Kockázatkezelés a kórházi

gyakorlatban

Dohnál Erika

szervezési és minőségirányítási igazgató

Gottsegen György Országos Kardiológiai Intézet

Kockázatkezelési rendszer

A költségvetési szervek belső kontrollrendszeréről és belső ellenőrzéséről szóló 370/2011. (XII.31.) kormány rendelet 7. § (1) pontja szerint:

„A költségvetési szerv vezetője köteles integrált kockázatkezelési rendszert működtetni.”

A rendelet 7. § (2) pontja értelmében:

„[…] fel kell mérni és meg kell állapítani a költségvetési szerv tevékenységében, gazdálkodásában rejlő kockázatokat, valamint meg kell határozni az egyes kockázatokkal kapcsolatban szükséges intézkedéseket, valamint azok teljesítésének folyamatos nyomon követésének módját.”

Az MSZ EN ISO 9001:2015. Minőségirányítási rendszerek. Követelmények szabvány értelmében az intézménynek be kell azonosítania minden olyan kockázati tényezőt, amely hatással van szolgáltatása minőségére és gondoskodnia kell ezen kockázatok kezelési folyamatainak kidolgozásáról, végrehajtásáról, továbbá a minőségpolitikának tartalmaznia kell a klinikai kockázatkezelést.

Hivatkozások

• Az államháztartásról szóló 2011. évi CXCV. Törvény

• Az államháztartásról szóló törvény végrehajtásáról szóló 368/2011

(XII.31.) Kormányrendelet

• A költségvetési szervek belső kontrollrendszeréről és belső

ellenőrzéséről szóló 370/2011. (XII.31.) Kormányrendelet

• Pénzügyminisztérium – Belső Kontroll Kézikönyv (továbbiakban BKK)

• Szakirodalom – Államháztartási Belső Pénzügyi Ellenőrzési

Módszertani és Képzési Központ Továbbképzés – Kockázatkezelés

• Ellenőrzési dokumentációk, jelentések

1. A kockázatkezelésben résztvevők feladatai

BKK: A költségvetési szerv vezetőjének úgy kell kialakítania a kockázatkezelés

gyakorlatát, hogy az alapvetően, a kockázatok által közvetlenül érintett vezetők és

alkalmazottak, közösen felülvizsgált tapasztalataira épüljön.

Egységek kockázatkezelői:

• kockázatok egységszintű elemzése (azonosítás, értékelés)

• kockázatok kezelési módjának meghatározása

• intézkedés, kockázatkezelés hatásának, eredményének felmérése

• az egység kockázatkezelési folyamatainak évenkénti dokumentált

ellenőrzése, kockázatkezelési űrlap felülvizsgálata, éves jelentés

elkészítése

Intézményi kockázatkezelési felelős:

• kockázatkezelési rendszer kialakítása, intézményi szabályozás

elkészítése

• kockázat-nyilvántartás kialakítása, folyamatos karbantartása

• monitorozás, értékelés, felülvizsgálat koordinálása

• intézményi szintű éves jelentés elkészítése

2. A kockázatok felmérése és meghatározása

BKK: Gondoskodni kell a költségvetési szerv tevékenységeivel kapcsolatos kockázatok felméréséről, illetve összegyűjtéséről.

Ellenőrző kérdések:

• A kockázatok felmérése és csoportosítása során elkülönítették a külső és a belső okokra visszavezethető kockázatokat?

• Megfelelően határozták meg a kockázatfeltárás lehetséges főbb lépéseit?

• A belső működési kockázatokat pénzügyi, tevékenységi és emberi erőforrás kockázati csoportokba osztották?

2.1. Az intézmény tevékenységére ható kockázatok meghatározása

- Külső kockázatok

- Pénzügyi kockázatok

- Tevékenységi kockázatok

- Emberi erőforrás kockázatok

Külső kockázatok

INFRASTRUKTURÁLIS: Az infrastruktúra elégtelensége vagy hibája megakadályozhatja a normális működést.

GAZDASÁGI: Kamatláb-változások, árfolyam-változások, infláció negatív hatás­sal lehetnek a tervekre.

JOGI ÉS SZABÁLYOZÁSI: A jogszabályok és egyéb szabályok korlátozhatják a kívánt tevékenységek terjedelmét. A szabályozások nem megfelelő megkötéseket tartalmazhatnak. A szakmai és adminisztratív feladatokat befolyásoló jogi vagy szabályozási környezet túl gyakran változik, folyamatos bizonytalanságot eredményezve ezzel. A szakmai és adminisztratív feladatokat befolyásoló szabályok túl bonyolultak.

KÖRNYEZETVÉDELMI: A környezetvédelmi megszorítások a szervezet működési területén korlátot szabhatnak a lehetséges tevékenységeknek.

POLITIKAI: Egy kormányváltás megváltoztathatja a kitűzött célokat. Egy szervezet tevékenysége magára vonhatja a politika érdeklődését, vagy kiválthat politikai reakciót. Szakpolitikai stratégia gyakran változik.

PIACI: Versenyhelyzet kialakulása, vagy szállítói probléma negatív hatással lehet a tervekre.

ELEMI CSAPÁSOK: Tűz, árvíz vagy egyéb elemi csapások hatással lehetnek a kívánt tevékenység elvégzésének képességére. A katasztrófavédelmi terv elégtelennek bizonyulhat.

Pénzügyi kockázatok

KÖLTSÉGVETÉSI: A költségvetés nagyságrendjének, szerkezetének módosulásai, a bevételi, kiadási előirányzatok változásai. A stratégiai és rövidtávú feladattervek, illetve a költségvetési tervek nincsenek összhangban a jogi szabályozási előírásokkal, a tulajdonosi elvárásokkal, és célkitűzésekkel. A feladatok, erőforrások és kapacitások változását a tervezésnél nem veszik figyelembe.

ELSZÁMOLÁSI: Elszámolások, jelentések, beszámolók jelentős hibákat tartalmaznak, a nyilvántartások nem naprakészek. A pénzkezeléssel kapcsolatos jogi és belső szabályozási előírások betartása nem biztosított. A szervezet nem rendelkezik megfelelő számviteli nyilvántartási rendszerrel. A szervezet beszámolási rendszere nem megbízható. A szervezet nem követi folyamatosan nyomon a könyvvezetéssel kapcsolatos jogi szabályozási előírások változásait.

CSALÁS VAGY LOPÁS: Eszközvesztés. A források nem elegendőek a kívánt megelőző intézkedésre.

BIZTOSÍTÁSI: Nem lehet a megfelelő biztosítást megszerezni elfogadható költségen. A biztosítás elmulasztása.

TŐKE BERUHÁZÁSI: Nem megfelelő beruházási döntések meghozatala. Hiányos tervezés.

FELELŐSSÉGVÁLLALÁSI: A szervezetre mások cselekedete negatív hatást gyakorol, a szervezet kártérítés követelési problémái.

Tevékenységi kockázatok

MŰKÖDÉS-STRATÉGIAI: A stratégia elégtelen vagy pontatlan információra épül. Nem megfelelő felmérést követő célkitűzés, hibás feladattervezés, ellenőrzés és módosítás hiánya. A szervezet közép- és hosszú távú stratégiai tervei rövidebb távú, konkrét programokra és/vagy munkatervekre és/vagy feladatokra nincsenek lebontva.

MŰKÖDÉSI: Feladatváltozás. A jogi szabályozási, politikai-gazdasági stb. környezeti változásokat nem követik a belső szabályozások. Nem megfelelő munkavégzés. A szakmai feladatellátásra vonatkozó belső szabályzatokat, utasításokat nem tartják be. A szervezeti vagyon, eszközök megfelelő működtetése és állagmegóvása nem biztosított. Az üzemeltetési feladatoknak nincs felelőse a szervezeten belül.

INFORMÁCIÓS: A szükséges információk nem állnak rendelkezésre, vagy az információk cseréje nem megbízható módon történik, nem hoznak létre, és nem működtetnek megfelelő színvonalú információs hálózatot. Az egyes szervezeti egységek közötti koordináció és kommunikáció nem biztosított. A szervezet nem rendelkezik pontos, naprakész iratkezelési és irattározási rendszerrel. A nyilvántartási rendszerek nem megfelelőek, nem naprakészek, vagy a hozzáférési korlátok nem működnek. Az archiválási rendszerek egyáltalán nem vagy nem megfelelően működnek.

HÍRNÉV: A nyilvánosságban kialakult rossz hírnév negatív hatást fejt ki. A nyilvánosságra hozatal belső rendje nem szabályozott.

KOCKÁZATI ÉS BELSŐ KONTROLL: A belső kontrollrendszer egyes elemei (pl. kontrolltevékenység, monitoring, stb.) hiányoznak a szervezetnél, vagy nem megfelelően működnek. A korábbi ellenőrzések során tett javaslatokat a vezetőség nem vette figyelembe. Szabálytalanságkezelés eljárásrendje nem megfelelő. A szervezet nem végez rendszeres korrupciós kockázatelemzést.

TECHNOLÓGIAI: A technológiai üzemzavar megbéníthatja a szervezet működését. Nem biztosítják a feladatellátáshoz szükséges anyagi-technikai eszközöket. A szervezet nem rendelkezik informatikai tervvel, illetve biztonsági és katasztrófa tervvel. A szakmai, illetve adminisztratív folyamatok támogatására a szükséges időpontban nem áll rendelkezésre informatikai alkalmazás. Egyes informatikai alkalmazások nem kompatibilisek más, a szervezet által alkalmazott informatikai rendszerekkel. A szervezet adatkezelése és adatvédelme nem felel meg a jogi és belső szabályozási előírásoknak.

PROJEKT: A megfelelő előzetes kockázatelemzés, hatástanulmány nélkül készült el a projekt-tervezet. A projektek nem teljesülnek a költségvetési vagy funkcionális határidőre.

ÚJÍTÁSI: Elmulasztott újítási lehetőségek. Új megközelítés alkalmazása a kockázatok megfelelő elemzése nélkül.

Emberi erőforrás kockázatok

SZEMÉLYZETI: A hatékony működést korlátozza, vagy teljesen ellehetetleníti a szükséges számú, megfelelő képesítésű személyi állomány hiánya. A szakmai és adminisztratív feladatok ellátására nem áll rendelkezésre elegendő munkaerő-kapacitás. A rendelkezésre álló munkaerő nem rendelkezik megfelelő végzettséggel és/vagy szakmai tapasztalattal. A szervezet munkatársai nem azonosulnak a szervezeti etikai szabályokkal. A munkatársak feladat- és felelősségi köre nem kellően részletes/meghatározott, nem megfelelően elhatárolt, nem megfelelően kommunikált. A szervezetnél nincs kialakult képzési rendszer vagy elavult. Magas fluktuáció. Összeférhetetlenségi követelmények teljesítése nehézségekbe ütközik. A szervezet emberi erőforrásait a stratégiájával és terveivel ellentétben, nem átlátható módon tervezi, irányítja és fejleszti. A szervezeten belül nincsenek szabályozva a különféle ajándékok, meghívások, utaztatás elfogadásának feltételei. Az etikai értékek és az integritás nem érvényesül.

EGÉSZSÉG ÉS BIZTONSÁGI: A szervezet nem rendelkezik fizikai biztonsági tervekkel és előírásokkal. A szervezet nem működtet foglalkozás-egészségügyi ellátást. Az egészségre ható munkahelyi kockázatok kezelésének szabályozása hiányzik.

2.2. Intézményi adatgyűjtési struktúra kialakítása az egységek

kockázatfelmérésének elvégzéséhez

3. Feltárt kockázatok kvalitatív értékelése, elemzése

BKK: Minden egyes beazonosított kockázati tényező vonatkozásában fontos a bekövetkezés valószínűségének és a költségvetési szervre gyakorolt hatásának meghatározása, e két tényező együttes értékelésével alakítható ki a kockázatok rangsora, és az a módszer illetve gyakorlat, amely alkalmas a kockázatok kezelésére.

Ellenőrző kérdések:

• Megfelelő dokumentációs módszereket alkalmaztak a kockázatok rangsorolásához?

• Ismertek a kockázati rangsor kialakításának technikai módszerei?

• Jelentőségüknek megfelelően rangsorolták a folyamatokat?

• Helyesen sorolják be a kockázatokat a három kategóriába?

• Alkalmazzák a költségvetési szervnél a KKM-et a kockázatok hatásának értékeléséhez?

3.1. Kockázatok rangsorolása

A szervezeti egység belső folyamatainak rangsorolási szempontjai:

- a szervezet életében betöltött szerepük jelentősége (alapvető, meghatározó és/vagy kiemelten nagy költségigényű tevékenység),

- jellege (pénzügyi, szakmai, informatikai folyamat), továbbá

- kockázati kitettségük (magas, közepes, alacsony) alapján.

3.2. Kockázatkezelési mátrix kialakítása

1. Hatás és valószínűség értékelése skálán

2. Esemény kockázati értéke: hatás*valószínűség

3. Tevékenység átlagos kockázati érték:

Σ/esemény száma

4. Folyamat átlagos kockázati értéke:

Σ/tevékenység száma

5. Kockázati kategóriák kijelölése (hatás és vsz.

értéke)

6. Kockázati események elhelyezése a

„mátrixban”

7. Kockázati esemény értékelése: alacsony (1-2,1),

közepes (3,2), magas kockázat (4-5,3)

Kockázati események (1-6) elhelyezése koordináta rendszerben

4. Kockázattűrő képesség meghatározása

BKK: A kockázatkezelés célja, hogy azok hatásának mértékét, és/vagy bekövetkezési gyakoriságát mérsékelje, ha pedig lehetséges, megszüntesse. A kockázatok költségvetési szervre gyakorolt hatása szervezeti egységenként, illetve folyamatonként eltérő lehet. A költségvetési szerv vezetőjének kell eldöntenie, milyen mértékű kockázati tűréshatárokat állapít meg, mivel attól függ, hogy szükséges-e, és milyen módon a kockázatokat kezelni.

Ellenőrző kérdések:

• Döntöttek az egyes kockázatokkal kapcsolatos tűréshatárokról?

• A tűréshatárokat, a tevékenység által indokoltan, milyen mérőszámokra alapozottan határozták meg?

• A tűréshatárokat a szervezet egészére és egyes szervezeti egységeire is meghatározták?

• Biztosították a tűréshatárok közötti összhangot (szervezeti, delegált, projekt)?

• Időközönként sor kerül a tűréshatárok felülvizsgálatára és módosítására?

A kockázati tűréshatárokat a következő csoportok szerint lehet értelmezni:

1. Szervezeti szintű kockázati tűréshatár – egy általános tolerancia szint meghatározása a költségvetési szerv egészének működése során felmerülő kockázatokra vonatkozóan.

2. Delegált kockázati tűréshatár – az egyes szervezeti szintek általános tolerancia szintjének meghatározása, egy alacsonyabb szervezeti szinten meglévő kockázat a magasabb szervezeti szinten már nem, vagy csak kisebb fenyegetettséget jelent.

3. Projekt kockázati tűréshatár – a szervezet nem mindennapi tevékenységéhez tartozó projektek egyedi kockázati tűréshatárainak kialakítása.

5. A kockázatok kezelése BKK: A kockázatok kezelése a költségvetési szerv vezetésének egyik legfontosabb feladata, mert azok negatív hatásai késleltetik, akadályozzák, egyes esetekben lehetetlenné teszik a vezetés céljainak tervszerinti elérését. Ezért, minden előre látható jelentősebb kockázati tényező kezelésére, már stratégiai szinten ki kell dolgozni azokat a módszereket, amelyek alkalmasak a költségvetési szerv céljainak elérését veszélyeztető tényezők hatékony kezelésére.

Ellenőrző kérdések:

• A vezetés meghatározta a kockázatkezelési stratégiát?

• Meghatározták-e az adott szinten alkalmazandó válaszlépéseket?

• Kijelölték a végrehajtásért felelős személyeket?

• Beépítették a kockázatkezeléshez a különböző kontrollokat?

• Célszerűen foglalkoznak a humánerőforrás kockázatok megelőzésével?

• Folyamatosan gondoskodnak a tevékenységi kockázatok mérsékléséről, megszüntetéséről?

• Foglalkoznak annak figyelésével, hogy a belső szabályzatok naprakészen álljanak összhangban a vonatkozó jogszabályokkal?

• Meggyőződnek arról, hogy az intézkedések kellően hatékonyak voltak?

• A vagyonkezelés során alkalmazzák az elemzéshez, értékeléshez szükséges indikátorokat, mutatószámokat?

• Biztosított-e a „négy szem” elvének érvényesülése valamennyi folyamatnál?

Az egységszintű kockázat-nyilvántartás tartalmazza a beazonosított kockázatok értékelését, az adott szinten szükséges válaszlépéseket, kockázatkezelés meghatározását és a végrehajtásért felelős vezetőket.

6. Kockázat-nyilvántartás BKK: A vezetésnek gondoskodnia kell egy csaknem naprakész olyan nyilvántartási

rendszer kialakításáról, amely alkalmas a kockázatok változásainak, a kezelés során tett intézkedések következményeinek folyamatos nyomon követésére.

Ellenőrző kérdések:

• Rendelkezik a költségvetési szerv a kockázatokról adatbázissal?

• Az adatbázis megfelelő csoportosításban tartalmazza a kockázatokat?

• Az adatbázis alkalmas a kockázati tényezők változásának nyomon követésére?

• Alkalmas az adatbázis a kockázati tényezők elemzésére, az intézkedések hatásának bemutatására?

BKK: Fontos az alkalmazottak tájékoztatása a szakterületükön beazonosított kockázati tényezőkről.

Ellenőrző kérdések:

• Gondoskodott a vezetés arról, hogy az egyes szakterületeket érintő, beazonosított kockázatok listáját az érintettek megkapják?

• Milyen formában juthatnak hozzá a kockázatokkal kapcsolatos információkhoz az érintett dolgozók?

A kockázatkezelési szabályzat tartalmazza a kockázatok nyilvántartását: az egységek kockázatkezelési űrlapjait, összesített egységszintű kockázatkezelést, a szervezeti szintű kockázatok nyilvántartását.

A) Intézményi kockázatkezelési

nyilvántartás

Összesített egységszintű

kockázatkezelés szerint

7. Kockázatkezelés monitorozása, értékelése, felülvizsgálata

BKK: Ki kell dolgozni az előírt kockázati nyilvántartás adatainak felhasználásával egy olyan információs jelentési rendszert, amely alkalmas, minden egyes kockázat esetében, a kezelésére kialakított módszer tényleges alkalmazásának, és azon keresztül hatékonyságának nyomon követésére, mérésére, a hozott intézkedésektől eltérő gyakorlat jelzésére, ami lehetővé teszi a vezetés számára menetközben a korrekciós intézkedések szükség szerinti meghozatalát.

Ellenőrző kérdések:

• Értékelték-e a tett intézkedések eredményeit?

• Meggyőződtek utólag a választott lépés helyességéről?

BKK: A beazonosított kockázatok kezelésére vonatkozó felülvizsgálat évente legalább egy alkalommal történő elvégzése elengedhetetlen feladat. A felülvizsgálatnak ki kell terjednie arra, hogy a kezelést az előírtaknak megfelelően végezték-e, milyen változások következtek be, a kezelés kellően hatékony és eredményes volt-e.

Ellenőrző kérdések:

• A vezetés rendelkezett arról, hogy a beazonosított kockázatokat évente legalább egyszer felül kell vizsgálni?

• Kidolgozták a felülvizsgálat módszerét?

• A felülvizsgálat kiterjedt minden kockázat esetében a legfontosabbnak tartott tényezőkre?

• A vezetés gondoskodott arról, hogy a kockázatkezelési folyamat elemeit évente legalább egyszer teljes körűen felülvizsgálja?

• A felülvizsgálat tapasztalatai hasznosításra kerülnek a kockázatkezelési tevékenység korszerűsítéséhez?

• Hasznosítják a belső ellenőrzés vizsgálati tapasztalatait?

Éves kockázatkezelési jelentés

Vezetőségi átvizsgálás:

1. Egységek kockázatkezelőinek éves jelentése

2. Indikátorrendszer eredményei, terv-tény elemzés

3. Külső és belső ellenőrzések eredményei, megállapításai

4. Szakmai fejlesztési terv, gazdálkodási terv, minőségfejlesztési terv megvalósulásának értékelése, teljesítményértékelés

5. Helyesbítő és megelőző jellegű intézkedések eredményei

6. Jogszabályi követelményeknek való megfelelés értékelése

7. Érdekelt felek és partnerek visszajelzéseinek értékelése

8. Vezetőségi önértékelés

9. Kockázatkezelési és belső kontroll rendszer fejlesztésének terve Egységszintű és intézményi kockázatok felülvizsgálata,

módosítása, új kockázatok azonosítása

Ellenőrzési nyomvonalak felülvizsgálata, módosítása, új tevékenységek azonosítása

Kockázatkezelés hatékonyságának értékelése, terv módosítása

Kockázatkezelési szabályzat, Belső Kontroll Rendszer szabályzat módosítása

B) Intézményi kockázatkezelési nyilvántartás

Szervezeti szintű kockázatkezelés Áht. alapján

Kockázat típusa

1. A működés és gazdálkodás szabályszerűségével, gazdaságosságával, hatékonyságával és eredményességével kapcsolatos kockázatok

2. Az elszámolási kötelezettség teljesítésével kapcsolatos kockázatok

3. Az erőforrások veszteségektől, károktól és nem rendeltetésszerű használattól történő megóvásával kapcsolatos kockázatok

Folyamatok

1. Törvényes működés biztosítása

2. Szervezeti stratégia, és célkitűzések kialakítása, megvalósítása

3. Költségvetés

4. Gazdálkodás

5. Közbeszerzés

6. Kötelezettségvállalás

7. Üzemeltetés

8. Speciális korrupcióellenes rendszerek és eljárások

9. Belső ellenőrzés kialakítása és működtetése

10. Együttműködés külső szervezetekkel

11. Kommunikáció

12. Adatkezelés, adatvédelem

Tevékenységek megnevezése

Kockázati érték meghatározása

Kontroll folyamat meghatározása

– Szervezeti kontroll alkalmazása

– Rendszerfejlesztési kontrollok alkalmazása

– Vezetői ellenőrzés kontrollfolyamatainak alkalmazása

– Működési (teljességi és pontossági) kontrollok alkalmazása

– Dokumentációs kontrollok alkalmazása

– Jóváhagyási, engedélyezési kontrollok alkalmazása

– Személyi (személyzeti) kontrollok alkalmazása

– Működési folytonosság megszakításával, helyreállításával kapcsolatos kontrollok alkalmazása

– Hozzáférési (fizikai) kontrollok alkalmazása