Organisations-Risikomanagement für Gesundheitseinrichtungen E-Book

Impressum

ISBN 978-3-85402-445-3

Auch als Buch verfügbar:

ISBN 978-3-85402-444-6

1. Auflage 2023

Das Werk ist urheberrechtlich geschützt.

Alle Rechte vorbehalten.

Nachdruck oder Vervielfältigung, Aufnahme auf oder in sonstige Medien oder Datenträger, auch bei nur auszugsweiser Verwertung, sind nur mit ausdrücklicher Zustimmung der Austrian Standards plus GmbH gestattet.

Alle Angaben in diesem Fachbuch erfolgen trotz sorgfältiger Bearbeitung ohne Gewähr und eine Haftung der Autorin oder des Verlages ist ausgeschlossen.

Aus Gründen der besseren Lesbarkeit wird in vorliegendem Werk die Sprachform des generischen Maskulinums angewendet. Es wird an dieser Stelle darauf hingewiesen, dass die ausschließliche Verwendung der männlichen Form geschlechtsunabhängig verstanden werden soll.

© Austrian Standards plus GmbH, Wien 2023

Die Austrian Standards plus GmbH ist ein Unternehmen von Austrian Standards International.

Austrian Standards plus Gmbh

1020 Wien, Heinestraße 38

T +43 1 213 00-300

F +43 1 213 00-355

E [email protected]

www.austrian-standards.at/fachliteratur

ProjekTbetreuung

Gertraud Reznicek

Lektorat

Johanna Zechmeister

Cover – Fotocredit

© Fotograf

gestaltung

Alexander Mang

Inhalt

Vorwort

1 Was ist Organisations-Risikomanagement?

2 Organisations-Risikomanagement in Gesundheitseinrichtungen

3 Normen für das Risikomanagement

3.1 ÖNORM ISO 31000:2018

3.2 Die ÖNORM-Reihe D 490x:2021

4 Der Risikomanagementprozess

4.1 Klärung der Rahmenbedingungen

4.2 Risikobeurteilung

4.3 Risikobewältigung

4.4 Kommunikation und Konsultation

4.5 Risikoüberwachung

4.6 Praxisbeispiel Risikokriterien

5 Rollen und Verantwortlichkeiten im Organisations-Risikomanagement

5.1 Oberste Leitung und Beauftragte der obersten Leitung

5.2 Risikoeigner

5.3 Risikomanager

5.4 Risikomanagement-Lenkungsgruppe

6 Schritte zum Aufbau eines Organisations-Risikomanagements

6.1 Ist-Analyse

6.2 Festlegung einer Risikopolitik

6.3 Kommunikation und Information

6.4 Anwendung des Risikomanagementprozesses

6.5 Reporting und Berichtswesen

6.6 Überprüfung und Weiterentwicklung

7 Praxisbeispiel einer Risikopolitik

8 Relevante Methoden zur Risikobeurteilung

8.1 Szenarioanalyse

8.2 Prozess-Risikoanalyse

8.3 Critical Incident Reporting System (CIRS)

8.4 London-Protokoll

8.5 Risikoaudit

9 Erfolgsfaktoren

9.1 Führung und Vorbild

9.2 Schaffung einer Risiko- und Sicherheitskultur

9.3 Klare Strukturen und Verantwortlichkeiten

9.4 Zusammenarbeit und Einbezug der Mitarbeiter

9.5 Wirksame Kommunikation

9.6 Qualifizierung und Schulung

9.7 Fokussierung und Priorisierung

9.8 Geduld und Beharrlichkeit

10 Ausblick

Literaturverzeichnis

Glossar

Abbildungsverzeichnis

Abbildung 1 Organisations-Risikomanagement und risikobasierte Teilgebiete

Abbildung 2 Risikomanagement für Organisationen und Systeme

Abbildung 3 Der Risikomanagementprozess

Abbildung 4 Aspekte der Risikoanalyse

Abbildung 5 Organisations-Risikomanagement und Teilgebiete des Risikomanagements

Abbildung 6 Struktur der Verantwortlichkeiten im Risikomanagement

Tabellenverzeichnis

Tabelle 1 Risikokriterien für die Bewertung der Eintrittswahrscheinlichkeit bzw. Häufigkeit eines Risikos

Tabelle 2 Risikokriterien für die Bewertung der Patienten- und Mitarbeitersicherheit

Tabelle 3 Risikokriterien zur Bewertung der Auswirkung auf Compliance und Reputation

Tabelle 4 Risikokriterien zur Bewertung der Auswirkung auf die Leistungsfähigkeit

Tabelle 5 Risikokriterien für die Bewertung der finanziellen Auswirkungen

Tabelle 6 Kommunikationsformen im Risikomanagement

Tabelle 7 Gegenüberstellung Szenarioanalyse und Prozess-Risikoanalyse

Abkürzungsverzeichnis

CIRS

Critical-Incident-Reporting-System

CT

Computertomografie

FMEA

Fehlermöglichkeits- und Einflussanalyse

HLS

High Level Structure

IEC

International Electrotechnical Commission

ISMS

Informationssicherheitsmanagementsystem

ISO

International Organization for Standardization

MRT

Magnetresonanztomografie

ONR

ON-Regel

ÖNORM

Österreichische Norm

RM

Risikomanagement

VUCA

Volatility, Uncertainty, Complexity, Ambiguity

WHO

World Health Organization

Vorwort

Einrichtungen des Gesundheitswesens agieren, wie andere Organisationen auch, in einer Welt, die sich durch ein hohes Maß an Unbeständigkeit, Unsicherheit, Komplexität und Mehrdeutigkeit auszeichnet, heute häufig als VUCA-Welt bezeichnet.[1] Hieraus ergeben sich zahlreiche externe Bedrohungen, wie die in jüngster Zeit eingetretene Coronapandemie, Versorgungsengpässe mit Medizinprodukten und Arzneimitteln, inflationäre Preissteigerungen für Energie oder der Mangel an Fachpersonal, um nur einige zu nennen.

Als komplexe Organisationen sind Einrichtungen des Gesundheitswesens und insbesondere Krankenhäuser zudem vielfältigen internen Risiken ausgesetzt, die in unterschiedlichen Bereichen entstehen können, beispielsweise der Strategie, der Patientenversorgung oder dem Betrieb von Informationstechnologie, und sich in unterschiedlichen Funktionen und Tätigkeiten zeigen. Diese Risiken können sich auf die Patienten- und Mitarbeitersicherheit auswirken, zu negativen wirtschaftlichen Folgen, Beeinträchtigungen der Leistungsfähigkeit, Reputationsverlusten oder juristischen Konsequenzen führen.

Der Umgang mit einer Vielzahl an unterschiedlichen Risiken erfordert eine interdisziplinäre und interprofessionelle Expertise und Vorgehensweise sowie verlässliche und klare Strukturen. Ein funktionierendes Risikomanagementsystem ist daher nicht nur sinnvoll, sondern auch notwendig.

Viele Einrichtungen des Gesundheitswesens verfügen bereits über ein betriebswirtschaftliches Risikomanagement, welches sich auf die finanziellen Risiken der Organisation bezieht, während sich das klinische Risikomanagement, häufig in Zusammenarbeit mit dem Qualitätsmanagement, mit den Risiken der Patientensicherheit befasst. Daneben betreiben einige der Einrichtungen ein Compliance-Management, das die Risiken aus gesetzlichen, behördlichen oder internen Anforderungen bearbeitet, sowie ein Informationssicherheitsmanagement, das sich mit den Risiken der IT befasst.

Diese verschiedenen Teilgebiete des Risikomanagements können zu organisatorischen Parallelstrukturen führen. Probleme können durch ein teilweise unterschiedliches Verständnis hinsichtlich der Anwendung des Risikomanagementprozesses oder bei der Verwendung von nicht aufeinander abgestimmten Risikokriterien zur Risikobewertung entstehen. Es kann vorkommen, dass identische oder ähnliche Risiken in den verschiedenen Systemen erfasst und bewertet werden, resultierende Maßnahmen nicht aufeinander abgestimmt erfolgen oder aber relevante Risiken aufgrund von unklaren Zuständigkeiten unerkannt und unbearbeitet bleiben.

Die 2021 herausgegebene ÖNORM-Reihe D 490x greift als eine ihrer wesentlichen Änderungen im Vergleich zu den Vorgängerdokumenten (ONR-Reihe 4900x) das Konzept des Organisations-Risikomanagements auf und legt Anforderungen zu dessen Gestaltung fest.

Mit der Einführung eines Organisations-Risikomanagements werden die unterschiedlichen Teilgebiete des Risikomanagements koordiniert und strukturiert sowie die relevanten Risiken, die den Fortbestand des Unternehmens gefährden können (gleich aus welchem Teilgebiet diese stammen), bearbeitet. Organisations-Risikomanagement schafft somit Ordnung im „Risikomanagementchaos“.

Dieser Praxisleitfaden soll aufzeigen, wie Einrichtungen des Gesundheitswesens ein Organisations-Risikomanagement einführen und weiterentwickeln können.

Über Ihre Kommentare, Ihr Feedback und Ihre Verbesserungsvorschläge freue ich mich unter [email protected].

Wien, im Juli 2023

Dr. med. Heike Anette Kahla-Witzsch, MBA

1 Was ist Organisations-Risikomanagement?

1 Was ist Organisations-Risikomanagement?

Risikomanagement umfasst alle Führungs-, Steuerungs-, Kontroll- und Überwachungsaufgaben in einer Organisation im Umgang mit Risiken, aber auch Chancen.

Es ist Aufgabe der obersten Führungsebene der Organisation (in der Regel ist dies der Vorstand oder die Einrichtungsleitung), sicherzustellen, dass insbesondere die Risiken, die für die Existenz der Organisation bedrohlich sind und deren Fortbestand gefährden können, rechtzeitig erkannt werden und dass diesen Risiken wirksam begegnet wird.

Hierbei kann ein Organisations-Risikomanagement unterstützen.

Es ist die Aufgabe des Organisations-Risikomanagements (einige sprechen hier auch vom Enterprise Risk Management), unterschiedliche Teilgebiete des Risikomanagements zu strukturieren und Schnittstellen zwischen diesen Teilgebieten bewusst und systematisch zu gestalten, um auf diese Weise ein umfassendes, integriertes Risikomanagement zu schaffen. Abbildung 1 zeigt den Zusammenhang zwischen Organisations-Risikomanagement und risikobasierten Teilgebieten.

Abbildung 1

Organisations-Risikomanagement und risikobasierte Teilgebiete

(QUELLE: angelehnt an ÖNORM D 4900:2021, S. 11)

Im Zentrum des Organisations-Risikomanagements stehen die bestandsgefährdenden Risiken der Einrichtung. Das Organisations-Risikomanagement schließt aber auch die Chancen mit ein, die sich beispielsweise im Rahmen der Strategieentwicklung und -umsetzung, aus Innovationen und aus Entwicklungen ergeben können. Es dient somit der Existenz- und Zukunftssicherung der Organisation.

Über die verschiedenen Teilgebiete des Risikomanagements werden Risiken aus den Blickwinkeln unterschiedlicher Fachbereiche betrachtet. Hierfür werden spezifische fachliche Kompetenzen benötigt. Alle diese Teilgebiete orientieren sich bei der Bearbeitung der Risiken am Risikomanagementprozess (siehe Kapitel 4).

Das klinische Risikomanagement, in der Abbildung 1 als „Sicherheit von Menschen“ dargestellt, befasst sich mit der Sicherheit von Patienten und Mitarbeitern sowie der medizinischen Versorgungssicherheit. Hierbei gilt es zahlreiche gesetzliche und behördliche Anforderungen zu erfüllen, beispielsweise Hygienebestimmungen, Anforderungen an den Strahlenschutz, die Arzneimitteltherapiesicherheit, Vorgaben des Medizinproduktegesetzes, des Arbeitsschutzes bis hin zu Anforderungen an das Qualitätsmanagement, in der Abbildung als „Produkte- und Dienstleistungsqualität“ dargestellt, um nur einige zu nennen. Im Umgang mit diesen Risiken besteht eine wichtige Schnittstelle zwischen dem Qualitäts- und dem Risikomanagement. Daher werden in vielen Gesundheitseinrichtungen diese Bereiche häufig in einer Funktion zusammengeführt, beispielsweise im Rahmen einer Stabsstelle Qualitätsmanagement, klinisches Risikomanagement und Patientensicherheit.

Werden größere Projekte durchgeführt, ist es Aufgabe des Projektrisikomanagements, dafür zu sorgen, dass Projektziele hinsichtlich Qualität, Kosten und Termine eingehalten werden.

Das Compliance-Management umfasst die Risiken aus gesetzlichen, behördlichen oder internen Anforderungen.

Das Interne Kontrollsystem überprüft die Funktionsfähigkeit und Wirtschaftlichkeit von Geschäftsprozessen sowie die Regeleinhaltung und dient der Vermögenssicherung.

Im Rahmen der zunehmenden Digitalisierung des Gesundheitswesens hat die Daten- und Informationssicherheit eine wachsende Bedeutung.

Schließlich ist auch das Notfall-, Krisen- und Kontinuitätsmanagement ein wesentlicher Teilbereich des Risikomanagements. Es dient dazu, die Leistungsfähigkeit der Organisation aufrechtzuerhalten bzw. rasch wiederherzustellen, sollten Risiken bzw. Restrisiken trotz präventiver Maßnahmen eintreten.

Es ist die Aufgabe des Organisations-Risikomanagements, zum einen die bestandsgefährdenden Risiken der Organisation frühzeitig zu erkennen und zu steuern, ganz gleich aus welchem Risikomanagement-Teilbereich diese stammen, und zum anderen die unterschiedlichen Risikomanagement-Teilgebiete zu koordinieren und zu strukturieren.

Das Organisations-Risikomanagement schafft somit ein durchgängiges, alle Bereiche und Ebenen der Organisation umfassendes Risikomanagement.

Praxistipp:

Bevor Sie mit dem Aufbau eines Organisations-Risikomanagements beginnen:

+Verschaffen Sie sich zunächst einen Überblick über die in Ihrer Einrichtung vorhandenen Bereiche, die sich mit Risiken befassen.

+Klären Sie die vorhandenen Zuständigkeiten und Verantwortlichkeiten und legen Sie Ansprechpartner fest.

+Welche Risikomanagement-Teilgebiete sollten bzw. müssen in Ihrem Organisations-Risikomanagement integriert werden?

2 Organisations-Risikomanagement in Gesundheitseinrichtungen

2 Organisations-Risikomanagement in Gesundheitseinrichtungen

In jeder Organisation gehört zu einer guten Unternehmensführung, der Corporate Governance, der verantwortungsvolle Umgang mit den Risiken der Geschäftstätigkeit. Dies gilt auch und insbesondere für Gesundheitseinrichtungen[2], denn diese leisten als Teil der kritischen Infrastruktur[3] einen wichtigen Beitrag zur Daseinsvorsorge der Bevölkerung.

Die Gesundheitsversorgung erfolgt sektorenübergreifend über komplexe Strukturen und Prozesse. Sie umfasst ambulante und stationäre Einrichtungen sowie Einrichtungen der Rehabilitation. Patienten werden dabei interprofessionell (unter Beteiligung verschiedener Berufsgruppen) und interdisziplinär (durch verschiedene Fachbereiche) betreut. Eine sichere Versorgung und reibungslose Abläufe erfordern ein hohes Maß an Abstimmung, Koordination und Kommunikation.

Für die Diagnostik und die Behandlung von Patienten werden Medizingeräte und -produkte sowie Arzneimittel benötigt.

Medizinischer Fortschritt und verbesserte Möglichkeiten zur Diagnosestellung und Therapie sowie die zunehmende Digitalisierung eröffnen einerseits Chancen, schaffen anderseits aber neuartige Gefahren und Bedrohungen.