Diversi studi a livello internazionale e alcuni leader nell’area del management hanno fatto emergere le caratteristiche vincenti che devono possedere gli strumenti di gestione efficaci e adeguati alle esigenze delle Aziende sanitarie: a) velocità di esecuzione; b) capacità di riallocare le risorse in funzione del cambio delle priorità; c) gestione del rischio.
Le prime due sono il frutto delle necessità di essere organizzazioni “agili” secondo il concetto che l’agilità possa essere prerogativa
63 necessaria a soddisfare il cambiamento delle esigenze dei clienti, mentre la terza richiede di governare il rischio, variabile che troppo spesso è tralasciata nella gestione aziendale.
Il termine “rischio”, nelle organizzazioni sanitarie, non è nuovo; gestire i rischi significa comprendere quali sono le tipologie di rischio, quali sono i rischi prioritari, determinare la capacità e la propensione al rischio, incorporare il rischio nel processo decisionale, etc.
La percezione del rischio è personalizzata per ogni funzione aziendale e non consente di incorporare il rischio nella gestione e nel processo decisionale.
La gestione del rischio in sanità è elemento cruciale di una società che prende sempre più coscienza dell’importanza della sicurezza sotto tutti i profili.
Trattare la gestione della performance in forma integrata con la gestione dei rischi diviene uno strumento indispensabile per poter governare le organizzazioni complesse come quelle sanitarie.
Nella fase di analisi dei possibili approcci alla gestione del rischio diviene determinante prendere in considerazione la relazione tra la creazione di valore e l’impatto nella gestione. Il primo aspetto, relativo alla creazione di valore, può essere considerato come il contributo che la gestione del rischio fornisce alla generazione del vantaggio competitivo sostenibile. Il secondo aspetto, relativo all’impatto sulla gestione, è invece inerente alle prospettive di gestione del rischio. Queste variano dalla trattazione dei soli aspetti finanziari sino al livello strategico. Ci sono tre possibili configurazioni: a) la gestione finanziaria del rischio: l’ambito è quello della gestione assicurativa del rischio; b) la gestione del rischio a livello di alcune Unità Operative: i focus sono i processi delle unità operative, dove l’ambito è quello relativo ai livelli di responsabilità dei direttori di unità operativa o al più dei direttori di dipartimento; c) la gestione del rischio a livello aziendale: in questo caso, l’ambito è quello di allineamento di strategie, processi, risorse umane e tecnologie dell’intera azienda. Delle tre possiamo considerare che la gestione a livello aziendale (strategico) risulta essere la naturale configurazione del risk management. Tale termine è classificato come le attività coordinate per guidare e tenere sotto controllo un’organizzazione, con riferimento al rischio. Questa definizione pone l’enfasi sui concetti di “guida” e
64 “tenere sotto controllo”. La “guida” presuppone che l’organizzazione abbia una meta, quali gli obiettivi di lungo periodo relativi alla gestione dei rischi, e che sia stata definita la strada da seguire per raggiungere tale meta.
Il “tenere sotto controllo” richiama, invece, il concetto di misura, di indicatori necessari per monitorare lo stato di attuazione del processo di gestione del rischio.
Il risk management riguarda la gestione del rischio, gli errori, la responsabilità professionale e gli aspetti psicologici derivanti dall’esercizio delle professioni sanitarie. Di conseguenza, è un insieme di attività coordinate per gestire all’interno dell’organizzazione i rischi ad essa connessi poiché ogni rischio è uguale a un pericolo.
Il risk management è l’insieme degli strumenti, dei metodi e delle azioni attivate, mediante cui si misura o si stima il rischio e successivamente si sviluppano strategie per governarlo. Se espletata in maniera efficace, nella gestione del rischio, quindi, le organizzazioni possono, non solo minimizzare il rischio nel momento in cui un evento negativo accade, ma essere anche in grado di sfruttare, in maniera attiva, le opportunità che potrebbero presentarsi nel raggiungimento dei propri obiettivi.
Da un punto di vista legislativo, non si hanno delle norme nazionali precise rivolte in modo esplicito al problema del risk management; in questo contesto, infatti, si vede che ci sono diverse realtà basate su disposizioni emanate a livello regionale, alcune di esse più aggiornate, altre meno.
Vi sono diversi metodi per gestire il rischio: l’analisi reattiva, che prevede uno studio a posteriori degli incidenti ed è mirata a individuare le cause che hanno permesso il loro verificarsi, e una analisi proattiva, che mira all’individuazione ed eliminazione della criticità del sistema prima che l’incidente si verifichi ed è basata sull’analisi dei processi che costituiscono l’attività, ne individua i punti critici con l’obiettivo di progettare sistemi sicuri.
Per l’analisi reattiva gli approcci maggiormente usati sono: a) incident reporting; b) utilizzo dei dati amministrativi e informativi; c) indizi; d) review; e) root cause analysis.
65 L’incident reporting è uno degli strumenti più frequentemente indicati come fondamentale per una corretta gestione dei rischi. Attraverso questi sistemi di individuazione dei rischi si può focalizzare l’attenzione sugli incident e near miss (quasi errori o errori che non hanno portato danno), la possibilità di delineare a livello qualitativo il profilo di rischio di una specifica realtà operativa, la possibilità di coinvolgere tutti gli operatori e quindi sensibilizzarli al tema della sicurezza.
L’utilizzo dei dati amministrativi e informativi è l’utilizzo di database amministravi con i vantaggi di immediata accessibilità, il costo aggiuntivo trascurabile, l’esaustività del contenuto, la facilità di individuare la popolazione di interesse.
Per quanto riguarda gli indizi, questi constano nella revisione di cartelle e della documentazione alla ricerca, appunto, di indizi che mettano in evidenza dove eventualmente si è verificato l’errore.
Il review è la revisione della documentazione e la sua validità è data dalla validità statistica.
Il root cause analysis, letteralmente l’analisi delle cure profonde, infine, è una metodologia applicata allo studio dei fattori causali di un evento avverso o di un incidente, che si basa sulla concezione organizzativa dell’errore. L’analisi mira ad analizzare l’intero processo che lo ha generato, la “causa radice”, cioè il difetto in un processo la cui eliminazione previene l’accadimento di uno specifico evento avverso, con lo scopo di individuare tutte le cause di un evento.
Per quanto riguarda, invece, l’analisi proattiva, alla base si ha il concetto di prevenire l’errore, sia sulla base quantitativa che su quella qualitativa. L’analisi di processo vede scomporre in microattività l’intero processo, a loro volta analizzate in base a singoli compiti che devono essere portati a termine affinché l’attività sia conclusa con successo. Per valutare il rischio di danno, è necessario trovare un indice di rischio che deriva dai dati forniti più la rilevabilità dell’evento.
Il risk management è una metodologia mediata dall’industria e quindi nata lontano dal mondo della sanità; esso è rappresentato da un approccio metodologico strutturato che prende in considerazione tutti i rischi a cui può andare incontro una organizzazione e che include la
66 valutazione, il trattamento, l’accettazione e la comunicazione del rischio.
Si rende sempre più necessario sviluppare efficaci strategie di gestione del rischio che non abbiano una esclusiva valenza interna all’organizzazione sanitaria, ma è auspicabile una vera e propria alleanza tra tutti gli attori coinvolti per il conseguimento di obiettivi di miglioramento comuni.
Nel contesto sanitario vi sono diverse tipologie di rischi; ad esempio si hanno: a) il rischio operatore: collegato alla sicurezza nei luoghi di lavoro; b) il rischio ambientale: collegato alle attività che possono avere un impatto ambientale diretto o indiretto; c) il rischio amministrativo-contabile: collegato al Sistema di Controllo Interno e di gestione dei rischi; d) il rischio dei sistemi informatici ed informativi: collegato alla sicurezza dei dati; e) il rischio clinico: la probabilità che un paziente sia vittima di un evento avverso, cioè subisca un qualsiasi danno o disagio imputabile, anche se in modo involontario, alle cure mediche prestate durante il periodo di degenza, che causa un prolungamento del periodo di permanenza nella struttura sanitaria e, quindi, un peggioramento delle condizioni di salute o, nei casi più estremi, la morte14.
Se in questi anni si è assistito al repentino incremento dei problemi di responsabilità professionale in ambito sanitario, significa che vi è un cambiamento radicale della professione e dell’approccio da parte degli operatori in termini di maggiore professionalità, responsabilità e moralità nello svolgimento delle operazioni di routine, ma anche in quei momenti di particolare difficoltà.
Per quanto riguarda i lavoratori subordinati, l’aziendalizzazione delle strutture ospedaliere li pone in un libero mercato e in diretta concorrenza fra di loro; a conferma, si consideri che le più importanti realtà ospedaliere, ormai, hanno al proprio interno uno specifico Ufficio marketing e pubbliche relazioni. Si assiste a un’evoluzione legislativa che riconosce sempre più autonomia professionale e responsabilità dirette al sanitario.
Nel caso in cui l’azienda sanitaria intenda sviluppare la gestione sistematica del rischio, può essere utile definire il processo di gestione del rischio a livello di azienda, i vari responsabili per le diverse
67 tipologie del rischio, gli obiettivi che tale processo di gestione del rischio deve perseguire e trasformare gli obiettivi in risultati.
Il primo passo è rappresentato dalla definizione del processo di gestione del rischio a livello aziendale; quindi si deve: a) definire le fasi del processo di gestione del rischio indipendentemente dalla tipologia di rischio; b) definire i livelli di responsabilità per ognuna delle diverse tipologie di rischio; c) identificare le procedure per le diverse fasi del processo; d) identificare gli strumenti da utilizzare nelle diverse fasi del processo.
In questa fase di avvio del sistema di gestione del rischio potrebbe anche non essere indispensabile avere un unico risk manager (o responsabile del rischio); è peraltro importante che quest’ultimo sia governato a livello di azienda. Ciò avviene quando per le diverse tipologie di rischio vi sia un piano triennale ed annuale di gestione del rischio per garantire la sinergia e la coerenza tra le diverse iniziative e progetti aziendali in tema di rischio.
Il rischio deve essere trattato a livello strategico e per quanto le tipologie di rischio siano diverse, queste hanno in comune le fasi del processo.
Oltre a riguardare il responsabile del processo è necessario che il rischio si integri nella pianificazione e programmazione aziendale, attraverso il “Piano di sviluppo del controllo interno”. La programmazione e la pianificazione sviluppano documenti che hanno la finalità di definire le modalità per tradurre le strategie in azioni concrete ed in risultati tangibili. Tali documenti sono: a) il piano triennale (definito Piano Attuativo Locale): riporta le priorità strategiche e gli obiettivi operativi da conseguire; b) il piano annuale (Documento delle Direttive): riprende gli obiettivi dell’anno ed evidenzia la loro articolazione ed impatto sui processi e sulle strutture organizzative per giungere alla formulazione degli obiettivi di budget; c) i piani di settore: che sono tutti quei piani che hanno impatto sui processi di supporto.
Gli obiettivi che il sistema di controllo interno si prefigge sono: 1) efficienza ed efficacia dei processi aziendali; 2) attendibilità ed integrità delle informazioni contabili e gestionali; 3) salvaguardia del patrimonio; 4) conformità dell’attività dell’impresa alla legislazione e normativa vigente, alle direttive e alle procedure aziendali.
68 Ecco perché, ad esempio, il rischio amministrativo-contabile non è più un “problema” del direttore amministrativo, ma diviene un elemento della gestione che può riguardare tutti i direttori.
La gestione del rischio amministrativo-contabile non deve essere associata all’area amministrativa, ma all’organizzazione nel suo complesso; è necessario che la direzione costituisca una funzione aziendale deputata al rischio amministrativo-contabile rappresentata dalla Funzione di controllo interno o Internal Audit. Tale funzione, ancora poco diffusa nelle aziende sanitarie, ha lo scopo di coordinare lo sviluppo, attuare il monitoraggio, favorire e promuovere il miglioramento del sistema di controllo interno.