Saksframlegg Referanse Saksgang: Styre Møtedato Styret Helseforetakenes senter for pasientreiser ANS 27/10/11 SAK NR 053-2011 Erfaringer og endelig oppsummering av internkontroll ved pasientreisekontorene plan for videre internkontrollarbeid internt og eksternt 2012 Forslag til vedtak: 1. Styret tar oppsummeringen av gjennomganger av internkontroll ved pasientreisekontorene til orientering. 2. Styret slutter seg til foreslått opplegg for arbeid med internkontroll internt og eksternt for 2012 Skien, 20. oktober 2011 Marit Kobro Administrerende direktør Side 1 av 5
1. Administrerende direktørs anbefalinger / konklusjon Pasientreiser ANS har i egenskap av databehandleransvarlig for saksbehandlingssystemene PRO og Nissy gjenomført internkontroll ved alle pasientreisekontor/kjørekontor i 2010/2011. Dette er i henhold til plan vedtatt av styret 19.04.2010 (sak 27-2010). Oppsummert viser gjennomgangene at det er få alvorlige avvik. Påpekte avvike blir håndtert i linjen ved pasientreisekontorene. Pasientreiser ANS har en god dialog med pasientreisekontorene og lederne er gjennomgående fornøyd med prosses rundt internkontroll, effekt og kvalitet av utførte gjennomganger av internkontrollen. Videre gjennomganger av internkontroll eksternt foreslås å fokusere på sikkerhet hos IKT-leverandørene til Pasientreiser ANS. Resultatene av gjennomgangene tilsier en lavere frekvens av gjennomganger av internkontroll ved pasientreisekontorene og det legges opp til gjennomgang ved tre-fire pasientreisekontor internkontroll høsten 2012 med spesiell fokus på kvalitet og lik praksis. 2. Faktabeskrivelse: 2.1 Hva saken gjelder I styresak 027-2010 vedtok styret i Pasientreiser ANS opplegg for internkontrollarbeidet. Med bakgrunn i vedtaket er det blant annet gjennomført gjennomgang av internkontrollen ved alle 18 pasientreise-/kjørekontor og en rekke gjennomganger av internkontrollen i Pasientreiser ANS. De vises til styresak 072-2010 og 040-2011 for detaljer. 2.2 Erfaringer fra gjennomganger av internkontroll ved pasientreisekontorene Gjennomgangene har som formål å gi et overordnet bilde av status for arbeidet med internkontroll ved pasientreisekontorene. Gjennomgangen skal også bidra til en informasjonsutveksling og kompetanseheving om internkontroll, slik at ledelsen ved pasientreisekontorene er bedre rustet til å følge opp interne rutiner i etterkant. Gjennomgangene viser at det gjennomgående er få alvorlige avvik som er avdekket. (Se vedlegg for detaljer.) Ledelsen ved pasientreisekontorene har sørget for at påviste avvik har blitt håndtert gjennom nye eller endrede rutiner og prosedyrer. Noen områder er fortsatt plassert i gult område etter at endelig rapport er ferdig. Pasientreiser ANS har en god dialog med lederne for pasientreisekontorene for å sikre at også disse områdene håndteres, slik at de kan løftes over i grønn sone. Oppfølging av dette vil også være en del av senere gjennomganger. Et unntak fra denne oppsummeringen er resultatene fra gjennomgangen av Pasientreiser Vestre Viken. Her er to områder plassert i rød sone fordi Pasientreiser ANS ikke har fått dokumentert virksomhetens mål eller sikkerhetsstrategi. Leder ved Pasientreiser Vestre Viken er kontaktet flere ganger mht til dette og dokumentasjonen er også etterspurt ved HFets ledelse uten at dokumentasjonen er blitt forelagt. I etterkant av gjennomgangene ved alle pasientreisekontorene har Pasientreiser ANS oppsummert en del erfaringer i et felles dokument. Intensjonen er å vise de gode eksemplene og på denne måten legge til rette for kunnskapsdeling og medvirke til at pasientreisekontorene får beste praksis. I oppsummeringen omtales konkrete eksempler på dokumentasjon/rutine fra de undersøkte områdene fra Side 2 av 5
kontorer som har skilt seg positivt ut. Oppsummeringen er sendt til alle ledere ved pasientreisekontorene og bruk av innholdet er forhåndsgodkjent av lederne. Pasientreiser ANS ønsket å evaluere oppfatningen til lederne ved pasientreisekontorene om deres tilfredshet med prosessen, effekt og kvalitet av gjennomgangene. Dette ble gjort gjennom en spørreundersøkelse hvor 14 av 18 ledere svarte. (Se vedlegg for detaljer.) Tilbakemeldingen er at prosessen har fungert godt, spesielt gjennomføring og arbeid med rapport og oppsummering. Lederne ønsker i større grad å påvirke innholdet av gjennomgangene. Dette vil Pasientreiser ANS legge til rette for i fremtidige gjennomganger, kfr forslag til plan for 2012. Svarene fra spørreundersøkelsen viser også at gjennomgangene har hatt en positiv effekt. Det er nå høyere bevissthet om internkontroll, bedre arbeidsprosesser, færre feil/avvik og bedre rutiner er etablert. Lederne mener også i høy grad at nytteverdien av gjennomgangene har vært god. Pasientreiser ANS gis i evalueringen en god tilbakemelding på selskapets kompetanse om internkontroll, samarbeidsevne og imøtekommenhet. 2.3 Plan for arbeid med internkontroll ved pasientreisekontorene 2012 I henhold til rapport 1/2011 Revisjon av systemforvaltning fra internrevisjonen (styresak nr 036-2011), bør det etableres mekanismer for oppfølging og sikkerhetsrevisjon i egen organisasjon, drifts og programvareleverandører. I etterkant av revisjonen er det også etablert databehandleravtaler med drifts og programvareleverandører som muliggjør en sikkerhetsrevisjon. I løpet av 1. halvår 2012 vil derfor sikkerheten hos de sentrale IKT-levereandørene (Acando, Locus og Norsk Helsenett) revideres. Gjennomgangene vil utføres på tilsvarende måte som ved pasientreisekontorene eller som en del av en utvidet risikoanalyse/-revisjon av IKT-området. Gjennomgangene av internkontrollen ved pasientreisekontorene hadde høsten 2010 og våren 2011 en bred tilnærming. Gjennomgangene viste få alvorlige avvik, noe som tilsier at det bør være lavere hyppighet av gjennomganger på området. Fremtidige gjennomganger bør ha en dybdetilnærming med bakgrunn i et oppdatert risikobilde og med erfaring fra første gjennomgang. Gjennomgangene bør også i større grad fokusere på innhold og kvalitet i internkontrollarbeidet, spesielt mht praktisering av regelverket. Høsten 2012 planlegges det gjennomgang av tre pasientreisekontor. Prosessen vil følge samme opplegg som tidligere, da det er gitt meget gode tilbakemeldinger fra lederne ved pasientreisekontorene på gjennomførte prosess. Innhold og form for gjennomgangen vil utformes i tett samarbeid mellom Pasientreiser ANS og respektive pasientreisekontor for å optimalisere effekt og nytteverdi av fremtidige gjennomganger. Detaljer for konkret gjennomføring vil presenteres for styret våren 2012. 2.4 Plan for arbeid med internkontroll internt i Pasientreiser ANS 2012 En viktig del av internkontrollarbeidet i de to første driftsårene har bestått i å etablere prosedyrer og rutiner. Dette for å sikre at selskapet ivaretar lovkrav og sikre at selskapet har styring på sentrale områder. Fremover vil fokuset være å videreutvikle Side 3 av 5
og forbedre eksisterende internkontroll med basis i rammene for internkontrollarbeidet slik dette fremgår av sak 27-2010. Som en del av det samlede forbedringsarbeidet vil controller i Pasientreiser ANS fortsatt ha regelmessige gjennomganger av internkontroll (basert i en risikovurdering) internt i selskapet. 3. Administrerende direktørs vurderinger: 3.1 Risikovurderinger: etisk, faglige, økonomiske, omdømmemessige, juridiske m.v Det er vesentlig å sikre etterlevelse av rammeverket som regulerer den virksomheten som pasientreisekontorene forestår i kraft av rollen som databehandlere i PRO og Nissy. Pasientreiser ANS har som databehandleransvarlig et lovpålagt ansvar for å sikre dette. Styret la i sak 27-2010 grunnlaget for hvordan arbeidet skal legges opp. Resultatene er gledelige i den forstand at det ikke er avdekket dramatiske avvik. Samtidig er det en stor utfordring når en av databehandlerne ikke imøtekommer de krav som stilles fra Pasientreiser ANS som databehandleransvarlig. 3.2 Evt dialog/forankring av saken (ansatte / brukerne) Opplegg for gjennomføring er på forhånd sendt de berørte helseforetak til gjennomgang og forankring. Rapporter fra gjennomgangene er sendt berørte HF og RHF. Funnene er oppsummert nasjonalt i etterkant. Tilbakemeldingene tyder på at det er valgt en god måte for arbeid med internkontroll 3.4 Konklusjon Erfaringene fra gjennomført arbeid er gjennomgående gode. Det er foreløpig ingen indikasjoner på at valgt modell bør endres vesentlig til neste gjennomgang, men frekvensen vil bli lavere, kfr styresak 072-2010. Fokuset for det eksterne arbeidet med internkontroll fremover vil bli på sikkerhet hos IKT-leverandører, samt kvalitet og innhold (lik praksis) i internkontrollarbeidet ved pasientreisekontorene. Det interne arbeidet med internkontroll vil rettes mot arbeidet med selskapets strategiske satsningsområder. Side 4 av 5
Vedlegg Oppsummerte funn og status for internkontroll Oppsummering av spørreundersøkelse om innhold, prosess, effekt og kvalitet av gjennomgang av internkontrollen ved pasientreisekontorene høsten 2010 og våren 2011 Utrykte vedlegg: Rapport nr: 015 Gjennomgang av internkontroll 13.04.2011 ved Pasientreiser Førde Rapport nr: 016 Gjennomgang av internkontroll 11.05.2011 ved Pasientreiser Helse Stavanger Rapport nr: 017 Gjennomgang av internkontroll 26.05.2011 ved Pasientreiser Ålesund Oppsummering og eksempler på internkontroll ved pasientreisekontorene høsten 2010 og våren 2011 Side 5 av 5