KONTROLLSTRATEGI REISER UTEN REKVISISJON

Like dokumenter
Veiledning- policy for internkontroll

Egenevaluering av internkontrollen

Utkast Revisjonsplan Internrevisjon Pasientreiser HF

Revisjonsplan 2012 Internrevisjon Pasientreiser ANS

Forvaltningsrevisjon Bergen kommune Internkontroll i resultatenheter. Prosjektplan/engagement letter

Prinsipper for virksomhetsstyring i Oslo kommune

Saksframlegg Referanse

Oppfølgingsansvar iht internrevisjonen. Tiltak nr i rapport 1/2013. Internrevisjonens anbefaling

Strategi for Pasientreiser HF

Strategi for Pasientreiser HF

Internkontroll i Gjerdrum kommune

Utkast Revisjonsplan 2015 Internrevisjon Pasientreiser ANS

Pasientreiser HF. Revisjon av kontrollstrategi for reiser uten rekvisisjon RAPPORT 1/2017. Endelig Revisjonsrapport 1/2017 Internrevisjon Side 1 av 15

Arkivplan og internkontroll Merarbeid eller samarbeid?

Saksframlegg. Styret Helseforetakenes senter for pasientreiser ANS 31/10/16. SAK NR Godkjenning av protokoll fra styremøtet

Utkast instruks Internrevisjonen for Pasientreiser ANS. Fastsatt av styret for Pasientreiser ANS,

Strategi for Pasientreiser HF

Retningslinjer for risikostyring ved HiOA Dato siste revisjon:

Det bør vurderes fastsatt et entydig mål for saksbehandlingstid i enkeltoppgjør og etableres tiltak for å

Vi prioriterer næringslivet, bekjempelse av svart økonomi og sikker ID-forvaltning

Compliance funksjonen utøvelse og praktisk angrepsvinkel

Risikostyring og intern kontroll i statlige virksomheter

Revisjonsplan Konsernrevisjonen Helse Sør-Øst

Nasjonal internrevisjon av medisinsk kodepraksis i helseforetakene

Forvaltningsrevisjon Bergen kommune Internkontroll i Byrådsavdeling for finans, eiendom og eierskap. Prosjektplan/engagement letter

Policy for Antihvitvask

UTFORDRINGER INTERNKONTROLL INTERNKONTROLL SOM SVAR KONTROLLKOMPONENTER KONTROLLMÅLSETTING. INTERNKONTROLL- FORSKRIFTEN (Helse og sosial)

NTNU Retningslinje for arbeid med sikkerhetskultur og opplæring innen informasjonssikkerhet

Instruks for konsernrevisjonen Helse Sør-Øst

Strategiplan

Brosjyren inneholder hovedpunkter fra dokumentet Kvalitetsstrategi for Helse Midt-Norge. Du kan laste ned hele dokumentet fra

Internkontroll og avvikshåndtering

ephorte: 2018/61949 Overlevert: OPPSUMMERING AV KARTLEGGING INTERNKONTROLL I MATTILSYNET, 2.LINJE

Forvaltningsrevisjon IKT sikkerhet og drift 2017

Krav til ledelse og kvalitet

Kort om internkontroll for deg som er leder

Saksgang: Styret Helseforetakenes senter for pasientreiser ANS 31/10/2016

EuroSOX og Ny forskrift for risikostyring og internkontroll

Risikostyring & internkontroll med fokus på verdiskaping for selskapet VFF Complianceseminar 24. november 2016

ISO Syscom brukerforum 2013 Jørn Erik Hornseth og Torbjørn Remmen

Digital strategi for HALD Februar 2019

Sykehuset Innlandet HF Styremøte SAK NR HELHETLIG PLAN FOR VIRKSOMHETSSTYRING Forslag til VEDTAK:

Saksframlegg. Styret Pasientreiser HF 13/09/2017. SAK NR Behandling av personopplysninger - oppfølging av styresak

Sammenligning av ledelsesstandarder for risiko

Styremøte 15. juni 2016 i Sørlandet sykehus HF. Styresak

Notat til AD-møtet. Til : AD-møtet Fra : Pasientreiser ANS Dato :

Krav til ledelse og kvalitet

Standarder for risikostyring av informasjonssikkerhet

Aggregering av risiko - behov og utfordringer i risikostyringen

Ny forskrift om krav til kvalitetsforbedring i helse- og omsorgstjenesten

Pasientreiser i Helse Nord-Trøndelag HF

Nytt veiledningsmateriell om internkontroll - lanseringsseminar 23. mai Direktoratet for økonomistyring

FULL EKSTERN EVALUERING AV INTERNREVISJONEN I Helse Vest RHF Februar 2017

Samarbeidsforum internkontroll

Revisjon av informasjonssikkerhet

Årsrapport 2014 Vedlegg 4 Oppsummering av revisjonsområdet kompetansestyring

Gjelder fra: Godkjent av: Fylkesrådet

Avmystifisere internkontroll/styringssystem - informasjonssikkerhet

Fylkesmannen i Buskerud 22. august Risikostyring i statlige virksomheter. Direktør Marianne Andreassen

Nytten ved å jobbe systematisk med intern kontroll Revisjonsdirektør Solbjørg Lie

Saksframlegg. Styret Helseforetakenes senter for pasientreiser ANS 26/01/17

Akupunkturforeningen gir med dette ut en veileder i internkontroll på området helse, miljø og sikkerhet

Informasjonssikkerhet er et lederansvar. Topplederen er øverste ansvarlig for at virksomheten har et velfungerende system for

Forslag til oppfølgingsansvar

Målbildet for digitalisering arkitektur

Revisjonsrapport analyse av manglende avtalelojalitet ved kjøp av behandlingshjelpemidler

Gjelder fra: Godkjent av: Camilla Bjørn

Hvordan NAV arbeider med internkontroll i et prosessperspektiv. Kristine Bosio Horn Seniorrådgiver Arbeids- og velferdsdirektoratet

Bilag 8 Instruks for internrevisjon og Garanti-Instituttet for Eksportkreditt

Instruks for Konsernrevisjonen Helse Sør-Øst. Erstatter instruks av

Styresak Vedlegg 3. Prinsipper for internkontroll og risikostyring Innspill fra styret er innarbeidet

Angrepet mot Helse Sør-Øst. Norsk sykehus- og helsetjenesteforening

Styring og ledelse. 10.nov 2018 Fylkeslege Anne-Sofie Syvertsen 1

Virksomhetsstyring i Bane NOR SF

Arkivplan som verktøy for internkontroll i kommunene

Digitalisering former samfunnet

Seksjon for internkontroll - Overføring fra Byrådsavdeling for finans, eiendom og eierskap til Byrådsleders avdeling

Presentasjon sikkerhetsforum Avdelingsdirektør Arne Lunde Uh-avdelingen KD

Transkript:

KONTROLLSTRATEGI REISER UTEN REKVISISJON

Innhold 1. Formål...2 2. Krav og føringer til styring og kontroll...2 2.1. Pasientreiseforskriften 26 dokumentasjon og kontroll... 2 2.2. Forarbeidene; Høringsnotat og innstilling fra Helse- og omsorgskomiteen... 2 2.3. Andre føringer... 3 2.4. Hvordan kontrollstrategien svarer ut krav og føringer... 3 2.4.1. Forsvarslinjer og kontroller... 3 Kontrollaktiviteter og nøkkelkontroller... 4 3. Prinsipper for kontrollstrategien...4 4. Intern kontroll...5 4.1. Overordnet om risikostyring... 5 4.2. Risikovurdering av arbeidsprosess for reiser uten rekvisisjon... 5 5. Forvaltning av kontrollstrategien...6 5.1. Overordnet modell for forvaltning... 6 5.2. Løpende oppfølging... 7 5.3. Konfidensialitet... 8 Figur 1: Overordnet forvaltningsstruktur... 6 Figur 2: Rolle- og ansvarsfordeling kontrollstrategi... 7 Figur 3: Årshjul kontrollstrategigruppe... 7 Kontrollstrategi Reiser uten rekvisisjon 1

1. FORMÅL System for internkontroll og risikovurdering i Pasientreiser ANS er innarbeidet i samråd med selskapets styre. Ved implementering av ny prosess for pasientreiser uten rekvisisjon må selskapets ansvarsområder i den nye løsningen inkluderes i selskapets eksisterende internkontrollsystem. Dette vil blant annet omfatte ansvarsfastsettelse og praktisk utforming av nødvendige prosedyrer. Formålet med kontrollstrategien er å sikre internkontroll i den nasjonale prosessen for reiser uten rekvisisjon. Med fokus på kvalitet og effektivitet beskrives krav til god internkontroll, førende prinsipper for kontroll og risikobaserte kontrollaktiviteter som skal bidra til å realisere målene for løsningen: Enklere og lettere tilgjengelig løsning for brukerne Størst mulig grad av likebehandling Kostnadseffektiv oppgaveløsning og administrasjon Strategien definerer de overordnede prinsipper og føringer lagt til grunn for kontrollstrategien, samt roller og ansvar i forvaltningen av denne. Detaljering av risikovurderinger og kontrollaktiviteter er beskrevet i egne dokumenter. 2. KRAV OG FØRINGER TIL STYRING OG KONTROLL Følgende kapittel beskriver sentrale krav for kontrollstrategien i regelverk, normer og standarder, og gir føringer for prinsippene i kontrollstrategien som beskrives under kapitel 3. 2.1. Pasientreiseforskriften 26 dokumentasjon og kontroll Pasientreiseforskriften 26 med forarbeider beskriver prinsipper som skal ligge til grunn for valg av kontrollstrategi, kontrollaktiviteter og nøkkelkontroller i prosessen. Pasientreiseforskriften 26 fastslår at helseforetakene kan unnlate å innhente dokumentasjon for pasientens oppmøte hos behandler dersom det er mulig å kontrollere og finne tilbake til dokumentasjonen ved senere stikkprøver. Denne vurderingen betyr i praksis at det i kontrollstrategien kan tas hensyn til forhold som hvor stor refusjon pasienten søker om, og i hvilket omfang. Det kan videre tas hensyn til hvor stor effekt kontrollen har, slik at strategien kan justeres etter evaluering av erfaringer som innhentes. 2.2. Forarbeidene; Høringsnotat og innstilling fra Helse- og omsorgskomiteen I høringsnotatet til forenkling av regelverk for dekning av pasienters reiseutgifter (pasienttransport) pkt. 7.6.2 omtales det at kontrollregime skal være basert på risikovurdering. Kontrollene skal utover dette også være basert på registerbaserte kontroller, og det skal være mest mulige logiske og automatiserte kontroller. I tillegg er det spesifisert at stikkprøvekontroller vil kunne veie opp for registre. Kontrollstrategi Reiser uten rekvisisjon 2

Helse- og omsorgskomiteen utdyper ytterligere i sin innstilling at refusjonen skal være et tillitsbasert system med færre dokumentasjonskrav hvor man stoler på pasient. I den vedtatte forskriftsteksten gis støtte til en praksis hvor utgangspunktet er at pasienten sender inn korrekte opplysninger som stikkprøvemessig vil bli kontrollert, fremfor dagens praksis med gjennomgående kontroll av alle innsendte søknader. 2.3. Andre føringer Arkitekturprinsippene til Pasientreiser ANS er basert på Difis overordnede ITarkitekturprinsipper for offentlig sektor. Det er etablert et sett av styrende arkitekturprinsipper som understøtter og bidrar til at teknologiutviklingen går i ønsket strategiske retning. Disse stiller blant annet krav til automatisering av tekniske prosesser (i sammenheng med teknologiutvikling og kvalitetssikring), standardisering av prosessene og at det etableres gode frittstående, tekniske tjenester som legger grunnlaget for fremtidig utvikling og som kan gjenbrukes. 2.4. Hvordan kontrollstrategien svarer ut krav og føringer 2.4.1. Forsvarslinjer og kontroller Kontrollstrategien er basert på prinsippet om De tre forsvarslinjer i henhold til god internkontroll. Dette innebærer at kontrollene organiseres på tre nivåer, hvor hovedkontrollen skal skje på nivå 1, supplert av nivå 2 og 3. Innholdet på de forskjellige nivåene er: 1.-linje: Dette er innebygde kontroller i arbeidsprosessene. Disse vil bestå av automatiske kontroller i systemene og manuelle kontroller som skjer i digitalisering og maskinell saksbehandling. Avviksregistrering og oppfølging er en viktig del av 1.linjeforsvaret, og vil være sentralt i å prioritere riktige kontrollområder i 2. og 3. linje. Eksempler på kontroller som brukes i 1. linje er: Forbyggende kontroller (preventive): kontroller som skal forhindre passive feil og virke preventivt på de som aktiv ønsker å gi feilinformasjon Integrerte kontroller: kontroller i systemet for å forhindre feil eller uoppdagede hendelser fra å skje. Avvik er en integrert del av alle prosessteg. Automatiserte kontroller: kontroller som defineres og utføres i systemløsningen. Dette gjøres for områder hvor det ikke er nødvendig med en skjønnsmessig vurdering. Disse kontrollene er sentrale for å oppnå kostnadseffektivitet, likebehandling og forutsigbarhet. 2.-linje: Dette er kontroller som gjøres internt i organisasjonen. Dette nivået sikrer at det er en systematisk oppfølging av arbeidsprosessene/-kontrollene, for å avdekke og korrigere eventuelle utfordringer. Eksempler på kontroller som brukes i 2. linje er: Stikkprøvekontroller/etterkontroll(av vedtak) innrettes slik at man velger de kravene som det erfaringsmessig er grunn til å undersøke nærmere basert på risikovurdering og analyser. Videre kan stikkprøvene konsentreres om for eksempel større beløp og pasienter som leverer mange små krav. De opplysningene som pasienten gir skal i rimelig grad kontrolleres. Oppdagende kontroller og analyser er iverksatt for å finne feil eller problemer så tidlig som mulig når de oppstår. Helhetlig (korrektiv) kontroll brukes for å vurdere om de ulike kontrollene er til stede og fungerer over tid. Dette er en vesentlig del av forvaltningen av kontrollstrategien og et viktig element i selskapets helhetlige intern kontroll system. Kontrollstrategi Reiser uten rekvisisjon 3

3.-linje: Dette består uavhengige internrevisjoner. Formålet er å bekrefte effektiviteten av arbeidsprosessene/-kontrollene, påpeke eventuelle svakheter og gi anbefalinger til ytterligere optimalisering. Kontrollaktiviteter og nøkkelkontroller Kontrollaktiviteter er definert som de kontrollene som er helt sentrale for å håndtere de viktigste risikoene innenfor hver enkelt arbeidsprosess. Kritiske kontroller er definert som nøkkelkontroller. Kontrollene skal dokumenteres og det skal være tydelig eierskap og rollefordeling i forhold til utførelse og oppfølging. Det skal gjennomføres årlig testing av at kontrollaktivitetene er designet og fungerer som forutsatt, og at de adresserer risikoen tilfredsstillende. Kontrollene for reiser uten rekvisisjon er beskrevet i eget dokument, og ivaretar alle kontrollaktivitetene. Dette dokumentet er konfidensielt se kapittel 5.2 om konfidensialitet. 3. PRINSIPPER FOR KONTROLLSTRATEGIEN 1 Likebehandling Likebehandlingsprinsippet på pasientreiseområdet styres av både forvaltningens og helserettens likebehandlingsprinsipper, og defineres på følgende måte: Like saker skal behandles likt Befolkningen skal ha lik tilgang til pasienttransport og denne skal bidra til lik tilgang til øvrige helsetjenester Ingen pasienter skal forskjellsbehandles uten at det foreligger saklige grunner til dette 2 Lik og riktig informasjon Pasienter over hele landet får lik og riktig informasjon om sine rettigheter og det er lik saksbehandlingstid. 3 Nasjonal og enhetlig For å sikre etterlevelse av likebehandlingsprinsippet er det sentralt at kontrollstrategien er nasjonal og enhetlig. Dette gjelder både strategisk med felles mål og nasjonal styringsdialog, og operativt med like terskel- og beløpsverdier for kontroller. Følgende prinsipper er lagt til grunn for kontrollstrategien for reiser uten rekvisisjon: Enhetlig kontrollstrategi nasjonalt Effektive kontroller tidlig i prosessen (fjerne risiko så tidlig som mulig) Integrert i arbeidsprosesser og aktiviteter for området Må dekke hele prosessen Tydelig ansvar, myndighet og roller Erfaringsbasert læring og utvikling Tillitsbasert, med færre dokumentasjonskrav Automatiserte kontroller (fjerner feilkilder og behov for skjønn) 4 Samlet ansvar Kontrollstrategi Reiser uten rekvisisjon 4

Sikkerhetsansvarlig med ansvar for informasjonssikkerhet i hele saksbehandlingsprosessen og et sterkt kontrollmiljø. 5 Risikobasert tilnærming Stikkprøver basert på risikovurdering Vesentlighet, eksempelvis beløpsgrense Omfang basert på kost-/nytte vurdering Preventive kontroller som virkemiddel Et riktig kontrollnivå vil være med på å skape mulighet for å realisere de til enhver tid gjeldende gevinstmålene for reiser uten rekvisisjon. Suksesskriterier for kontrollstrategien oppsummeres slik: En enhetlig strategi med gjennomgående tydelige rolle- og ansvarsbeskrivelser Lik risikoappetitt Lik etterlevelse av normer Standardisert opplæring 4. INTERN KONTROLL 4.1. Overordnet om risikostyring Hensikten med helhetlig risikostyring er å være i stand til å håndtere usikkerhet og tilhørende risikoer på en effektiv måte. Dette må ligge til grunn for utarbeidelse av kontrollstrategi for reiser uten rekvisisjon. Alle prosesstegene skal risikovurderes for å få oversikt over hvor det er utfordringer. Det er krav om gjennomføring av risikovurdering i Normen 1, og risikovurderingen skjer i samsvar med COSO-ERM 2 -modellen som også brukes for de nasjonale risikovurderingene av pasientreiseområdet. Mål er utgangspunktet for risikostyringen. Det er derfor viktig at det er etablert mål for alle aktivitetene. Det er også viktig at målene er oppdatert og i samsvar med gjeldende strategi og overordnede krav, eksempelvis lovkrav og eller nasjonale mål for pasientreiseområdet. 4.2. Risikovurdering av arbeidsprosess for reiser uten rekvisisjon Det er etablert en rekke risikoreduserende tiltak for arbeidsprosessen for reiser uten rekvisisjon. Den gjenværende risikoen for reiser uten rekvisisjon vurderes derfor som lav for digital behandling. Dette er basert på at løsningen krever en sikker pålogging (nivå 4), lave beløp og har automatiserte registeroppslag og maskinell saksbehandling med automatiserte kontroller. Der det er manuelle kontroller, er dette på avgrensede områder. Det er få medarbeidere som gjør manuelle behandlinger, slik at muligheten for ulik utøvelse av praksis reduseres. Få medarbeidere gjør det også lettere å skape en felles forståelse av regelverksutøvelsen. Detaljert risikovurdering av arbeidsprosessene finnes i eget dokument. 1 Norm for informasjonssikkerhet helse og omsorgstjenesten (Normen) er et omforent sett av krav til informasjonssikkerhet basert på lovverket. 2 Rammeverk for helhetlig risikostyring som et ledelse- og styringsverktøy Kontrollstrategi Reiser uten rekvisisjon 5

5. FORVALTNING AV KONTROLLSTRATEGIEN 5.1. Overordnet modell for forvaltning For å sikre at kontrollstrategien etterleves og arbeidsprosessene oppdateres løpende er det viktig at denne forvaltes på en effektiv og god måte. Forvaltning av kontrollstrategien må sikre at prinsippene i kapittel 3 blir ivaretatt.. Et tydelig eierskap og definerte prosesser for gjennomføring er med på å sikre en fleksibel kontrollstrategi som tilpasses regelverk, utvikling og erfaringer. Figur 1: Overordnet forvaltningsstruktur Styret i Pasientreiser ANS vil være øverste beslutningsmyndighet for kontrollstrategien. For å sikre nødvendig kompetanse og forankring, organiseres arbeidet med forvaltning av kontrollstrategien gjennom en kontrollstrategigruppe i Pasientreiser ANS, med bidrag fra regionale enheter. Kontrollstrategigruppen rapporterer til ansvarlig linjeleder for saksbehandlingsprosessen. Målet med opprettelse av gruppen er å sikre en god prosess rundt forvaltning, samt ivareta de nødvendige interessentene underveis. Dette betyr å sikre at det er deltakelse fra de som er ansvarlige (på ledernivå) for gjennomføring av arbeidet. De må høres i prosessen og informeres om endringen (i henhold til RACI-matrisen i Figur 2: Rolle- og ansvarsfordeling kontrollstrategi). Responsible De som skal gjennomføre endringen De som utfører av oppgaven Accountable Den som er ansvarlig dersom noe går galt De som har myndighet til å beslutte Consulted De som kan mer om oppgaven og bør involveres De som er identifiserte interessenter Informed De som er avhengig av denne endringen De som bør holdes oppdatert om endringen Kontrollstrategi Reiser uten rekvisisjon 6

Figur 2: Rolle- og ansvarsfordeling kontrollstrategi 5.2. Løpende oppfølging Det er vesentlig at kontrollstrategien til enhver tid er oppdatert i henhold til omgivelser og formålet med strategien i seg selv. Det vil være behov for jevnlig revisjon og oppfølging av strategien gjennom årshjul og løpende rapportering og analyser. For at strategien skal fungere optimalt i det daglige, vil det være vesentlig at endringer prioriteres og håndteres på lavest mulig nivå i ledelseshierarkiet innenfor pasientreiseområdet. Figur 3: Årshjul kontrollstrategigruppe Kontrollstrategi Reiser uten rekvisisjon 7

5.3. Konfidensialitet Kontrollstrategien vil inneholde detaljer som fra et mislighetsperspektiv må holdes utenfor offentlighet. Det vil svekke kontrollstrategien om detaljene i kontrollene ble allment kjent. Selskapets kontrollstrategi er av denne grunn delt i ett hoveddokument, og to tilleggsdokumenter; Et dokument som beskriver risiko og et som beskriver kontrollaktiviteter. Dokumentet som beskriver detaljerte kontrollaktiviteter har høyest konfidensialitet og vil kun være tilgjengelig for medarbeidere med særskilt behov. Figur 4: Kontrollstrategiens oppbygging Kontrollstrategi Reiser uten rekvisisjon 8

2026 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding