Ritornando al percorso di integrazione della gestione del rischio, il primo passaggio è mettere in pratica le strategie aziendali sviluppando il piano di settore che può essere articolato in: politiche, linee guida e progetti.
Le politiche rappresentano le indicazioni e gli indirizzi generali per tradurre le strategie aziendali nell’ambito del rischio amministrativo- contabile.
Gli indirizzi generali condizionano lo sviluppo futuro del piano, le linee guida rappresentano la garanzia di allineamento del contenuto del piano di breve e/o medio periodo con gli obiettivi strategici del lungo periodo.
La funzione di controllo interno ha il compito di definire le scelte per conseguire gli obiettivi e la loro incidenza sui processi e strutture organizzative aziendali. E’ per questo che gli obiettivi sono correlati ai processi aziendali che li possono attuare in modo tale che il piano sarà l’articolazione di azioni diverse, svolte da attori e strutture organizzative diverse.
La volontà di gestire il rischio deve essere supportata dalla conoscenza delle sue componenti al fine di poter utilizzare al meglio gli strumenti e le tecniche che si hanno a disposizione. Per determinare i rischi è necessario affidarsi a metodologie e strumenti che possano essere
69 efficaci e contestualizzabili alla realtà sanitaria. Bisogna quindi porsi una domanda: cosa può accadere dall’esecuzione dell’attività? La risposta a questa domanda consente a chi deve determinare i rischi (in questo caso il direttore generale), di identificare i/il rischi/o derivante dall’oggetto di analisi. Dopo aver definito le modalità di identificazione dei rischi è necessario affrontare, poi, la loro valorizzazione, al fine di individuarne il livello sul quale è necessario concentrare l’intervento. Il risultato della valorizzazione dei rischi è costituito dalla quantificazione numerica del rischio, correlato ad una specifica attività. Dopo che si vede come identificare i rischi, le relative conseguenze e la loro quantificazione numerica per la definizione dei prioritari, è necessario individuare cosa fare e come comportarsi. Quando parliamo di gestione dei rischi, infatti, l’identificazione è solo la prima fase, mentre la successiva è rappresentata dalle modalità di intervento per i singoli rischi. Tali modalità di intervento possono essere: a) accettare il rischio, significa non fare nulla e accertare il fatto che possa accadere un evento dannoso. E’ importante che, se l’azienda decide di accettare il rischio, almeno proceda al suo monitoraggio periodico per valutare che non aumenti nel tempo e rientri in una soglia di accettabilità per l’azienda; b) trasferirlo, che significa trasferire il rischio ad altra organizzazione, e può avvenire o tramite l’esternalizzazione dell’attività e processi, oppure assicurandosi contro l’eventuale accadimento dell’evento dannoso; c) evitarlo, cioè eliminare l’attività; d) gestirlo, significa mitigare con i piani di contenimento o frazionare le attività per ridurre i rischi.
Nell’ambito del diritto, il controllo è l’attività volta ad assicurare la conformità alle norme o all’interesse pubblico di altra attività, mediante l’esercizio dei corrispettivi poteri da parte di un soggetto (controllante) diverso da quello che svolge l’attività controllata (il controllato).
Il controllo, nell’ottica del governo dei rischi amministrativo-contabili, non è un controllo fine a se stesso, ma ha la finalità di ridurre e mitigare il rischio relativo ad una data attività. Istituire i controlli non significa automaticamente e sicuramente ridurre i rischi, ma diventa una garanzia quando il controllo risulta essere efficace alla riduzione e contenimento del rischio. Vi sono controlli preventivi, caratterizzati da una forma di controllo che cerca di eludere le potenziali cause che potrebbero generare il rischio, e controlli correttivi, caratterizzati da una forma di controllo che avviene dopo che l’attività è stata eseguita e
70 quindi con lo scopo di correggere il risultato dell’attività qualora si sia verificato l’evento dannoso.
I controlli di tipo preventivo possono essere costituiti da: a) adozione di politiche e procedure standard (es. limite di spesa); b) separazione dei compiti o segregazione al fine di allocare responsabilità a più persone e indurre un concetto di controllo indotto dalla successione di responsabilità diverse; c) definizione di diversi livelli di autorizzazione e separazione delle responsabilità tra il proponente e colui che deve approvare.
I controlli di tipo correttivo, finalizzati a identificare errori ed eccezioni, possono essere, invece: 1) report dedicati su eccezioni (es. report di analisi della spesa del personale relativo ad un aspetto specifico); 2) riconciliazioni che non riguardano solo gli aspetti contabili; 3) check list di controllo che pongono l’attenzione del personale addetto al controllo su aspetti particolari (es. check list in sala operatoria); 4) revisioni delle transazioni e degli accessi per verificare che i dati dei sistemi informativi siano stati modificati solo dal personale autorizzato.
Ecco che i controlli sono molteplici ed è importante progettare bene il sistema di controllo in funzione del rischio che si intende contenere e ridurre.
Per mantenere alto l’interesse dell’azienda verso la gestione del rischio ci sono dei fattori chiave, quali: a) il commitment tramite la priorità strategica del rischio; b) la gestione del rischio come processo ciclico; c) l’integrazione del sistema di reporting con l’area del rischio; d) il miglioramento dei processi attraverso l’applicazione di tecniche di snellimento dei processi.
Il primo aspetto è caratterizzato dalla necessità di tradurre il commitment (impegno) della direzione aziendale nella pratica quotidiana di gestione (aziendale). Questo può essere tradotto nella definizione della gestione del rischio, non solo quello amministrativo- contabile, ma anche quello clinico, come priorità aziendale e, quindi, come presenza di un obiettivo strategico. Questo aspetto consente di indicare nei documenti di programmazione aziendale - come il Piano attuativo locale, il documento delle direttive e il budget -, le attività programmate per la gestione del rischio. Tale attività deve essere accompagnata da un adeguato monitoraggio del piano da parte del direttore generale e del direttore amministrativo. Del resto, è il
71 direttore generale che in sede di planning indica nelle strategie aziendali la priorità di gestione dei rischi, mentre nella fase di governance attua il monitoraggio (es. trimestrale) sui risultati numerici raggiunti in termini di riduzione dei rischi e di aumento dell’efficacia ed efficienza.
Il secondo aspetto è legato alla gestione del rischio come un processo ciclico e continuo. L’influenza di fattori endogeni ed esogeni non permette di abbandonare il rischio, ma evidenzia la necessità di un monitoraggio continuo per verificare che il livello di rischio sia sotto la soglia accettabile.
Il terzo aspetto è l’integrazione del sistema di reporting delle performance dei processi con gli indicatori dei rischi; l’ultimo fattore, infine, è il miglioramento dei processi attraverso l’applicazione di tecniche di snellimento dei processi, che rappresenta un elemento da applicare quando la gestione del rischio diviene una “abitudine gestionale” e non un momento di priorità.