak in procedures. 15
Voorbeeld End-to-End proces analyse facturatie General Remarks Application Architecture A.
Prescription and delivery of medicine is not registered in Infohos
B.
Only consumption is interfaced towards Infohos
C.
No online stock level in Infohos (incorrect indication)
Voorbeeld doorlichting IT Typische IT topics • Applicaties: • Ondersteunen de applicaties de organisatie en processen op een adequate wijze? • Hebben we de juiste applicaties, ook naar de toekomst toe • Infrastructuur (servers & netwerk): • Ondersteund de infrastructuur de applicaties op een adequate wijze? • Zijn er risico’s naar continuïteit en beveiliging toe? • Organisatie: • Ondersteund het IT team de applicaties en infrastructuur op een adequate wijze? • Wat doen we zelf en wat besteden we uit? Hebben we hier de juiste keuzes gemaakt? • Hebben we de juiste mensen naar de toekomst toe? 17
Verhoging maturiteit processen door procedures
Procedures
• Procedures concerning reception of patients: • Searching a patient file • How to coop with doubles (example) • Verification and completion of patient file • Creating a new patient file
Het risicobeheersingsproces Risicobeheersing = het nemen van bewuste beslissingen omtrent risico’s en te nemen interne controle maatregelen. Documentatie van deze beslissingen kan belangrijk zijn ingeval van incidenten en aansprakelijkheid.
19
Het risicoregister Audit Universe Ziekenhuizen Administration External Factors
Strategy
Board of Directors
Competition
Financial transparency
Customer demands
Governance
Corporate vision & Economic conditions / values Industry trends
Care processes
Corporate Assets
Finance
Vendor Mgt & Purchasing
Sales Administration
Human Resources
Information Technology
Medical
Company strategy
Facilities and Equipment
Accounting
Vendor selection process
Tarification
Corporate Culture
Architecture
Medical records
Alliances
Intangible Assets
Planning, budgeting & Tendering process forecasting
Patient admin & data integrity
HR Policies & Procedures
BCM & DRP
Business Model
Phyiscal security
Capital Management
Purchasing procedures
Patient invoicing
Organisational structure
Theft
Financial asset investments
Vendor contract management
Invoicing mutualiteiten
Legal compliance of contracts
Customer invoicing
Monitoring & Auditing
External fraud
Innovation
Risk oversight
Hazards / Catastrophic losses
Mergers & Acquisitions
Credit
Law s & regulations
Outsourcing
Government Financing
Markets
Pricing
Vendor invoices
Third Party / JV Requirements
Technology
Vendor payments
Service Level Collection processes Agreements (SLAs)
Nursing
Pharmacie
Compliance & Reporting Patient safety & quality
Prescriptions
Patient safety
Toediening
Accreditation
Compliance
Compliance culture
Reporting Compliance w ith Accounting Standards
Compliance organization
Financial disclosures
Change management
Regulatory environment
Financial statement fraud
Staffing
Contracting & outsourcing
Compliance reporting
Management reporting
Payroll
Information security & data privacy
Performance management
Operations
Talent management & Incident & problem recruiting management
Retirement programs
Technology & licensing
Controls & monitoring Regulatory reporting
Policies & procedures Government reporting
Risk assessment
Supervision
Alle geïdentificeerde risico’s worden in het risicoregister weergegeven 20
Risk identification & assessment
21
De risico ‘heat map’ Another important deliverable of the 1st phase will be the ESE Risk Heat Map. All risks will be quantified in terms of likelihood and impact, using the scales on the previous page. This will result in a comprehensive graphical EUREKA Risk Universe representation of the risk areas indicating their importance Operations Governance and strategy
Compliance & Quality
Boards & Committees
Projects
Financial Management
Vendor Mgt & Purchasing
Funding
HR
IT
Eurostars
Other projects
Regulatory environment
Accounting
Vendor selection process
Request
Recruitment
Information security & data privacy
Project issuing
Project issuing
Financial transparency
Legal compliance
Planning, budgeting & forecasting
Tendering process
approval
Performance management
Systems continuity
Project (budget) approval
Project (budget) approval
Organisational structure
Quality
Project budget follow up
Purchasing procedures
follow -up
Payroll
Change management
Project organisation
Project organisation
Strategy
Financial fraud risk
Vendor contract management
Creditor management
Travel & other expenses
Problem & incident management
Project follow -up
Project follow -up
Monitoring & Auditing
Financial statement risk
Legal compliance of contracts
Accounts receivables
IT budgeting
Project risk management
Project risk management
Vision & values
Financial asset investments
Service Level Agreements (SLAs)
Project funding
Project funding
Staffing
De risico ‘heat map’ geeft aan welke risico’s het meest kritisch zijn en meest dringende actie behoeven. 22
Governance in een ruimer kader Another important deliverable of the 1st phase will be the ESE Risk Heat Map. All risks will be quantified in terms of likelihood and impact, using the scales on the previous page. This will result in a comprehensive graphical representation of the risk areas indicating their importance
Toetsing van de 9 principes van de Corporate Governance code aan de realiteit van de ziekenhuizen 23
Ref: Hospital Governance (H. Casteleyn) Another important deliverable of the 1st phase will be the ESE Risk Heat Map. All risks will be quantified in terms of likelihood and impact, using the scales on the previous page. This will result in a comprehensive graphical representation of the risk areas indicating their importance
24
Governance: het audit comité en interne audit Raad van Bestuur
Audit Comité
CEO
Interne Audit Organisatie
Teneinde onafhankelijkheid te garanderen, bevindt Interne audit zich buiten het organogram en rapporteert aan het Audit Comité 25
Interne audit best practices & standaarden • Het Instituut van Interne Auditors (IIA) levert duidelijke richtlijnen omtrent het organiseren en uitvoeren van Interne Audits • Het naleven van de Standaarden en de “Code of Ethics” is verplicht voor alle leden van het IIA en Certified Internal Auditors (CIAs) http://www.theiia.org/ • Controle frameworks die gebruikt worden zijn
26
Methodologie voor opzetten van Interne Audit
• Het opzetten van de interne audit functie gebeurt in fazes 1-2-3 • Na faze 3 wordt het Interne Audit plan gevalideerd door het Audit Comité • Na goedkeuring van het audit plan begint de uitvoering van de audits volgens het audit plan (faze 4), en de rapportering aan het Audit Comité (faze 5)
27
Thank you!!!
[email protected] 0497/51.53.83