21,99 €
Gesundheitseinrichtungen sind komplexe Organisationen, die vielfältigen externen und internen Risiken ausgesetzt sind, die in unterschiedlichen Bereichen entstehen können. Diese Risiken können sich auf die Patienten- und Mitarbeitersicherheit auswirken, zu negativen wirtschaftlichen Folgen, Beeinträchtigungen der Leistungsfähigkeit, Reputationsverlusten oder juristischen Konsequenzen führen. Die 2021 in Kraft getretene ÖNORM Reihe 490X:2021 hat neu das Konzept des Organisations-Risikomanagements aufgegriffen und Anforderungen zu dessen Gestaltung formuliert. Der Umgang mit einer Vielzahl an unterschiedlichen Risiken erfordert eine interdisziplinäre und interprofessionelle Expertise, eine koordinierte und strukturierte Vorgehensweise sowie verlässliche und klare Strukturen. Dies ist die Aufgabe eines Organisations-Risikomanagements. Die renommierte Risikomanagement-Dozentin und Beraterin Heike A. Kahla-Witzsch führt Sie Schritt für Schritt durch die effektive erstmalige Implementierung und Weiterentwicklung eines erfolgreichen Organisations-Risikomanagements für Einrichtungen im Gesundheitswesen. „Organisations-Riskmanagement im Gesundheitswesen“ richtet sich an Geschäftsführende, Führungskräfte sowie Risiko-, Qualitäts- und Compliance-Managerinnen und -manager von Gesundheitseinrichtungen. Egal, ob Sie gerade erst anfangen oder bereits ein bestehendes Risikomanagementsystem optimieren möchten – dieses Buch ist Ihr unverzichtbarer Begleiter auf dem Weg zu einer sicheren und erfolgreichen Organisation.
Das E-Book können Sie in Legimi-Apps oder einer beliebigen App lesen, die das folgende Format unterstützen:
Seitenzahl: 79
ISBN 978-3-85402-445-3
Auch als Buch verfügbar:
ISBN 978-3-85402-444-6
1. Auflage 2023
Das Werk ist urheberrechtlich geschützt.
Alle Rechte vorbehalten.
Nachdruck oder Vervielfältigung, Aufnahme auf oder in sonstige Medien oder Datenträger, auch bei nur auszugsweiser Verwertung, sind nur mit ausdrücklicher Zustimmung der Austrian Standards plus GmbH gestattet.
Alle Angaben in diesem Fachbuch erfolgen trotz sorgfältiger Bearbeitung ohne Gewähr und eine Haftung der Autorin oder des Verlages ist ausgeschlossen.
Aus Gründen der besseren Lesbarkeit wird in vorliegendem Werk die Sprachform des generischen Maskulinums angewendet. Es wird an dieser Stelle darauf hingewiesen, dass die ausschließliche Verwendung der männlichen Form geschlechtsunabhängig verstanden werden soll.
© Austrian Standards plus GmbH, Wien 2023
Die Austrian Standards plus GmbH ist ein Unternehmen von Austrian Standards International.
Austrian Standards plus Gmbh
1020 Wien, Heinestraße 38
T +43 1 213 00-300
F +43 1 213 00-355
www.austrian-standards.at/fachliteratur
ProjekTbetreuung
Gertraud Reznicek
Lektorat
Johanna Zechmeister
Cover – Fotocredit
© Fotograf
gestaltung
Alexander Mang
Inhalt
Vorwort
1 Was ist Organisations-Risikomanagement?
2 Organisations-Risikomanagement in Gesundheitseinrichtungen
3 Normen für das Risikomanagement
3.1 ÖNORM ISO 31000:2018
3.2 Die ÖNORM-Reihe D 490x:2021
4 Der Risikomanagementprozess
4.1 Klärung der Rahmenbedingungen
4.2 Risikobeurteilung
4.3 Risikobewältigung
4.4 Kommunikation und Konsultation
4.5 Risikoüberwachung
4.6 Praxisbeispiel Risikokriterien
5 Rollen und Verantwortlichkeiten im Organisations-Risikomanagement
5.1 Oberste Leitung und Beauftragte der obersten Leitung
5.2 Risikoeigner
5.3 Risikomanager
5.4 Risikomanagement-Lenkungsgruppe
6 Schritte zum Aufbau eines Organisations-Risikomanagements
6.1 Ist-Analyse
6.2 Festlegung einer Risikopolitik
6.3 Kommunikation und Information
6.4 Anwendung des Risikomanagementprozesses
6.5 Reporting und Berichtswesen
6.6 Überprüfung und Weiterentwicklung
7 Praxisbeispiel einer Risikopolitik
8 Relevante Methoden zur Risikobeurteilung
8.1 Szenarioanalyse
8.2 Prozess-Risikoanalyse
8.3 Critical Incident Reporting System (CIRS)
8.4 London-Protokoll
8.5 Risikoaudit
9 Erfolgsfaktoren
9.1 Führung und Vorbild
9.2 Schaffung einer Risiko- und Sicherheitskultur
9.3 Klare Strukturen und Verantwortlichkeiten
9.4 Zusammenarbeit und Einbezug der Mitarbeiter
9.5 Wirksame Kommunikation
9.6 Qualifizierung und Schulung
9.7 Fokussierung und Priorisierung
9.8 Geduld und Beharrlichkeit
10 Ausblick
Literaturverzeichnis
Glossar
Abbildung 1 Organisations-Risikomanagement und risikobasierte Teilgebiete
Abbildung 2 Risikomanagement für Organisationen und Systeme
Abbildung 3 Der Risikomanagementprozess
Abbildung 4 Aspekte der Risikoanalyse
Abbildung 5 Organisations-Risikomanagement und Teilgebiete des Risikomanagements
Abbildung 6 Struktur der Verantwortlichkeiten im Risikomanagement
Tabelle 1 Risikokriterien für die Bewertung der Eintrittswahrscheinlichkeit bzw. Häufigkeit eines Risikos
Tabelle 2 Risikokriterien für die Bewertung der Patienten- und Mitarbeitersicherheit
Tabelle 3 Risikokriterien zur Bewertung der Auswirkung auf Compliance und Reputation
Tabelle 4 Risikokriterien zur Bewertung der Auswirkung auf die Leistungsfähigkeit
Tabelle 5 Risikokriterien für die Bewertung der finanziellen Auswirkungen
Tabelle 6 Kommunikationsformen im Risikomanagement
Tabelle 7 Gegenüberstellung Szenarioanalyse und Prozess-Risikoanalyse
CIRS
Critical-Incident-Reporting-System
CT
Computertomografie
FMEA
Fehlermöglichkeits- und Einflussanalyse
HLS
High Level Structure
IEC
International Electrotechnical Commission
ISMS
Informationssicherheitsmanagementsystem
ISO
International Organization for Standardization
MRT
Magnetresonanztomografie
ONR
ON-Regel
ÖNORM
Österreichische Norm
RM
Risikomanagement
VUCA
Volatility, Uncertainty, Complexity, Ambiguity
WHO
World Health Organization
Einrichtungen des Gesundheitswesens agieren, wie andere Organisationen auch, in einer Welt, die sich durch ein hohes Maß an Unbeständigkeit, Unsicherheit, Komplexität und Mehrdeutigkeit auszeichnet, heute häufig als VUCA-Welt bezeichnet.[1] Hieraus ergeben sich zahlreiche externe Bedrohungen, wie die in jüngster Zeit eingetretene Coronapandemie, Versorgungsengpässe mit Medizinprodukten und Arzneimitteln, inflationäre Preissteigerungen für Energie oder der Mangel an Fachpersonal, um nur einige zu nennen.
Als komplexe Organisationen sind Einrichtungen des Gesundheitswesens und insbesondere Krankenhäuser zudem vielfältigen internen Risiken ausgesetzt, die in unterschiedlichen Bereichen entstehen können, beispielsweise der Strategie, der Patientenversorgung oder dem Betrieb von Informationstechnologie, und sich in unterschiedlichen Funktionen und Tätigkeiten zeigen. Diese Risiken können sich auf die Patienten- und Mitarbeitersicherheit auswirken, zu negativen wirtschaftlichen Folgen, Beeinträchtigungen der Leistungsfähigkeit, Reputationsverlusten oder juristischen Konsequenzen führen.
Der Umgang mit einer Vielzahl an unterschiedlichen Risiken erfordert eine interdisziplinäre und interprofessionelle Expertise und Vorgehensweise sowie verlässliche und klare Strukturen. Ein funktionierendes Risikomanagementsystem ist daher nicht nur sinnvoll, sondern auch notwendig.
Viele Einrichtungen des Gesundheitswesens verfügen bereits über ein betriebswirtschaftliches Risikomanagement, welches sich auf die finanziellen Risiken der Organisation bezieht, während sich das klinische Risikomanagement, häufig in Zusammenarbeit mit dem Qualitätsmanagement, mit den Risiken der Patientensicherheit befasst. Daneben betreiben einige der Einrichtungen ein Compliance-Management, das die Risiken aus gesetzlichen, behördlichen oder internen Anforderungen bearbeitet, sowie ein Informationssicherheitsmanagement, das sich mit den Risiken der IT befasst.
Diese verschiedenen Teilgebiete des Risikomanagements können zu organisatorischen Parallelstrukturen führen. Probleme können durch ein teilweise unterschiedliches Verständnis hinsichtlich der Anwendung des Risikomanagementprozesses oder bei der Verwendung von nicht aufeinander abgestimmten Risikokriterien zur Risikobewertung entstehen. Es kann vorkommen, dass identische oder ähnliche Risiken in den verschiedenen Systemen erfasst und bewertet werden, resultierende Maßnahmen nicht aufeinander abgestimmt erfolgen oder aber relevante Risiken aufgrund von unklaren Zuständigkeiten unerkannt und unbearbeitet bleiben.
Die 2021 herausgegebene ÖNORM-Reihe D 490x greift als eine ihrer wesentlichen Änderungen im Vergleich zu den Vorgängerdokumenten (ONR-Reihe 4900x) das Konzept des Organisations-Risikomanagements auf und legt Anforderungen zu dessen Gestaltung fest.
Mit der Einführung eines Organisations-Risikomanagements werden die unterschiedlichen Teilgebiete des Risikomanagements koordiniert und strukturiert sowie die relevanten Risiken, die den Fortbestand des Unternehmens gefährden können (gleich aus welchem Teilgebiet diese stammen), bearbeitet. Organisations-Risikomanagement schafft somit Ordnung im „Risikomanagementchaos“.
Dieser Praxisleitfaden soll aufzeigen, wie Einrichtungen des Gesundheitswesens ein Organisations-Risikomanagement einführen und weiterentwickeln können.
Über Ihre Kommentare, Ihr Feedback und Ihre Verbesserungsvorschläge freue ich mich unter [email protected].
Wien, im Juli 2023
Dr. med. Heike Anette Kahla-Witzsch, MBA
1 Das Akronym VUCA steht für die englischen Begriffe „Volatility“, „Uncertainty“, „Complexity“ und „Ambiguity“. Es wurde ursprünglich in den 1980er-Jahren durch das United States Army War College geprägt. https://usawc.libanswers.com/faq/84869 (letzter Zugriff: 22.09.2022)
Risikomanagement umfasst alle Führungs-, Steuerungs-, Kontroll- und Überwachungsaufgaben in einer Organisation im Umgang mit Risiken, aber auch Chancen.
Es ist Aufgabe der obersten Führungsebene der Organisation (in der Regel ist dies der Vorstand oder die Einrichtungsleitung), sicherzustellen, dass insbesondere die Risiken, die für die Existenz der Organisation bedrohlich sind und deren Fortbestand gefährden können, rechtzeitig erkannt werden und dass diesen Risiken wirksam begegnet wird.
Hierbei kann ein Organisations-Risikomanagement unterstützen.
Es ist die Aufgabe des Organisations-Risikomanagements (einige sprechen hier auch vom Enterprise Risk Management), unterschiedliche Teilgebiete des Risikomanagements zu strukturieren und Schnittstellen zwischen diesen Teilgebieten bewusst und systematisch zu gestalten, um auf diese Weise ein umfassendes, integriertes Risikomanagement zu schaffen. Abbildung 1 zeigt den Zusammenhang zwischen Organisations-Risikomanagement und risikobasierten Teilgebieten.
Abbildung 1
Organisations-Risikomanagement und risikobasierte Teilgebiete
(QUELLE: angelehnt an ÖNORM D 4900:2021, S. 11)
Im Zentrum des Organisations-Risikomanagements stehen die bestandsgefährdenden Risiken der Einrichtung. Das Organisations-Risikomanagement schließt aber auch die Chancen mit ein, die sich beispielsweise im Rahmen der Strategieentwicklung und -umsetzung, aus Innovationen und aus Entwicklungen ergeben können. Es dient somit der Existenz- und Zukunftssicherung der Organisation.
Über die verschiedenen Teilgebiete des Risikomanagements werden Risiken aus den Blickwinkeln unterschiedlicher Fachbereiche betrachtet. Hierfür werden spezifische fachliche Kompetenzen benötigt. Alle diese Teilgebiete orientieren sich bei der Bearbeitung der Risiken am Risikomanagementprozess (siehe Kapitel 4).
Das klinische Risikomanagement, in der Abbildung 1 als „Sicherheit von Menschen“ dargestellt, befasst sich mit der Sicherheit von Patienten und Mitarbeitern sowie der medizinischen Versorgungssicherheit. Hierbei gilt es zahlreiche gesetzliche und behördliche Anforderungen zu erfüllen, beispielsweise Hygienebestimmungen, Anforderungen an den Strahlenschutz, die Arzneimitteltherapiesicherheit, Vorgaben des Medizinproduktegesetzes, des Arbeitsschutzes bis hin zu Anforderungen an das Qualitätsmanagement, in der Abbildung als „Produkte- und Dienstleistungsqualität“ dargestellt, um nur einige zu nennen. Im Umgang mit diesen Risiken besteht eine wichtige Schnittstelle zwischen dem Qualitäts- und dem Risikomanagement. Daher werden in vielen Gesundheitseinrichtungen diese Bereiche häufig in einer Funktion zusammengeführt, beispielsweise im Rahmen einer Stabsstelle Qualitätsmanagement, klinisches Risikomanagement und Patientensicherheit.
Werden größere Projekte durchgeführt, ist es Aufgabe des Projektrisikomanagements, dafür zu sorgen, dass Projektziele hinsichtlich Qualität, Kosten und Termine eingehalten werden.
Das Compliance-Management umfasst die Risiken aus gesetzlichen, behördlichen oder internen Anforderungen.
Das Interne Kontrollsystem überprüft die Funktionsfähigkeit und Wirtschaftlichkeit von Geschäftsprozessen sowie die Regeleinhaltung und dient der Vermögenssicherung.
Im Rahmen der zunehmenden Digitalisierung des Gesundheitswesens hat die Daten- und Informationssicherheit eine wachsende Bedeutung.
Schließlich ist auch das Notfall-, Krisen- und Kontinuitätsmanagement ein wesentlicher Teilbereich des Risikomanagements. Es dient dazu, die Leistungsfähigkeit der Organisation aufrechtzuerhalten bzw. rasch wiederherzustellen, sollten Risiken bzw. Restrisiken trotz präventiver Maßnahmen eintreten.
Es ist die Aufgabe des Organisations-Risikomanagements, zum einen die bestandsgefährdenden Risiken der Organisation frühzeitig zu erkennen und zu steuern, ganz gleich aus welchem Risikomanagement-Teilbereich diese stammen, und zum anderen die unterschiedlichen Risikomanagement-Teilgebiete zu koordinieren und zu strukturieren.
Das Organisations-Risikomanagement schafft somit ein durchgängiges, alle Bereiche und Ebenen der Organisation umfassendes Risikomanagement.
!
Praxistipp:
Bevor Sie mit dem Aufbau eines Organisations-Risikomanagements beginnen:
+Verschaffen Sie sich zunächst einen Überblick über die in Ihrer Einrichtung vorhandenen Bereiche, die sich mit Risiken befassen.
+Klären Sie die vorhandenen Zuständigkeiten und Verantwortlichkeiten und legen Sie Ansprechpartner fest.
+Welche Risikomanagement-Teilgebiete sollten bzw. müssen in Ihrem Organisations-Risikomanagement integriert werden?
In jeder Organisation gehört zu einer guten Unternehmensführung, der Corporate Governance, der verantwortungsvolle Umgang mit den Risiken der Geschäftstätigkeit. Dies gilt auch und insbesondere für Gesundheitseinrichtungen[2], denn diese leisten als Teil der kritischen Infrastruktur[3] einen wichtigen Beitrag zur Daseinsvorsorge der Bevölkerung.
Die Gesundheitsversorgung erfolgt sektorenübergreifend über komplexe Strukturen und Prozesse. Sie umfasst ambulante und stationäre Einrichtungen sowie Einrichtungen der Rehabilitation. Patienten werden dabei interprofessionell (unter Beteiligung verschiedener Berufsgruppen) und interdisziplinär (durch verschiedene Fachbereiche) betreut. Eine sichere Versorgung und reibungslose Abläufe erfordern ein hohes Maß an Abstimmung, Koordination und Kommunikation.
Für die Diagnostik und die Behandlung von Patienten werden Medizingeräte und -produkte sowie Arzneimittel benötigt.
Medizinischer Fortschritt und verbesserte Möglichkeiten zur Diagnosestellung und Therapie sowie die zunehmende Digitalisierung eröffnen einerseits Chancen, schaffen anderseits aber neuartige Gefahren und Bedrohungen.