KONTROLLSTRATEGI REISER UTEN REKVISISJON

Transkript

1 KONTROLLSTRATEGI REISER UTEN REKVISISJON

2 Innhold 1. Formål Krav og føringer til styring og kontroll Pasientreiseforskriften 26 dokumentasjon og kontroll Forarbeidene; Høringsnotat og innstilling fra Helse- og omsorgskomiteen Andre føringer Hvordan kontrollstrategien svarer ut krav og føringer Forsvarslinjer og kontroller... 3 Kontrollaktiviteter og nøkkelkontroller Prinsipper for kontrollstrategien Intern kontroll Overordnet om risikostyring Risikovurdering av arbeidsprosess for reiser uten rekvisisjon Forvaltning av kontrollstrategien Overordnet modell for forvaltning Løpende oppfølging Konfidensialitet... 8 Figur 1: Overordnet forvaltningsstruktur... 6 Figur 2: Rolle- og ansvarsfordeling kontrollstrategi... 7 Figur 3: Årshjul kontrollstrategigruppe... 7 Kontrollstrategi Reiser uten rekvisisjon 1

3 1. FORMÅL System for internkontroll og risikovurdering i Pasientreiser ANS er innarbeidet i samråd med selskapets styre. Ved implementering av ny prosess for pasientreiser uten rekvisisjon må selskapets ansvarsområder i den nye løsningen inkluderes i selskapets eksisterende internkontrollsystem. Dette vil blant annet omfatte ansvarsfastsettelse og praktisk utforming av nødvendige prosedyrer. Formålet med kontrollstrategien er å sikre internkontroll i den nasjonale prosessen for reiser uten rekvisisjon. Med fokus på kvalitet og effektivitet beskrives krav til god internkontroll, førende prinsipper for kontroll og risikobaserte kontrollaktiviteter som skal bidra til å realisere målene for løsningen: Enklere og lettere tilgjengelig løsning for brukerne Størst mulig grad av likebehandling Kostnadseffektiv oppgaveløsning og administrasjon Strategien definerer de overordnede prinsipper og føringer lagt til grunn for kontrollstrategien, samt roller og ansvar i forvaltningen av denne. Detaljering av risikovurderinger og kontrollaktiviteter er beskrevet i egne dokumenter. 2. KRAV OG FØRINGER TIL STYRING OG KONTROLL Følgende kapittel beskriver sentrale krav for kontrollstrategien i regelverk, normer og standarder, og gir føringer for prinsippene i kontrollstrategien som beskrives under kapitel Pasientreiseforskriften 26 dokumentasjon og kontroll Pasientreiseforskriften 26 med forarbeider beskriver prinsipper som skal ligge til grunn for valg av kontrollstrategi, kontrollaktiviteter og nøkkelkontroller i prosessen. Pasientreiseforskriften 26 fastslår at helseforetakene kan unnlate å innhente dokumentasjon for pasientens oppmøte hos behandler dersom det er mulig å kontrollere og finne tilbake til dokumentasjonen ved senere stikkprøver. Denne vurderingen betyr i praksis at det i kontrollstrategien kan tas hensyn til forhold som hvor stor refusjon pasienten søker om, og i hvilket omfang. Det kan videre tas hensyn til hvor stor effekt kontrollen har, slik at strategien kan justeres etter evaluering av erfaringer som innhentes Forarbeidene; Høringsnotat og innstilling fra Helse- og omsorgskomiteen I høringsnotatet til forenkling av regelverk for dekning av pasienters reiseutgifter (pasienttransport) pkt omtales det at kontrollregime skal være basert på risikovurdering. Kontrollene skal utover dette også være basert på registerbaserte kontroller, og det skal være mest mulige logiske og automatiserte kontroller. I tillegg er det spesifisert at stikkprøvekontroller vil kunne veie opp for registre. Kontrollstrategi Reiser uten rekvisisjon 2

4 Helse- og omsorgskomiteen utdyper ytterligere i sin innstilling at refusjonen skal være et tillitsbasert system med færre dokumentasjonskrav hvor man stoler på pasient. I den vedtatte forskriftsteksten gis støtte til en praksis hvor utgangspunktet er at pasienten sender inn korrekte opplysninger som stikkprøvemessig vil bli kontrollert, fremfor dagens praksis med gjennomgående kontroll av alle innsendte søknader Andre føringer Arkitekturprinsippene til Pasientreiser ANS er basert på Difis overordnede ITarkitekturprinsipper for offentlig sektor. Det er etablert et sett av styrende arkitekturprinsipper som understøtter og bidrar til at teknologiutviklingen går i ønsket strategiske retning. Disse stiller blant annet krav til automatisering av tekniske prosesser (i sammenheng med teknologiutvikling og kvalitetssikring), standardisering av prosessene og at det etableres gode frittstående, tekniske tjenester som legger grunnlaget for fremtidig utvikling og som kan gjenbrukes Hvordan kontrollstrategien svarer ut krav og føringer Forsvarslinjer og kontroller Kontrollstrategien er basert på prinsippet om De tre forsvarslinjer i henhold til god internkontroll. Dette innebærer at kontrollene organiseres på tre nivåer, hvor hovedkontrollen skal skje på nivå 1, supplert av nivå 2 og 3. Innholdet på de forskjellige nivåene er: 1.-linje: Dette er innebygde kontroller i arbeidsprosessene. Disse vil bestå av automatiske kontroller i systemene og manuelle kontroller som skjer i digitalisering og maskinell saksbehandling. Avviksregistrering og oppfølging er en viktig del av 1.linjeforsvaret, og vil være sentralt i å prioritere riktige kontrollområder i 2. og 3. linje. Eksempler på kontroller som brukes i 1. linje er: Forbyggende kontroller (preventive): kontroller som skal forhindre passive feil og virke preventivt på de som aktiv ønsker å gi feilinformasjon Integrerte kontroller: kontroller i systemet for å forhindre feil eller uoppdagede hendelser fra å skje. Avvik er en integrert del av alle prosessteg. Automatiserte kontroller: kontroller som defineres og utføres i systemløsningen. Dette gjøres for områder hvor det ikke er nødvendig med en skjønnsmessig vurdering. Disse kontrollene er sentrale for å oppnå kostnadseffektivitet, likebehandling og forutsigbarhet. 2.-linje: Dette er kontroller som gjøres internt i organisasjonen. Dette nivået sikrer at det er en systematisk oppfølging av arbeidsprosessene/-kontrollene, for å avdekke og korrigere eventuelle utfordringer. Eksempler på kontroller som brukes i 2. linje er: Stikkprøvekontroller/etterkontroll(av vedtak) innrettes slik at man velger de kravene som det erfaringsmessig er grunn til å undersøke nærmere basert på risikovurdering og analyser. Videre kan stikkprøvene konsentreres om for eksempel større beløp og pasienter som leverer mange små krav. De opplysningene som pasienten gir skal i rimelig grad kontrolleres. Oppdagende kontroller og analyser er iverksatt for å finne feil eller problemer så tidlig som mulig når de oppstår. Helhetlig (korrektiv) kontroll brukes for å vurdere om de ulike kontrollene er til stede og fungerer over tid. Dette er en vesentlig del av forvaltningen av kontrollstrategien og et viktig element i selskapets helhetlige intern kontroll system. Kontrollstrategi Reiser uten rekvisisjon 3

5 3.-linje: Dette består uavhengige internrevisjoner. Formålet er å bekrefte effektiviteten av arbeidsprosessene/-kontrollene, påpeke eventuelle svakheter og gi anbefalinger til ytterligere optimalisering. Kontrollaktiviteter og nøkkelkontroller Kontrollaktiviteter er definert som de kontrollene som er helt sentrale for å håndtere de viktigste risikoene innenfor hver enkelt arbeidsprosess. Kritiske kontroller er definert som nøkkelkontroller. Kontrollene skal dokumenteres og det skal være tydelig eierskap og rollefordeling i forhold til utførelse og oppfølging. Det skal gjennomføres årlig testing av at kontrollaktivitetene er designet og fungerer som forutsatt, og at de adresserer risikoen tilfredsstillende. Kontrollene for reiser uten rekvisisjon er beskrevet i eget dokument, og ivaretar alle kontrollaktivitetene. Dette dokumentet er konfidensielt se kapittel 5.2 om konfidensialitet. 3. PRINSIPPER FOR KONTROLLSTRATEGIEN 1 Likebehandling Likebehandlingsprinsippet på pasientreiseområdet styres av både forvaltningens og helserettens likebehandlingsprinsipper, og defineres på følgende måte: Like saker skal behandles likt Befolkningen skal ha lik tilgang til pasienttransport og denne skal bidra til lik tilgang til øvrige helsetjenester Ingen pasienter skal forskjellsbehandles uten at det foreligger saklige grunner til dette 2 Lik og riktig informasjon Pasienter over hele landet får lik og riktig informasjon om sine rettigheter og det er lik saksbehandlingstid. 3 Nasjonal og enhetlig For å sikre etterlevelse av likebehandlingsprinsippet er det sentralt at kontrollstrategien er nasjonal og enhetlig. Dette gjelder både strategisk med felles mål og nasjonal styringsdialog, og operativt med like terskel- og beløpsverdier for kontroller. Følgende prinsipper er lagt til grunn for kontrollstrategien for reiser uten rekvisisjon: Enhetlig kontrollstrategi nasjonalt Effektive kontroller tidlig i prosessen (fjerne risiko så tidlig som mulig) Integrert i arbeidsprosesser og aktiviteter for området Må dekke hele prosessen Tydelig ansvar, myndighet og roller Erfaringsbasert læring og utvikling Tillitsbasert, med færre dokumentasjonskrav Automatiserte kontroller (fjerner feilkilder og behov for skjønn) 4 Samlet ansvar Kontrollstrategi Reiser uten rekvisisjon 4

6 Sikkerhetsansvarlig med ansvar for informasjonssikkerhet i hele saksbehandlingsprosessen og et sterkt kontrollmiljø. 5 Risikobasert tilnærming Stikkprøver basert på risikovurdering Vesentlighet, eksempelvis beløpsgrense Omfang basert på kost-/nytte vurdering Preventive kontroller som virkemiddel Et riktig kontrollnivå vil være med på å skape mulighet for å realisere de til enhver tid gjeldende gevinstmålene for reiser uten rekvisisjon. Suksesskriterier for kontrollstrategien oppsummeres slik: En enhetlig strategi med gjennomgående tydelige rolle- og ansvarsbeskrivelser Lik risikoappetitt Lik etterlevelse av normer Standardisert opplæring 4. INTERN KONTROLL 4.1. Overordnet om risikostyring Hensikten med helhetlig risikostyring er å være i stand til å håndtere usikkerhet og tilhørende risikoer på en effektiv måte. Dette må ligge til grunn for utarbeidelse av kontrollstrategi for reiser uten rekvisisjon. Alle prosesstegene skal risikovurderes for å få oversikt over hvor det er utfordringer. Det er krav om gjennomføring av risikovurdering i Normen 1, og risikovurderingen skjer i samsvar med COSO-ERM 2 -modellen som også brukes for de nasjonale risikovurderingene av pasientreiseområdet. Mål er utgangspunktet for risikostyringen. Det er derfor viktig at det er etablert mål for alle aktivitetene. Det er også viktig at målene er oppdatert og i samsvar med gjeldende strategi og overordnede krav, eksempelvis lovkrav og eller nasjonale mål for pasientreiseområdet Risikovurdering av arbeidsprosess for reiser uten rekvisisjon Det er etablert en rekke risikoreduserende tiltak for arbeidsprosessen for reiser uten rekvisisjon. Den gjenværende risikoen for reiser uten rekvisisjon vurderes derfor som lav for digital behandling. Dette er basert på at løsningen krever en sikker pålogging (nivå 4), lave beløp og har automatiserte registeroppslag og maskinell saksbehandling med automatiserte kontroller. Der det er manuelle kontroller, er dette på avgrensede områder. Det er få medarbeidere som gjør manuelle behandlinger, slik at muligheten for ulik utøvelse av praksis reduseres. Få medarbeidere gjør det også lettere å skape en felles forståelse av regelverksutøvelsen. Detaljert risikovurdering av arbeidsprosessene finnes i eget dokument. 1 Norm for informasjonssikkerhet helse og omsorgstjenesten (Normen) er et omforent sett av krav til informasjonssikkerhet basert på lovverket. 2 Rammeverk for helhetlig risikostyring som et ledelse- og styringsverktøy Kontrollstrategi Reiser uten rekvisisjon 5

7 5. FORVALTNING AV KONTROLLSTRATEGIEN 5.1. Overordnet modell for forvaltning For å sikre at kontrollstrategien etterleves og arbeidsprosessene oppdateres løpende er det viktig at denne forvaltes på en effektiv og god måte. Forvaltning av kontrollstrategien må sikre at prinsippene i kapittel 3 blir ivaretatt.. Et tydelig eierskap og definerte prosesser for gjennomføring er med på å sikre en fleksibel kontrollstrategi som tilpasses regelverk, utvikling og erfaringer. Figur 1: Overordnet forvaltningsstruktur Styret i Pasientreiser ANS vil være øverste beslutningsmyndighet for kontrollstrategien. For å sikre nødvendig kompetanse og forankring, organiseres arbeidet med forvaltning av kontrollstrategien gjennom en kontrollstrategigruppe i Pasientreiser ANS, med bidrag fra regionale enheter. Kontrollstrategigruppen rapporterer til ansvarlig linjeleder for saksbehandlingsprosessen. Målet med opprettelse av gruppen er å sikre en god prosess rundt forvaltning, samt ivareta de nødvendige interessentene underveis. Dette betyr å sikre at det er deltakelse fra de som er ansvarlige (på ledernivå) for gjennomføring av arbeidet. De må høres i prosessen og informeres om endringen (i henhold til RACI-matrisen i Figur 2: Rolle- og ansvarsfordeling kontrollstrategi). Responsible De som skal gjennomføre endringen De som utfører av oppgaven Accountable Den som er ansvarlig dersom noe går galt De som har myndighet til å beslutte Consulted De som kan mer om oppgaven og bør involveres De som er identifiserte interessenter Informed De som er avhengig av denne endringen De som bør holdes oppdatert om endringen Kontrollstrategi Reiser uten rekvisisjon 6

8 Figur 2: Rolle- og ansvarsfordeling kontrollstrategi 5.2. Løpende oppfølging Det er vesentlig at kontrollstrategien til enhver tid er oppdatert i henhold til omgivelser og formålet med strategien i seg selv. Det vil være behov for jevnlig revisjon og oppfølging av strategien gjennom årshjul og løpende rapportering og analyser. For at strategien skal fungere optimalt i det daglige, vil det være vesentlig at endringer prioriteres og håndteres på lavest mulig nivå i ledelseshierarkiet innenfor pasientreiseområdet. Figur 3: Årshjul kontrollstrategigruppe Kontrollstrategi Reiser uten rekvisisjon 7

9 5.3. Konfidensialitet Kontrollstrategien vil inneholde detaljer som fra et mislighetsperspektiv må holdes utenfor offentlighet. Det vil svekke kontrollstrategien om detaljene i kontrollene ble allment kjent. Selskapets kontrollstrategi er av denne grunn delt i ett hoveddokument, og to tilleggsdokumenter; Et dokument som beskriver risiko og et som beskriver kontrollaktiviteter. Dokumentet som beskriver detaljerte kontrollaktiviteter har høyest konfidensialitet og vil kun være tilgjengelig for medarbeidere med særskilt behov. Figur 4: Kontrollstrategiens oppbygging Kontrollstrategi Reiser uten rekvisisjon 8