Risikostyring i Helse Sør-Øst

|

En veileder for arbeidet med risikostyring i Helse Sør-Øst

Risikostyring i Helse Sør-Øst

Versjon 3.1 pr 070808

2

Innholdsfortegnelse

Innholdsfortegnelse ...2

Forord...3

Sammendrag...4

1 Mål og hensikt med dette dokumentet...6

2 Definisjon og formål med risikostyring i Helse Sør-Øst ...6

2.1 Definisjon og formål ...6

2.2 Risikostyring som del av internkontrollen...8

3 Roller og ansvar i risikostyring i Helse Sør-Øst ...10

3.1 Styret...10

3.2 Administrerende direktør og øvrig direktørnivå ...10

3.3 Øvrige ledere, prosjektledere og ansatte i organisasjonen ...11

3.3.1 Åpen rapporterings- og meldekultur ...11

3.4 Internrevisjonen...11

4 Prosess for risikostyring i Helse Sør-Øst ...12

4.1.1 Forutsetninger for effektiv risikostyring og intern kontroll ...13

4.1.2 Komponenter i risikostyring ...13

4.1.3 Helhetlig og integrert risikostyring...14

5 Gjennomføring av risikostyring i Helse Sør-Øst...17

5.1 Risikostyring som verktøy i oppfølging av virksomheten...17

5.2 Risikostyring krever god lederforankring ...19

5.3 Proaktiv risikostyring er et førende element ...19

5.3.1 Rapportering av avvik er sentralt i risikostyringen ...19

5.4 Rapportering av risiko gjennom samhandling ...20

5.4.1 Samhandling kreves på alle nivåer for å sikre god rapportering...20

5.4.2 Dokumentasjon og maler for risikorapportering...22

5.5 Årshjul for risikostyring i Helse Sør-Øst...23

5.6 Kalender for gjennomføring av risikostyring Helse Sør-Øst ...24

5.7 Kompetanseutvikling innen risikostyring ...24

5.8 Risikostyring i Ledelsens gjennomgåelse (LGG) ...25

5.9 Risikostyring i Helse Sør-Østs daglige drift ...25

6 Definisjoner...27

7 Referanser ...29

Vedlegg ...31

3

Forord

Sammenslåingen av to helseregioner til én og etableringen av Helse Sør-Øst i 2007 har gitt oss mange muligheter og utfordringer knyttet til utvikling av strategi, omstilling og styring av en av Norges største virksomheter.

Internkontroll og risikostyring er for Helse Sør-Øst RHF en integrert og sentral del av vår virksomhetsstyring og inngår som ledd i utviklingen av Helse Sør-Øst som en lærende roganisasjon. Risikostyring er ment å være et enkelt verktøy for ledere med tanke på å mobilisere egen kunnskap om, og systematisere arbeidet med ledelse og virksomhetsstyring.

Risikostyring skal bidra til å tydeliggjøre mål og kritiske områder i tillegg til å være et verktøy for prioritering av oppgaver og ressurser. Risikostyring skal videre bidra til at pasienter, pårørende, samarbeidspartnere, eiere og ansatte blir tryggere på at lovverk, eierkrav, interne mål, rutiner og retningslinjer til enhver tid blir fulgt, og at kritisk fare for svikt blir avdekket i forkant.

De regionale helseforetakene har de seneste årene gjennom oppdragsdokumentet og foretaksprotokoller blitt pålagt av Helse- og omsorgsdepartementet (HOD) å sette arbeidet med risikovurdering og risikostyring på dagsorden. Sommeren 2007 gjorde Helse Sør-Øst RHF den første risikovurderingen i ny organisasjon. Den bestod av en sammenstilling og vurdering av tidligere gjennomførte risikovurderinger i Helse Sør og Helse Øst for 2007.

Helse Sør-Øst har i løpet av høsten 2007/vinteren 2008 arbeidet videre med risikovurdering og risikostyring i den nye organisasjonen. Gjennom Oppdragsdokumentet for 2008 og protokoll fra foretaksmøtet 24.01.08 har Helse- og omsorgsdepartementet (HOD) pålagt RHFet å arbeide systematisk og målrettet med disse temaene.

Det er fortsatt ulik form, omfang og bruk av risikovurdering i foretaksgruppen samtidig som det er en økende forståelse av nytten ved risikostyring. ”Risikostyring i Helse Sør Øst” er en veileder for det videre arbeid med risikostyring i regionen. Det skal bidra til økt forståelse og proaktiv bruk av risikovurderinger og risikostyring i foretaksgruppen på alle nivåer. I sum skal risikostyringen bidra til enda bedre styring av vår virksomhet, og bidra til å øke vår evne til å nå våre mål gjennom riktige prioriteringer, god internkontroll og god virksomhetsstyring.

Dokumentet er ment å skulle være et dynamisk dokument som vil bli revidert innenfor et tidsrom på ett til to år.

Hamar, august 2008

Bente Mikkelsen

Adm.dir., Helse Sør-Øst RHF

4

Sammendrag

Dette dokumentet er en veileder for det videre arbeidet med risikostyring i Helse Sør-Øst RHF og underliggende helseforetak. Helse Sør-Øst ønsker med dokumentet å bidra til økt forståelse og bruk av risikostyring i foretaksgruppen på alle nivåer.

De regionale helseforetakene har de seneste årene av Helse- og omsorgsdepartementet blitt pålagt krav om å sette risikostyring på dagsorden. Krav om risikostyring er første gang omtalt gjennom protokoll fra foretaksmøte i januar 2006. Også gjennom økonomiregelverket og bl.a.

forskrift for internkontroll i Helse-og sosialtjenesten stilles det krav til internkontroll og risikostyring. Risikostyring og internkontroll skal sikre at all aktivitet i Helse Sør-Øst blir organisert, planlagt, utført, kontrollert og forbedret i samsvar med fastsatte krav som retter seg mot foretaksgruppen for å gi bedre styring og måloppnåelse. Risikostyring skal være et enkelt verktøy for å sjekke mål, status, aktiviteter og resultat på de områder som er mest kritisk for virksomhetsstyringen. Den skal også være et verktøy for riktig prioritering av oppgaver og ressurser.

Ansvaret for risikostyring er lagt til administrerende direktør. Myndigheten vil i praksis være delegert til leder av det aktuelle virksomhetsområde eller prosjekt når det gjelder den praktiske gjennomføringen av risikostyringen. På RHF-nivå vil det være enhetsledere og prosjektledere som får delegert ansvar for å identifisere, definere og følge opp risikoområder.

Tilsvarende vil ansvar være delegert til aktuelt nivå i HFene. I dokumentets kapittel 3 gis en nærmere beskrivelse av roller og ansvar i risikostyringen i Helse Sør-Øst.

Arbeidet med risikovurdering og risikostyring vil være en del av de ordinære prosesser relatert til ledelse og styring av virksomheten. I Helse Sør-Øst kan det i RHFet og ved HFene være noe ulik tilnærming til arbeidet, men dokumentet er ment å skulle bygge opp om at man baserer seg på de samme prinsippene i hele foretaksgruppen. Metodikken for risikostyring er basert på SSØs¹ veileder for risikostyring i staten og redegjøres for i kapittel 4.

Det er vesentlig at arbeidet med risikovurdering og risikostyring er forankret i ledelsen.

Prosessene bør initieres av toppledelsen og gjennomføres på ulike ledernivå; enhet, avdeling osv slik man i den enkelte virksomhet finner mest hensiktsmessig.

Risikovurdering og risikostyring er prosesser som kan gjennomføres med ulik frekvens, avhengig av hva den enkelte virksomhet finner formålstjenlig. Som et minimum skal man to ganger per år ha helhetlige gjennomganger. Første runde bør være ved kalenderårets begynnelse når virksomheten har mottatt oppdragsdokument, protokoll fra foretaksmøtet og for foretakene at også driftsavtalen med RHFet er på plass. Det vil være naturlig å integrere arbeidet med risikovurdering med utarbeidelse av virksomhetsplanen. Risiko vurderes og tiltak anvises. Anbefalt skjemaverk (se vedlegg) benyttes for oppsummering og fremstilling og dette rapporteres til RHFet innen definerte frister. RHFet utarbeider aggregerte

vurderinger for foretaksgruppen.

Neste gjennomgang skal legges til utløp av 2. tertial i god tid før rapportering til Helse- og omsorgsdepartementet. Her skal man benytte ledelsens gjennomgåelse (LGG) som metodisk vurdering av status for tidligere risikovurdering og vurdering av eventuelle

1 Senter for statlig økonomistyring: Risikostyring i staten - Håndtering av risiko i mål- og resultatstyringen. Utgitt 12/2005

5 endringer så langt i året (revidert budsjett eller avholdte foretaksmøter i 1. halvår f eks).

Denne vurderingen vil inngå i årlig melding. Det er utarbeidet egen mal for LGG (se vedlegg 1 og 3). Enhetene i RHFet gjennomfører tilsvarende prosess som danner grunnlag for LGG i RHFets ledergruppe. Prosessen oppsummeres og rapporteres til RHFet som utarbeider aggregerte vurderinger. Dette behandles av revisjonskomiteen og danner grunnlag for rapportering til styret og HOD. For 2008 er rapportering til styret fastsatt til september og rapportering til HOD pr. 01.10.08. Utover de to milepælene med rapportering til RHF-et vil risikovurdering være temaer i oppfølgingsmøter, jfr Figur 5 Årshjul for oppfølging av risikostyring i Helse Sør-Øst

Nærmere beskrivelse av gjennomføringen av risikostyringen i Helse Sør-Øst gis i dokumentets kapittel 5. Oppsummert kan de ulike risikostyringsprosessene beskrives i tabellen under:

Tidspunkt Aktivitet Ansvarlig Rapport til

Januar/

Februar

Utarbeide virksomhetsplan inkludert risikovurdering basert på blant annet mottatt

oppdragsdokument, foretaks- møteprotokoll og for HFenes del driftsavtale med RHF

RHF: Alle enhetsledere HF: Ledelsen initierer arbeidet i egne enheter/

avdelinger

RHFets

risikostyringsgruppe Avdelinger og enheter rapporterer til HFets ledelse.

Aggregert vurdering sendes RHFet.

Ultimo februar/

primo mars

Aggregert risikovurdering for foretaksgruppen utarbeides og legges frem for RHF-styret.

RHFet Sak til RHF-styret

Etter 2. tertial LGG inkludert risikovurdering RHF: Alle enhetsledere HF: Ledelsen initierer dette slik man finner best egnet i egen virksomhet

RHFets

risikostyringsgruppe RHFet til fastsatt tidsfrist og RHF-styret i september

HF: rapporteres til AD og HF-styret

Styresak og rapport til HOD basert på bidrag fra HFene og egne enheter i RHFet

RHFet RHF-styret: Styresak

som er basis for rapport til HOD

6

1

Mål og hensikt med dette dokumentet

Hensikten med dette dokumentet er å etablere en overbygning og anbefaling til hvordan Helse Sør-Øst RHF skal organisere og gjennomføre risikostyring i foretaksgruppen.

Målgruppen for dokumentet er Helse Sør-Øst RHF (regionalt helseforetak) og underliggende helseforetak (HF). Dokumentet skal bidra til å sikre risikostyring i HF og RHF samt

etterlevelse av lover og forskrifter, herunder forsvarlig drift knyttet til pasientbehandlingen og øvrige kjerneoppgaver. Helseforetakene forutsettes å ta ansvar for egne prosesser i dette arbeidet, og det settes egne krav til enhetlig rapportering av risiko til det regionale

helseforetaket. Dokumentet setter fokus på viktigheten av å utøve god virksomhetsstyring, internkontroll og risikostyring og –vurdering.

Internkontroll og risikostyring skal sikre at all aktivitet i Helse Sør-Øst blir organisert, planlagt, utført, kontrollert og forbedret i samsvar med fastsatte krav som retter seg mot

foretaksgruppen² for i sum å gi denne enda bedre styring og måloppnåelse. Dette skal skje ved at aktørene i foretaksgruppen setter fokus på de mest vesentlige hendelser som påvirker måloppnåelse for virksomheten sett under ett, og sikrer en konsistent styring og oppfølging av disse. Risikostyring skal være et enkelt verktøy for å sjekke mål, status, aktiviteter og resultat på de områder som er mest kritisk for virksomhetsstyringen samt for å sette inn korrigerende tiltak. Den skal også være et verktøy for riktig prioritering av oppgaver og ressurser.

Dokumentet ”Risikostyring i Helse Sør-Øst” har tre formål:

• Gi aktørene i foretaksgruppen et teoretisk grunnlag og et felles begrepsapparat for å analysere og håndtere virksomhetens oppgaver i forhold til kritiske hendelser

• Sikre at vurdering og rapportering av risiko i foretaksgruppen foretas på en enhetlig måte

• Gi innsikt i anbefalt prosess, roller og ansvar for risikostyring i foretaksgruppen

2

Definisjon og formål med risikostyring i Helse Sør-Øst

2.1 Definisjon og formål

Med virksomhetsstyring menes ”prosessene og aktivitetene som RHFet gjennomfører for å sette mål og definere oppgaver for å nå målene, å måle resultater mot målene og bruk av informasjonen til å ha styring, kontroll og læring for å utvikle og forbedre virksomheten”. En effektiv virksomhetsstyring forutsetter at det er etablert en god intern kontroll i virksomheten som kan bidra til å forhindre styringssvikt, feil og mangler. Med intern kontroll menes

”prosesser, systemer og rutiner igangsatt av ledelsen og de ansatte for å gi rimelig sikkerhet for at RHFet når sine målsetninger innenfor følgende kategorier:Målrettet og effektiv drift, pålitelig styringsinformasjon og etterlevelse av lover og regler”. Internkontrollbegrepet er drøfte mer utfyllende senere i dokumentet.

2 Med foretaksgruppen menes RHF og underliggende helseforetak.

7 Et bærende prinsipp er at den interne kontrollen bør tilpasses den risiko og egenart som gjelder for virksomheten. Å fastsette et tilstrekkelig og hensiktmessig opplegg for intern kontroll innebærer derfor at det gjennomføres prosesser å identifisere og håndtere risiko, dvs. risikostyring.

Risikostyring kan defineres på følgende måte:

”(…) Risikostyring er en prosess, gjennomført av virksomhetens styre, ledelse og ansatte, anvendt i fastsettelse av strategi og på tvers av virksomheten, utformet for å identifisere potensielle hendelser som kan påvirke virksomheten og for å håndtere risiko slik at den er i samsvar med virksomhetens aksepterte risikonivå, for å gi rimelig grad av sikkerhet for virksomhetens måloppnåelse”³

Risikostyring innebærer i den daglig utøvelse av kjerneoppgavene en vurdering av sannsynlighet og konsekvens av ulike hendelser og hvordan disse overvåkes og styres.

Hovedhensikten med å innføre risikostyring i Helse Sør-Øst er å få på plass et rammeverk som bidrar til å sikre at foretaksgruppen når sine mål. Dette er også beskrevet i HODs krav til arbeidet med risikostyring i helseforetakene. Kravene om risikostyring og intern kontroll som gjelder for foretaksgruppen Helse Sør-Øst, er blant annet nedfelt i pkt 4.3.1 i Protokoll fra foretaksmøtet i Helse Sør-Øst RHF av 24.1.2008, jfr. kapittel 3.1. Første gang risikostyring er omtalt er i protokoll fra foretaksmøte, januar 2006, mens internkontrollkrav stilles i

foretaksprotokoll fra januar 2005.

Av det statlige økonomiregelverket⁴ kan utledes tre kategorier av målsettinger som Helse Sør-Øst må forholde seg til. Disse er:

• Mål⁵ og resultatkrav; oppdragsdokumentet, foretaksprotokollen, driftsavtalene, virksomhetsplanene og andre interne styringsdokumenter.

• Overholdelse av lover og regler; Særskilte lover (ca 37 stk) og diverse forskrifter (11 tilsyn). Disse regulerer også kjerneoppgavene i helsetjenesten

• Pålitelig regnskapsrapportering og økonomiforvaltning; regnskapsloven, lov om helseforetak.

Målene kan påvirkes av hendelser som har både negative og positive konsekvenser.

Hendelser med negative konsekvenser utgjør risikoer, mens hendelser med positive

konsekvenser utgjør muligheter. Det fokuseres som oftest på potensielle negative hendelser i risikostyringsprosessen, men det er viktig å være klar over at arbeidet med risikostyring også vil tydeliggjøre muligheter som virksomheten kan dra nytte av.

Forskrift for internkontroll i helse- og sosialtjenesten underbygger kravene fra

økonomiregelverket ettersom den setter krav til systematisk styring for å nå helse- og

sosialtjenestens formål i arbeidet med kvalitet og rettsikkerhet i helsetjenesten. Forskriftens § 4f angir minstekravet til risikostyring innen helsetjenesten, sitat: ”den/de ansvarlige for

3 Senter for statlig økonomistyring: Risikostyring i staten - Håndtering av risiko i mål- og resultatstyringen. Utgitt 12/2005

4 Regelverk for økonomistyring i staten av 12.12. 2003 med vedtatte revisjoner har som formål å sikre at:

a) statlige midler brukes og inntekter oppnås i samsvar med Stortingets vedtak og forutsetninger b) fastsatte mål og resultatkrav oppnås c) statlige midler brukes effektivt og d) statens materielle verdier forvaltes på en forsvarlig måte

5 For Helse Sør-Øst RHF for 2008 er det for eksempel fastsatt spesifikke mål/innsatsområder innenfor

omstillingsprogrammet. Disse er: 1. Pasientbehandling, 2. Forskning, 3. Kunnskapshåndtering og beste praksis, 4.

Organisering av stabs- og støttefunksjoner, 5. Mobilisering av ansatte og ledere og 6. Økonomisk balanse og bærekraft.

8 virksomheten skal skaffe oversikt over områder i virksomheten hvor det er fare for svikt eller mangel på oppfyllelse av myndighetskrav.” I Internkontrollforskriften for helse-, miljø og sikkerhet står det under § 5 punkt 6 i tabellen: ”Internkontroll innebærer at virksomheten skal kartlegge farer og problemer og på denne bakgrunn vurdere risiko, samt utarbeide tilhørende planer og tiltak for å redusere risikoforholdene. ”

Fokus på risikostyring kan bedre ledelses- og styringsprosesser ved å:

• Sikre et samordnet nivå på akseptert risiko og strategi. Ledelsen i RHFet vurderer virksomhetens akseptable risikonivå når den evaluerer strategiske alternativer, etablerer tilhørende målsettinger og utvikler mekanismer for å håndtere tilhørende risikoer.

• Skape økt bevissthet om risiko i hele virksomheten og forebygge at uønskede hendelser oppstår.

• Fremskaffe et bedre beslutningsgrunnlag for håndtering av risiko ved at en grundig analyseprosess gjøres i forkant av beslutningene.

• Identifisere og håndtere sammensatte risikoer som gjelder på tvers av virksomheten, det være seg regionalt helseforetak eller underliggende virksomheter.

Effektene ved risikostyring for foretaksgruppen vil kunne være større sikkerhet for måloppnåelse ved:

• Reduserte driftsrelaterte overraskelser og tap. Gjennom bedre evne til å identifisere potensielle hendelser og iverksette tiltak, får foretaksgruppen færre overraskelser som kan gi påfølgende kostnader eller tap. Et eksempel kan være havari av teknisk utstyr med påfølgende uheldige konsekvenser for pasienter.

• Å utnytte muligheter. Gjennom risikostyringsprosessen blir muligheter identifisert og kommunisert inn i planer og strategier.

• Forbedret utnyttelse av ressurser. God tilgang på informasjon om risiko gjør det mulig for ledelsen å vurdere det totale ressursbehov og forbedre

ressursallokeringen (eksempelvis Omstillingsprogrammet inkludert Hovedstadsprosessen).

En god mål- og resultatstyring forutsetter således at ledelsen i foretaksgruppen kjenner til og aktivt håndterer risikoene i virksomheten.

Ved implementering av risikostyring er det viktig å være klar over at det også finnes begrensninger i bruk av dette rammeverket. Det vil blant annet forekomme begrensninger svakheter i menneskelig dømmekraft, manglende kost-/nyttevurdering ved etablering av tiltak og kontrollaktiviteter og overstyring av beslutninger. Risikostyring kan således bare gi

ledelsen rimelig sikkerhet for at foretaksgruppen når sine målsettinger. Den gir ingen garantier.

2.2 Risikostyring som del av internkontrollen

Krav til internkontroll ble innført i 1984 og bør således være godt forankret. Ulike

tilsynsmyndigheter betoner ulike aspekter av begrepet internkontroll forskjellig. En prosess for hvordan internkontroll utøves i praksis gjennom risikostyring på et overordnet nivå, er

9 beskrevet i SSØ’s veileder for risikostyring i staten⁶. En oppsummering av denne prosessen gis i kapittel 4. Der er også dette fremstilt i en figur (s 15.)

Helsemyndighetenes krav om internkontroll skal sikre god styring og kvalitet på helse-

tjenestene. Forskrift om internkontroll i sosial- og helsetjenesten definerer internkontroll slik:

”Systematiske tiltak som skal sikre at virksomhetens aktiviteter planlegges, organiseres, utføres og vedlikeholdes i samsvar med krav fastsatt i eller i medhold av sosial- og helselovgivningen⁷.”

Også andre myndigheter bruker internkontrollprinsippet for å sikre at kravene til kvalitet innen deres lovområder følges opp av helsetjenesten. De tilsynsmyndighetene som fører tilsyn med at internkontrollen fungerer er Helsetilsynet, Datatilsynet, Mattilsynet, Arbeidstilsynet, Direktoratet for samfunnssikkerhet og beredskap, Statens forurensningstilsyn, Statens strålevern, Fylkesmannen, kommunene og lokalt el-tilsyn. De forventer på lik linje med helsemyndighetene at virksomhetene kartlegger aktiviteter eller prosesser der det er fare for svikt eller brudd på lovverket. Målet er å:

• Finne fram til områder der svikt kan inntre oftere enn akseptabelt

• Finne fram til områder der svikt kan få alvorlige eller uheldige følger for klienter, pasienter eller andre

• Hindre at svikt skjer.

Internkontrollkravet er overordnet, mens risikostyring representerer en metodikk for å sikre gjennomføring av internkontrollen. Risikostyring kan beskrives som en praktisk

tilrettelegging av en metode for å ivareta kravene om etablering og gjennomføring av intern kontroll som beskrevet i foretaksprotokollen av 24.1.2008, jfr. kapittel 3.1. I tråd med

foretaksprotokollen og regelverk skal den interne kontrollen være innebygd i virksomhetens interne styring og øke sannsynligheten for oppnåelse av virksomhetens mål ved at man identifiserer risikoer og tiltak for å redusere risikoene. Intern kontroll skal følgelig bidra til å sikre foretaksgruppens måloppnåelse, og forhindre styringssvikt, feil og mangler. Et bærende prinsipp for etablering og gjennomføring av internkontroll, er at denne er tilpasset

virksomhetens egenart, risiko og vesentlighet. Dette betyr at den interne kontroll må ses i sammenheng med og bestemmes ut fra virksomhetens målsettinger og hvilken risiko som er til stede for at målene ikke oppnås.

Risikostyring er et virkemiddel som vil redusere sannsynligheten for styringssvikt, feil og mangler og konsekvensene av disse, og dermed bidra til at Helse Sør-Øst når sine mål knyttet til resultat og drift (herunder kvalitet), pålitelig rapportering og overholdelse av lover og regler.

6 Senter for statlig økonomistyring: Risikostyring i staten - Håndtering av risiko i mål- og resultatstyringen. Utgitt 12/2005

7 Forskrift om internkontroll i sosial- og helsetjenesten (2002-20-12, § 3)

10

3

Roller og ansvar i risikostyring i Helse Sør-Øst

3.1 Styret

Styrets oppgaver er regulert i helseforetaksloven⁸ § 28. Styret er underordnet foretaksmøtet, som er foretakets øverste myndighet, og må rette seg etter instrukser og pålegg fra foretaks- møtet. Styret har et ansvar for at det gjennomføres betryggende kontroll med foretakets mål- oppnåelse, risiko og ressursbruk, og skal da påse at det etableres interne kontrollsystemer som sikrer denne kontrollen. Styret i Helse Sør-Øst RHF har en egen styreinstruks og alle HF-styrene skal ha egne instrukser.

Gjennom protokollen fra foretaksmøte 24. januar 2008 er HOD`s krav til arbeidet presisert ytterligere, og styrets ansvar er konkret fastlagt gjennom følgende formulering i protokollen:

• Styret skal påse at Helse Sør-Øst RHF har god intern kontroll og at det er etablert systemer for risikostyring for å forebygge, forhindre og avdekke avvik.

Risikofaktorer som kan medvirke til at målene til det regionale helseforetaket og helseforetaksgruppen ikke nås, skal identifiseres og korrigerende tiltak som med rimelighet kan redusere sannsynligheten for manglende måloppnåelse skal iverksettes. Styringssystemene skal tilpasses risiko og vesentlighet i forhold til virksomhetens målsetninger og ha nødvendig ledelsesmessig forankring i hele organisasjonen.

• Styret skal minimum en gang per år ha en samlet gjennomgang av tilstanden i helseforetaksgruppen med hensyn på risikovurdering, oppfølging av

internkontrollen og tiltak for å følge opp avvik. Rapport fra styrets gjennomgang skal forelegges Helse- og omsorgsdepartementet ved rapportering for 2. tertial 2008. I tillegg skal det redegjøres for styrets arbeid i Årlig melding.

Kravene er videreført til helseforetakene i protokoller fra foretaksmøter mellom Helse Sør- Øst RHF og det enkelte helseforetak. Styrene på HF-nivå vil derfor ha de samme oppgavene som RHF-styret. Det er lagt opp til at styret i det regionale helseforetaket får en

gjennomgang av risikovurderingene i foretaksgruppen to ganger pr år, dvs en gang i tillegg til ovennevnte minimumskrav fra eier.

3.2 Administrerende direktør og øvrig direktørnivå

Administrerende direktørs myndighet er regulert i helseforetakslovens⁹ kapittel 8. I tillegg har styrene vedtatt egne instrukser for de administrerende direktører hhv i HF og i RHF.

Administrerende direktør i Helse Sør-Øst RHF har det overordnede ansvar for internkontroll og risikostyring i det regionale helseforetaket. Administrerende direktør har ansvar for at det er etablert tilfredsstillende system for risikostyring som etterlever myndighetskrav og krav fra styret, og som gir rimelig sikkerhet for måloppnåelse.

Administrerende direktør kan delegere myndighet for risikostyring knyttet til virksomhetens enkelte områder til deres ansvarlige leder.

8 Lov om Helseforetak m.m. (2001-06-15)

9 Lov om Helseforetak m.m. (2001-06-15)

11 Administrerende direktør i RHF-et vil måtte etablere de arenaer og informasjonssystemer som er nødvendig for å få til gode prosesser innad i RHF-et og i foretaksgruppen som helhet.

På HF-nivå vil det variere hvilke fora som er relevante i denne forbindelse. Det viktige er imidlertid at det klart defineres hvilke fora som skal ha et slikt definert ansvar.

Administrerende direktører i helseforetakene vil ha ansvar for at man bevisst behandler risikoproblematikk. Administrerende direktør i RHFet tar ansvar for at man skaper felles holdninger til Helse Sør-Østs risikotoleranse dvs. hva som er akseptabel risiko.

3.3 Øvrige ledere, prosjektledere og ansatte i organisasjonen

På RHF-nivå vil det være enhetsledere og prosjektledere som i praksis får delegert ansvar for å identifisere, definere og følge opp risikoområder. Tilsvarende vil ansvar være delegert til aktuelt nivå i HFene. Risikoidentifisering gjøres samtidig med planleggingsprosesser og utarbeidelse av virksomhetsplaner og prosjektplaner. Risiko kartlegges også i det daglige lokalt og følges opp med forbedringstiltak. Ledelse på høyere nivå har ansvar for at

risikovurderinger på lavere nivåer henger sammen med risikoer på høyere nivåer. Status på risiko og tiltak, med særlig vekt på vedvarende eller alvorlige risikoforhold, legges frem for ledelsens gjennomgåelse. Under ledelsens gjennomgåelse skaffes overblikk over

risikobildet, det tas beslutninger om forbedringer og handlingsplaner utarbeides.

Prosjektledere og ev. programfunksjon vil ofte ha hyppigere behov for kartlegging, vurdering og prioritering av risikoer enn hva som er tilfellet for mer løpende aktivitet. Prosedyrer for risikostyring i prosjekter må utarbeides i alle prosjekter. Behov for styring og kontroll med prosjekter vil måtte tilpasses prosjektets størrelse og kompleksitet.

3.3.1 Åpen rapporterings- og meldekultur

Alle ansatte har et selvstendig ansvar for å bidra til å sikre god kvalitet og til kontinuerlig kvalitetsforbedring, samt at arbeidet gjennomføres i samsvar med gjeldende regler og rutiner. En åpen rapporterings- og meldekultur vektlegges i hele foretaksgruppen slik at feil kan forebygges og videre bidra til at Helse Sør-Øst utvikles som en lærende organisasjon. I forhold til risikostyring innebærer dette åpen og ærlig kommunikasjon og en god meldekultur i det daglige arbeidet, inkludert involvering av brukere og tillitsvalgte.

3.4 Internrevisjonen

Internrevisjonen er en uavhengig, objektiv bekreftelses- og rådgivningsfunksjon med ansvar for intern revisjon i den samlede foretaksgruppen Helse Sør-Øst. Formålet med funksjonen er å bidra til at foretaksgruppen når sine mål og forbedrer den løpende drift. Dette skal skje ved å evaluere og foreslå forbedringer i systemer og prosesser for styring og kontroll, herunder risikostyring. Dette kan bl.a. innebære at områder RHF-ledelsen har utpekt som risikoområder vil være en del av grunnlaget for internrevisjonens og revisjonskomiteens årlige revisjonsplaner.

Internrevisor vil ha både en bekreftelsesrolle og en rådgivende rolle i forhold til

internkontrollen, og rapporterer faglig til styret for Helse Sør-Øst RHF v/Revisjonskomitéen og administrativt til administrerende direktør for Helse Sør-Øst RHF.

12 Relasjonen kan illustreres på følgende måte:

Figur 1 Forholdet mellom styret, internrevisjonen og administrerende direktør Internrevisjonens kjerneoppgave er å vurdere om det er etablert og gjennomføres

tilstrekkelig, hensiktsmessig og effektiv intern kontroll som bidrar til målrettet og effektiv drift, overholdelse av lov- og regelverk, pålitelig rapportering av styringsinformasjon og forsvarlig sikring av eiendeler. Internrevisjonen skal gjennom en systematisk og strukturert metode, vurdere hensiktsmessigheten av total risikostyring, kontroll og overvåkningsprosesser samt bidra til forbedringer i disse.

Internrevisjonens oppgaver vedr risikostyring er å:

• Evaluere risikostyringsprosessene

• Evaluere rapporteringen av nøkkelrisikoer

• Gi bekreftelse på risikostyringsprosesser

• Gi bekreftelse på at risikoer evalueres på en korrekt måte

• Gjennomgå styringen av nøkkelrisikoer

4

Prosess for risikostyring i Helse Sør- Øst

En prosess for hvordan internkontroll utøves i praksis gjennom risikostyring på et overordnet nivå, er beskrevet i SSØ’s veileder for risikostyring i staten.¹⁰ Det forutsettes at de som har ansvar for å vurdere og håndtere risiko setter seg inn i dette rammeverket.

Likeledes vil det på operativt nivå være nødvendig å sette seg inn i hvordan internkontroll og risikovurderinger skal gjennomføres i forbindelse med kjerneoppgavene. For en overordnet innføring henvises det til Sosial- og helsedirektoratets veileder ”Hvordan holde orden i eget hus”¹¹.

Nedenfor gis en oppsummering av metodikken beskrevet i SSØ’s veileder. Oppsummeringen er noe tilpasset Helse Sør-Øst.

10 Senter for statlig økonomistyring: Risikostyring i staten - Håndtering av risiko i mål- og resultatstyringen. Utgitt 12/2005

11 ”Hvordan holde orden i eget hus. Internkontroll i sosial- og helsetjenesten”. Utgitt 12/2004

13

4.1.1 Forutsetninger for effektiv risikostyring og intern kontroll

For å sikre effektiv risikostyring og intern kontroll må foretaksgruppen ha løpende

oppmerksomhet på risiko, jevnlig utførte risikoanalyser og rapportering av risiko. Videre må foretaket ha gode rutiner for oppfølging og kontroll på alle nivåer i organisasjonen. Tiltak som identifiseres må iverksettes, og det må være god kommunikasjon og informasjonsflyt.

Nødvendige tiltak må settes i verk for å lukke definerte avvik. Dette betinger aktiv oppfølging fra styrets og ledelsens side.

4.1.2 Komponenter i risikostyring

Risikostyring består av åtte komponenter som henger innbyrdes sammen. Disse tar utgangspunkt i måten virksomheten i Helse Sør-Øst drives på og er integrert i ledelsesprosessen. Disse komponentene er:

1. Styrings- og kontrollmiljø. Grunnleggende for kvaliteten på alt arbeid med intern kontroll og risikostyring er at styrings- og kontrollmiljøet i foretaksgruppen er sunt.

Med styrings- og kontrollmiljø menes den risikokulturen som finnes i foretaksgruppen og som påvirker de ansattes holdning til risikostyring positivt, slik at en oppnår en sikker og forsvarlig drift. Uavhengig av organisatorisk nivå anses det viktig at ledere går foran som et godt eksempel for de ansatte i organisasjonen, inkl utvikling av en åpenhetskultur. Helse Sør-Øst skal være en lærende organisasjon. Dersom styrings- og kontrollmiljøet ikke er tilfredsstillende, vil det ha en negativ innvirkning på

risikostyrings- og internkontrollaktivitetene.

2. Etablering av målsettinger. For å kunne evaluere risikoer knyttet til måloppnåelse, er det en forutsetning at det er etablert klare mål for virksomheten. HOD vil hvert år sette mål for RHF-et, RHF-et kan i tillegg sette seg egne mål, RHF-et definerer også mål for HF-ene gjennom foretaksprotokoll, driftsavtaler osv og HF-ene setter i tillegg til dette også egne mål for sine underliggende enheter/avdelinger

a. De overordnede målene systematiseres, og vurderes med hensyn til om de er de riktige målene og om de er klart og tydelig formulert. Dette er et arbeid som gjøres av virksomhetens ledelse. Normalt etableres og formuleres konkrete mål i forbindelse med strategi- og planleggingsprosessene. Målene er klarlagt før risiko kan identifiseres og vurderes.

b. Mål som settes på ulike nivåer i virksomheten skal vurderes på samme måte som forklart ovenfor. For eksempel er man gjennom lovverket pålagt å definere mål i tilknytning til de ulike tilsynsområdene som pasientbehandling, HMS, personvern osv. Loven setter også rammer for målenes innhold.

3. Identifisering av risikoer. Etter at målene er kartlagt og systematisert, bør de forhold som det er viktigst å lykkes med for å nå målene, kartlegges. Slike forhold benevnes som regel kritiske suksessfaktorer og kjennetegnes ved at de kan hindre oppnåelsen av ett eller flere mål dersom man ikke lykkes med dem. Når ledelsen på det respektive nivå har identifisert kritiske suksessfaktorer har de samtidig identifisert risikoer. Ulike metoder som kan benyttes for å identifisere eksterne og interne forhold som foretakgruppen må være oppmerksom på, kan være PEST analyser (politiske, økonomiske, sosiale, teknologiske eller økonomiske forhold) og SWOT analyser (styrker og svakheter, muligheter og trusler).

4. Vurdering og prioritering av risiko. Sannsynligheten for at risikoer inntreffer vurderes og eventuelle konsekvenser kartlegges. Denne sammenhengen illustreres i et risikobilde, jfr. kapittel 5.1, og gjøres samtidig med virksomhetenes planleggings- og strategiprosesser. Dette vil øke bevisstheten omkring ulike konsekvenser av de

14 strategiske valgene som gjøres. Det er viktig å ha en felles forståelse av hva som legges i sannsynlighet og konsekvens og hvordan dette måles. Konsekvensskala settes til ubetydelig, lav, moderat, alvorlig og svært alvorlig. Sannsynlighet defineres som meget liten, liten, moderat, stor og svært stor.¹² Vurdering og prioritering av risikoer gjøres på ulike ledelsesnivåer.

5. Tiltak for risikohåndtering. Ledelsen vurderer hvilken effekt de ulike tiltakene forventes å ha på risikoens sannsynlighet og konsekvens, tiltakskostnaden

sammenliknet med nytten og når tiltaket kan forventes å ha effekt. Basert på denne analysen besluttes hvordan risikoen skal håndteres. Det finnes fire strategier for å håndtere risiko. Disse er å unngå, å redusere, å dele eller å akseptere risiko. En handlingsplan som beskriver tiltak, ansvarlig person og frist for å bringe risikoen i samsvar med foretakets risikotoleranse utvikles deretter.

6. Kontrollaktiviteter. For at tiltakene skal kunne gjennomføres på en effektiv måte, må foretaket ha nødvendige kontrollaktiviteter. Med kontrollaktiviteter menes

retningslinjer, rutiner og arbeidsbeskrivelser osv. og etterlevelse av disse. Dersom kontrollaktivitetene ikke gjennomføres som forutsatt må korrigerende tiltak

iverksettes.

7. Informasjon og kommunikasjon. Informasjon og kommunikasjon er nødvendig på alle nivåer for å identifisere, vurdere, håndtere og følge opp risiko og på annen måte styre virksomheten mot måloppnåelse. Dette omfatter ledelsens organiserte

informasjon som gjør det mulig for den ansatte å gjennomføre sitt arbeid i tråd med det ansvaret de er tildelt og uformell kommunikasjon på tvers av den formelle organisasjonsstrukturen.

8. Oppfølging av risikoene. Risikostyringsprosessen følges opp og det vurderes om den fungerer over tid. Oppfølging og evaluering skjer gjennom løpende

ledelsesvurderinger.

4.1.3 Helhetlig og integrert risikostyring

I økonomiregelverket settes det krav til at virksomheten skal etablere intern kontroll, og at denne skal være innebygget i virksomhetens interne styring. Den interne kontrollen ivaretas gjennom risikostyringsprosessen beskrevet i kapittel 4.1.2. Figur 2 illustrerer hvordan denne prosessen er integrert med virksomhetens mål og resultatansvar og at den er helhetlig ved at den foretas på alle nivåer i organisasjonen.

12 Se kapittel 6 Definisjoner for en definisjon av konsekvens og sannsynlighet.

Organisasjons- nivå Risikostyrings-

prosessen i foretaksgruppen

Foretaksgruppens tre kategorier av målsetninger jfr. økonomiregelverket

15

MÅL OG RESULTATK

RAV

(Strategiske og driftsrelaterte)

RAPPORTERING

LO VER OG

REGLER

1. Styrings og kontrollmiljø

2. Etablering av målsetninger

3. Identifisering av risikoer

4. Risikovurdering

5. Risikohåndtering

6. Kontrollaktiviteter

7. Informasjon og kommunikasjon

8. Oppfølging

RHF HF AVDELING

Figur 2 Helhetlig og integrert risikostyring i Helse Sør-Øst

Målene skal være strategiske eller driftsrelaterte, mens for prosjekter vil de være knyttet til separate prosjektmål som kvalitet, tid og kostnad, som igjen understøtter virksomhetens overordnede mål.

Risikostyring er både et linjeansvar og et prosjektansvar. På et overordnet nivå skal risiko identifiseres, vurderes og håndteres i forbindelse med strategi- og planleggingsprosesser. På lavere organisasjonsnivåer er det naturlig at dette gjøres i forbindelse med

virksomhetsplanlegging. Kontrollaktiviteter gjøres månedlig i forbindelse med mål- og resultatoppfølging. For prosjekter, som er forankret i ulike nivåer i linjen, identifiseres og vurderes risiko ved prosjektoppstart. Deretter foretas ulike kontrollaktiviteter gjennom hele prosjektets levetid. Det kan også være hensiktsmessig å sette krav til en systematisk

gjennomføring av risikostyringen (trinn 2-7) i forbindelse med sentrale milepæler eller viktige beslutninger. Nærmere beskrivelse av når risikovurderinger skal foretas er beskrevet i kapittel 5.1 og i kapittel 5.6 om Årshjul for virksomhetsstyring. Nedenfor er gjengitt en noe forenklet fremstilling med risikostyring som ledd i intern kontroll, kfr omtale i kap 2.2 foran.

Helhetlig intern kontroll

16

17

5

Gjennomføring av risikostyring i Helse Sør-Øst

5.1 Risikostyring som verktøy i oppfølging av virksomheten

Når risikostyring er innført i hele foretaksgruppen skal oppfølging av risikoene være en integrert del av den ordinære virksomhetsrapporteringen. Dette omfatter både risikoer som knytter seg direkte til virksomhetens samlede måloppnåelse og risikoer som knytter seg til mer operative prosesser og prosjekter. Den enkelte virksomhet må vurdere om det i tillegg er behov for å stille krav om særskilt rapportering, for eksempel ved negativ utvikling av

vesentlige risikoer knyttet til kjerneoppgavene i HFene (pasientbehandling spesielt).

Risikovurderingen må regelmessig følges opp i ledermøtene på ulike nivåer (ledelsens gjennomgåelse). I løpet av en tidsperiode vil det være nødvendig å vurdere de risikoer som er identifisert på nytt. Dette kan både være begrunnet i endringer i rammebetingelser som medfører at risikoer bortfaller, eller nye kommer til. På den måten får ledelsen på ulike nivåer en samlet oversikt over risikoer og utviklingen av disse. På sikt vil dette gi et bedre grunnlag for å styre virksomheten. En helhetlig gjennomgang anbefales som et minimum to ganger pr år i virksomhetens ledergruppe.

Ved fremleggelse av forslag om vesentlige beslutninger stilles det krav om at risikovurdering skal synliggjøres som en del av beslutningsgrunnlaget. Dette må både omfatte en vurdering av risiko knyttet til selve tiltaket, og ikke minst om tiltaket kan medføre økt risiko for andre deler av virksomheten. Eksempler på denne type beslutninger vil være endringer i

tjenestetilbud, omlegging av inntektsmodell for helseforetakene, iverksetting av nye tiltak osv.

Risikostyring vil være en integrert deI av god virksomhetsstyring. I henhold til

risikostyringsprosessen lager hver avdeling, enhet og prosjekt sitt risikobilde over de

hendelser som vil kunne ha en negativ innvirkning på deres evne til å nå de mål som er satt innenfor dette området. Til hver av disse hendelsene knyttes en sannsynlighet og

konsekvens samt hvilke tiltak som er iverksatt for å redusere de konkrete risikoer. Dette risikobildet aggregeres deretter opp til et høyere nivå, der det sammenstilles med risikobildet på dette nivå. Dette vil da medføre et helhetlig risikobilde for ledelsen. Et slikt bilde bidrar til:

• Fokus på risiko på alle nivåer

• Mulighet til å rette ressurser på riktige tiltak

• Å gi riktig tilbakemelding til styret og eier

• Å fokusere på fremtid og på tiltak

Figur 3 på neste side viser hvordan et slikt risikobilde kan se ut for et HF.