Saksframlegg Referanse Saksgang: Styre Styret Helseforetakenes senter for pasientreiser ANS Møtedato 21/10/2015 SAK NR 54-2015 Samlet risikovurdering av pasientreiseområdet 2015 Forslag til vedtak: 1. Styret tar fremlagte risikovurdering til etterretning. 2. Styret tar til etterretning at det er initiert tiltak for å redusere risikobildet og forutsetter systematisk oppfølging av disse tiltakene, samt at underliggende risikoer følges opp iht ansvarsområde ved de berørte virksomheter. 3. Styret tar plan for videre arbeid med samlede risikovurderinger for pasientreiseområdet til etterretning. Skien 13. oktober 2015 Marit Kobro Administrerende direktør Side 1 av 5 1. Administrerende direktørs anbefalinger / konklusjon I styresak 41-2014 vedtok styret at det skal gjennomføres en årlig risikovurdering av pasientreiseområdet på høsten med behandling i styret i Pasientreiser ANS i oktober parallelt med selskapets ordinære, halvårlige risikovurdering. Den gjennomførte risikovurderingen for 2015 viser at ingen områder er vurdert å være kritiske og hjemmehørende i rød sone i risikomatrisen. Det er imidlertid anført i alt fem områder i gul sone, hvor det er behov for tiltak. Det er en reduksjon av risikonivået fra 2014. Egen tiltaksliste er utarbeidet i tilknytning til risikovurderingen. Det vurderes at anførte tiltak vil bidra til å redusere risikobildet. En klar forutsetning for at det samlede risikobildet skal reduseres er at alle parter følger opp de underliggende risikoene i gul og rød sone med målrettede tiltak innen sine respektive ansvarsområder. Tiltakene vil bli fulgt opp suksessivt fremover. Det legges opp til en mellomrapportering av resultatene av oppfølgingen våren 2016 og endelig rapportering i forbindelse med ny risikovurdering. Ny risikovurdering for pasientreiseområdet skal etter planen legges frem for styret høsten 2016 i forbindelse med den halvårlige risikovurderingen i Pasientreiser ANS. Mal for risikoprosess 2016 vil justeres noe for å heve kvalitet på innhold og oppfølging ytterligere. Administrerende direktør anbefaler at styret tar foreliggende risikovurdering, tiltak og plan for videre arbeid til etterretning. 2. Faktabeskrivelse: 2.1 Hva saken gjelder I styresak 41-2014 ble et akkumulert risikobilde av hele pasientreiseområdet presentert for første gang. Arbeidet var et resultat av oppfølging av tiltak etter internrevisjonrapport 1/2013 om tverrgående prosesser mellom helseforetak med pasientreisekontor og Helseforetakenes senter for pasientreiser ANS. I styresaken vedtok styret at det skal gjennomføres en årlig risikovurdering av pasientreiseområdet på høsten med behandling i styret i Pasientreiser ANS i oktober. Dette skal skje parallelt med selskapets ordinære, halvårlige risikovurdering. Foreliggende sak beskriver gjennomføring, resultater, plan for oppfølging og videre arbeid med nasjonale risikovurderinger av pasientreiseområdet 2015. 2.2 Prosess og gjennomføring 2015 Samarbeidsforum (SF) og Pasientreiser ANS ble enige om prosess og milepælsplan høsten 2015. Nærmere detaljer fremgår av vedlegg til saken. Det har vært bred forankring og involvering av pasientreisekontorene i prosessen gjennom SF. Hovedpunktene i prosessen har vært: Prosess og milepæler besluttes i SF (november 2014) Malverk uformes av Pasientreiser ANS og behandles i SF (november 2014) Aktuelle risikoområder kartlegges og legges inn i mal (juni 2015) 19 risikoområder vurderes ved alle pasientreisekontor og Pasientreiser ANS (juniaugust 2015) Risikoene akkumuleres av Pasientreiser ANS og behandles i SF (september 2015) Endelig, omforent, risikomatrise med tiltak ferdigstilles og behandles i styret i Pasientreiser ANS (oktober 2015) Metodikk og mal for risikovurderingen er basert på samme mal som anvendes i Pasientreiser ANS, ved HF-ene og RHF-ene. Det er kun gjort mindre justeringer i mal for 2015 fra mal for 2014, og det er de samme risikoområdene som er vurdert. For å kunne gjennomføre en risikovurdering er det grunnleggende at risiko blir vurdert opp mot et felles målbilde. I og med at det ikke eksisterer noe omforent målbilde for pasientreiseområdet har man måttet etablere et annet vurderingsgrunnlag. Risikoområdene som er vurdert tar derfor utgangspunkt i relevante krav i lover, forskrifter og avtaler. Disse inneholder ufravikelige krav Side 2 av 5 og vil derfor utgjøre et minimum av hvilke områder som bør risikovurderes. Samarbeidsforum har i tillegg bestemt at økonomiske misligheter skal vurderes særskilt. For å få en mest mulig lik vurdering av sannsynlighet og konsekvens, ble det på forhånd definert fem nivåer for sannsynlighet og konsekvens (akseptkriterier). Lik vurdering av områdene er en forutsetning for en god akkumulering av risikoene. Akkumuleringen foregikk også på lik måte ved at Pasientreiser ANS utformet en felles ”kalkulator” for å samle risikopunktene til et felles risikobilde. Gjennomsnittsberegning er brukt som metode for å oppsummere risikoene. 2.3 Kvalitetsforbedring 2015 Tilbakemeldinger fra prosessen med risikovurderingene for 2014 var at mange syntes det var utfordrende å fastsette verdiene for sannsynlighet og konsekvens for de ulike risikoområdene. Malverk og gjennomføring av en risikovurdering har derfor vært et tema ved alle gjennomgangene av internkontroll ved pasientreisekontorene 1. halvår 2015, kfr sak 36-2015. Formålet var å øke kompetansen om risikovurderinger, sikre mer lik og riktig plassering av risiko på tvers av PRK og Pasientreiser ANS, samt sikre videre oppfølging av tiltakene i etterkant. 2.4 Oppfølging av risikovurdering fra 2014 I 2014 ble 19 risikopunkter samlet i fem hovedpunkter. Det har i etterkant blitt gitt tilbakemelding fra en del pasientreisekontor på at dette har vært utfordrende, da det har vært vanskelig å forstå sammenheng mellom risikoer og valgte tiltak. Oppfølgingen har derfor vært varierende for tiltakene som skulle følges opp av pasientreisekontorene. Alle tiltak med oppfølgingsansvar lagt til Pasientreiser ANS er gjennomført i samsvar med tiltaksplan. 2.4 Resultater av risikovurderingen Det har som i 2014 blitt vurdert totalt 19 risikopunkter. I 2015 besluttet Samarbeidsforum å presentere de enkelte risikopunktene for seg. Endringen er gjort for å konkretisere utfordringene, synliggjøre kobling mellom risiko og tiltak, samt å sikre god oppfølging av disse i linjen. Risikovurderingene som er gjennomført ved de ulike pasientreisekontorene og i Pasientreiser ANS viser stor variasjon i vurderingene av sannsynlighet og konsekvens. Det kan være en vanlig utfordring i et tidlig modningsnivå at en ikke benytter skalaen på en god/fullverdig måte, men dette bør endre seg i takt med modning og kompetansenivået på slike prosesser. Årets risikovurdering viser at skalaen i større grad er tatt i bruk, men at det fortsatt er stor variasjon på regionalt og lokalt nivå. Dette reflekteres likevel ikke særskilt i akkumulert versjon, da flere fortsatt gjennomgående vurderer risikoene lave, slik at snittverdiene av risikoene blir lavere når de akkumuleres. I den akkumulerte risikomatrisen er risikoområder som har havnet i gult beskrevet, mens grønne vurderes som ivaretatte og er ikke beskrevet ytterligere. Det er ingen områder som er vurdert i rød sone i den akkumulerte risikovurderingen. Det akkumulerte risikobildet for pasientreiseområdet vurderes samlet sett å være moderat (gult) og redusert fra 2014. Det er fem områder som blir beskrevet i vedlagte risikomatrise: Risiko for uautorisert tilgang til personopplysninger som følge av mangelfull kontroll av systemtilganger er vurdert i gul sone i den akkumulerte risikovurderingen. Risikoen er hevet fra forrige vurdering ved at konsekvensen er økt. Dette skyldes trolig ikke noen konkrete hendelser, men en tilpassing til akseptkriteriene. Det er etablert en rekke tiltak, både tekniske og prosessuelle, for å redusere risikoen. Disse tiltakene vil videreføres i tillegg til implementering av nye vedtatte nasjonale rutiner og oppfølging gjennom ny rapportløsning i RADAR. Side 3 av 5 Risiko for personopplysninger på avveie som følge av at personopplysninger blir utlevert til feil eller uautoriserte personer er vurdert som moderat i den akkumulerte risikovurderingen. Transportører identifiseres i denne sammenheng som den største risikoen, og etablerte og nye planlagte tiltak skal gjennom økt kompetanseheving redusere risikoen. Risiko for brudd på regelverk (lov, forskrift avtale) som følge av manglende kunnskap hos rekvirenter er vurdert i gul sone i den akkumulerte risikovurderingen. Risikoen er redusert fra forrige vurdering ved at konsekvensen er redusert. Det er etablert en rekke tiltak for å sikre at rekvirenter i primær- og spesialisthelsetjenesten har nødvendig kompetanse om regelverk og systemene knyttet til rekvirering av pasienttransport. Dette har til nå vært utført på forskjellig måte ved de ulike pasientreisekontorene. Et nytt tiltak er et nasjonalt e-læringskurs om e-rekvirering som bidrar til en felles opplæring knyttet til lovverk og bruk av systemet. Risikoene for feil håndtering av personopplysninger som følge av manglende/mangelfull oppfølging og opplæring av underleverandør og deres eventuelle underleverandør(er) er vurdert i gul sone i den akkumulerte risikovurderingen. Disse risikoene er til dels overlappende med tidligere omtalte risikopunkter og vil ha tilsvarende oppfølging. Et tiltak som kommer i tillegg vil være en oppfølging av bruk av personopplysninger i systemet fra Pasientreiser ANS sin side. Dette skal sikre at bruken er i samsvar bestemmelsene i regelverket og i databehandleravtalene. Det vil også bli vurdert tekniske endringer for å begrense bruk av personopplysninger om det vurderes som nødvendig. I 2014 var også avtale vurdert i gul sone. Implementerte tiltak har fungert etter hensikten og sannsynligheten er derfor vurdert som redusert. 2.5 Tiltak og oppfølging I vedlagte akkumulerte risikovurdering beskrives gjennomførte tiltak og nye tiltak. Gjennomførte tiltak er ikke nødvendigvis tiltak som alle PRK/Pasientreiser ANS har gjennomført, men danner til sammen et bilde av hvilke typer iverksatte tiltak som en del av PRK/Pasientreiser ANS har implementert. Under nye tiltak beskrives tiltak som er av nasjonal karakter og som er egnet for felles oppfølging iht gitt ansvar og frister. I tillegg til de nasjonale tiltakene skal tiltak og oppfølging av de underliggende risikoene skje i linjen iht ansvar plassert hos det enkelte PRK som har meldt dette inn. Eksempelvis må det enkelte foretak følge opp egne risikoer i rødt og gult selv om det aktuelle området skulle fremkomme i grønn sone akkumulert. Områder i rødt krever strakstiltak og skal prioriteres. For områder i gult bør det iverksettes tiltak med plan for oppfølging. Områder i grønt ansees som godt ivaretatt og krever ikke ytterligere tiltak. 2.6 Videre arbeid med samlede risikovurderinger for pasientreiseområdet Det legges opp til en årlig risikovurdering av pasientreiseområdet på høsten med behandling i styret i Pasientreiser ANS i oktober parallelt med selskapets ordinære, halvårlige risikovurdering. Fremdriftsplanen for arbeidet skal utarbeides i samarbeid med SF. Det er planlagt en justering av prosess og innhold i risikovurderingen for 2016. Dette skal sikre større eierskap til innhold og oppfølging i SF og linjen. Det legges opp til en mellomrapportering av resultatene av oppfølgingsarbeidet i forbindelse selskapets rapportering av risiko våren 2016. Endelig rapportering av oppfølgingsarbeidet fra risikovurdering vil skje i forbindelse med ny risikovurdering. Neste risikovurdering av pasientreiseområdet er planlagt presentert for styret i oktober 2016. Side 4 av 5 3. Administrerende direktørs vurderinger 3.1 Risikovurderinger og prosess Gjennomføring av risikovurderinger kan være utfordrende fordi det er ønskelig med en fagkompetanse og forståelse som krever erfaring og gjentakelse for å bygge opp. Det har vært gjennomført opplæring og forankring med pasientreisekontorene i hele prosessen, både gjennom SF og fra fagspesialister i Pasientreiser ANS. Det har også blitt etablert felles akseptkriterier for å bidra til et mest mulig felles grunnlag for vurdering av sannsynlighet og konsekvens av risikoene på tvers av PRK/Pasientreiser ANS. Resultatene viser at skalaen for sannsynlighet og konsekvens er brukt i større grad enn tidligere. Samtidig er det fremdeles flere som systematisk vurderer risikoer lavt, selv om det er kjent at det skjer hendelser som tilsier at sannsynligheten burde ligge høyere. Det kan også være en utfordring at ikke alle følger opp gitte frister eller fyller inn planlagte/nye tiltak. Det gjør det vanskeligere å finne målrettede og gode felles tiltak. Det anses som positivt at det er økt oppmerksomhet og økt bevissthetsnivå rundt temaet hos de involverte, noe som kan medføre at tiltakene får større prioritering og effekt. 3.2 Konklusjon Årets risikovurdering av pasientreiseområdet viser et samlet risikobilde som er moderat (gult). Det er gjennomført en rekke tiltak som har medvirket tilat risikobildet er redusert. Flere av de nye tiltakene er allerede igangsatt og de anviste tiltakene vurderes å ville bidra til fortsatt reduksjon av risikobildet etter gjennomføring. En klar forutsetning for at det samlede risikobildet skal reduseres er at alle parter følger opp de underliggende risikoene som er i gul og rød sone med målrettede tiltak innen sine respektive ansvarsområder. Trykte vedlegg: Akkumulert risikovurdering for pasientreiseområdet 2015 inkl tiltaksoversikt Utrykt vedlegg: Prosesskart, milepælsplan og akseptkriterier for risikovurderingsprosessen 2015 Underliggende risikovurderinger med beskrivelse av tiltak per HF og Pasientreiser ANS ”Kalkulator” som er brukt til å akkumulere risikopunktene med grunnlagsdata Side 5 av 5
© Copyright 2024