Principesverklaring ziekenhuisbreed risicomanagement
Inleiding
Wij, Bestuur en Directie, leggen met deze principes vast waarom wij risicomanagement organisatiebreed organiseren en aansturen via een Enterprise Risk Management (ERM)-benadering.
In een zorgcontext zijn risico’s onlosmakelijk verbonden met het realiseren van onze maatschappelijke opdracht. Onzekerheden en risico’s kunnen een directe of indirecte impact hebben op patiënten, cliënten, medewerkers, zorgkwaliteit, veiligheid en de continuïteit van de organisatie. Een bewuste en gestructureerde omgang met risico’s is daarom een essentieel onderdeel van goed bestuur.
Wij vertrekken steeds van de noodzaak om risico’s op een samenhangende, proportionele en onderbouwde manier te identificeren, te beoordelen en te beheersen, in functie van onze doelstellingen en de context waarin wij opereren.
Binnen dat kader maken wij bewuste en expliciete keuzes in de wijze waarop wij organisatiebreed risicomanagement vormgeven, gebaseerd op een ‘best of worlds’-benadering.
Daarbij laten wij ons primair leiden door:
ISO 31000 als internationaal erkend referentiekader voor de principes, het raamwerk en het proces van organisatiebreed risicomanagement,
de ISO 31K-familie van aanverwante normen ter ondersteuning en verdieping van specifieke aspecten van risicomanagement,
en waar relevant sluiten wij aan op domeinspecifieke risicostandaarden, zoals ISO/IEC 27005 voor informatiebeveiligingsrisico’s en ISO 22317 voor business impactanalyse en continuïteitsgerelateerde risico’s, om samenhang te borgen met het Information Security Management System en het Business Continuity Management System.
Deze principes:
drukken onze fundamentele overtuigingen en bestuurlijke keuzes uit met betrekking tot organisatiebreed risicomanagement, zijn ingebed in het organisatiebrede Governance, Risk & Compliance (GRC)-kader, vormen een stabiel en richtinggevend referentiepunt voor Enterprise Risk Management, en worden slechts uitzonderlijk herzien, bijvoorbeeld bij ingrijpende strategische wijzigingen of fundamentele veranderingen in context of risicoprofiel.
De principes beantwoorden het waarom van risicomanagement binnen de organisatie.
Zij bepalen niet hoe risico’s concreet worden geïdentificeerd, geanalyseerd of beheerst.
Alle verdere uitwerkingen — waaronder frameworks, methodieken, processen, beheersmaatregelen en verbeterinitiatieven — zijn afgeleid van en ondergeschikt aan deze principes en moeten er aantoonbaar mee in lijn zijn.
Principes
Principe 1 – Bestuurlijke verantwoordelijkheid en leiderschap
Wij beschouwen risicomanagement als een kernonderdeel van goed bestuur.
Bestuur en Directie nemen expliciet verantwoordelijkheid voor de richting, het risicokader en de risicobereidheid van de organisatie en erkennen dat bewuste omgang met risico’s essentieel is voor duurzame, kwaliteitsvolle en veilige zorg.
ISO 31000:2018 – 5.2 Leadership and commitment
ISO 31000:2018 – 5.4.3 Assigning organizational roles, authorities, responsibilities and accountabilities
Principe 2 – Integratie in strategie en besluitvorming
Wij integreren risicomanagement in de strategische en operationele besluitvorming van de organisatie.
Risico-overwegingen maken structureel deel uit van keuzes over zorgverlening, organisatieontwikkeling, investeringen, verandering en innovatie, zodat risico’s en opportuniteiten in samenhang worden beoordeeld.
ISO 31000:2018 – 5.3 Integration
ISO 31000:2018 – 5.1 General (integration into governance, including decision-making)
Principe 3 – Organisatiebrede en samenhangende benadering
Wij organiseren risicomanagement organisatiebreed en samenhangend.
Risico’s worden niet geïsoleerd per domein of functie benaderd, maar in hun onderlinge samenhang, met aandacht voor strategische, operationele, financiële, zorginhoudelijke en ondersteunende risico’s.
ISO 31000:2018 – 4 Principles: a) Integrated; b) Structured and comprehensive
ISO 31000:2018 – 5.3 Integration
Principe 4 – Focus op zorgdoelstellingen en waardecreatie
Wij richten risicomanagement op het beschermen en ondersteunen van onze zorgdoelstellingen.
Risicomanagement draagt bij aan het realiseren van veilige, kwalitatieve en toegankelijke zorg en ondersteunt waardecreatie voor patiënten, cliënten, medewerkers en de samenleving.
ISO 31000:2018 – 4 Principles (purpose: creation and protection of value; supports achievement of objectives)
ISO 31000:2018 – 6.3 Scope, context and criteria (objectives/context as basis for criteria)
Principe 5 – Risicogebaseerde en proportionele aanpak
Wij hanteren een risicogebaseerde en proportionele benadering.
De diepgang en intensiteit van risicobeheersing zijn afgestemd op de aard, waarschijnlijkheid en impact van risico’s, met bijzondere aandacht voor risico’s die de veiligheid, continuïteit en kwaliteit van zorg kunnen beïnvloeden.
ISO 31000:2018 – 4 Principles: c) Customized
ISO 31000:2018 – 6.3 Scope, context and criteria
ISO 31000:2018 – 6.4 Risk assessment
ISO 31000:2018 – 6.5 Risk treatment
Principe 6 – Betrokkenheid en gedeelde verantwoordelijkheid
Wij beschouwen risicomanagement als een gedeelde verantwoordelijkheid binnen de organisatie.
Medewerkers op alle niveaus dragen bij aan het herkennen, bespreken en beheersen van risico’s, elk vanuit hun rol, expertise en nabijheid tot de zorgpraktijk.
ISO 31000:2018 – 4 Principles: d) Inclusive
ISO 31000:2018 – 5.4.5 Establishing communication and consultation
ISO 31000:2018 – 6.2 Communication and consultation
Principe 7 – Transparantie en onderbouwde keuzes
Wij streven naar transparantie in het identificeren, beoordelen en bespreken van risico’s.
Risicogerelateerde keuzes zijn navolgbaar, onderbouwd en begrijpelijk, zodat zij bijdragen aan vertrouwen, verantwoording en lerend vermogen binnen de organisatie.
Compliance- en normatieve onderbouwing
ISO 31000:2018 – 4 Principles: f) Best available information
ISO 31000:2018 – 6.2 Communication and consultation
ISO 31000:2018 – 6.7 Recording and reporting
Principe 8 – Samenhang met andere managementsystemen
Wij borgen samenhang tussen enterprise risicomanagement en andere managementsystemen.
Risicomanagement ondersteunt en verbindt onder meer informatiebeveiliging, privacy, fysieke beveiliging, bedrijfscontinuïteit, kwaliteit en compliance binnen één samenhangend Governance, Risk & Compliance-kader.
ISO 31000:2018 – 5.3 Integration (risk management part of governance, strategy, objectives and operations)
ISO 31000:2018 – 5.1 General (integration into significant activities and functions)
Principe 9 – Duurzame en maatschappelijk verantwoorde omgang met risico’s
Wij nemen beslissingen over risico’s met respect voor mens, maatschappij en planetaire grenzen.
Wij vermijden risicokeuzes die op korte termijn voordelen opleveren maar op lange termijn schade toebrengen aan zorgrelaties, maatschappelijke waarden of het vertrouwen in de organisatie.
ISO 31000:2018 – 4 Principles: g) Human and cultural factors
ISO 31000:2018 – 5.4.1 Understanding the organization and its context
ISO 31000:2018 – 6.3.3 External and internal context
Principe 10 – Continue evaluatie en verbetering
Wij beschouwen risicomanagement als een dynamisch en continu verbeterend proces.
Enterprise Risk Management evolueert mee met veranderingen in zorgcontext, organisatie, technologie en samenleving en leert uit ervaringen, incidenten en evaluaties.
ISO 31000:2018 – 4 Principles: h) Continual improvement
ISO 31000:2018 – 5.6 Evaluation
ISO 31000:2018 – 5.7 Improvement
ISO 31000:2018 – 6.6 Monitoring and review
Samenvattend
Deze principes vormen het gezaghebbende en richtinggevende fundament voor de inrichting, aansturing en verdere ontwikkeling van organisatiebreed risicomanagement.
Zij geven richting aan besluitvorming, prioritering en afwegingen en ondersteunen het maken van onderbouwde en verantwoorde keuzes in het belang van veilige, kwalitatieve en duurzame zorg.
De principes vormen het vaste referentiepunt voor alle verdere uitwerkingen binnen Enterprise Risk Management en blijven richtinggevend zolang zij door Bestuur en Directie worden onderschreven.
