Styresak Vedlegg 5. Prosessbeskrivelse risikostyring

Like dokumenter
Retningslinjer for risikostyring ved HiOA Dato siste revisjon:

Styret ved Vestre Viken HF 015/

Styrende dokumenter for internkontroll og risikostyring i Sykehusinnkjøp

Styresak Vedlegg 3. Prinsipper for internkontroll og risikostyring Innspill fra styret er innarbeidet

Styret i Sykehusinnkjøp HF 16.juni 2017

Styret Helsetjenestens driftsorganisasjon for nødnett HF 10.juni BESØKSADRESSE: POSTADRESSE: Tlf: Org.nr.

Styret ved Vestre Viken HF 048/ Trykte vedlegg: 1. Risikovurdering i matrise (2) 2. Tiltaksplan

Avgrenset risikorapportering pr. 2.tertial 2017

Hvordan gjennomføre og dokumentere risikovurderingen i en mindre bank

Styresak Vedlegg 4. Prosessbeskrivelse internkontroll

Rammeverk for risikostyring i Helse Midt-Norge

Risikoer og tiltaksarbeid i Sykehusinnkjøp HF 2018

1. Kort forklaring av felles risikovurderingsmetodikk Oppsummering av risikovurderingene... 2

Instruks for administrerende direktør. Akershus universitetssykehus HF. Vedtatt i styremøte

MalemaL Liv: UTK. Rapport 4/2015. Revisjon av Sykehusapotekene HF

Helhetlig risikostyring som en integrert del av mål- og resultatstyringen i Helse Midt-Norge Toril Orrestad

Instruks for administrerende direktør. Sykehuspartner HF

Instruks for. administrerende direktør. Sørlandet sykehus HF

Retningslinje for risikostyring for informasjonssikkerhet

Saksnr. som inneholder: Godkjenning av møteprotokoll, administrerende direktørs orientering og orienteringssaker er utelatt.

Helseforetakenes senter for pasientreiser ANS 1/2016

Instruks for administrerende direktør. Sykehuset Telemark HF

A. Strategi og styring

Sykehuset Innlandet HF Styremøte SAK NR HELHETLIG PLAN FOR VIRKSOMHETSSTYRING Forslag til VEDTAK:

Instruks for daglig leder SYKEHUSAPOTEKENE HF

AMBULANSE MIDT-NORGE HF STYRET. Sak 43/13 Statusrapportering styringsdokument og foretaksprotokoll 2.tertial 2013

Risikostyring & internkontroll med fokus på verdiskaping for selskapet VFF Complianceseminar 24. november 2016

Årsrapport 2014 Vedlegg 4 Oppsummering av revisjonsområdet kompetansestyring

Instruks for administrerende direktør HELSE SØR-ØST RHF

Etableringsprosjekt Sykehusinnkjøp HF. Status og risiko pr. 15.august 2016

Årsrapport 2012 Internrevisjon Pasientreiser ANS

Instruks (utkast) for Internrevisjonen Helse Sør-Øst

Programbeskrivelse. Versjon Program for administrativ forbedring og digitalisering

Hva er risikostyring?

Styremøte i Helse Finnmark HF

Instruks for administrerende direktør HELSE SØR-ØST RHF

SAK NR STATUS OG HANDLINGSPLAN FOR INNKJØP OG LOGISTIKK I SYKEHUSET INNLANDET HF VEDTAK:

Ledelsens gjennomgåelse Anne Grændsen Norsk akkreditering / Grændsen consulting

Direktør Marianne Andreassen

Instruks for administrerende direktør Helse Nord IKT HF

Fylkesmannen i Buskerud 22. august Risikostyring i statlige virksomheter. Direktør Marianne Andreassen

Retningslinjer for risikostyring i. Helse Nord. Versjon 1.0

Risikostyring i DNK. Samarbeidsforum for internkontroll, virksomheter. Cecilie Norenberg 9. September 2015

Risikostyring Intern veiledning

Styremøte 15. juni 2016 i Sørlandet sykehus HF. Styresak

Utviklingsprosjekt: Orden i eget hus

A. Strategi og styring

Instruks for daglig leder. Sykehuset Østfold HF. Behandles i styremøte 24. september 2012

Instruks for administrerende direktør Helse Nord IKT HF

Saksgang: Styret Helseforetakenes senter for pasientreiser ANS 31/10/2016

Saksnr. som inneholder: Godkjenning av møteprotokoll, administrerende direktørs orientering og orienteringssaker er utelatt.

Styret ved Vestre Viken HF 052/

Styret Helsetjenestens driftsorganisasjon for nødnett HF 31.August BESØKSADRESSE: POSTADRESSE: Tlf: Org.nr.

HELSE MIDT-NORGE RHELSEFORETAK STYRET

Vår dato: Vår referanse: Arkivnr: Vår referanse må oppgis ved alle henvendelser

Revisjonsrapport analyse av manglende avtalelojalitet ved kjøp av behandlingshjelpemidler

Oslo universitetssykehus HF

Etableringsplan. Internkontroll for informasjonssikkerhet og personvern

Styret finner vedlagte rammeverk for et helhetlig kvalitetssystem som interessant.

Styringssystem og internkontroll i SSHF

Instruks for Konsernrevisjonen Helse Sør-Øst. Erstatter instruks av

Oslo universitetssykehus HF

Instruks Internrevisjonen for Pasientreiser ANS. Fastsatt av styret for Pasientreiser ANS,

Styret Helseforetakenes senter for pasientreiser ANS 21/10/2015

Utkast instruks Internrevisjonen for Pasientreiser ANS. Fastsatt av styret for Pasientreiser ANS,

Saksframlegg Referanse

Godkjent av: Styret. direktør. Dokumentnavn: Instruks for administrerende. 16. juni direktør. 1. Formål

Rapport fra gjennomgang av internkontroll 2. halvår 2014 og plan for

Sykehusapotekene i Midt- Norge HF STYRET

Veiledning- policy for internkontroll

Styret i Sykehusinnkjøp HF 08.februar 2017

Presentasjon sikkerhetsforum Avdelingsdirektør Arne Lunde Uh-avdelingen KD

Instruks for konsernrevisjonen Helse Sør-Øst

Spørreundersøkelse om informasjonssikkerhet

Revisjonsplan 2012 Internrevisjon Pasientreiser ANS

Lederavtale for 2012

Hvordan ha orden på internkontrollen?

Orientering om plan for internkontroll for informasjonssikkerhet

Risikostyringsprosessen

GOD VIRKSOMHETSSTYRING. Helhetlig plan for virksomhetsstyring 2014

Internkontroll i Gjerdrum kommune

Mål- og resultatstyring og risikostyring i staten (det offentlige)

Organisering av kvalitetsutvalg og pasientsikkerhetsutvalg

Internrevisjon en evaluering av Antibiotikabruk i Helse Nord. Internrevisor Hege Knoph Antonsen, Helse Nord RHF

Årsrapport 2014 Vedlegg 3 Oppsummering av revisjonsområdet ressursstyring

Risikostyring i Helse Sør-Øst. Oppdatert etter møte i revisjonskomiteen og i LG

Protokoll fra styremøte 04/2017, Sykehusinnkjøp HF

Virksomhetsstyring i Sykehuset Telemark Status v/revisjon Effektmål Forbedringsområde Tiltak (Resultatmål)

Styret Pasientreiser HF 07/06/2017. Forslag til vedtak: 1. Styret tar fremlagt sak om miljøarbeid i Pasientreiser HF til etterretning.

Oslo universitetssykehus HF

NTNU Retningslinje for arbeid med sikkerhetskultur og opplæring innen informasjonssikkerhet

Sammenligning av ledelsesstandarder for risiko

Oslo universitetssykehus HF

Saksframlegg. Styret Pasientreiser HF 24/04/2017

Gjelder fra: Godkjent av: Fylkesrådet

Utviklingsprosjekt: Endring av beredskapsorganisering i Helse Fonna HF. Nasjonalt topplederprogram. Anne Hilde Bjøntegård

Risikostyring og intern kontroll i statlige virksomheter

Saksgang: Styret Helseforetakenes senter for pasientreiser ANS 31/10/2016

EKSEMPEL STYRINGSMÅL: Våre pasienter skal ha tilgang til diagnostisering, behandling og omsorg av høy kvalitet.

Felles mandat for regionale fagnettverk i Helse Sør-Øst

Transkript:

Styresak 065-2017 Vedlegg 5

Innhold 1. Dokumentets formål... 2 2. Overordnet målsetting... 3 3. Områder som alltid skal risikovurderes... 4 4. Roller og ansvar i risikostyringsprosessen... 4 5. Kunnskaper, ferdigheter og holdninger innen risikostyring... 4 6. Risikostyringsprosess... 5 6.1 Planlegge... 6 6.2 Identifisere risiko... 7 6.3 Analysere risiko... 7 6.4 Håndtere risiko... 8 6.5 Kontrollere og følge opp risiko... 9 7 Verktøy for kvantifisering og analyse av risikoer i Sykehusinnkjøp... 9 7.1 Vurdering av sannsynlighet... 10 7.2 Vurdering av konsekvens... 10 7.3 Kalkulering av risiko... 11 7.4 Forventet utvikling... 11 7.5 Prioritering av risikoer... 12 8 Rapportering og kommunikasjon... 12 9 Referanser... 13 2

1. Dokumentets formål Formålet med dette dokumentet er å sette den enkelte leder i stand til å gjennomføre risikovurderinger innenfor sin enhet. Risikovurderingen knyttes til de områder som er mest kritisk for å nå etablerte mål. Risikovurderingene benyttes til å iverksette eller forbedre risikoreduserende tiltak, og gjennom risikostyring sikre riktig prioritering av oppgaver og ressurser. Risikostyring defineres som systematiske, koordinerte og foregripende aktiviteter som er rettet mot identifisering, vurdering og håndtering av usikkerhet og hendelser, slik at risikoen er i samsvar med virksomhetens risikoholdning og samtidig gir rimelig grad av sikkerhet for virksomhetenes måloppnåelse. Dette omfatter blant annet virksomhetens evne til å: påvirke sannsynligheten og/eller den positive eller negative konsekvensen av hendelser forstå/utnytte korrelasjoner mellom ulike typer risikoer følge med utvikling av risikobildet over tid initiere og følge opp tiltak som endrer utviklingen i ønsket retning bygge opp en kultur som sikrer implementering av tiltak og bidrar til god risikostyring Helhetlig risikostyring som omfatter alle deler av foretaket, fra operasjonell risiko innenfor virksomheten (jobbes det riktig?), til strategisk risiko forbundet med ønskede effekter for brukernes og oppfyllelse av samfunnsansvaret (virker leveransene slik vi tror?). Internkontroll er en forutsetning for å kunne oppnå helhetlig risikostyring. (Jfr. Prosessbeskrivelse for internkontroll) 2. Overordnet målsetting Overordnet målsetting med risikostyring er å: Sørge for at risiko er riktig vurdert, prioritert og forvaltet samordne risikotoleranse og strategi med visjon, verdier og mål Sikre at prioriterte risikoer har en ansvarlig risikoeier Fortsette å håndtere hendelser som har potensial til å påvirke Sykehusinnkjøps leveranser Gi trygghet for at risikoen styres systematisk forbedre beslutninger angående risikohåndtering Oppfylle nødvendige og relevante krav Prioritere bruk av ressurser til effektivt å håndtere våre risikoer Redusere driftsrelaterte overraskelser og tap Identifisere og håndtere sammensatte risikoer og risikoer som gjelder på tvers av foretaket Utnytte muligheter 3

3. Områder som alltid skal risikovurderes Følgende målsettingskategorier skal alltid inngå i risikovurderingene: Mål og resultatkrav fra eier (målrettet og effektiv drift) Pålitelig styringsinformasjon (herunder korrekt rapportering på vedtatte styringsindikatorer, aktivitet, bemanning og økonomi) Overholdelse av lover, forskrifter, styringskrav og selvpålagte krav (herunder spesielt de etiske retningslinjene) 4. Roller og ansvar i risikostyringsprosessen er øverste ansvarlig for å etablere, gjennomføre og følge opp internkontroll og risikostyring, og derved de prosessene som dette innebærer (prosesseier). Tilrettelegger av prosessene er prosessansvarlig for internkontroll og risikostyring (prosessansvarlig), jfr. funksjonsbeskrivelse. Den enkelte stabsleder er risikoeier for sine fagområder og prosesser, og linjeleder for egen enhet er risikoeier i forhold til definert prosesseieransvar og/eller prosessansvar. For tverrgående prosesser er prosesseier også risikoeier i forhold til utforming av internkontrollen i prosessen. (Jfr. Styringsprinsipper for Sykehusinnkjøp HF) 5. Kunnskaper, ferdigheter og holdninger innen risikostyring En av de mest utfordrende oppgavene innen risikostyring er å skape felles risikoforståelse og opprettholde risikobevissthet blant ledere og medarbeidere. Følgende oversikt viser hvilke områder som skal ivaretas med definert ansvarlig for å sikre dette arbeidet i Sykehusinnkjøp. Område Sette risikostyring på dagsorden Gjennomgå risikoregisteret med kritiske risikoer under regelmessige statusmøter Tilpass prosessbeskrivelsen for risikostyring Involvere nøkkelpersonell i tilpasning av risikostyringen og planen for denne Involvere nøkkelpersoner i risikoidentifikasjon Tilrettelegging og fasilitering Risiko identifiseres og analyseres gjennom workshops og intervjuer. Dette vil bidra til en bedre forståelse av risikostyringen. Ansvarlig Prosessansvarlig internkontroll og risikostyring Prosessansvarlig internkontroll og risikostyring Prosessansvarlig internkontroll og risikostyring e og linjeledere 4

Område Trene nøkkelpersoner i risikostyring Sørge for at nøkkelpersonell forstår hva risikostyring handler om. Dette medfører å gi repeterende informasjon om Sykehusinnkjøp sin prosess og tilhørende verktøystøtte. Kommunisere resultater kontinuerlig En viktig suksessfaktor er å sikre at relevante resultater fra risikostyringsprosessen blir kommunisert til medarbeiderne. Risikorapporter og presentasjoner er typiske leveranser. Tabell 1: Områder og ansvar relatert til risikobevissthet Ansvarlig Prosessansvarlig internkontroll og risikostyring Prosessansvarlig internkontroll og risikostyring e og linjeledere 6. Risikostyringsprosess Risikostyringsprosessen deles opp i fem steg hvor alle stegene gjennomføres i sin helhet minst tre ganger hvert år (tertialvis). Hele eller deler av prosessen benyttes også i løpende drift som verktøy for den enkelte leder i oppfølging av egen enhet, og for dimensjonering av internkontrollen gjennom risikohåndtering. Dersom det oppstår akutte situasjoner eller meldes inn hendelser av alvorlig karakter, skal det håndteres umiddelbart og ikke settes på vent til kommende tertial. Planlegge Identifisere risiko Analysere risiko Håndtere risiko Kontrollere risiko Figur 1: Risikostyringsprosess I tillegg til de fem definerte stegene er det også andre viktige aktiviteter som det må fokuseres på for å lykkes med risikostyring: Gjennomgå og justere mål (mot risikosituasjon) Vedlikeholde risikostyringsmiljøet (risikobevissthet og holdninger til risiko) Gjennomføre opplæring i risikostyringsmetodikk (etablere felles risikoforståelse) Utvikle risikostyring med fokus på kontinuerlig forbedring (som del av internkontrollen) Disse aktivitetene skal prosessansvarlig internkontroll og risikostyring planlegge for og gjennomføre. Aktivitetene totalt sett skal sikre at alle komponenter og prinsipper som følger av Prinsipper for internkontroll og risikostyring blir hensyntatt. 5

I kapittel 6.1-6.5 beskrives hensikten med de fem stegene i risikostyringsprosessen, hvem som er ansvarlig for utførelse og hva som skal være leveransene. Ansvar er definert på følgende måte: Prosessansvarlig er prosessansvarlig internkontroll og risikostyring. Risikoeier er enhetsleder i linje eller stab som har et definert prosesseieransvar og/eller et prosessansvar innenfor sin enhet og/eller et prosesseieransvar for tverrgående prosesser. Utfører er den som risikoeier ber gjennomføre planlagte tiltak. Prosesseieransvar og prosessansvar er definert i nivå 1-dokumentet Styringsprinsipper for Sykehusinnkjøp HF. 6.1 Planlegge Første steg i den tertialvise risikostyringsprosessen er å planlegge for gjennomføring av risikovurderingene. Planleggingen beskrives i tabellen under, hvor det angis hvem som har ansvar for hvilke oppgaver og leveranser samt hvilke aktiviteter det innebærer. Oppgave (ansvar) Leveranser Aktiviteter Planlegge, iverksette og organisere prosessen (prosessansvarlig) Koordinere og fasilitere risikostyringsprosessen Klargjøre for gjennomføring av risikostyringsprosessen Oppdatert prosessbeskrivelse Oppdaterte maler Oppdatert risikoregister Møteinnkalling og agenda Presentasjon av prosess og metodikk for risikostyring Fremdrifts- og møteplan for tertialvise risikostyringsaktiviteter Materiell og verktøy til bruk i prosessen (møter, workshops og lignende) Innhente innspill til prosessbeskrivelse og maler fra risikoeierne Utvikle et risikoregister Avstemme risikoområder (struktur) med risikoeierne Gjennomføre møte med ledergruppen for gjennomgang av innspill og justeringer Oppdatere risikoregisteret Sette opp møteplaner og frister for gjennomføring for alle risikoeierne Innhente bekreftelser og planlegge møtene Utvikle plan for prosessgjennomføring Forberede møtene gjennom å: o Definere og beskrive metode som skal brukes o Velge og tilrettelegge verktøy som skal brukes for å dekke behovene i de ulike stegene o Hente ut data fra ulike registre (hendelser) Sette opp tidsplan for arbeidet med definerte milepæler 6

6.2 Identifisere risiko Risiko kan påvises på forskjellige måter: I jevnlig avholdte statusmøter innen anskaffelsesprosjekter, enhetsmøter samt ledermøter i Sykehusinnkjøp. Mindre risikoer håndteres innenfor prosjekter og enheter som del av det daglige arbeidet. Månedlig risikovurderingsmøte avholdes for å identifisere risikoer som ikke avdekkes innenfor prosjekter eller i enheten som del av daglig drift I møter med helseforetakene for å identifisere risikoer som krever tiltak fra flere involverte, og risikoer som må løftes opp i linjen for behandling. Informasjon som er samlet inn i daglig drift og i møter internt og med helseforetakene benyttes i steg 2 Identifisere risiko, i tillegg til den systematisk innhentede informasjonen. Oppgave (ansvar) Leveranser Aktiviteter Identifisere risiko og etablere det totale risikobildet (prosessansvarlig tilrettelegger for aktiviteter hvor risikoeiere deltar) Oppdatert risikooversikt klar for analyse Risiko blir identifisert gjennom: Innmeldte hendelser og klager Dataanalyser Prosesskartlegginger Ulike typer møter Aktivitetene skal sikre at risiko fanges opp løpende gjennom året, internt og fra eksterne parter. Møter (jfr. beskrivelse over) og ved behov. 6.3 Analysere risiko Risikoanalyse inneholder vurdering av sannsynlighet for at feil eller mangler kan oppstå og deretter hvilken innvirkning, konsekvens, det har for oppfyllelse av målsettingene. Risikoen beskrives og belegges i størst mulig grad med fakta registrerte hendelser, resultat av prosesskartlegginger, utførte kontroller eller revisjoner som har avdekket feil, data, klager fra kunder eller leverandører m.fl. Utkontrakterte tjenester må også inkluderes innhente risikovurderinger jfr. avtaler. Sannsynlighets- og konsekvensskalaene som benyttes er beskrevet i kapittel 7.1 Vurdering av sannsynlighet og 7.2 Vurdering av konsekvens. Risiko kalkuleres som produktet av sannsynlighet og konsekvens, se kapittel 7.3 Kalkulering av risiko, og plasseres i en risikomatrise basert på tallverdier. 7

Oppgave (ansvar) Leveranser Aktiviteter Analysere risiko Beregne sannsynlighet og konsekvens av de beskrevne risikoene (risikoeiere) Liste over risiko prioritert mht. størrelse Legge til grunn alle kjente fakta (korrekt risikobeskrivelse) Benytte etablerte kriterier for sannsynlighet og konsekvens. Tilstrebe en enhetlig og objektiv vurdering. Definere kritikalitet for risikoområde som er nær knyttet til daglig drift (for eksempel IKT) 6.4 Håndtere risiko Håndtering av risiko innebærer: Definere prioriterte risikoer i risikoregisteret Risikoeier er ansvarlig for behandling av risikoen. Dette innebærer en mer dyptgående analyse av sannsynlighet og konsekvens. Neste steg er å utvikle en handlingsplan. Risikoeier kan selv etablere handlingsplan, og er ansvarlig for å sette handlingsplanen ut i praksis. Status på aktiviteter skal rapporteres til administrerende direktør, ledergruppemøte og tertialvis til styret. Den enkelte risikoeier har ansvar for å sørge for at risiko som kan håndteres på eget nivå og uten ekstra kostnader gjennomføres i henhold til den rekkefølgen som risikoeier mener er riktig. har det overordnede ansvar for den samlede prioriteringen av tiltak utover de rammer som er gitt den enkelte risikoeier (tverrgående risikoområder). I de tilfeller der den foreslåtte handlingsplanen innebærer finansielt ansvar, skal dette beregnes av økonomisjef og forankres hos administrerende direktør før effektuering. Oppgave (ansvar) Leveranser Aktiviteter Håndtere risiko iverksette adekvate tiltak for å redusere risiko (risikoeier) Tiltaksplan med angitt risikoeier og utfører av tiltak, hvilke effekter som ønskes oppnådd og tidsfrist. Analysere årsak til at risiko har oppstått. Planlegge risikoreduserende tiltak med adekvate og realistiske aktiviteter (resultatmål). Beregne ressursinnsats og kostnader (utover det som følger av ordinær drift ) Definere effektmål for tiltakene. For tverrgående risikoområder som treffer flere enhet definerer administrerende direktør risikoeier. 8

6.5 Kontrollere og følge opp risiko Kontroll og oppfølging av planlagte risikoreduserende tiltak er avgjørende for å styre fremdrift. Samtidig er identifisering av eventuelle risikoer som tidligere ikke var identifisert av like stor betydning. Noen formelle aktiviteter skal gjennomføres regelmessig, minimum hver måned. Oppgave (ansvar) Leveranser Aktiviteter Følge opp tiltaksplan (risikoeier) Vurdere restrisiko (Risikoeier) Identifisere nye risikoer (Alle) Oppdatere risikoregisteret (Prosessansvarlig) Oppdatert tiltaksplan Revidert kategorisering av risiko Oppdateringer til risikoregisteret Oppdatert risikoregister fremlegges Sjekke om avtale resultatmål er gjennomført, og foreta måling av effekt. Ved mangel på forventet effekt vurderes endrede tiltak. Vurdere endringer i forutsetningene for å godta restrisikoen Vurdere utviklingen og ev. iverksette nye tiltak Som del av løpende aktiviteter å utvise risikobevissthet og bruke melde- og avvikssystemet og oversikt over klager fra leverandører og helseforetak aktivt. Motta oppdaterte tidsplaner og risikovurderinger fra risikoeierne og ajourføre risikoregisteret for månedlig statusrapportering til ledergruppen. Gjennomgang av risikoregisteret skal gjennomføres månedlig for å: Holde oversikt over identifiserte risikoer, herunder avdekke utviklingstrekk og trender. Overvåke restrisiko ved iverksettelse av risikoreduserende tiltak. Identifisere nye risikoer. 7 Verktøy for kvantifisering og analyse av risikoer i Sykehusinnkjøp Risikoregisteret er utarbeidet i Excel. Gir funksjonalitet for registrering, sporing og oppfølging av risiko og tiltak Støtter risikostyringsprosessen fra initiering til oppfølging Kan også anvendes for utarbeidelse av tilpassede rapporter i Excel-format. Både konsekvens av en risikohendelse eller forventet hendelse, og sannsynligheten for hvor ofte den oppstår, beskrives verbalt i egne kolonner i risikoregisteret, samtidig som det må foretas en vurdering basert på vurderingskriterier som er tallfestet. Dette for å oppnå en enhetlig vurdering av risikoen i foretaket på alle nivåer, slik at ledelsen og styret får et mest mulig korrekt risikobilde å prioritere tiltak for. 9

7.1 Vurdering av sannsynlighet Følgende skala gir veiledning for vurdering av sannsynlighet for hver risiko: Sannsynlighet Forklaring Ekstrem (tallverdi 4) Svært høy sannsynlighet for forekomst (typisk >90 %, men < 100 %) eller (daglig eller oftere) Høy (tallverdi 3) Høy sannsynlighet for forekomst (typisk > 70%, men < 90 %) eller (en gang hver måned) Middels (tallverdi 2) En viss sannsynlighet for å inntreffe ( typisk> 30 % men < 70%) eller (en gang hvert kvartal) Lav (tallverdi 1) Risikoen har liten sannsynlighet for å inntreffe (vanligvis 0 % -30%) eller (en gang pr år eller sjeldnere) 7.2 Vurdering av konsekvens Følgende skala for vurdering av konsekvens for hver risiko: Konsekvens Ekstrem (tallverdi 4) Forklaring Risikoen har svært alvorlig innvirkning på økonomi (mer enn 1 mill. kr.) omdømme gjennomføring iht oppdragsdokument overholdelse av lover og forskrifter annet Høy (tallverdi 3) Risikoen har en alvorlig innvirkning på økonomi (500 1 mill. kr.) omdømme gjennomføring iht oppdragsdokument overholdelse av lover og forskrifter annet? 10

Konsekvens Middels (tallverdi 2) Forklaring Risikoen har en synlig effekt på økonomi ( 50-500 kr) omdømme gjennomføring iht oppdragsdokument overholdelse av lover og forskrifter annet? Lav (tallverdi 1) Risikoen har liten eller ingen effekt på økonomi ( 0 50 kr.) omdømme gjennomføring iht oppdragsdokument overholdelse av lover og forskrifter annet? 7.3 Kalkulering av risiko Risiko er definert som produktet av sannsynlighet og konsekvens. De kalkulerte risikoene kan da fremstilles i en matrise, her med tallverdier angitt: Sannsynlighet Ekstrem 4 8 12 16 Høy 3 6 9 12 Middels 2 4 6 8 Lav 1 2 3 4 Lav Middels Høy Ekstrem Konsekvens Figur 1: Risikomatrise Forventet utvikling Forventet utvikling av risikoene skal vurderes og defineres. Det gjøres ved å bruke en av disse verdiene: Statisk utvikling Økende utvikling Minkende utvikling Ikke-definert utvikling 11

7.4 Prioritering av risikoer Basert på kalkulert risiko og forventet utvikling vil det være mulig å foreta en prioritering. De definerte tiltakene for å redusere sannsynlighet og/eller konsekvens må også legges til grunn for en prioritering. 8 Rapportering og kommunikasjon Følgende figur viser rapporteringskjedene for risikoene i Sykehusinnkjøp: Forklaring til rollene: RE Risikoeier PR Prosessansvarlig internkontroll og risikostyring LG Ledergruppen AD Innhold i rapporteringen Ansvarlig Mottaker Frekvens 1 Status i arbeidet med å definere tiltak (avvik fra plan, utfordringer osv.) R I/U RE 2. hver uke 2 Evt. endringer i definerte risikoer (sannsynlighet, konsekvens, utvikling, nye tiltak) evt. behov for nye tiltak 3 Status i arbeidet, evt- endringer i definerte risikoer og evt. nye, utfordringer, eskaleringer. 4 Totalrapportering for risikoer i Sykehusinnkjøp, herunder status i arbeidet, evt. endringer i definerte risikoer, evt. nye risikoer, utfordringer, eskaleringer, forslag til prioritering, innspill til evt. finansiering 5 Overordnet status i arbeidet innen Risikostyringsprosess i Sykehusinnkjøp, revidering, risikostyringsprosessen, evt. innspill til beslutninger, prioriteringer, innspill til evt. finansiering R I/U RE Månedlig RE PR Månedlig PR LG 2. hver måned AD Styret Tertialvis 12

9 Referanser Styringsprinsipper for Sykehusinnkjøp HF Prinsipper internkontroll og risikostyring Funksjonsbeskrivelse internkontroll og risikostyring Prosessbeskrivelse internkontroll Årshjul 13

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding