van risicoanalyse naar risicomanagement presentatie LOKMML, 5 maart 2019 Marcel Woning, Amsterdam UMC locatie VUmc Amber Jansma, Erasmus MC

van risicoanalyse naar risicomanagement wat zegt ISO + waar staan we? risicomanagement - wat komt er bij kijken? hoe aan te pakken vragen / discussie verdeling werkgroep-onderwerpen 2

wat zegt ISO + waar staan we van risicoanalyse naar risicomanagement wat zegt ISO + waar staan we 3

wat zegt ISO + waar staan we van risicoanalyse naar risicomanagement wat zegt ISO + waar staan we preventieve maatregelen & risicomanagement onderdeel van managementbeoordeling (4.15.2 e / 4.15.2 l) 4

wat zegt ISO + waar staan we van risicoanalyse naar risicomanagement wat zegt ISO + waar staan we waar staan we bij visitaties (afwijkingen): Commissie Kwaliteit: NCB’s niet meer actief bijgehouden (i.v.m. te selecte club labs die inzenden + uiteenlopende formats); RvA heeft beter inzicht recent overzicht RvA: risicomanagement komt niet veel (meer) voor (2,2%) hoogste % NCB’s: competentiebeoordeling (8,4 %) + interne audits (6.7 %) 5

wat zegt ISO + waar staan we van risicoanalyse naar risicomanagement wat zegt ISO + waar staan we waar staan we bij visitaties (afwijkingen): Commissie Kwaliteit: NCB’s niet meer actief bijgehouden (i.v.m. te selecte club labs die inzenden + uiteenlopende formats); RvA heeft beter inzicht recent overzicht RvA: risicomanagement komt niet veel (meer) voor (2,2%) hoogste % NCB’s: competentiebeoordeling (8,4 %) + interne audits (6.7 %) betekent dit dat we het goed voor elkaar hebben…of valt er nog wat te halen…? 6

wat zegt ISO + waar staan we van risicoanalyse naar risicomanagement wat zegt ISO + waar staan we afwijking die enkele jaren geleden regelmatig is afgegeven: “Er is een generieke risico inventarisatie uitgevoerd op het proces afname materiaal, ontvangst, analyse en rapportage, maar niet specifiek de impact van werkprocessen / potentiële fouten op onderzoeksresultaten binnen de verschillende specialismen.” 7

wat zegt ISO + waar staan we van risicoanalyse naar risicomanagement wat zegt ISO + waar staan we afwijking die enkele jaren geleden regelmatig is afgegeven: “Er is een generieke risico inventarisatie uitgevoerd op het proces afname materiaal, ontvangst, analyse en rapportage, maar niet specifiek de impact van werkprocessen / potentiële fouten op onderzoeksresultaten binnen de verschillende specialismen.” wel risicoanalyse qua labbreed primair proces 8

wat zegt ISO + waar staan we van risicoanalyse naar risicomanagement wat zegt ISO + waar staan we afwijking die enkele jaren geleden regelmatig is afgegeven: “Er is een generieke risico inventarisatie uitgevoerd op het proces afname materiaal, ontvangst, analyse en rapportage, maar niet specifiek de impact van werkprocessen / potentiële fouten op onderzoeksresultaten binnen de verschillende specialismen.” wel risicoanalyse qua labbreed primair proces géén verdieping werkgebieden scope (= bacteriologie, mycologie, mycobacteriologie, moleculair, serologie, virologie, mediabereiding etc.) 9

wat zegt ISO + waar staan we van risicoanalyse naar risicomanagement wat zegt ISO + waar staan we interactief klaagmomentje…! (voor)oordelen over risicomanagement 10

wat zegt ISO + waar staan we van risicoanalyse naar risicomanagement wat zegt ISO + waar staan we (voor)oordelen risicomanagement ingewikkeld (‘die enorme sheets…!’) duur / kost veel tijd (‘hoeveel fte wel niet mee gemoeid’) invuloefening (‘wassen neus’) levert weinig op (‘niets nieuws’) 11

wat zegt ISO + waar staan we van risicoanalyse naar risicomanagement wat zegt ISO + waar staan we (voor)oordelen risicomanagement ingewikkeld (‘die enorme sheets…!’) duur / kost veel tijd (‘hoeveel fte wel niet mee gemoeid’) invuloefening (‘wassen neus’) levert weinig op (‘niets nieuws’) klopt voor veel conventionele vormen van risicomanagement, levert illusie van controle… 12

wat zegt ISO + waar staan we van risicoanalyse naar risicomanagement wat zegt ISO + waar staan we (voor)oordelen risicomanagement ingewikkeld (‘die enorme sheets…!’) duur / kost veel tijd (‘hoeveel fte wel niet mee gemoeid’) invuloefening (‘wassen neus’) levert weinig op (‘niets nieuws’) klopt voor veel conventionele vormen van risicomanagement, levert illusie van controle… andere aanpak: gestructureerd, expliciet & realistisch om doelen te verwezenlijken, ondanks of dankzij risico‘s 13

Risicomanagement – wat komt er bij kijken van risicoanalyse naar risicomanagement Risicomanagement – wat komt er bij kijken “Risicomanagement is een kunst op zich.” ISO31000 'Risk management - Guidelines’ 1e versie ISO 31000 in 2009 in 2015 doorgevoerd in ISO 9001 = behoorlijke revolutie (risico-denken en -doen onvermijdelijk onderdeel van kwaliteitsmanagement) recent ISO 31000 herzien (febr. 2018) 14

Risicomanagement – wat komt er bij kijken van risicoanalyse naar risicomanagement Risicomanagement – wat komt er bij kijken wat gaat ‘doorsijpelen’ naar ISO15189 - die nu herzien wordt…en wat in visitaties - wat betekent dit voor ‘ons’? “Risicomanagement is een kunst op zich.” ISO31000 'Risk management - Guidelines’ 1e versie ISO 31000 in 2009 in 2015 doorgevoerd in ISO 9001 = behoorlijke revolutie (risico-denken en -doen onvermijdelijk onderdeel van kwaliteitsmanagement) recent ISO 31000 herzien (febr. 2018) 15

Risicomanagement – wat komt er bij kijken van risicoanalyse naar risicomanagement Risicomanagement – wat komt er bij kijken definitie risico: “effect van onzekerheid op (behalen van) doelstellingen” definitie effect: “afwijking van de verwachting” - kan zowel positief als negatief zijn risicomanagement = hulpmiddel om bedreigingen te beheersen en kansen te benutten om zo prestaties te verbeteren (“realiseren en beschermen van waarde”) risico denken betekent ‘omdenken’: niet alleen bezig zijn met voldoen aan regels/eisen maar begrip hebben voor betekenis áchter regels/eisen 16

Risicomanagement – wat komt er bij kijken van risicoanalyse naar risicomanagement Risicomanagement – wat komt er bij kijken Risicomanagement – de principes voegt waarde toe en zorgt voor waarde-behoud integraal deel van alle processen maakt deel uit van besluitvorming benoemd expliciet onzekerheid systematisch, gestructureerd en tijdig gebaseerd op best beschikbare informatie op maat toegesneden houdt rekening met menselijke / culturele factoren transparant en inclusief dynamisch, iteratief en reageert op verandering ondersteunt continue verbetering in de organisatie 17

Risicomanagement – wat komt er bij kijken van risicoanalyse naar risicomanagement Risicomanagement – wat komt er bij kijken Risicomanagement – de principes voegt waarde toe en zorgt voor waarde-behoud integraal deel van alle processen maakt deel uit van besluitvorming benoemd expliciet onzekerheid systematisch, gestructureerd en tijdig gebaseerd op best beschikbare informatie op maat toegesneden houdt rekening met menselijke / culturele factoren transparant en inclusief dynamisch, iteratief en reageert op verandering ondersteunt continue verbetering in de organisatie vergt andere wijze van organiseren / aansturen verantwoordelijken moeten evt. tegenstrijdigheden en dilemma’s overzien en aanpakken kunst = risicosturing expliciet én pragmatisch te integreren in bestaande processen, en ‘waardeloze’ procedures verwijderen 18

Risicomanagement – wat komt er bij kijken van risicoanalyse naar risicomanagement Risicomanagement – wat komt er bij kijken risicomanagement = fundament van kwaliteitsdenken (niet alleen ‘systemisch’) risicomanagement komt door ISO-inbedding op alle niveaus terug: veiligheidsmanagement, milieumanagement, kwaliteitsmanagement, compliancemanagement, … rol topmanagement = risicomanagement integreren in alle activiteiten en besluitvormingsprocessen, niet alleen ‘lab’, maar organisatie breed risicomanagement = samenspel / balans van proactiviteit èn reactiviteit, tevoren risico’s minimaliseren en anderzijds adequaat kunnen reageren bij incidenten 19

Risicomanagement – wat komt er bij kijken van risicoanalyse naar risicomanagement Risicomanagement – wat komt er bij kijken Risicomanagement heeft ontzettend veel ‘raakvlakken’ in het kwaliteitssysteem: – procesbeschrijvingen: wel/niet beschrijven en risico’s expliciet benoemen – managementinformatie: vaststelling KPI’s / relevante aspecten voor monitoring – doelstellingen: sturen op ‘succes’ via bijv. SWOT-methodiek – registratiebeheer: vaststellen hoe lang iets bewaard moet worden met welk oogmerk – productontwikkeling: specifieke aandacht risicogebieden m.b.t. gebruikerseisen – interne audits: vaststelling relevante auditonderwerpen / prioritering / juiste ‘spreiding’ – leveranciersbeoordeling: eisen t.a.v. leverende partij – validatie: tevoren eisen vastleggen qua prestaties van een methode / apparaat – continuïteitsborging: noodplan / bedrijfsplan etc. 20

Risicomanagement – wat komt er bij kijken van risicoanalyse naar risicomanagement Risicomanagement – wat komt er bij kijken Risicomanagement heeft ontzettend veel ‘raakvlakken’ in het kwaliteitssysteem: – procesbeschrijvingen: wel/niet beschrijven en risico’s expliciet benoemen – managementinformatie: vaststelling KPI’s / relevante aspecten voor monitoring – doelstellingen: sturen op ‘succes’ via bijv. SWOT-methodiek – registratiebeheer: vaststellen hoe lang iets bewaard moet worden met welk oogmerk – productontwikkeling: specifieke aandacht risicogebieden m.b.t. gebruikerseisen – interne audits: vaststelling relevante auditonderwerpen / prioritering / juiste ‘spreiding’ – leveranciersbeoordeling: eisen t.a.v. leverende partij – validatie: tevoren eisen vastleggen qua prestaties van een methode / apparaat – continuïteitsborging: noodplan / bedrijfsplan etc. gevolg voor ‘ons’ als KF’s…? 21

Risicomanagement – wat komt er bij kijken van risicoanalyse naar risicomanagement Risicomanagement – wat komt er bij kijken “kwaliteitsmanager wordt risicomanager” met gevolgen voor onze competenties / positie in organisatie… http://risicogestuurdwerken.overmanagement.net/2015/10/07/kwaliteitsmanagement/ 22

van risicoanalyse naar risicomanagement hoe aan te pakken? ISO zegt niet ‘hoe’ je risico’s moet managen, maar dát je het moet doen welke tools je gebruikt hoe hoog je iets als risico in schat hoe je het aanpakt 23

van risicoanalyse naar risicomanagement hoe aan te pakken? ISO zegt niet ‘hoe’ je risico’s moet managen, maar dát je het moet doen welke tools je gebruikt: up to you hoe hoog je iets als risico in schat hoe je het aanpakt BOWTIE HFMEA SWOT zandlopermodel Swiss Cheese model SAFER PRISMA 24

van risicoanalyse naar risicomanagement hoe aan te pakken? ISO zegt niet ‘hoe’ je risico’s moet managen, maar dát je het moet doen welke tools je gebruikt hoe hoog je iets als risico in schat: grotendeels up to you hoe je het aanpakt 25

van risicoanalyse naar risicomanagement hoe aan te pakken? ISO zegt niet ‘hoe’ je risico’s moet managen, maar dát je het moet doen welke tools je gebruikt hoe hoog je iets als risico in schat hoe je het aanpakt: grotendeels up to you Strategie behandeling risico’s 26

hoe aan te pakken? van strategische doelen naar operationele risico’s van risicoanalyse naar risicomanagement hoe aan te pakken? van strategische doelen naar operationele risico’s 27

hoe aan te pakken? strategie behandeling risico’s van risicoanalyse naar risicomanagement hoe aan te pakken? strategie behandeling risico’s 28

VANAF HIER UITLEG DOOR MARCEL van risicoanalyse naar risicomanagement hoe aan te pakken? PRIE in de praktijk Als het dan toch «up to you» is, kies dan voor iets waar je zelf iets aan hebt. Zoek een methode waar het management mee uit de voeten kan. Doe het SAMEN met het management (draagvlak) VANAF HIER UITLEG DOOR MARCEL 29

VANAF HIER UITLEG DOOR MARCEL van risicoanalyse naar risicomanagement hoe aan te pakken? PRIE in de praktijk Een veelgebruikte methode is de HFMEA (Healthcare Failure Method and Effect Analysis) of de daarvan afgeleide SAFER (Scenario Analyse van Faalwijzen, Effecten en Risico’s) methode. Praktisch en flexibel, maar is het genoeg? VANAF HIER UITLEG DOOR MARCEL 30

VANAF HIER UITLEG DOOR MARCEL van risicoanalyse naar risicomanagement hoe aan te pakken? HFMEA/SAFER in de praktijk 5 stappen: Keuze proces en afbakening Samenstelling werkgroep Procesbeschrijving Risicoanalyse Acties en uitkomstmaten VANAF HIER UITLEG DOOR MARCEL 31

VANAF HIER UITLEG DOOR MARCEL van risicoanalyse naar risicomanagement hoe aan te pakken? HFMEA/SAFER in de praktijk Stap 1: Keuze proces en afbakening Definieer het onderwerp voor de analyse. Definieer een duidelijk begin en einde. VANAF HIER UITLEG DOOR MARCEL 32

VANAF HIER UITLEG DOOR MARCEL van risicoanalyse naar risicomanagement hoe aan te pakken? HFMEA/SAFER in de praktijk Stap 2: Samenstelling werkgroep Kies een voorzitter, een procesbegeleider (voorkeur KF) en een notulist. Stel een multidisciplinaiere werkgroep samen. Betrek het management. VANAF HIER UITLEG DOOR MARCEL 33

VANAF HIER UITLEG DOOR MARCEL van risicoanalyse naar risicomanagement hoe aan te pakken? HFMEA/SAFER in de praktijk Stap 3: Procesbeschrijving Verdeel het proces (waar nodig) in subprocessen. Nummer deze en maak een stroomdiagram Benoem per subproces de processtappen en zet dit ook in een stroomdiagram. Bepaal de focus van de analyse indien het proces te complex is. VANAF HIER UITLEG DOOR MARCEL 34

HFMEA/SAFER in de praktijk van risicoanalyse naar risicomanagement hoe aan te pakken? HFMEA/SAFER in de praktijk Stap 3: Procesbeschrijving Verdeel het proces (waar nodig) in subprocessen. Nummer deze en maak een stroomdiagram Benoem per subproces de processtappen en zet dit ook in een stroomdiagram. Bepaal de focus van de analyse indien het proces te complex is. VANAF HIER UITLEG DOOR MARCEL Diepgang!! Nu vaak op hoofdproces, maar is/blijft dit voldoende voor de RvA? En belangrijker: Is dit voldoende voor het lab zelf? 35

VANAF HIER UITLEG DOOR MARCEL van risicoanalyse naar risicomanagement hoe aan te pakken? HFMEA/SAFER in de praktijk Stap 4: Risicoanalyse Benoem alle* mogelijke faalwijzen per stap. Bepaal per faalwijze de ernst van het gevolg. Benoem alle* mogelijke oorzaken faalwijze. Bepaal voor iedere oorzaak de frequentie. Bepaal de RPN (Risk Priority Number) (E*F) Bepaal de detecteerbaarheid Bepaal de prioriteit van de vervolgstappen. VANAF HIER UITLEG DOOR MARCEL 36

VANAF HIER UITLEG DOOR MARCEL van risicoanalyse naar risicomanagement hoe aan te pakken? HFMEA/SAFER in de praktijk Stap 4: Risicoanalyse Benoem alle* mogelijke faalwijzen per stap. Bepaal per faalwijze de ernst van het gevolg. Benoem alle* mogelijke oorzaken faalwijze. Bepaal voor iedere oorzaak de frequentie. Bepaal de RPN (Risk Priority Number) (E*F) Bepaal de detecteerbaarheid Bepaal de prioriteit van de vervolgstappen. VANAF HIER UITLEG DOOR MARCEL Alle = Onmogelijk! 37

VANAF HIER UITLEG DOOR MARCEL van risicoanalyse naar risicomanagement hoe aan te pakken? HFMEA/SAFER in de praktijk Een (prospectieve) risicoanalyse blijft te allen tijde een inschatting. Het gaat om het beheersen van de voornaamste en meest voor de hand liggende faalwijzen. Het grootste risico zit in die zaken die niet (redelijkerwijs) verwacht/voorzien kunnen worden.... VANAF HIER UITLEG DOOR MARCEL 38

VANAF HIER UITLEG DOOR MARCEL van risicoanalyse naar risicomanagement hoe aan te pakken? HFMEA/SAFER in de praktijk VUMC 8 september 2015 VANAF HIER UITLEG DOOR MARCEL 39

VANAF HIER UITLEG DOOR MARCEL van risicoanalyse naar risicomanagement hoe aan te pakken? HFMEA/SAFER in de praktijk VANAF HIER UITLEG DOOR MARCEL 40

VANAF HIER UITLEG DOOR MARCEL van risicoanalyse naar risicomanagement hoe aan te pakken? HFMEA/SAFER in de praktijk VANAF HIER UITLEG DOOR MARCEL 41

VANAF HIER UITLEG DOOR MARCEL van risicoanalyse naar risicomanagement hoe aan te pakken? HFMEA/SAFER in de praktijk Dus naast alle risico inschattingen en analyses blijft het van belang om de WASCoS methode in ere te houden. Deze door alle noramtieve eisen steeds meer in het ongerede geraakte methodiek heeft nog altijd bestaansrecht. Wat is WASCoS? Geen paniek, niet nog meer complexe methodieken. Je gebruikt het waarschijnlijk elke dag.. VANAF HIER UITLEG DOOR MARCEL 42

VANAF HIER UITLEG DOOR MARCEL van risicoanalyse naar risicomanagement hoe aan te pakken? HFMEA/SAFER in de praktijk WASCoS: We Apply Some Common Sense Oftewel: We gebruiken ons gezonde verstand. VANAF HIER UITLEG DOOR MARCEL 43

VANAF HIER UITLEG DOOR MARCEL van risicoanalyse naar risicomanagement hoe aan te pakken? HFMEA/SAFER in de praktijk We Apply Some Common Sense Om onvoorziene faalwijzen het hoofd te kunnen bieden is het van belang dat er ook een systeem is ingericht dat er voor zorgt dat in onvoorziene situaties de juiste mensen worden benaderd om het falen en de gevolgen daarvan te kunnen beperken en beheersen. Benoem dit ook!! VANAF HIER UITLEG DOOR MARCEL 44

VANAF HIER UITLEG DOOR MARCEL van risicoanalyse naar risicomanagement hoe aan te pakken? HFMEA/SAFER in de praktijk Stap 5: Acties en uitkomstmaten Bepaal per oorzaak de te nemen actie Beschrijf actie (verbetermaatregel?) of motiveer acceptatie. Bespreek de te nemen acties met het management (commitment). VANAF HIER UITLEG DOOR MARCEL 45

VANAF HIER UITLEG DOOR MARCEL van risicoanalyse naar risicomanagement hoe aan te pakken? HFMEA/SAFER in de praktijk Stap 5: Acties en uitkomstmaten Bepaal per oorzaak de te nemen actie Beschrijf actie (verbetermaatregel?) of motiveer acceptatie. Bespreek de te nemen acties met het management (commitment). VANAF HIER UITLEG DOOR MARCEL Daarom is het handig als iemand uit het management in de werkgroep zit! 46

VANAF HIER UITLEG DOOR MARCEL van risicoanalyse naar risicomanagement hoe aan te pakken? Risicobeheersing in de praktijk Dus we hebben een HFMEA/SAFER uitgevoerd op werkeenheid niveau en de belangrijke risico’s in kaart gebracht, verholpen of geaccepteerd (al dan niet met monitoring) en dit in een overzichtelijke Excel samengevoegd. We zijn dus klaar! Toch? Of.......... VANAF HIER UITLEG DOOR MARCEL 47

VANAF HIER UITLEG DOOR MARCEL van risicoanalyse naar risicomanagement hoe aan te pakken? Risicobeheersing in de praktijk Moeten we nog verder de diepte in? Dus nu ook op platform niveau (bv Liaison, handmatig etc.). Andere werkwijze, dus andere risico’s? Moeten we alleen naar de laboratoriumprocessen kijken? Of ook naar de bedrijfsprocessen? Mediabereiding? Inkoop? Ondersteunende diensten? Etc. Etc. Wat is de houdbaarheid van een PRIE? VANAF HIER UITLEG DOOR MARCEL 48

VANAF HIER UITLEG DOOR MARCEL van risicoanalyse naar risicomanagement hoe aan te pakken? Risicobeheersing in de praktijk Moeten we nog verder de diepte in? Dus nu ook op platform niveau (bv Liaison, handmatig etc.). Persoonlijk gevoel: Ja (Input voor de discussie?). Andere werkwijze, dus andere risico’s Hoe ver ga je? – De volgende stap is op analyseniveau en dus procedureel beschreven in een beheerd document dus niet verder dan dat. VANAF HIER UITLEG DOOR MARCEL 49

VANAF HIER UITLEG DOOR MARCEL van risicoanalyse naar risicomanagement hoe aan te pakken? Risicobeheersing in de praktijk Moeten we alleen naar de laboratoriumprocessen kijken? Of ook naar de bedrijfsprocessen? Mediabereiding? Inkoop? Ondersteunende diensten? Etc. Etc. Mediabereiding wel, is feitelijk een werkeenheid. Bedrijfsprocessen? Monitoren we die niet met de management review? Met goedgekozen KPI’s worden de bedrijfsmatige risico’s gemonitord en beheerd. VANAF HIER UITLEG DOOR MARCEL 50

VANAF HIER UITLEG DOOR MARCEL van risicoanalyse naar risicomanagement hoe aan te pakken? Risicobeheersing in de praktijk Wat is de houdbaarheid van een PRIE? Strikt bekeken is een PRIE bij elke wijziging in een proces al verouderd. Hoe beheers je dan de actualiteit? Met Change Management. Bij elke wijziging toetsen of er invloed is op de risico’s. Erg intensief en ook een risico: VANAF HIER UITLEG DOOR MARCEL 51

VANAF HIER UITLEG DOOR MARCEL van risicoanalyse naar risicomanagement hoe aan te pakken? Risicobeheersing in de praktijk Met Change Management. Erg intensief en ook een risico: Als elke wijziging in een processtap op deze manier wordt gewogen bestaat er nog wel het risico dat de risico’s van het proces in zijn geheel door veranderingen van de omgeving en/of het tijdsbeeld anders komen te liggen. Daarom periodiek de PRIE evalueren en de RPN opnieuw vaststellen. VANAF HIER UITLEG DOOR MARCEL 52

van risicoanalyse naar risicomanagement VRAGEN / DISCUSSIE ? ? ? ? ? ? ? ?

verdeling werkgroep-onderwerpen van risicoanalyse naar risicomanagement verdeling werkgroep-onderwerpen risicomanagement en continuïteit risicomanagement en integriteit (bijv. AVG, data-integriteit, ethisch gedrag) risicomanagement en validatie / business cases risicomanagement en KPI’s / monitoring risicomanagement en doelstellingen (bijv. SWOT-analyses) vragen: wie draagt welke verantwoording in het risico denken en op welk moment? wat zijn de externe risico’s en wat de interne risico’s (zie slide hierna)? wat doe je preventief, wat reactief (vastlegging risico’s en te nemen acties) accepteren, vermijden, beheersen (delen / reduceren), elimineren? 54

risico’s kunnen extern en intern zijn: van risicoanalyse naar risicomanagement risico’s kunnen extern en intern zijn: EXTERN INTERN technologische ontwikkelingen (vraag naar, af- of toename kosten) infrastructuur (investeringen etc.) natuurlijke oorzaken (ziekte, wateroverlast, brand) personeel (afloop contracten, tevredenheid, competentie) politieke omstandigheden (wetgeving, nieuwe agenda’s) processen (fouten, inefficiency etc.) economische omstandigheden (recessie, inflatie, concurrentie) technologie (beveiligingsfouten, discontinuïteit, onbetrouwbare info) maatschappelijke ontwikkelingen (balans werk/prive, cultuur) … 55