What is a Coso risk management model?

COSO: Risikostyring i den Danske Sundhedssektor

28/05/2020

Rating: 4.89 (14941 votes)

I en verden, hvor sundhedssektoren konstant står over for komplekse udfordringer – fra pandemier og personalemangel til teknologiske forandringer og patienters stigende forventninger – er effektiv risikostyring ikke længere en luksus, men en absolut nødvendighed. Det handler om mere end blot at overholde regler; det handler om at beskytte det mest værdifulde, vi har: patienternes liv og helbred. En af de mest anerkendte rammer til at opnå dette er COSO's model for risikostyring (Enterprise Risk Management - ERM). Selvom den oprindeligt blev udviklet til den finansielle sektor, tilbyder dens principper en utrolig robust og relevant struktur for hospitaler, lægehuse, apoteker og medicinalvirksomheder.

What is COSO ERM framework?
COSO releases new guidance, Compliance Risk Management: Applying the COSO ERM Framework, detailing the application of the Enterprise Risk Management—Integrating with Strategy and Performance (ERM Framework) to the management of compliance risks.
Indholdsfortegnelse

Hvad er COSO's ERM Rammeværk?

COSO står for 'The Committee of Sponsoring Organizations of the Treadway Commission' og er en organisation, der har udviklet rammeværk og vejledninger for intern kontrol, risikostyring og forebyggelse af svig. Deres ERM-rammeværk er designet til at hjælpe organisationer med at integrere risikostyring med strategi og performance. I stedet for at se risici som noget, der udelukkende skal undgås, opfordrer COSO til at se dem i en større sammenhæng: Hvilke risici er vi villige til at tage for at nå vores strategiske mål, f.eks. at implementere en ny, banebrydende behandling?

Rammeværket er ikke en tjekliste, men en integreret tilgang, der består af flere sammenhængende komponenter. Den mest fundamentale af disse er det interne miljø, som danner grundlaget for alt andet.

Fundamentet: Det Interne Miljø

Kernen i enhver succesfuld risikostyringsstrategi er organisationens kultur. COSO kalder dette for det interne miljø. Det handler om den tone, der sættes fra toppen, og som gennemsyrer hele organisationen. Det påvirker risikoappetitten, holdninger til risikostyring og de etiske værdier, som medarbejderne efterlever.

I en hospitalskontekst er det bestyrelsen, der i sidste ende sætter tonen. En bestyrelse, der mangler klinisk indsigt, teknisk viden eller stærke, uafhængige stemmer, vil have svært ved at etablere den rette kultur for patientsikkerhed. Arbejdet i bestyrelsesudvalg, især revisions- og risikoudvalg, er afgørende for at omsætte visioner til praksis. Forestil dig et hospital, hvor bestyrelsen konsekvent taler om vigtigheden af hygiejne, men aldrig allokerer tilstrækkelige midler til håndsprit eller efteruddannelse. Det sender et blandet signal.

What is risk assessment in COSO?
Risk assessment in the COSO framework involves identifying, analyzing, and responding to risks that could impact an organization's ability to achieve its objectives. It ensures that organizations are prepared to handle uncertainties, allowing them to make informed decisions and allocate resources efficiently. COSO's Risk Assessment Principles:

Dog kan selv det bedste eksempel fra bestyrelseslokalet blive undermineret længere nede i organisationen. Hvis afdelingsledere tolererer, at personalet ignorerer sikkerhedsprocedurer, eller hvis de ensidigt fokuserer på at nå budgetmål frem for at håndtere risici ansvarligt, smuldrer fundamentet. Det er afgørende, at ledere på alle niveauer forstår deres ansvar og er klædt på til at udøve det korrekt. Ansvaret for risikostyring skal være tydeligt defineret og kommunikeret.

Kritik af Fokusset

En af de kritikpunkter, der er blevet rettet mod COSO-modellen, er, at den starter det forkerte sted. Ved at begynde med det interne miljø frem for det eksterne, hævder kritikere, at modellen ikke i tilstrækkelig grad afspejler den enorme indflydelse, som det konkurrencemæssige landskab, lovgivning (som GDPR og Sundhedsloven) og eksterne interessenter (som patientforeninger og medier) har på en organisations risikokultur og -appetit.

Risikovurdering i Praksis

Når det interne miljø er på plads, kan organisationen begynde den egentlige risikovurderingsproces. Dette indebærer at identificere potentielle hændelser, der kan påvirke organisationens mål, vurdere deres sandsynlighed og potentielle konsekvenser, og derefter beslutte, hvordan man skal reagere.

Does the COSO ERM framework obfuscate the risk assessment process?
Moreover, in another perspective, the COSO ERM framework was criticised by Purdy (2008) and Khan (2005) particularly on the practicality of the COSO ERM framework. It was argued that the framework not only failed to help firms assess their risks but obfuscated the risk assessment process (Khan, 2005; Mestchian, Makarov, and Mirzai, 2005).

I sundhedssektoren kan risici være mangeartede:

  • Operationelle risici: Fejlmedicinering, hospitalsinfektioner, nedbrud af kritisk udstyr.
  • Finansielle risici: Budgetoverskridelser, manglende refusion fra regioner, svindel.
  • Strategiske risici: Forkert investering i ny teknologi, tab af omdømme, manglende evne til at tiltrække kvalificeret personale.
  • Compliance-risici: Brud på databeskyttelsesforordningen (GDPR), manglende overholdelse af sundhedsfaglige standarder.

Desværre har nogle kritikere, som nævnt i diverse analyser, argumenteret for, at COSO's rammeværk kan være for teoretisk og i nogle tilfælde komplicere eller sløre selve risikovurderingsprocessen i stedet for at hjælpe den. De mener, at det kan blive en skrivebordsøvelse, der ikke afspejler den virkelighed, som læger og sygeplejersker står i hver dag. Dette understreger vigtigheden af at tilpasse rammeværket til den specifikke kontekst og sikre, at det er praktisk anvendeligt for alle medarbejdere.

Sammenligning af Tilgange til Risikostyring

For at illustrere værdien af en integreret tilgang som COSO's, kan man sammenligne den med en mere traditionel, silo-opdelt tilgang.

AspektTraditionel RisikostyringCOSO ERM Tilgang
FokusIsoleret og reaktivt (f.eks. kun fokus på finansielle tab eller juridiske klager).Holistisk og proaktivt (ser på tværs af hele organisationen for at identificere muligheder og trusler).
AnsvarOfte placeret i en enkelt afdeling (f.eks. kvalitets- eller juraafdelingen).Et fælles ansvar, der involverer alle fra bestyrelsen til den enkelte medarbejder på gulvet.
MålAt minimere tab og undgå fejl.At integrere risikoovervejelser i strategien for at skabe og bevare værdi.
ResultatEn kultur baseret på regler og frygt for at begå fejl.En lærende kultur, hvor risici håndteres intelligent for at forbedre patientsikkerhed og resultater.

Ofte Stillede Spørgsmål (FAQ)

Er COSO-modellen en lovpligtig standard i Danmark?

Nej, COSO-rammeværket er ikke lovpligtigt for sundhedsorganisationer i Danmark. Det er en internationalt anerkendt 'best practice' ramme, som mange organisationer frivilligt vælger at anvende for at forbedre deres interne kontroller og risikostyring. Dog kan elementer, der ligner principperne i COSO, findes i lovgivningskrav relateret til god selskabsledelse og kvalitetsstyring i sundhedsvæsenet.

What is a Coso risk management model?
COSO originally created an enterprise risk management (ERM) model in 1992 which was shaped like a pyramid and focused on the evaluation of existing controls. This was updated in 2013 to the COSO cube, which focused on the design and implementation of a risk management framework.

Kan en lille lægepraksis også bruge COSO?

Absolut. Selvom rammeværket kan virke komplekst, kan principperne skaleres og tilpasses organisationer af alle størrelser. For en lille praksis handler det måske ikke om at have store risikoudvalg, men om at ledelsen bevidst skaber en kultur, hvor det er acceptabelt at tale om fejl, hvor der er klare procedurer for håndtering af patientdata, og hvor man proaktivt tænker over, hvad der kan gå galt, og hvordan man undgår det. Det handler om tankegangen mere end om bureaukratiet.

Hvad er den største fordel ved at implementere COSO i sundhedsvæsenet?

Den største fordel er skiftet fra en reaktiv til en proaktiv kultur. I stedet for kun at reagere, når en fejl er sket (en utilsigtet hændelse), skaber COSO en struktur, der hjælper organisationen med at forudse potentielle risici og implementere kontroller for at mindske dem. Dette fører i sidste ende til en højere kvalitet i behandlingen, øget patientsikkerhed, bedre ressourceudnyttelse og større tillid fra både patienter og samfundet. Det er en investering i organisationens langsigtede sundhed og bæredygtighed.

Hvis du vil læse andre artikler, der ligner COSO: Risikostyring i den Danske Sundhedssektor, kan du besøge kategorien Sundhed.

Go up