Rammeverk for risikostyring i Helse Midt-Norge Versjon 1.0 Godkjent i ledergruppen Helse Midt-Norge 29.03.16
Innhold Rammeverk for risikostyring i Helse Midt-Norge... 3 Innledning... 3 DEL 1 RAMMEVERK FOR RISIKOSTYRING... 4 1.1 Sentrale begreper... 4 1.2 Roller og ansvar... 5 1.3 Rammeverkets anvendelsesområder... 6 1.4 Gjennomføring av risikostyring... 7 1.5 Identifisering av HF ets topp ti risikoer... 9 1.6 Opplæring som skal virke til et felles og helhetlig system... 10 1.7 Evaluerings- og videreutviklingsprosess... 10 DEL 2 - PROSESSEN FOR 2016... 11 2
Rammeverk for risikostyring i Helse Midt-Norge Innledning Helse Midt-Norge RHF er gjennom eierkrav fra Helse- og omsorgsdepartementet pålagt å etablere systemer for risikostyring. Kravet ble stilt første gang i foretaksmøte den 28. januar 2009, og er gjentatt i senere foretaksmøter og oppdragsdokumenter. Helse Midt- Norge RHF har stilt tilsvarende krav i styringsdokumentene til helseforetakene. Formålet med dette rammeverket er å sikre styrenes og ledelsens involvering i utvikling og tilpasning av risikostyring som en del av videreutviklingen av både RHF et og HF enes virksomhetsstyring. I dette dokumentet gis overordnede retningslinjer for organisering og gjennomføring av risikostyring i foretaksgruppen Helse Midt-Norge. Risikostyring er en integrert del av virksomhetsstyring og skal bidra til å øke sannsynligheten for at foretaksgruppen og foretakene når målene sine. Ledelsen har gitt føringer på at arbeidet med et felles rammeverk for risikostyring for hele regionen skal bygge på eksisterende strukturer og bygges ut gradvis og ikke bli for omfattende og komplisert i startfasen. Rammeverket skal utvikles i en tre års periode og starter med risikostyringsaktiviteter knyttet til noen få hovedmål i 2016. Både rammeverk og mål skal videreutvikles årlig i tråd med de erfaringer man høster. Hensikten er å gi foretaksgruppen en enkel og praktisk måte å integrere risikostyring på i allerede etablerte styringsprosesser. Den langsiktige målsettingen er å utvikle organisasjonens kunnskap og modenhet slik at bruk av risikostyring og internkontroll blir integrert i daglig virksomhet på alle nivå. Rammeverket bygger bl.a. på Norsk Standard for risikostyring og veileder «Hvordan få en god start på risikostyring i Statlige virksomheter», utgitt i 2007 av Senter for statlig økonomistyring, SSØ (nå Direktoratet for økonomistyring, DFØ). Veilederen er en videreutvikling av metodedokumentet Risikostyring i staten». Språk og detaljeringsgrad er bevisst gjort enkelt, og definisjoner og begreper er til en viss grad tilpasset vår kontekst og er derfor noe forenklet ift ISO 31000, Risikostyring prinsipper og retningslinjer. Rammeverket vil revideres årlig og utvikles etter hvert som foretaksgruppen samler erfaring. 3
DEL 1 RAMMEVERK FOR RISIKOSTYRING 1.1 Sentrale begreper 1 Virksomhetsstyring De prosessene og aktivitetene som RHF og HF gjennomfører for å sette og oppfylle mål, definere hvordan målene skal nås, rapportering, evaluering av måloppnåelse, analyse av avvik, gjennomføring av korrigerende tiltak, ny evaluering av måloppnåelse og bruk av denne kunnskapen til læring for å utvikle og forbedre virksomheten. Virksomhetsstyring omfatter både internkontroll, risikostyring og kvalitetsstyring. På tilsvarende måte omfatter risikostyring hele prosessen for å kunne identifisere, vurdere og håndtere og følge opp risiko slik at risikoen er innenfor akseptert nivå. Risikostyring Risikostyring er hele prosessen for å kunne identifisere, vurdere, håndtere og følge opp risiko slik at risikoen er innenfor akseptert nivå. Prosessen gjennomføres av virksomhetens styre, ledelse og ansatte og har som mål å gi rimelig grad av sikkerhet for virksomhetens måloppnåelse. Internkontroll 2 Internkontroll er systematiske tiltak som skal sikre at lover og retningslinjer overholdes, samt gir rimelig sikkerhet for at fastsatte mål oppnås. Dette rammeverket kommer ikke isteden for verken virksomhetsstyring eller internkontroll, men er ment å brukes som en integrert del av virksomhetsstyring. Risiko Risiko defineres som: Forhold eller hendelse som kan inntreffe og påvirke måloppnåelsen. Risiko vurderes ut fra sannsynlighet for at forhold eller hendelse inntreffer, og den forventede konsekvensen for foretakets måloppnåelse dersom slikt forhold eller hendelse inntreffer. Et «forhold eller hendelse inntreffer» kan også omfatte unnlatelse av nødvendig handling. Risikoanalyse: Systematisk fremgangsmåte for å beskrive og beregne risikonivå. Risikovurdering Risikovurdering er produktet av vurderingen av sannsynlighet og konsekvens og indikerer hvor høy den enkelte risiko er, og danner grunnlag for å prioritere hvilke risikoer som må følges opp (håndteres), og hvordan oppfølgingen skal skje. 1 Definisjonene er basert på definisjoner gitt av Senter for statlig økonomistyring i veileder risikostyring, som er basert på NS 5814:2008, samt ISO 31000:2009. 2 HOD har på høring Forskrift om styringssystem i helse og omsorgstjenesten til erstatning for Internkontrollforskriften. Den nye forskriften er mer i tråd med prinsippene for risikostyring slik de skisseres i dette rammeverket. 4
Risiko og Sårbarhetsanalyse (RoS-) og risikoanalyse brukes ofte som alternativt begrep til risikovurdering der en snakker om enkeltstående analyser og beskrivelse av tiltak som ikke inngår i en helhetlig risikostyringsprosess. Risikoreduserende tiltak Tiltak som kan gjennomføres for å redusere sannsynlighet for at en hendelse skal inntreffe, og/eller redusere konsekvensen av hendelsen hvis den inntreffer. Risikohåndtering Risikohåndtering er prosess for å modifisere risiko. I praksis betyr risikohåndtering å sikre at de tiltakene en setter inn faktisk reduserer risikoen. Gjennom enten å redusere sannsynligheten for at et identifisert forhold eller hendelse inntreffer og/eller øke sannsynlighet for å oppdage forholdet eller hendelsen og deretter redusere konsekvensene dersom slikt inntreffer, til et akseptabelt risikonivå. Risikoeier En risikoeier er en person eller enhet med overordnet ansvar for og myndighet til å håndtere en risiko. Risikotoleranse En styre- og ledelsesmessig vurdering hvor det tas stilling til hva som er et akseptabelt nivå for risikoen for ikke å nå den aktuelle målsettingen, altså hvilken risikotoleranse organisasjonen har på området. Deretter må det konkluderes på om den avdekkede risikoen ligger innenfor det nivået. Det er ledelsens oppgave å avklare foretakets holdning til risikoer og definere dets risikotoleranse (toleransegrenser), i samsvar med styrets signaler og vedtak. Risikotoleranse kan uttrykkes gjennom akseptkriterier. 1.2 Roller og ansvar RHF Styret har ansvar for å sikre at foretaksgruppen har god internkontroll og at det er etablert systemer for risikostyring for å forebygge, forhindre og avdekke avvik. Det skal gjøres rede for arbeidet i Årlig melding. Helseforetakets styre har et selvstendig ansvar for å sikre at HF et har god internkontroll og at det er etablert systemer for risikostyring for å forebygge, forhindre og avdekke avvik. Styret skal behandle administrasjonens risikovurdering av de fastsatte hovedmålene. Risikovurderingen rapporteres til Helse Midt-Norge RHF. Når styret har fått seg forelagt topp ti risikoer er det styrets ansvar at akseptert risikonivå blir fastlagt. Styret skal behandle foretakets oppfølging av risiko som ligger utenfor toleransegrensene, og rapportere fra gjennomgangen av internkontroll og risikostyring til Helse Midt-Norge RHF. 5
Adm dir 3 har ansvaret for at virksomheten har etablert risikostyring og internkontroll, og skal etterse at risikostyringen gjennomføres som del av ordinær virksomhetsstyring. Adm dir har ansvar for å fastsette foretaksspesifikke mål samt definere risikotoleranse (akseptert risikonivå) for de ulike hovedmål som ikke styret har fastsatt akseptert risikonivå på. Adm dir er også ansvarlig for vurdering av samlet risiko ved at flere tiltak/endringer skjer på samme tid og kan ha innbyrdes påvirkning på hverandre og derved øke den samlede risikoen ved samtidighet. Adm dir s risikovurdering til styret skal inneholde en beskrivelse av risikohåndtering og evt tiltaksplaner, samt at risikoeier pr risiko fastsettes. Andre ledere på ulike nivå skal på sine ansvarsområder sørge for at det er etablert internkontroll og at aktuelle risikostyringsprosesser blir gjennomført. Videre skal den enkelte leder sørge for at risikoeier for det enkelte mål utpekes og at det iverksettes nødvendige tiltak basert på vurderingene og ved eventuelle avvik. Øvrige ansatte skal på sine områder medvirke til at virksomheten når sine mål, og de skal bidra i risikovurderinger og øvrige tiltak der ledelsen etterspør dette. Ansatte skal melde avvik i samsvar med gitte retningslinjer. Internrevisjonen i Helse Midt-Norge RHF har både en kontrollerende og en rådgivende rolle knyttet til internkontroll og risikostyring, og rapporterer både til styre/revisjonsutvalg og til administrerende direktør i Helse Midt-Norge RHF. Internrevisjonen vil bl.a. gi uavhengige og objektive uttalelser og råd om risikostyring og internkontroll i foretakene, og vurdere om risikoidentifisering og etablerte styringsprosesser bidrar til effektiv måloppnåelse. 1.3 Rammeverkets anvendelsesområder Rammeverket skal anvendes i helseforetakenes mål- og resultatstyring i daglig drift og bør gjøres på en enkel og praktisk måte integrert i allerede etablerte styringsprosesser. I alle beslutningsgrunnlag i vesentlige saker skal risikovurderingene utgjøre en del av beslutningsgrunnlaget. Dette må både omfatte en vurdering av risiko knyttet til det saken omhandler og om saken kan medføre økt risiko for andre deler av virksomheten ved at flere tiltak/endringer kan ha innbyrdes påvirkning på hverandre og derved øke den samlede risikoen. Ut fra en vesentlighetsvurdering bør eventuelle planlagte risikoreduserende tiltak synliggjøres og risikoeier identifiseres i beslutningsgrunnlaget. 3 Med adm dir menes både daglig leder for det regionale helseforetaket og for det enkelte HF. Adm dir i RHFvil for eksempel ha det overordnede ansvaret for at det etableres risikostyringssystem på de ulike helseforetakene. Samtidig er det klart at de daglige lederne ved de enkelte helseforetakene også har en selvstendig plikt for at helseforetaket etablerer og bruker slikt risikostyringssystem. Styrene på begge nivå har en kontrollfunksjon ift forsvarlig etablering og bruk av risikostyring og internkontroll. 6
Det skal gjennomføres risikostyring i forbindelse med planlegging og gjennomføring av investeringer, prosjekter og programmer i Helse Midt-Norge. Slik risikostyring skal være en integrert del av tiltakets styringssystem og struktur, og følge samme rammeverk som for daglig drift, men omfang og ansvarsforhold tilpasses det enkelte prosjekt og vesentlighetsgrad. Risikoer må identifiseres og vurderes ved prosjektstart, og det må gjennomføres kontrollaktiviteter gjennom hele prosjektperioden. Grensesnitt mellom prosjektrisiko og risiko som følge av endringer i mottaksorganisasjonen skal håndteres gjennom risikoeiere både i prosjektet og i virksomheten. Planlegging og oppfølging av andre typer aktiviteter som organisatoriske endringer, matriseorganiserte aktiviteter (f.eks pasientforløp), ombygging og lignende, som kan ha innvirkning på risikobildet, bør følge dette rammeverket. Risikostyringen er knyttet både til gjennomføringen og til de målene prosjektene/aktivitetene er ment å oppnå. Rammeverket forutsettes også å gjelde for IKT Informasjonssikkerhet, beredskapsarbeidet og prosessene med å utarbeide og følge opp virksomhetens budsjett med tilhørende tiltaksplaner. 1.4 Gjennomføring av risikostyring Gjennomføring av risikostyring bør gjøres integrert i allerede etablerte styringsprosesser. Det finnes mange prosessbeskrivelser og standarder for håndtering av risiko. De fleste deler prosessen inn i følgende oppgaver: 1. Identifisering av risikofaktorer Hvilke hendelser kan forårsake eller representere en risiko? 2. Evaluering av risiko/risikoanalyse Anslå konsekvenser og sannsynlighet; hvor stor risiko innebærer hver enkelt faktor? Etablere risikonivå og sammenholde dette med hva som er akseptabelt risikonivå. 3. Handlingsplan Utarbeide en plan som angir hvilke muligheter man har til å håndtere den enkelte risiko og bestemme hvilke tiltak som bør iverksettes for å redusere sannsynlighet og/eller konsekvens. Utpeke risikoeier. 4. Oppfølging Følge opp tiltakene, sikre at tiltakene har nødvendig effekt, eventuelt inkludere nye risikoreduserende tiltak. 7
SANNSYNLIGHET I vurderingen av risiko benyttes skalaer for sannsynlighet og konsekvens, og risikoen plottes inn i en risikomatrise. Under vises en matrise fra Direktoratet for økonomistyring, DFØ, som anbefales brukt i risikovurderingen. Svært stor Stor Middels Liten Svært liten Ubetydelig Lav Middels Alvorlig Svært alvorlig/ Kritisk KONSEKVENS Figur 1 Matrise hentet fra Direktoratet for økonomistyring, DFØ. Det kan være hensiktsmessig å gå veien om en definering av hvilke forhold som er viktigst for å sikre at målet nås, dvs. de kritiske suksessfaktorene og risikovurdere hver av disse. Risikovurderingen sammenholdt med hva som er akseptabelt risikonivå, legges til grunn for beslutning om hvilke risikoer som må reduseres, og hvilke tiltak som skal iverksettes for å oppnå dette. Effekten av tiltakene må vurderes i ettertid, for avklaring av om de har vært tilstrekkelige eller om det er behov for ytterligere tiltak. HF et setter disse aktivitetene inn i sine eksisterende årshjul. Rapportering av risikostyringen inngår i de etablerte rapporteringsrutiner for måloppnåelse, samt i dialogmøtene mellom RHF og HF. 8
Følge opp Følge opp Følgende årshjul legges til grunn for den årlige risikostyringen: Oktober- Desember Følge opp uakseptable risikoer fra 2. tertial (RHF + HF) Definere sentrale mål og ambisjonsnivå for neste år, og risiko-vurdering for neste år (RHF og HF) Følge opp Januar - februar Arbeidet med risikostyring redegjøres for i Årlig melding (RHF og HF). Ev. justering av mål og styringsvariable på bakgrunn av nye styringsdokument og evt andre mål Mai - September Følge opp uakseptable risikoer fra 1.tertial (RHF + HF). Rapportere til styret (RHF + HF). Rapport til styret ved 2. tertialrapportering (RHF + HF) Rapport fra styrets gjennomgang av intern kontroll og risikostyring Følge opp risiko Januar-april Gjennomføre risikovurdering av mål og styringsvariable (RHF+HF). Rapportere til styret (RHF+HF). HF rapportere til RHF ved 1. tert. rapporteringen. 1.5 Identifisering av HF ets topp ti risikoer Ledelsens årlige gjennomgang (i direktørens ledergruppe) brukes som arena for identifikasjon og vurdering av risiko. Anbefalingen er at man skaffer en samlet overordnet oversikt over: Avvikssituasjonen fra eget kvalitetssystem og eksterne og interne revisjoner Måloppnåelse styringskrav og mål forrige år samt vurdering for inneværende år Ledelsens egen vurdering av risiko i sin virksomhet (hva vurderes som bekymringsfullt) Gjennom diskusjon og vurdering av utviklingstrender for det enkelte område, gjør ledergruppen sin prioritering av hvilke områder/mål som utgjør topp ti. 9
For sentrale risikoer defineres risikoeiere som har ansvar for løpende oppfølging av tiltak og rapportering på status. Styret skal holdes informert om disse topp ti risikoene og styret fastsetter rapporteringsintervall på tiltak og status på risikoutvikling utover året. Standardisering av hvordan HF ene visualiserer sin utvikling på risikoområdet gjør det lettere for toppledelse og styrer å opprettholde et kontinuerlig eierskap til risikostyring. 1.6 Opplæring som skal virke til et felles og helhetlig system Styret var i sak 93/15 opptatt av «Opplæring som skal virke til et felles og helhetlig system». Alle HF har godt innarbeidet metodikk for RoS analyser. For å styrke risikohåndtering, bør det utarbeides maler/veiledningsmateriale for analyse av avvik og korrigerende tiltak. Opplæringsmodul for risikostyring til bruk i kultur- lederutviklingsprogram bør ferdigstilles i løpet av 2016. 1.7 Evaluerings- og videreutviklingsprosess Eieravdelingen i HMN er ansvarlig for årlig prosess med evaluering av måloppnåelse, korrigering, videreutvikling av risikostyring, og revisjon/videreutvikling av rammeverk i tett samarbeid med HF ene. 10
DEL 2 - PROSESSEN FOR 2016 Det legges opp til at risikostyringen for 2016 gjøres på en enkel og praktisk måte ved at HF ene gjennomfører risikostyring som del av sin virksomhetsstyring av de 4 styringsmålene. RHF Gjennomføre risikovurdering på overordnet nivå (Q3) Identifisere topp 10 risiko for RHF et Q3 Vurdere samlet risiko ved samtidighet i store prosjekt/akkumulert risiko. Endre måten dialogmøtene gjennomføres på ved å legge mer vekt på hvordan HF ene styrer sin identifiserte risiko For HF Identifisere risiko ift 4 styringsmål 2016 (plakaten) og håndtere denne risikoen i sin virksomhetsstyring gjennom året Integrere risikohåndteringsaktiviteter i virksomhetens årshjul Ved neste ledelsens gjennomgang (høst 2016/vinter 2017) identifiseres 10 på topp risiki 11
Risikostyring av de 4 styringsmålene I styringsdokumentene for 2016 er helseforetakene bedt om å identifisere alle risikoområder for å nå de fire styringsmålene, i «plakaten», og sørge for at det er satt i verk tiltak i tilstrekkelig omfang, med god kvalitet og med tydelig ansvarlig leder på riktig nivå. En legger til grunn at det enkelte HF i sin virksomhetsstyring vil dele inn Styringsmål 2016 i praktiske delmål, plassere ansvar etc. Delmålene utgjør en konkretisering/ operasjonalisering til et detaljnivå det er praktisk mulig å risikostyre og følge opp i ettertid. 12