Risikostyring i Helse Sør-Øst

Risikostyring i Helse Sør-Øst Versjon 3.1 pr 070808 En veileder for arbeidet med risikostyring i Helse Sør-Øst

Innholdsfortegnelse Innholdsfortegnelse...2 Forord...3 Sammendrag...4 1 Mål og hensikt med dette dokumentet...6 2 Definisjon og formål med risikostyring i Helse Sør-Øst...6 2.1 Definisjon og formål...6 2.2 Risikostyring som del av internkontrollen...8 3 Roller og ansvar i risikostyring i Helse Sør-Øst...10 3.1 Styret...10 3.2 Administrerende direktør og øvrig direktørnivå...10 3.3 Øvrige ledere, prosjektledere og ansatte i organisasjonen...11 3.3.1 Åpen rapporterings- og meldekultur...11 3.4 Internrevisjonen...11 4 Prosess for risikostyring i Helse Sør-Øst...12 4.1.1 Forutsetninger for effektiv risikostyring og intern kontroll...13 4.1.2 Komponenter i risikostyring...13 4.1.3 Helhetlig og integrert risikostyring...14 5 Gjennomføring av risikostyring i Helse Sør-Øst...17 5.1 Risikostyring som verktøy i oppfølging av virksomheten...17 5.2 Risikostyring krever god lederforankring...19 5.3 Proaktiv risikostyring er et førende element...19 5.3.1 Rapportering av avvik er sentralt i risikostyringen...19 5.4 Rapportering av risiko gjennom samhandling...20 5.4.1 Samhandling kreves på alle nivåer for å sikre god rapportering...20 5.4.2 Dokumentasjon og maler for risikorapportering...22 5.5 Årshjul for risikostyring i Helse Sør-Øst...23 5.6 Kalender for gjennomføring av risikostyring Helse Sør-Øst...24 5.7 Kompetanseutvikling innen risikostyring...24 5.8 Risikostyring i Ledelsens gjennomgåelse (LGG)...25 5.9 Risikostyring i Helse Sør-Østs daglige drift...25 6 Definisjoner...27 7 Referanser...29 Vedlegg...31 2

Forord Sammenslåingen av to helseregioner til én og etableringen av Helse Sør-Øst i 2007 har gitt oss mange muligheter og utfordringer knyttet til utvikling av strategi, omstilling og styring av en av Norges største virksomheter. Internkontroll og risikostyring er for Helse Sør-Øst RHF en integrert og sentral del av vår virksomhetsstyring og inngår som ledd i utviklingen av Helse Sør-Øst som en lærende roganisasjon. Risikostyring er ment å være et enkelt verktøy for ledere med tanke på å mobilisere egen kunnskap om, og systematisere arbeidet med ledelse og virksomhetsstyring. Risikostyring skal bidra til å tydeliggjøre mål og kritiske områder i tillegg til å være et verktøy for prioritering av oppgaver og ressurser. Risikostyring skal videre bidra til at, pårørende, samarbeidspartnere, eiere og ansatte blir tryggere på at lovverk, eierkrav, interne mål, rutiner og retningslinjer til enhver tid blir fulgt, og at kritisk fare for svikt blir avdekket i forkant. De regionale helseforetakene har de seneste årene gjennom oppdragsdokumentet og foretaksprotokoller blitt pålagt av Helse- og omsorgsdepartementet (HOD) å sette arbeidet med risikovurdering og risikostyring på dagsorden. Sommeren 2007 gjorde Helse Sør-Øst RHF den første risikovurderingen i ny organisasjon. Den bestod av en sammenstilling og vurdering av tidligere gjennomførte risikovurderinger i Helse Sør og Helse Øst for 2007. Helse Sør-Øst har i løpet av høsten 2007/vinteren 2008 arbeidet videre med risikovurdering og risikostyring i den nye organisasjonen. Gjennom Oppdragsdokumentet for 2008 og protokoll fra foretaksmøtet 24.01.08 har Helse- og omsorgsdepartementet (HOD) pålagt RHFet å arbeide systematisk og målrettet med disse temaene. Det er fortsatt ulik form, omfang og bruk av risikovurdering i foretaksgruppen samtidig som det er en økende forståelse av nytten ved risikostyring. Risikostyring i Helse Sør Øst er en veileder for det videre arbeid med risikostyring i regionen. Det skal bidra til økt forståelse og proaktiv bruk av risikovurderinger og risikostyring i foretaksgruppen på alle nivåer. I sum skal risikostyringen bidra til enda bedre styring av vår virksomhet, og bidra til å øke vår evne til å nå våre mål gjennom riktige prioriteringer, god internkontroll og god virksomhetsstyring. Dokumentet er ment å skulle være et dynamisk dokument som vil bli revidert innenfor et tidsrom på ett til to år. Hamar, august 2008 Bente Mikkelsen Adm.dir., Helse Sør-Øst RHF 3

Sammendrag Dette dokumentet er en veileder for det videre arbeidet med risikostyring i Helse Sør-Øst RHF og underliggende helseforetak. Helse Sør-Øst ønsker med dokumentet å bidra til økt forståelse og bruk av risikostyring i foretaksgruppen på alle nivåer. De regionale helseforetakene har de seneste årene av Helse- og omsorgsdepartementet blitt pålagt krav om å sette risikostyring på dagsorden. Krav om risikostyring er første gang omtalt gjennom protokoll fra foretaksmøte i januar 2006. Også gjennom økonomiregelverket og bl.a. forskrift for internkontroll i Helse-og sosialtjenesten stilles det krav til internkontroll og risikostyring. Risikostyring og internkontroll skal sikre at all aktivitet i Helse Sør-Øst blir organisert, planlagt, utført, kontrollert og forbedret i samsvar med fastsatte krav som retter seg mot foretaksgruppen for å gi bedre styring og måloppnåelse. Risikostyring skal være et enkelt verktøy for å sjekke mål, status, aktiviteter og resultat på de områder som er mest kritisk for virksomhetsstyringen. Den skal også være et verktøy for riktig prioritering av oppgaver og ressurser. Ansvaret for risikostyring er lagt til administrerende direktør. Myndigheten vil i praksis være delegert til leder av det aktuelle virksomhetsområde eller prosjekt når det gjelder den praktiske gjennomføringen av risikostyringen. På RHF-nivå vil det være enhetsledere og prosjektledere som får delegert ansvar for å identifisere, definere og følge opp risikoområder. Tilsvarende vil ansvar være delegert til aktuelt nivå i HFene. I dokumentets kapittel 3 gis en nærmere beskrivelse av roller og ansvar i risikostyringen i Helse Sør-Øst. Arbeidet med risikovurdering og risikostyring vil være en del av de ordinære prosesser relatert til ledelse og styring av virksomheten. I Helse Sør-Øst kan det i RHFet og ved HFene være noe ulik tilnærming til arbeidet, men dokumentet er ment å skulle bygge opp om at man baserer seg på de samme prinsippene i hele foretaksgruppen. Metodikken for risikostyring er basert på SSØs 1 veileder for risikostyring i staten og redegjøres for i kapittel 4. Det er vesentlig at arbeidet med risikovurdering og risikostyring er forankret i ledelsen. Prosessene bør initieres av toppledelsen og gjennomføres på ulike ledernivå; enhet, avdeling osv slik man i den enkelte virksomhet finner mest hensiktsmessig. Risikovurdering og risikostyring er prosesser som kan gjennomføres med ulik frekvens, avhengig av hva den enkelte virksomhet finner formålstjenlig. Som et minimum skal man to ganger per år ha helhetlige gjennomganger. Første runde bør være ved kalenderårets begynnelse når virksomheten har mottatt oppdragsdokument, protokoll fra foretaksmøtet og for foretakene at også driftsavtalen med RHFet er på plass. Det vil være naturlig å integrere arbeidet med risikovurdering med utarbeidelse av virksomhetsplanen. Risiko vurderes og tiltak anvises. Anbefalt skjemaverk (se vedlegg) benyttes for oppsummering og fremstilling og dette rapporteres til RHFet innen definerte frister. RHFet utarbeider aggregerte vurderinger for foretaksgruppen. Neste gjennomgang skal legges til utløp av 2. tertial i god tid før rapportering til Helse- og omsorgsdepartementet. Her skal man benytte ledelsens gjennomgåelse (LGG) som metodisk vurdering av status for tidligere risikovurdering og vurdering av eventuelle 1 Senter for statlig økonomistyring: Risikostyring i staten - Håndtering av risiko i mål- og resultatstyringen. Utgitt 12/2005 4

endringer så langt i året (revidert budsjett eller avholdte foretaksmøter i 1. halvår f eks). Denne vurderingen vil inngå i årlig melding. Det er utarbeidet egen mal for LGG (se vedlegg 1 og 3). Enhetene i RHFet gjennomfører tilsvarende prosess som danner grunnlag for LGG i RHFets ledergruppe. Prosessen oppsummeres og rapporteres til RHFet som utarbeider aggregerte vurderinger. Dette behandles av revisjonskomiteen og danner grunnlag for rapportering til styret og HOD. For 2008 er rapportering til styret fastsatt til september og rapportering til HOD pr. 01.10.08. Utover de to milepælene med rapportering til RHF-et vil risikovurdering være temaer i oppfølgingsmøter, jfr Figur 5 Årshjul for oppfølging av risikostyring i Helse Sør-Øst Nærmere beskrivelse av gjennomføringen av risikostyringen i Helse Sør-Øst gis i dokumentets kapittel 5. Oppsummert kan de ulike risikostyringsprosessene beskrives i tabellen under: Tidspunkt Aktivitet Ansvarlig Rapport til Januar/ Februar Ultimo februar/ primo mars Utarbeide virksomhetsplan inkludert risikovurdering basert på blant annet mottatt oppdragsdokument, foretaksmøteprotokoll og for HFenes del driftsavtale med RHF Aggregert risikovurdering for foretaksgruppen utarbeides og legges frem for RHF-styret. RHF: Alle enhetsledere HF: Ledelsen initierer arbeidet i egne enheter/ avdelinger RHFet Etter 2. tertial LGG inkludert risikovurdering RHF: Alle enhetsledere HF: Ledelsen initierer dette slik man finner best egnet i egen virksomhet Styresak og rapport til HOD basert på bidrag fra HFene og egne enheter i RHFet RHFet RHFets risikostyringsgruppe Avdelinger og enheter rapporterer til HFets ledelse. Aggregert vurdering sendes RHFet. Sak til RHF-styret RHFets risikostyringsgruppe RHFet til fastsatt tidsfrist og RHF-styret i september HF: rapporteres til AD og HF-styret RHF-styret: Styresak som er basis for rapport til HOD 5

1 Mål og hensikt med dette dokumentet Hensikten med dette dokumentet er å etablere en overbygning og anbefaling til hvordan Helse Sør-Øst RHF skal organisere og gjennomføre risikostyring i foretaksgruppen. Målgruppen for dokumentet er Helse Sør-Øst RHF (regionalt helseforetak) og underliggende helseforetak (HF). Dokumentet skal bidra til å sikre risikostyring i HF og RHF samt etterlevelse av lover og forskrifter, herunder forsvarlig drift knyttet til pasientbehandlingen og øvrige kjerneoppgaver. Helseforetakene forutsettes å ta ansvar for egne prosesser i dette arbeidet, og det settes egne krav til enhetlig rapportering av risiko til det regionale helseforetaket. Dokumentet setter fokus på viktigheten av å utøve god virksomhetsstyring, internkontroll og risikostyring og vurdering. Internkontroll og risikostyring skal sikre at all aktivitet i Helse Sør-Øst blir organisert, planlagt, utført, kontrollert og forbedret i samsvar med fastsatte krav som retter seg mot foretaksgruppen 2 for i sum å gi denne enda bedre styring og måloppnåelse. Dette skal skje ved at aktørene i foretaksgruppen setter fokus på de mest vesentlige hendelser som påvirker måloppnåelse for virksomheten sett under ett, og sikrer en konsistent styring og oppfølging av disse. Risikostyring skal være et enkelt verktøy for å sjekke mål, status, aktiviteter og resultat på de områder som er mest kritisk for virksomhetsstyringen samt for å sette inn korrigerende tiltak. Den skal også være et verktøy for riktig prioritering av oppgaver og ressurser. Dokumentet Risikostyring i Helse Sør-Øst har tre formål: Gi aktørene i foretaksgruppen et teoretisk grunnlag og et felles begrepsapparat for å analysere og håndtere virksomhetens oppgaver i forhold til kritiske hendelser Sikre at vurdering og rapportering av risiko i foretaksgruppen foretas på en enhetlig måte Gi innsikt i anbefalt prosess, roller og ansvar for risikostyring i foretaksgruppen 2 Definisjon og formål med risikostyring i Helse Sør-Øst 2.1 Definisjon og formål Med virksomhetsstyring menes prosessene og aktivitetene som RHFet gjennomfører for å sette mål og definere oppgaver for å nå målene, å måle resultater mot målene og bruk av informasjonen til å ha styring, kontroll og læring for å utvikle og forbedre virksomheten. En effektiv virksomhetsstyring forutsetter at det er etablert en god intern kontroll i virksomheten som kan bidra til å forhindre styringssvikt, feil og mangler. Med intern kontroll menes prosesser, systemer og rutiner igangsatt av ledelsen og de ansatte for å gi rimelig sikkerhet for at RHFet når sine målsetninger innenfor følgende kategorier:målrettet og effektiv drift, pålitelig styringsinformasjon og etterlevelse av lover og regler. Internkontrollbegrepet er drøfte mer utfyllende senere i dokumentet. 2 Med foretaksgruppen menes RHF og underliggende helseforetak. 6

Et bærende prinsipp er at den interne kontrollen bør tilpasses den risiko og egenart som gjelder for virksomheten. Å fastsette et tilstrekkelig og hensiktmessig opplegg for intern kontroll innebærer derfor at det gjennomføres prosesser å identifisere og håndtere risiko, dvs. risikostyring. Risikostyring kan defineres på følgende måte: ( ) Risikostyring er en prosess, gjennomført av virksomhetens styre, ledelse og ansatte, anvendt i fastsettelse av strategi og på tvers av virksomheten, utformet for å identifisere potensielle hendelser som kan påvirke virksomheten og for å håndtere risiko slik at den er i samsvar med virksomhetens aksepterte risikonivå, for å gi rimelig grad av sikkerhet for virksomhetens måloppnåelse 3 Risikostyring innebærer i den daglig utøvelse av kjerneoppgavene en vurdering av sannsynlighet og konsekvens av ulike hendelser og hvordan disse overvåkes og styres. Hovedhensikten med å innføre risikostyring i Helse Sør-Øst er å få på plass et rammeverk som bidrar til å sikre at foretaksgruppen når sine mål. Dette er også beskrevet i HODs krav til arbeidet med risikostyring i helseforetakene. Kravene om risikostyring og intern kontroll som gjelder for foretaksgruppen Helse Sør-Øst, er blant annet nedfelt i pkt 4.3.1 i Protokoll fra foretaksmøtet i Helse Sør-Øst RHF av 24.1.2008, jfr. kapittel 3.1. Første gang risikostyring er omtalt er i protokoll fra foretaksmøte, januar 2006, mens internkontrollkrav stilles i foretaksprotokoll fra januar 2005. Av det statlige økonomiregelverket 4 kan utledes tre kategorier av målsettinger som Helse Sør-Øst må forholde seg til. Disse er: Mål 5 og resultatkrav; oppdragsdokumentet, foretaksprotokollen, driftsavtalene, virksomhetsplanene og andre interne styringsdokumenter. Overholdelse av lover og regler; Særskilte lover (ca 37 stk) og diverse forskrifter (11 tilsyn). Disse regulerer også kjerneoppgavene i helsetjenesten Pålitelig regnskapsrapportering og økonomiforvaltning; regnskapsloven, lov om helseforetak. Målene kan påvirkes av hendelser som har både negative og positive konsekvenser. Hendelser med negative konsekvenser utgjør risikoer, mens hendelser med positive konsekvenser utgjør muligheter. Det fokuseres som oftest på potensielle negative hendelser i risikostyringsprosessen, men det er viktig å være klar over at arbeidet med risikostyring også vil tydeliggjøre muligheter som virksomheten kan dra nytte av. Forskrift for internkontroll i helse- og sosialtjenesten underbygger kravene fra økonomiregelverket ettersom den setter krav til systematisk styring for å nå helse- og sosialtjenestens formål i arbeidet med kvalitet og rettsikkerhet i helsetjenesten. Forskriftens 4f angir minstekravet til risikostyring innen helsetjenesten, sitat: den/de ansvarlige for 3 Senter for statlig økonomistyring: Risikostyring i staten - Håndtering av risiko i mål- og resultatstyringen. Utgitt 12/2005 4 Regelverk for økonomistyring i staten av 12.12. 2003 med vedtatte revisjoner har som formål å sikre at: a) statlige midler brukes og inntekter oppnås i samsvar med tingets vedtak og forutsetninger b) fastsatte mål og resultatkrav oppnås c) statlige midler brukes effektivt og d) statens materielle verdier forvaltes på en forsvarlig måte 5 For Helse Sør-Øst RHF for 2008 er det for eksempel fastsatt spesifikke mål/innsatsområder innenfor omstillingsprogrammet. Disse er: 1. Pasientbehandling, 2. Forskning, 3. Kunnskaps og beste praksis, 4. Organisering av stabs- og støttefunksjoner, 5. Mobilisering av ansatte og ledere og 6. Økonomisk balanse og bærekraft. 7

virksomheten skal skaffe oversikt over områder i virksomheten hvor det er fare for svikt eller mangel på oppfyllelse av myndighetskrav. I Internkontrollforskriften for helse-, miljø og sikkerhet står det under 5 punkt 6 i tabellen: Internkontroll innebærer at virksomheten skal kartlegge farer og problemer og på denne bakgrunn vurdere risiko, samt utarbeide tilhørende planer og tiltak for å redusere risikoforholdene. Fokus på risikostyring kan bedre ledelses- og styringsprosesser ved å: Sikre et samordnet nivå på akseptert risiko og strategi. Ledelsen i RHFet vurderer virksomhetens akseptable risikonivå når den evaluerer strategiske alternativer, etablerer tilhørende målsettinger og utvikler mekanismer for å håndtere tilhørende risikoer. Skape økt bevissthet om risiko i hele virksomheten og forebygge at uønskede hendelser oppstår. Fremskaffe et bedre beslutningsgrunnlag for av risiko ved at en grundig analyseprosess gjøres i forkant av beslutningene. Identifisere og håndtere sammensatte risikoer som gjelder på tvers av virksomheten, det være seg regionalt helseforetak eller underliggende virksomheter. Effektene ved risikostyring for foretaksgruppen vil kunne være større sikkerhet for måloppnåelse ved: Reduserte driftsrelaterte overraskelser og tap. Gjennom bedre evne til å identifisere potensielle hendelser og iverksette tiltak, får foretaksgruppen færre overraskelser som kan gi påfølgende kostnader eller tap. Et eksempel kan være havari av teknisk utstyr med påfølgende uheldige konsekvenser for. Å utnytte muligheter. Gjennom risikostyringsprosessen blir muligheter identifisert og kommunisert inn i planer og strategier. Forbedret utnyttelse av ressurser. God tilgang på informasjon om risiko gjør det mulig for ledelsen å vurdere det totale ressursbehov og forbedre ressursallokeringen (eksempelvis Omstillingsprogrammet inkludert Hovedstadsprosessen). En god mål- og resultatstyring forutsetter således at ledelsen i foretaksgruppen kjenner til og aktivt håndterer risikoene i virksomheten. Ved implementering av risikostyring er det viktig å være klar over at det også finnes begrensninger i bruk av dette rammeverket. Det vil blant annet forekomme begrensninger svakheter i menneskelig dømmekraft, manglende kost-/nyttevurdering ved etablering av tiltak og kontrollaktiviteter og overstyring av beslutninger. Risikostyring kan således bare gi ledelsen rimelig sikkerhet for at foretaksgruppen når sine målsettinger. Den gir ingen garantier. 2.2 Risikostyring som del av internkontrollen Krav til internkontroll ble innført i 1984 og bør således være godt forankret. Ulike tilsynsmyndigheter betoner ulike aspekter av begrepet internkontroll forskjellig. En prosess for hvordan internkontroll utøves i praksis gjennom risikostyring på et overordnet nivå, er 8

beskrevet i SSØ s veileder for risikostyring i staten 6. En oppsummering av denne prosessen gis i kapittel 4. Der er også dette fremstilt i en figur (s 15.) Helsemyndighetenes krav om internkontroll skal sikre god styring og kvalitet på helsetjenestene. Forskrift om internkontroll i sosial- og helsetjenesten definerer internkontroll slik: Systematiske tiltak som skal sikre at virksomhetens aktiviteter planlegges, organiseres, utføres og vedlikeholdes i samsvar med krav fastsatt i eller i medhold av sosial- og helselovgivningen 7. Også andre myndigheter bruker internkontrollprinsippet for å sikre at kravene til kvalitet innen deres lovområder følges opp av helsetjenesten. De tilsynsmyndighetene som fører tilsyn med at internkontrollen fungerer er Helsetilsynet, Datatilsynet, Mattilsynet, Arbeidstilsynet, Direktoratet for samfunnssikkerhet og beredskap, Statens forurensningstilsyn, Statens strålevern, Fylkesmannen, kommunene og lokalt el-tilsyn. De forventer på lik linje med helsemyndighetene at virksomhetene kartlegger aktiviteter eller prosesser der det er fare for svikt eller brudd på lovverket. Målet er å: Finne fram til områder der svikt kan inntre oftere enn akseptabelt Finne fram til områder der svikt kan få e eller uheldige følger for klienter, eller andre Hindre at svikt skjer. Internkontrollkravet er overordnet, mens risikostyring representerer en metodikk for å sikre gjennomføring av internkontrollen. Risikostyring kan beskrives som en praktisk tilrettelegging av en metode for å ivareta kravene om etablering og gjennomføring av intern kontroll som beskrevet i foretaksprotokollen av 24.1.2008, jfr. kapittel 3.1. I tråd med foretaksprotokollen og regelverk skal den interne kontrollen være innebygd i virksomhetens interne styring og øke sannsynligheten for oppnåelse av virksomhetens mål ved at man identifiserer risikoer og tiltak for å redusere risikoene. Intern kontroll skal følgelig bidra til å sikre foretaksgruppens måloppnåelse, og forhindre styringssvikt, feil og mangler. Et bærende prinsipp for etablering og gjennomføring av internkontroll, er at denne er tilpasset virksomhetens egenart, risiko og vesentlighet. Dette betyr at den interne kontroll må ses i sammenheng med og bestemmes ut fra virksomhetens målsettinger og hvilken risiko som er til stede for at målene ikke oppnås. Risikostyring er et virkemiddel som vil redusere sannsynligheten for styringssvikt, feil og mangler og konsekvensene av disse, og dermed bidra til at Helse Sør-Øst når sine mål knyttet til resultat og drift (herunder kvalitet), pålitelig rapportering og overholdelse av lover og regler. 6 Senter for statlig økonomistyring: Risikostyring i staten - Håndtering av risiko i mål- og resultatstyringen. Utgitt 12/2005 7 Forskrift om internkontroll i sosial- og helsetjenesten (2002-20-12, 3) 9

3 Roller og ansvar i risikostyring i Helse Sør-Øst 3.1 Styret Styrets oppgaver er regulert i helseforetaksloven 8 28. Styret er underordnet foretaksmøtet, som er foretakets øverste myndighet, og må rette seg etter instrukser og pålegg fra foretaksmøtet. Styret har et ansvar for at det gjennomføres betryggende kontroll med foretakets måloppnåelse, risiko og ressursbruk, og skal da påse at det etableres interne kontrollsystemer som sikrer denne kontrollen. Styret i Helse Sør-Øst RHF har en egen styreinstruks og alle HF-styrene skal ha egne instrukser. Gjennom protokollen fra foretaksmøte 24. januar 2008 er HOD`s krav til arbeidet presisert ytterligere, og styrets ansvar er konkret fastlagt gjennom følgende formulering i protokollen: Styret skal påse at Helse Sør-Øst RHF har god intern kontroll og at det er etablert systemer for risikostyring for å forebygge, forhindre og avdekke avvik. Risikofaktorer som kan medvirke til at målene til det regionale helseforetaket og helseforetaksgruppen ikke nås, skal identifiseres og korrigerende tiltak som med rimelighet kan redusere sannsynligheten for manglende måloppnåelse skal iverksettes. Styringssystemene skal tilpasses risiko og vesentlighet i forhold til virksomhetens målsetninger og ha nødvendig ledelsesmessig forankring i hele organisasjonen. Styret skal minimum en gang per år ha en samlet gjennomgang av tilstanden i helseforetaksgruppen med hensyn på risikovurdering, oppfølging av internkontrollen og tiltak for å følge opp avvik. Rapport fra styrets gjennomgang skal forelegges Helse- og omsorgsdepartementet ved rapportering for 2. tertial 2008. I tillegg skal det redegjøres for styrets arbeid i Årlig melding. Kravene er videreført til helseforetakene i protokoller fra foretaksmøter mellom Helse Sør- Øst RHF og det enkelte helseforetak. Styrene på HF-nivå vil derfor ha de samme oppgavene som RHF-styret. Det er lagt opp til at styret i det regionale helseforetaket får en gjennomgang av risikovurderingene i foretaksgruppen to ganger pr år, dvs en gang i tillegg til ovennevnte minimumskrav fra eier. 3.2 Administrerende direktør og øvrig direktørnivå Administrerende direktørs myndighet er regulert i helseforetakslovens 9 kapittel 8. I tillegg har styrene vedtatt egne instrukser for de administrerende direktører hhv i HF og i RHF. Administrerende direktør i Helse Sør-Øst RHF har det overordnede ansvar for internkontroll og risikostyring i det regionale helseforetaket. Administrerende direktør har ansvar for at det er etablert tilfredsstillende system for risikostyring som etterlever myndighetskrav og krav fra styret, og som gir rimelig sikkerhet for måloppnåelse. Administrerende direktør kan delegere myndighet for risikostyring knyttet til virksomhetens enkelte områder til deres ansvarlige leder. 8 Lov om Helseforetak m.m. (2001-06-15) 9 Lov om Helseforetak m.m. (2001-06-15) 10

Administrerende direktør i RHF-et vil måtte etablere de arenaer og informasjonssystemer som er nødvendig for å få til gode prosesser innad i RHF-et og i foretaksgruppen som helhet. På HF-nivå vil det variere hvilke fora som er relevante i denne forbindelse. Det viktige er imidlertid at det klart defineres hvilke fora som skal ha et slikt definert ansvar. Administrerende direktører i helseforetakene vil ha ansvar for at man bevisst behandler risikoproblematikk. Administrerende direktør i RHFet tar ansvar for at man skaper felles holdninger til Helse Sør-Østs risikotoleranse dvs. hva som er akseptabel risiko. 3.3 Øvrige ledere, prosjektledere og ansatte i organisasjonen På RHF-nivå vil det være enhetsledere og prosjektledere som i praksis får delegert ansvar for å identifisere, definere og følge opp risikoområder. Tilsvarende vil ansvar være delegert til aktuelt nivå i HFene. Risikoidentifisering gjøres samtidig med planleggingsprosesser og utarbeidelse av virksomhetsplaner og prosjektplaner. Risiko kartlegges også i det daglige lokalt og følges opp med forbedringstiltak. Ledelse på høyere nivå har ansvar for at risikovurderinger på lavere nivåer henger sammen med risikoer på høyere nivåer. Status på risiko og tiltak, med særlig vekt på vedvarende eller e risikoforhold, legges frem for ledelsens gjennomgåelse. Under ledelsens gjennomgåelse skaffes overblikk over risikobildet, det tas beslutninger om forbedringer og handlingsplaner utarbeides. Prosjektledere og ev. programfunksjon vil ofte ha hyppigere behov for kartlegging, vurdering og prioritering av risikoer enn hva som er tilfellet for mer løpende aktivitet. Prosedyrer for risikostyring i prosjekter må utarbeides i alle prosjekter. Behov for styring og kontroll med prosjekter vil måtte tilpasses prosjektets størrelse og kompleksitet. 3.3.1 Åpen rapporterings- og meldekultur Alle ansatte har et selvstendig ansvar for å bidra til å sikre god kvalitet og til kontinuerlig kvalitetsforbedring, samt at arbeidet gjennomføres i samsvar med gjeldende regler og rutiner. En åpen rapporterings- og meldekultur vektlegges i hele foretaksgruppen slik at feil kan forebygges og videre bidra til at Helse Sør-Øst utvikles som en lærende organisasjon. I forhold til risikostyring innebærer dette åpen og ærlig kommunikasjon og en god meldekultur i det daglige arbeidet, inkludert involvering av brukere og tillitsvalgte. 3.4 Internrevisjonen Internrevisjonen er en uavhengig, objektiv bekreftelses- og rådgivningsfunksjon med ansvar for intern revisjon i den samlede foretaksgruppen Helse Sør-Øst. Formålet med funksjonen er å bidra til at foretaksgruppen når sine mål og forbedrer den løpende drift. Dette skal skje ved å evaluere og foreslå forbedringer i systemer og prosesser for styring og kontroll, herunder risikostyring. Dette kan bl.a. innebære at områder RHF-ledelsen har utpekt som risikoområder vil være en del av grunnlaget for internrevisjonens og revisjonskomiteens årlige revisjonsplaner. Internrevisor vil ha både en bekreftelsesrolle og en rådgivende rolle i forhold til internkontrollen, og rapporterer faglig til styret for Helse Sør-Øst RHF v/revisjonskomitéen og administrativt til administrerende direktør for Helse Sør-Øst RHF. 11

Relasjonen kan illustreres på følgende måte: Figur 1 Forholdet mellom styret, internrevisjonen og administrerende direktør Internrevisjonens kjerneoppgave er å vurdere om det er etablert og gjennomføres tilstrekkelig, hensiktsmessig og effektiv intern kontroll som bidrar til målrettet og effektiv drift, overholdelse av lov- og regelverk, pålitelig rapportering av styringsinformasjon og forsvarlig sikring av eiendeler. Internrevisjonen skal gjennom en systematisk og strukturert metode, vurdere hensiktsmessigheten av total risikostyring, kontroll og overvåkningsprosesser samt bidra til forbedringer i disse. Internrevisjonens oppgaver vedr risikostyring er å: Evaluere risikostyringsprosessene Evaluere rapporteringen av nøkkelrisikoer Gi bekreftelse på risikostyringsprosesser Gi bekreftelse på at risikoer evalueres på en korrekt måte Gjennomgå styringen av nøkkelrisikoer 4 Prosess for risikostyring i Helse Sør- Øst En prosess for hvordan internkontroll utøves i praksis gjennom risikostyring på et overordnet nivå, er beskrevet i SSØ s veileder for risikostyring i staten. 10 Det forutsettes at de som har ansvar for å vurdere og håndtere risiko setter seg inn i dette rammeverket. Likeledes vil det på operativt nivå være nødvendig å sette seg inn i hvordan internkontroll og risikovurderinger skal gjennomføres i forbindelse med kjerneoppgavene. For en overordnet innføring henvises det til Sosial- og helsedirektoratets veileder Hvordan holde orden i eget hus 11. Nedenfor gis en oppsummering av metodikken beskrevet i SSØ s veileder. Oppsummeringen er noe tilpasset Helse Sør-Øst. 10 Senter for statlig økonomistyring: Risikostyring i staten - Håndtering av risiko i mål- og resultatstyringen. Utgitt 12/2005 11 Hvordan holde orden i eget hus. Internkontroll i sosial- og helsetjenesten. Utgitt 12/2004 12

4.1.1 Forutsetninger for effektiv risikostyring og intern kontroll For å sikre effektiv risikostyring og intern kontroll må foretaksgruppen ha løpende oppmerksomhet på risiko, jevnlig utførte risikoanalyser og rapportering av risiko. Videre må foretaket ha gode rutiner for oppfølging og kontroll på alle nivåer i organisasjonen. Tiltak som identifiseres må iverksettes, og det må være god kommunikasjon og informasjonsflyt. Nødvendige tiltak må settes i verk for å lukke definerte avvik. Dette betinger aktiv oppfølging fra styrets og ledelsens side. 4.1.2 Komponenter i risikostyring Risikostyring består av åtte komponenter som henger innbyrdes sammen. Disse tar utgangspunkt i måten virksomheten i Helse Sør-Øst drives på og er integrert i ledelsesprosessen. Disse komponentene er: 1. Styrings- og kontrollmiljø. Grunnleggende for kvaliteten på alt arbeid med intern kontroll og risikostyring er at styrings- og kontrollmiljøet i foretaksgruppen er sunt. Med styrings- og kontrollmiljø menes den risikokulturen som finnes i foretaksgruppen og som påvirker de ansattes holdning til risikostyring positivt, slik at en oppnår en sikker og forsvarlig drift. Uavhengig av organisatorisk nivå anses det viktig at ledere går foran som et godt eksempel for de ansatte i organisasjonen, inkl utvikling av en åpenhetskultur. Helse Sør-Øst skal være en lærende organisasjon. Dersom styringsog kontrollmiljøet ikke er tilfredsstillende, vil det ha en negativ innvirkning på risikostyrings- og internkontrollaktivitetene. 2. Etablering av målsettinger. For å kunne evaluere risikoer knyttet til måloppnåelse, er det en forutsetning at det er etablert klare mål for virksomheten. HOD vil hvert år sette mål for RHF-et, RHF-et kan i tillegg sette seg egne mål, RHF-et definerer også mål for HF-ene gjennom foretaksprotokoll, driftsavtaler osv og HF-ene setter i tillegg til dette også egne mål for sine underliggende enheter/avdelinger a. De overordnede målene systematiseres, og vurderes med hensyn til om de er de riktige målene og om de er klart og tydelig formulert. Dette er et arbeid som gjøres av virksomhetens ledelse. Normalt etableres og formuleres konkrete mål i forbindelse med strategi- og planleggingsprosessene. Målene er klarlagt før risiko kan identifiseres og vurderes. b. Mål som settes på ulike nivåer i virksomheten skal vurderes på samme måte som forklart ovenfor. For eksempel er man gjennom lovverket pålagt å definere mål i tilknytning til de ulike tilsynsområdene som pasientbehandling, HMS, personvern osv. Loven setter også rammer for målenes innhold. 3. Identifisering av risikoer. Etter at målene er kartlagt og systematisert, bør de forhold som det er viktigst å lykkes med for å nå målene, kartlegges. Slike forhold benevnes som regel kritiske suksessfaktorer og kjennetegnes ved at de kan hindre oppnåelsen av ett eller flere mål dersom man ikke lykkes med dem. Når ledelsen på det respektive nivå har identifisert kritiske suksessfaktorer har de samtidig identifisert risikoer. Ulike metoder som kan benyttes for å identifisere eksterne og interne forhold som foretakgruppen må være oppmerksom på, kan være PEST analyser (politiske, økonomiske, sosiale, teknologiske eller økonomiske forhold) og SWOT analyser (styrker og svakheter, muligheter og trusler). 4. Vurdering og prioritering av risiko. en for at risikoer inntreffer vurderes og eventuelle konsekvenser kartlegges. Denne sammenhengen illustreres i et risikobilde, jfr. kapittel 5.1, og gjøres samtidig med virksomhetenes planleggingsog strategiprosesser. Dette vil øke bevisstheten omkring ulike konsekvenser av de 13

strategiske valgene som gjøres. Det er viktig å ha en felles forståelse av hva som legges i sannsynlighet og konsekvens og hvordan dette måles. skala settes til ubetydelig, lav, moderat, og svært. defineres som meget liten, liten, moderat, stor og svært stor. 12 Vurdering og prioritering av risikoer gjøres på ulike ledelsesnivåer. 5. Tiltak for risiko. Ledelsen vurderer hvilken effekt de ulike tiltakene forventes å ha på risikoens sannsynlighet og konsekvens, tiltakskostnaden sammenliknet med nytten og når tiltaket kan forventes å ha effekt. Basert på denne analysen besluttes hvordan risikoen skal håndteres. Det finnes fire strategier for å håndtere risiko. Disse er å unngå, å redusere, å dele eller å akseptere risiko. En handlingsplan som beskriver tiltak, ansvarlig person og frist for å bringe risikoen i samsvar med foretakets risikotoleranse utvikles deretter. 6. Kontrollaktiviteter. For at tiltakene skal kunne gjennomføres på en effektiv måte, må foretaket ha nødvendige kontrollaktiviteter. Med kontrollaktiviteter menes retningslinjer, rutiner og arbeidsbeskrivelser osv. og etterlevelse av disse. Dersom kontrollaktivitetene ikke gjennomføres som forutsatt må korrigerende tiltak iverksettes. 7. Informasjon og kommunikasjon. Informasjon og kommunikasjon er nødvendig på alle nivåer for å identifisere, vurdere, håndtere og følge opp risiko og på annen måte styre virksomheten mot måloppnåelse. Dette omfatter ledelsens organiserte informasjon som gjør det mulig for den ansatte å gjennomføre sitt arbeid i tråd med det ansvaret de er tildelt og uformell kommunikasjon på tvers av den formelle organisasjonsstrukturen. 8. Oppfølging av risikoene. Risikostyringsprosessen følges opp og det vurderes om den fungerer over tid. Oppfølging og evaluering skjer gjennom løpende ledelsesvurderinger. 4.1.3 Helhetlig og integrert risikostyring I økonomiregelverket settes det krav til at virksomheten skal etablere intern kontroll, og at denne skal være innebygget i virksomhetens interne styring. Den interne kontrollen ivaretas gjennom risikostyringsprosessen beskrevet i kapittel 4.1.2. Figur 2 illustrerer hvordan denne prosessen er integrert med virksomhetens mål og resultatansvar og at den er helhetlig ved at den foretas på alle nivåer i organisasjonen. Foretaksgruppens tre kategorier av målsetninger jfr. økonomiregelverket Risikostyringsprosessen 12 i foretaksgruppen Se kapittel 6 Definisjoner for en definisjon av konsekvens og sannsynlighet. Organisasjonsnivå 14

MÅL OG RESULTATKRAV (Strategiske og driftsrelaterte) RAPPORTERING 1. Styrings og kontrollmiljø LOVER OG REGLER 2. Etablering av målsetninger 3. Identifisering av risikoer 4. Risikovurdering 5. Risiko RHF HF AVDELING 6. Kontrollaktiviteter 7. Informasjon og kommunikasjon 8. Oppfølging Figur 2 Helhetlig og integrert risikostyring i Helse Sør-Øst Målene skal være strategiske eller driftsrelaterte, mens for prosjekter vil de være knyttet til separate prosjektmål som kvalitet, tid og kostnad, som igjen understøtter virksomhetens overordnede mål. Risikostyring er både et linjeansvar og et prosjektansvar. På et overordnet nivå skal risiko identifiseres, vurderes og håndteres i forbindelse med strategi- og planleggingsprosesser. På lavere organisasjonsnivåer er det naturlig at dette gjøres i forbindelse med virksomhetsplanlegging. Kontrollaktiviteter gjøres månedlig i forbindelse med mål- og resultatoppfølging. For prosjekter, som er forankret i ulike nivåer i linjen, identifiseres og vurderes risiko ved prosjektoppstart. Deretter foretas ulike kontrollaktiviteter gjennom hele prosjektets levetid. Det kan også være hensiktsmessig å sette krav til en systematisk gjennomføring av risikostyringen (trinn 2-7) i forbindelse med sentrale milepæler eller viktige beslutninger. Nærmere beskrivelse av når risikovurderinger skal foretas er beskrevet i kapittel 5.1 og i kapittel 5.6 om Årshjul for virksomhetsstyring. Nedenfor er gjengitt en noe forenklet fremstilling med risikostyring som ledd i intern kontroll, kfr omtale i kap 2.2 foran. Helhetlig intern kontroll 15

16

5 Gjennomføring av risikostyring i Helse Sør-Øst 5.1 Risikostyring som verktøy i oppfølging av virksomheten Når risikostyring er innført i hele foretaksgruppen skal oppfølging av risikoene være en integrert del av den ordinære virksomhetsrapporteringen. Dette omfatter både risikoer som knytter seg direkte til virksomhetens samlede måloppnåelse og risikoer som knytter seg til mer operative prosesser og prosjekter. Den enkelte virksomhet må vurdere om det i tillegg er behov for å stille krav om særskilt rapportering, for eksempel ved negativ utvikling av vesentlige risikoer knyttet til kjerneoppgavene i HFene (pasientbehandling spesielt). Risikovurderingen må regelmessig følges opp i ledermøtene på ulike nivåer (ledelsens gjennomgåelse). I løpet av en tidsperiode vil det være nødvendig å vurdere de risikoer som er identifisert på nytt. Dette kan både være begrunnet i endringer i rammebetingelser som medfører at risikoer bortfaller, eller nye kommer til. På den måten får ledelsen på ulike nivåer en samlet oversikt over risikoer og utviklingen av disse. På sikt vil dette gi et bedre grunnlag for å styre virksomheten. En helhetlig gjennomgang anbefales som et minimum to ganger pr år i virksomhetens ledergruppe. Ved fremleggelse av forslag om vesentlige beslutninger stilles det krav om at risikovurdering skal synliggjøres som en del av beslutningsgrunnlaget. Dette må både omfatte en vurdering av risiko knyttet til selve tiltaket, og ikke minst om tiltaket kan medføre økt risiko for andre deler av virksomheten. Eksempler på denne type beslutninger vil være endringer i tjenestetilbud, omlegging av inntektsmodell for helseforetakene, iverksetting av nye tiltak osv. Risikostyring vil være en integrert dei av god virksomhetsstyring. I henhold til risikostyringsprosessen lager hver avdeling, enhet og prosjekt sitt risikobilde over de hendelser som vil kunne ha en negativ innvirkning på deres evne til å nå de mål som er satt innenfor dette området. Til hver av disse hendelsene knyttes en sannsynlighet og konsekvens samt hvilke tiltak som er iverksatt for å redusere de konkrete risikoer. Dette risikobildet aggregeres deretter opp til et høyere nivå, der det sammenstilles med risikobildet på dette nivå. Dette vil da medføre et helhetlig risikobilde for ledelsen. Et slikt bilde bidrar til: Fokus på risiko på alle nivåer Mulighet til å rette ressurser på riktige tiltak Å gi riktig tilbakemelding til styret og eier Å fokusere på fremtid og på tiltak Figur 3 på neste side viser hvordan et slikt risikobilde kan se ut for et HF. 17

18 Negative media Medikament Samtidighets Revisjon innkjøp Negative media Sommerferie Høyt sykefravær Negative media Medikament Samtidighets Revisjon innkjøp Negative media Sommerferie Høyt sykefravær Figur 3 Eksempel på risikobilde på HF-nivå Risikobildene viser områder med ulik grad av risiko. De forskjellige fargene betyr følgende: Grønn: Akseptabel (lite behov for endring lav prioritet) Gul: Overvåkes (behov for endring over tid middels prioritet) Rød: Kritisk (skal endres snarest høy prioritet) Ved rapportering til ledelsen i RHFet settes bildene fra de ulike helseforetakene samt RHFenhetenes risikobilder sammen til ett helhetlig risikobilde, jfr. Figur 4 Sammenstilling av risiko for ledelsen på HF- og RHF-nivå under. Positiv meldekultur Investering Kvalitet i styrings - informasjon Ledelse Omd ømmerisiko Bemannings - utviklingen Kompetanse Ø konomisk styring - aktivitetstyring Omstillingspro - grammet Forskning Samhandling Positiv meldekultur Investering Kvalitet i styrings - informasjon Ledelse Omd ømmerisiko Bemannings - utviklingen Kompetanse Ø konomisk styring - aktivitetstyring Omstillingspro - grammet Forskning Samhandling Hø yt sykefrav ær Hø yt sykefrav ær Negative media Negative media Hø yt sykefrav ær Hø yt sykefrav ær Negative media Negative media Avdeling/Enhet Foretak Ledelsen i RHF HF-ene RHF-et Hø yt sykefrav ær Hø yt sykefrav ær Negative media Negative media Hø yt sykefrav ær Hø yt sykefrav ær Negative media Negative media Negative media hå ndtering Negative media hå ndtering Negative media Negative media Negative media hå ndtering Negative media hå ndtering Negative media Negative media Positiv meldekultur Investering Kvalitet i styrings - informasjon Ledelse Omd ømmerisiko Bemannings - utviklingen Kompetanse Økonomisk styring - aktivitetstyring Omstillingspro - grammet Forskning Samhandling Positiv meldekultur Investering Kvalitet i styrings - informasjon Ledelse Omd ømmerisiko Bemannings - utviklingen Kompetanse Økonomisk styring - aktivitetstyring Omstillingspro - grammet Forskning Samhandling Positiv meldekultur Investering Kvalitet i styrings - informasjon Ledelse Omd ømmerisiko Bemannings - utviklingen Kompetanse Ø konomisk styring - aktivitetstyring Omstillingspro - grammet Forskning Samhandling Positiv meldekultur Investering Kvalitet i styrings - informasjon Ledelse Omd ømmerisiko Bemannings - utviklingen Kompetanse Ø konomisk styring - aktivitetstyring Omstillingspro - grammet Forskning Samhandling Hø yt sykefrav ær Hø yt sykefrav ær Negative media Negative media Hø yt sykefrav ær Hø yt sykefrav ær Negative media Negative media Avdeling/Enhet Foretak Ledelsen i RHF HF-ene RHF-et RHF-et Hø yt sykefrav ær Hø yt sykefrav ær Negative media Negative media Hø yt sykefrav ær Hø yt sykefrav ær Negative media Negative media Negative media hå ndtering Negative media hå ndtering Negative media Negative media Negative media hå ndtering Negative media hå ndtering Negative media Negative media Negative media hå ndtering Negative media hå ndtering Negative media Negative media Negative media hå ndtering Negative media hå ndtering Negative media Negative media Positiv meldekultur Investering Kvalitet i styrings - informasjon Ledelse Omd ømmerisiko Bemannings - utviklingen Kompetanse Økonomisk styring - aktivitetstyring Omstillingspro - grammet Forskning Samhandling Positiv meldekultur Investering Kvalitet i styrings - informasjon Ledelse Omd ømmerisiko Bemannings - utviklingen Kompetanse Økonomisk styring - aktivitetstyring Omstillingspro - grammet Forskning Samhandling Positiv meldekultur Investering Kvalitet i styrings - informasjon Ledelse Omd ømmerisiko Bemannings - utviklingen Kompetanse Økonomisk styring - aktivitetstyring Omstillingspro - grammet Forskning Samhandling Positiv meldekultur Investering Kvalitet i styrings - informasjon Ledelse Omd ømmerisiko Bemannings - utviklingen Kompetanse Økonomisk styring - aktivitetstyring Omstillingspro - grammet Forskning Samhandling Figur 4 Sammenstilling av risiko for ledelsen på HF- og RHF-nivå

På denne måten vil ledelsen kunne få overblikk over de mest sentrale risikoene i foretaksgruppens totale virksomhet. Det er avgjørende at de som er ansvarlige for de enkelte områder fokuserer på tiltak innenfor sin ramme og sitt ansvarsområde, slik at risikostyringen ikke kan brukes som en form for ansvarsfraskrivelse. 5.2 Risikostyring krever god lederforankring For Helse Sør-Øst er det helt sentralt at risikostyringen lederforankres gjennom ord og handling. Ledergruppen vil ha risikostyring som fast punkt i sin gjennomgang av virksomhetsplaner for RHFet og i den årlige Ledelsens gjennomgåelse (LGG). Direktørene ved helseforetakene møter månedlig ledergruppen i RHFet, og risikovurdering vil være særskilt tema på minimum ett slikt møte per år. Besøksrunder til enkelte av HFenes ledergrupper er gjennomført i 2008 og vil vurderes på nytt senere. I tillegg til formelle styringssignaler og rapporteringsstrukturer som er gitt i styringsdokumenter, vil det være flere fora for å sikre dialog, samhandling og rapportering i forhold til å nå mål innenfor de rammer som er gitt. God praksis er etablert i fora som direktørforum og ledergruppen på RHF-nivå, samt i forum for nettverk med ansvarlige for risikostyring i HFene. I tillegg bør det knyttes brukerutvalg og tillitsvalgte inn i de aktuelle prosessene der dette ikke allerede er gjort. 5.3 Medvirkning fra brukere og tillitsvalgte Involvering av brukere og tillitsvalgte står sentralt i prosessere i Helse Sør-Øst, så også i arbeidet med risikostyring. Etablerte samarbeidsorganer vil involveres i også prosessene rundt risikostyring basert på de 12 prinsippene for medvirkning. Innspill fra disse gruppene vil være viktige bidrag til en åpen kultur i Helse Sør-Øst. 5.4 Proaktiv risikostyring er et førende element 5.4.1 Forebygging Helse Sør-Øst ønsker proaktivitet i risikostyringen i regionen for å nå fastsatte mål og for å sette nye mål. Risikovurderinger skal foretas i forkant / initielt i budsjettåret i forbindelse med overordnet, strategisk planlegging og virksomhetsplanlegging i foretaksgruppen, jfr. Figur 5 Årshjul for oppfølging av risikostyring i Helse Sør-Øst som illustrerer hvordan risikostyringen er integrert i virksomhetsstyringen i foretaksgruppen. Risikorespons, dvs. strategier for å håndtere risiko på definerte områder, er en naturlig del av denne prosessen og bidrar til at kritisk fare for svikt blir avdekket i forkant og at man kommer på forskudd i forhold til uforutsette avvik. Ettersom prosjektarbeid blir en stadig vanligere arbeidsform i foretaksgruppen, anses identifisering av risikoer og muligheter i prosjekter å være en sentral aktivitet i forprosjekt. 5.4.2. Rapportering og lukking av avvik er sentralt i risikostyringen Avvik kan betegnes som manglende etterlevelse av styringsbudskap, målsettinger og interne/eksterne krav f eks mht kvalitet. Vurderingen må skje med basis i all tilgjengelig 19

informasjon. Avvik kan også beskrives som uønskede hendelser i Helse Sør-Øst sin virksomhet, som medfører eller kunne medført uønskede konsekvenser. Avviksrapportering er en del av internkontrollen. Avvik i kjernevirksomheten skal rapporteres gjennom fastlagte rapporteringsrutiner og gjennom dialog, samhandling og oppfølging. Hensikten med å håndtere avvik er å treffe tiltak for å unngå nye avvik, lære av hendelsene og styre virksomheten med eventuelle prioriteringer for å lukke avvik. En god initiell risikovurderingsprosess ved inngangen av året bidrar til å redusere avvik. 5.5 Rapportering av risiko gjennom samhandling 5.5.1 Samhandling kreves på alle nivåer for å sikre god rapportering For å sikre god og riktig virksomhetsstyring er det nødvendig med riktig og balansert rapportering til rett tid. Helse Sør-Øst RHF er derfor avhengig av samhandling gjennom rapportering fra hele fortaksgruppen for å kunne gi en riktig tilbakemelding til departementet, og som eier kunne sikre forståelse og etterlevelse av sitt styringsbudskap til foretaksgruppen. Det vil alltid være en balanse mellom strategisk styring og operativ ledelse. Helse Sør-Øst RHF er et strategisk ledelseselement i regionen, og er bemannet og strukturert for å drive strategisk ledelse. Som følge av detaljerte krav til rapportering av styringsvariabler, har det vært nødvendig å etablere gode rutiner for rapportering og informasjonsutveksling mellom Helse Sør-Øst RHF og de underlagte helseforetak. Dette for at Helse Sør-Øst RHF skal til enhver tid sitte med et godt bilde av virksomheten i hele foretaksgruppen, som også kan presenteres styret i Helse Sør-Øst RHF. Rapportering til eier Gjennom oppdragsdokument og foretaksprotokoll gir Helse- og omsorgsdepartementet (HOD) krav og føringer til Helse Sør-Øst RHF sin rapportering til departementet. Disse krav vil da være styrende for de rapporteringskrav Helse Sør-Øst RHF har til underlagte helseforetak. Rapportering skjer gjennom Årlig melding. I tillegg skal det fra 2008 rapporteres i forbindelse med ordinær rapportering per 2. tertial, som del av den samlede rapportering som RHFet skal gjøre til HOD jfr. Figur 5 Årshjul for oppfølging av risikostyring i Helse Sør-Øst. Rapportering til styret Styret i det regionale helseforetaket skal holde seg orientert om foretakets virksomhet og økonomiske stilling. Det skal føre tilsyn med at virksomheten drives i samsvar med målene som er nedfelt i helseforetaksloven, foretakets vedtekter, vedtak truffet av foretaksmøtet og vedtatte planer og budsjetter. Det er derfor avgjørende at styret får tilstrekkelig med informasjon i den faste rapportering (pr mnd, tertial og i Årlig melding), samt i saker av avgjørende betydning for å utøve det ansvar som tilligger styret. Styret holder seg orientert om virksomheten gjennom rapport fra revisjonskomiteen og administrerende direktør. Styret skal minimum én gang per år ha en samlet gjennomgang fra administrerende direktør av tilstanden i helseforetaksgruppen med hensyn på risikovurdering, oppfølging av internkontrollen og tiltak for å følge opp avvik, jfr. kapittel 3.1. Oppfølgingsmøter adm. dir. og styreleder Helse Sør-Øst RHF har etablert et system med regelmessige oppfølgingsmøter mellom styre-lederne i helseforetakene og administrerende direktør i Helse Sør-Øst RHF og 20

helsefore-takene hver måned. Disse møtene skjer etter en forberedt agenda og har et operativt fokus. Formålet med møtene er å sikre kontinuitet i oppfølging av tiltak sikre leveranser i tråd med bestilling og sikre rette prognoser. Vurdering av risikoområder og behov for eventuelle tiltak vil inngå som en del av denne dialogen rundt status for resultatoppnåelse. Regelmessig oppfølging av risiko fra RHFet gjennom fem planlagte oppfølgingsmøter med alle HF i regionen DESEMBER-MØTET Driftsavtaler med mål for neste år Fokus på: Budsjett Årsestimater inneværende år Risikoidentifisering, vurdering og tiltak (Første risikobilde for neste år) N o ve m b e r D esem be r J a nu a r Febru ar FEBRUAR-MØTET 3. tertial rapportering foregående år. Fokus på: Utgangsfart mot budsjett inneværende år Kvalitetssikring av periodiserte budsjetter Validering av omstillingstiltak Oppdatert risikobilde Mål og planprosess SEPTEMBER-MØTET 2. tertial rapportering Fokus på: Analyser og utvikling Omstilling og årsestimat med korrigerende tiltak Dialog budsjett neste år Risikooppfølging og ev. oppdatering av risikobilde med tiltak O kt ob e r S e pt e m b e r A ug u st AD HOC MØTER ETTER BEHOV J uli J u n i M a i A p ril M a rs MARS-MØTET Første fullstendige mnd. rapportering. Fokus på: Trender i forhold til fjoråret Status på omstilling analyser Risikooppfølging Rapportering, analyse og korrigerende tiltak MAI-MØTET 1. tertial rapportering Fokus på; Analyser og utvikling Status omstilling og behov for korrigerende tiltak Årsestimater Risikooppfølging, ressurs- og budsjettmessige vurderinger kommende år Figur 5 Årshjul for oppfølging av risikostyring i Helse Sør-Øst Styreledermøtet Administrerende direktør i RHF-et gjennomfører hver måned møte med styrelederne i helseforetakene. Blant temaene i møtene er oppfølging av resultattall og drøfting avaktuelle tiltak der det er avvik fra fastsatte mål. Direktørmøtet Ledergruppen i Helse Sør-Øst RHF samt administrerende direktør i de enkelte helseforetak gjennomfører månedlig møter. Disse omtales gjerne som direktørmøter. Også direktørmøtet 21