Про оценку рисков, их минимизацию и инструменты управления поговорили с внутренним аудитором АО «Медицина» – Игорем Ткаченко

В преддверии старта семинара «Корпоративное управление в организациях системы здравоохранения» мы обсудили с одним из спикеров программы — руководителем службы внутреннего аудита АО «Медицина» Игорем Ткаченко, тему управления рисками для организаций здравоохранения👇

Какие основные риски наиболее актуальны для организаций здравоохранения?

Про инструменты управления рисками:

Сравнивая свой опыт построения систем корпоративного управления и устойчивого развития компаний из разных секторов экономики, я сделал вывод, что сами принципы и инструменты корпоративного управления, включая инструменты внутреннего контроля и управления рисками, в целом, не зависят от индустрии.

Про перечень стратегических и операционных рисков:

Для всех отраслей применимы одни и те же типы рисков: финансовый риски, риски, связанные с производственными процессами (включая риски процессов оказания медицинской помощи), наиболее актуальные сегодня логистические риски, риски закупок и снабжения, риски информационной безопасности, сохранности и доступности данных, кадровые риски, риски несоблюдения законодательства, риски реализации стратегических проектов, внешнеполитические, внешнеэкономические риски и другие риски, связанные с направлениями деятельности компаний из любых секторов экономики. В этом смысле медицинские учреждения также представляют один из секторов.

Про непроизводственные риски:

Погружаясь глубже, можно отметить, что риски и инструменты работы с ними в непроизводственных процессах (закупки и снабжение, ИТ, HR, безопасность, законодательство, маркетинг и продажи, проекты, финансы и др.) одни и те же, независимо от индустрии.

Про производственные риски:

Отличие и специфику можно найти в рисках, связанных с основными производственными процессами, которые отличаются от индустрии к индустрии.

Так, например, «производственные риски» в медицине связаны с процессами качественного оказания медицинской помощи. В качестве примера можно привести риск забыть в теле пациента медицинские расходные материалы во время операции или перепутать дозировку лекарственных препаратов. Есть риск ввести медикаменты другому пациенту в связи с тем, что на этаже лежат два однофамильца или риск перепутать парный орган во время операции.

При этом алгоритмы работы с риском, инструменты и технологии контроля и меры минимизации рисков могут быть очень схожи для различных отраслей. Так например, в АО «Медицина» внедрен контроль, который был взят из опыта управления рисками в авиаперевозках. Перед началом рейса проводится процедура «Тайм Аут», когда по чек-листу проверяют работу всех элементов, при этом происходит это вслух с проговариванием всех вопросов чек-листа и ответов на них. Таким образом, вся команда контролирует все аспекты, связанные с рисками. Точно такой же процесс осуществляется перед проведением любых процедур или операционных вмешательств с участием всего задействованного медицинского персонала. Пациент (или его родственник) называет фамилию, имя и отчество, дату рождения, а ответственные за ведение протокола процедуры подтверждают, что они совпадают с данными в истории болезни пациента. Затем происходит верификация и маркировка места операции с участием и обязательным подтверждением пациента (или его родственников). В ходе верификации находят подтверждение в данных, указанных в информированном согласии пациента на проведение процедуры, а также в данных, зафиксированных в предоперационном эпикризе.

В соответствии с исследованием JCI риски оказания медицинской помощи признаны наиболее опасными среди других типов деятельности, они превышают риски альпинизма, прыжков на тросе с высоты, чартерных и регулярных авиаперелетов, риски химического производства и риски производственных процессов других секторов экономики.

В фармацевтических компаниях наиболее значимыми могут быть факторы рисков, связанных с RnD и соответствующими зонами неопределенности, связанными с исследованиями и разработкой. Например, риск признания проекта по созданию нового лекарственного средства провальным после многолетних разработок и огромных инвестиций.

Для технологических компаний с тяжелым и сложным оборудованием риски охраны труда являются теми областями, с которыми необходимо работать более внимательно. Например, работа мастера в две смены может привести к его невнимательности, нарушению технологий производства и повлечь смерть или серьезные повреждения сотрудников завода во время выполнения ими должностных обязанностей. Такие же примеры можно привести и про врачей или медицинских сестер (братьев), работающих в две смены.

Для технологических ИТ-компаний риски, связанные с персоналом, их мотивацией и вовлеченностью в процессы разработки ИТ-решения могут являться наиболее значимыми. Например, переход ключевого архитектора-разработчика к конкуренту может привести к приостановке реализации ИТ-проекта в данной компании, вывода данного продукта и завоевания доли рынка конкурентом. В медицине также есть ключевые сотрудники (например, узкоспециализированные врачи, которых крайне мало на рынке), уход которых к конкуренту может повлиять на показатели компании, репутацию и снижение вероятности достижения целей акционеров.

Про оценку рисков:

Нужно понимать, что внутри одной отрасли у разных компаний приоритеты в части рисков могут быть совершенно разные. Так, например, коллеги из других медицинских компаний удивляются, что на комитете по аудиту и совете директоров АО «Медицина» мы практически не обсуждаем риски, связанные с оказанием медицинской помощи. Происходит это в связи с тем, что АО «Медицина», получив сертификат JCI и с 2011 года уже трижды пройдя ресертификацию, первая в России обеспечила высший уровень контроля качества оказания медицинской помощи. В связи с наличием работающих стандартов качества оказания медицинской помощи, оценка данных рисков является крайне низкой и не требует дополнительного внимания со стороны совета директоров. Многие медицинские компании могут только мечтать о том, чтобы перестать думать о производственных проблемах и перейти на уровень стратегического мышления.

Существуют ли отличия развития системы управления рисками и внутреннего контроля в зависимости от типа компаний – государственный и частный сектор?

Про отличия государственных и частных медицинских учреждений:

Риск – это следствие влияния неопределенности на достижение поставленных целей. Т.е. риски организаций напрямую связаны с целями, которые организация перед собой ставит.

Про цели частного сектора с учетом моего 18-ти летнего опыта работы в построении систем корпоративного управления, внутреннего контроля и управления рисками в коммерческих компаниях, я могу говорить уверенно.

В рамках подготовки к семинару «Корпоративное управление в организациях системы здравоохранения» мы с группой изучали принципы корпоративного управления как в частных, так и в государственных компаниях, сравнивая их друг с другом.

В результате данной работы мне удалось убедиться, что цели частного и государственного секторов во многом схожи, где основной является цель обеспечения высокого качества оказания медицинской помощи.

Схожие цели и в пациентоцентричности, реализации стратегических проектов, своевременности снабжения расходными материалами и медикаментами, бесперебойности работы медицинского и инженерного оборудования, укомплектованности кадрами, информационной безопасности и др. Но есть ряд целей, которые отличают государственные компании от частных и даже приоритеты одних и тех же целей могут быть разные, в зависимости от типа компании.

Подробно о целях государственных компаний и сравнения их с частными мы будем говорить во второй день семинара. В рамках трех сессий мы обсудим особенности систем коллегиального управления для различных типов систем, подробно остановимся на принципах управления эффективностью государственных медицинских организаций, а также обсудим инструменты управления рисками в частных медицинских компаниях.

В случае, если медучреждение имеет свой совет директоров – вся ли ответственность ложится на него в случае возникновения нежелательных событий (финансовая нестабильность, риск выхода из строя оборудования, из-за которого нет возможности проводить обследования, заболевания большого количества сотрудников и невозможность приема пациентов в том же режиме, что и раньше и прочее)?

Про ответственность членов совета директоров:

Я часто люблю рассуждать про ответственность членов совета директоров и в этой части очень люблю книгу Нассима Талеба «На собственной шкуре».

В соответствии с Кодексом корпоративного управления, который был одобрен Банком России и рекомендован к применению акционерными обществами, государственными корпорациями и компаниями, совет директоров осуществляет:

1. Стратегическое управление обществом.
2. Определяет основные принципы и подходы к организации в обществе системы управления рисками и внутреннего контроля.
3. Контролирует деятельность исполнительных органов общества, а также реализует иные ключевые функции.

Т.е. в 2 из 3 зон ответственности членов совета директоров идет речь об их ответственности за контроль и управление рисками.

Ассоциация Независимых Директоров периодически проводит вебинары, посвященные субсидиарной ответственности членов совета директоров, в рамках которых рассказывает об увеличении количества случаев привлечения членов совета директоров к субсидиарной ответственности. Истцом в данном случае может быть как акционер, так и кредиторы, финансирующие деятельность компании и которые не смогли вернуть вложенные средства. Объем ответственности может быть крайне существенным для физического лица, являющегося членом совета директоров, вплоть до стоимости всех имеющихся у него активов.

Для минимизации рисков привлечения к субсидиарной ответственности все компании, с которыми я работал в части построения систем корпоративного управления, имели страховку членов совета директоров. Таким образом, формально риски ответственности членов совета директоров, говоря терминологией риск-менеджмента, «переданы» третьему лицу, что может снижать степень вовлеченности членов совета директоров в управление и принятие решений, и как следствие привести к снижению эффективности работы совета.

Но я хочу обратить внимание на наиболее важный фактор для членов совета директоров – его или ее репутация эффективного управленца. Ведь единожды допустив негативное событие, которое привело, например, к банкротству компании или существенному недостижению целей компании, совет директоров может быть распущен и репутация отдельных членов данного совета, как управленцев, может быть существенно подпорчена.

В случае реализации существенных рисков, в том числе приостановка деятельности по причине поломки оборудования или, например, забастовки сотрудников, неконтролируемые кассовые разрывы, утечка конфиденциальной информации, в первую очередь акционеры спросят членов совета директоров относительно того, как они это допустили.

Какие есть инструменты управления рисками?

Про инструменты внутреннего контроля и управления рисками:

Для целей системного управления рисками есть огромное количество различных инструментов как управления отдельными рисками, так и инструментов управления системой риск-менеджмента, от субъективных оценок рисков и принятии решений в соответствии с ощущениями до объективных автоматизированных инструментов количественной оценки рисков, построенных на статистической и аналитической информации.

В качестве примера наиболее популярных инструментов можно привести следующие:

1. Примеры инструментов выявления и оценки рисков.
1. 1.1. Анализ статистики недостижения стратегических и операционных целей за предыдущие периоды.
2. 1.2. Проведение мозговых штурмов и индивидуальных интервью с экспертами с целью выявления зон неопределенности достижения целей.
3. 1.3. Анализ литературы, газет и других открытых источников с целью выявление трендов в областях риска.
4. 1.4. Участие в узконаправленных конференциях по рискам, круглых столах по обсуждению рисков в соответствующих областях.
5. 1.5. Для проектной деятельности инструмент построения диаграмм Ганта для выявления критического пути и формирования потенциальных угроз его нарушения.
2. Примеры визуализации рисков.
1. 2.1. Матрица рисков и реестр рисков с описанием оценки рисков и планов по их управлению.
2. 2.2. Описание рисков методом «галстук бабочка», где посередине риск, слева причины, справа последствия.
3. 2.3. Описание рисков методом «рыбная кость» (Диаграмма Исикавы), где посередине главная ось – это потенциальная проблема, большие кости – это источники возникновения проблемы, маленькие косточки – это причины возникновения источников.
3. Примеры инструментов управления рисками.
1. 3.1. Сценарное прогнозирование операционных и инвестиционных бюджетов с привязкой целей различных сценариев к ключевым показателям эффективности, формирование плана Б в случае реализации негативного сценария и плана С в случае реализации позитивного сценария.
2. 3.2. Формирование бюджета с учетом выделения резервов для управления негативными событиями, которые могут возникнуть.
3. 3.3. Страхование ответственности, передача процесса и ответственности за него на аутсорс, отказ от деятельности с высокой неопределенностью и вероятностью негативных последствий.
4. 3.4. Внедрение системы контроля, включая описание процессов и контролей, определение ответственности за выполнение контроля, внедрение инструментов мониторинга выполнения контроля (2-ой уровень контроля).
5. 3.5. Приглашение консультантов и аудиторов для целей тестирования систем внутреннего контроля компании (например, хакеров для тестирование информационной безопасности, финансовых аудиторов для проверки корректности ведения учета и отчетности, медицинских аудиторов для целей тестирование инструментов контроля оказания медицинской помощи или ведения медицинской документации и др.)

Эту тему детальнее, на примерах реальных компаний и бизнес-кейсах, мы рассмотрим в рамках нашего семинара, «Корпоративное управление в организациях системы здравоохранения», который пройдет 7-8 октября в Москве.

/ 27.09.2022