Управление рисками соответствия (compliance risks) Текст научной статьи по специальности «Экономика и бизнес»

УДК 330.131.7

УПРАВЛЕНИЕ РИСКАМИ СООТВЕТСТВИЯ (COMPLIANCE RISKS) © Князюк Н. Ф., Невмержицкий П. И., 2017

51 Бизнес-образование в экономике знаний

№ 1 • 2017

МБОУ Гимназия № 25, Иркутский государственный университет, г. Иркутск

В статье рассматривается понятие рисков, выделены основные риски в работе медицинской организации, рассмотрены подходы по минимизации рисков с помощью внедрения международных стандартов на системы менеджмента качества. Особое внимание уделено рискам соответствия, подходам к выявлению и учету данной группы рисков при стратегическом планировании. Выполнен обзор стандартов по управленю рисками, которые могут быть использованы руководителями. Описана методика и результаты исследования рисков соответствия на основе анкеты COSO, по результатам которого выделены области комплаенса и уровни защиты.

Ключевые слова: compliance риски, соответствие нормативам, соответствие стандартам, управление рисками, инструменты и методы выявления рисков, анкета COSO.

В повседневной работе любой организации присутствуют определенные риски. Не составляют исключение и медицинские организации. Даже самая простая поликлиника представляет собой сложный комплекс зданий и внутренней инфраструктуры. Работа сотрудников больницы также сопряжена с определенными рисками: есть риски заражения, воздействия химических веществ, травмы и т. д. Все это представляет потенциальную опасность для человека.

Риски есть практически на всех этапах выполнения медицинской услуги. Среди них — лечебные, диагностические, идентификационные, реабилитационные и прочие [1]. Даже при высоком уровне профессионализма работников остаются риски возникновения осложнений, имеющих последствия для пациента. Именно в том и заключается задача менеджмента рисков — контролировать и предупреждать их.

В качестве примера можно привести риски несвоевременного обеспечения больницы необходимыми медицинскими препаратами или материалами. Причин на это может быть множество — ошибки в оформлении заявки, невыполнение условий контракта поставщиком и т. д. Существуют также и системные риски, как финансовые потери, обусловленные

непредвиденными изменениями во внешней среде организации, недостаточным опытом персонала медицинской организации или другими ошибками. Это одна из причин, почему руководители организаций здравоохранения все чаще обращаются к менеджменту рисков.

Для решения и/или предотвращения вышеупомянутых проблем организации должны наряду с качественной медицинской помощью демонстрировать высокое качество управления. Именно поэтому наиболее перспективными в данный момент являются разработка и внедрение в медицинские организации системы менеджмента качества в соответствии с международными стандартами ISO 9000. Это серия международных стандартов, которые приняты в качестве национальных во многих странах мира. Стандарты серии ISO 9000 представляют собой основные требования, руководства и указания к системе менеджмента качества, позволяющие

оптимизировать все процессы организации.

Именно непрерывное улучшение и развитие менеджмента качества гарантирует устойчивость финансовой и качественной составляющих работы организации, а также качественного выполнения медицинских услуг [2].

В новой версии стандарта ISO 9001:2015 введено понятие «риск-ориентированное мышление» (англ. «risk-based thinking»), которое подразумевает реализацию организационных

мероприятий, применение технологий и методов по выявлению, документированию, управлению и мониторингу существующих рисков организации, которые в конечном счете могут оказывать значительное влияние на достижение организацией ее стратегических целей. При ближайшем рассмотрении зарубежного опыта достаточно ясно видны широкие возможности применения концепций и методологий риск-ориентированного менеджмента, в том числе и в медицинских организациях. Руководством организации должны быть оценены такие группы рисков, как стратегические (Strategic Risks), финансовые (Financial Risks), развивающиеся (Emerging Risks), риски опасностей и угроз (Hazard Risks), операционные (Operational Risks), а также риски соответствия (Compliance Risks).

По мнению авторов, одно из самых важных направлений, которое должно быть разработано и реализовано в организациях — управление рисками соответствия, или compliance-рисками.

«Compliance» в буквальном переводе — действие в соответствии с указанием или запросом. Это подразумевает в себе соответствие разнообразным нормам, правилам, приказам и т. д. В случае несоответствия условиям данные риски могут в итоге проявиться в виде разной формы санкций ввиду несоответствия общепринятым правилам и законам. В ходе проведения интервью с руководителями медицинской организации автором были выделены наиболее часто встречающиеся риски, связанные с невыполнением требований нормативной документации (приказов и распоряжений Министерства здравоохранения Российской Федерации и регионального Минздрава), стандартов и порядков оказания медицинской помощи, требований

Росздравнадзора, Роспотребнадзора и других надзорных органов, закона «О защите прав

потребителей», закона «О персональных данных» и многих других.

Муниципальная больница, на базе которой проходило наше исследование, прошла аудит на соответствие системы менеджмента качества (СМК) требованиям международных стандартов ISO 9001 и получила сертификат в 2015 году. Последовательное выполнение требований стандарта завершилось получением сертификата ISO. Данная организация не только научилась использовать цикл PDCA (plan-do-check-act) и внедрила СМК, но и научилась непрерывно совершенствовать свою работу, предупреждая риски. В большинстве случаев организации, имеющие опыт разработки и внедрения международного стандарта ISO 9001 приходит к необходимости идентификации рисков и управления ими путем выполнения предупреждающих действий.

В настоящей статье рассмотрены результаты исследования, выполняемого по заказу администрации муниципальной больницы в 2016 году в связи с переходом на новую версию стандарта ISO 9001:2015, в котором авторы принимали непосредственное участие.

Исследование охватывало все аспекты деятельности медицинской организации, для изучения алгоритма работы с рисками были взяты руководящие указания международных стандартов. Существует достаточно широкий набор стандартов, среди которых наиболее популярными являются ISO 31000:2009, FERMA:2002, COSO ERM Integrated Framework:2004.

Нами была использована анкета COSO для оценки сотрудниками основных рисков организации. Данное исследование направлено на

выявление системных рисков в организации в соответствии со стандартом COSO ERM «Управление рисками организации». Управление рисками — это процесс, осуществляемый руководством больницы, линейными

руководителями и другими сотрудниками, который начинается при разработке стратегии и затрагивает всю деятельность организации [3]. Анкета COSO представляет собой опросник, разделенный на 9 разделов: управление активами, соответствие, общее руководство, люди, защита окружающей среды, бизнес-модель и управление изменениями, финансы, продукты и услуги, технология производства и информационные технологии.

Участниками исследования стали 50 сотрудников медицинской организации, представляющих руководящий состав больницы — главного врача и его заместителей, заведующих отделами и кадрового резерва.

Анкета COSO была немного изменена нами для использования в медицинской организации, вопросы упрощены, сформулированы с учетом медицинских аспектов деятельности. Исследование показало, что часть участников опроса не имеет опыта оценки рисков, о чем свидетельствует достаточно высокое количество ответов «затрудняюсь ответить» (табл.1). Однако результаты анкетирования выявили основные системные риски по основным разделам деятельности организации. В качестве примера в данной статье нами представлен фрагмент исследования по разделу 2. «Соответствие» (рис.1). Последствием реализации рисков данного раздела может быть неспособность соответствовать внутренним и внешним нормативным требованиям.

Таблица 1. Анкета COSO — Раздел 2. Соответствие — последствием может быть неспособность

Вопрос Да Нет Затрудняюсь ответить

1. Может ли ваша медицинская организация быть обвинена в незаконной деятельности? 8 2 10

2. Имеют ли действующие законы или законопроекты влияние на вашу медицинскую организацию? 50 - -

3. Могут ли руководители вашей медицинской организации нарушить свои обязательства по доверенности и этот факт не будет обнаружен, например, столкновение интересов, растрата, обязательства по проявлению внимания к учредителям? 8 8 14

4. Подвержены ли воздействию несоответствующих действий процессы тендеров и закупок в вашей медицинской организации? 17 15 18

5. Может ли в вашей медицинской организации иметь место несанкционированные операции с использованием конфиденциальной информации? 4 34 12

Ниже приведён опрос среди сотрудников больницы по разделу 2 «Соответствие». На

диаграмме видно, какие риски имеют место в большей и меньшей степени в данном учреждении.

Pul.i n.ii3Vi|jrliii;i HüiicfHlVLlnx Пй> Ш f'ncu CKhiuu иионодзкяьст«обoíViim* здоровой грлкдаи '

h'tii « Har'VLL--i i ия Эансц* 9 ищите прап пп:ревнилвй

Си н рАрмиеггил n Hf Tj>IM. ииш> |

■h..i неполучения ницГ.йепрщДпнчия лицензии

|>И£к '■■■4irivi(Plllill! ОС" í.iTí'liLlí Г51 IIJH nocrjaiurinj

wahhiíph! »к* yUiyT

PVH н4[ку111»лня колтрнкШЬиоОнзЯвльт ей Liijpany гиктаишии | Рц< >l и.<[.',■' :i U i |ün n'mtUíiHnijffi UHOMGAJIMbCPU Ри( i. нзрущени н зан• i ивд-з-н пa qn(Ы и- пируwiwLUtü i pejw

Гщ h| |j.-i;iyn-i'hms i .IIÍIHÍIJL-J^ гЛ 0>П-1Н|' tl'VAi1 ^H ÍH^fJV IJl I11IJ1H 11 rvjJO'J'St |> [.LinlHOfiJl плы rn-i

Fhík <i(! LnviHchuijl ih un i Jltíwppriííi л[НгДвс l ju 'biíMJ«1 ri fu lnbii tai ЛчцИоС них

Vtnyr ^^^^^^^^^^^^^^^^^^^^^^^^^

PH. I- 111 Irt > I rtyl»MH ll it I IT 111 -| I родп > 11HH i ILI i 1гй Ц4И J

........................ия Внутреннего 4>HHj nt r.eor□ кот рол л

Рис* i и.чг-тии.и, л i rit .uu jnntj> си1(|ицип f тпиль ьпвзшц'.и ылнфндо^ц, ^—

............... Д1-Й(эвий S прении? тирЩррпа нздщМ

Ил. НДруцЛ'иИА f.ín i. il l^i7T íai fia ДВЮРФЖЧСТН

P JO ÍP 3(1 4Q

■ Д1 Hm-! V UIjiy.ЦлГниЗСь Ql ВГТМЧг

Рис.1. Результаты исследования рисков соответствия медицинской организации, раздел 2 анкеты COSO

«Соответствие»

Как видно из представленных результатов исследования, данная организация, по мнению респондентов, подвержена лишь небольшому количеству рисков. Маловероятны проблемы с несанкционированными операциями, незаконной деятельностью, незаконным предоставлением медицинских услуг и т. д. Однако, есть очень высокий риск нарушения контрактных обязательств со стороны поставщика. В данном случае было бы неплохим решением укрепить договоренность с текущим поставщиком или же найти иного, более надежного. Если данную проблему не решить, то возможны нарушения при планировании, неполный учет реальных потребностей, дублирование и т. д. Как итог может быть не оказана медицинская услуга ввиду отсутствия медикаментов или расходных материалов, что может повлечь за собой нарушение обязательств медицинской организации перед своими потребителями.

Кроме того, многие сотрудники данной организации считают, что есть риски нарушения контрактных обязательств как поставщика

медицинских услуг, а также риски несоответствия действий в процессе тендеров и закупок. Тут может потребоваться диагностика самой системы управления, а также контроль закупок всего, что связано с производством медицинских услуг. Особое внимание необходимо уделить планированию всех необходимых ресурсов для производства медицинских услуг (расходные материалы, медикаменты, оборудование и т. д.), мотивации персонала, организации процесса логистики, контроля над всеми ресурсами, использующимися при производстве, координации действий подразделений. Достаточно весомая доля респондентов указала на риск несоответствующих действий в процессе тендеров и закупок (34 %), риск неполучения (на новые виды деятельности) или непродления лицензии (12 %), что является весомым аргументом в пользу первоочередной работы по оптимизации данных рисков. Вместе с тем на вопрос «существуют ли какие-либо другие риски, связанные с соответствием в вашей медицинской организации?», 20 % респондентов ответили положительно, 12 % — отрицательно,

18 % затруднились ответить на данный вопрос, что означает наличие затруднений при идентификации риска и отнесения его к какой-либо определенной категории. В данном случае становится актуальным изучение теории риск-менеджмента, направленное на понимание природы риска, его классификационных признаков и формированию навыков по идентификации рисков, их оценке, разработке и исполнению мероприятий по управлению рисками, контролю и мониторингу исполнения мероприятий, а также анализу эффективности управления рисками.

Результаты обработки анкет показали наиболее существенные рисковые зоны в управлении медицинской организацией:

• 78 % респондентов отметили наличие рисков сбоя в действующих процессах мониторинга, отчетности или аудита,

• 76 % обозначили высокий риск переманивания конкурирующими организациями ключевых ценных сотрудников,

• 56 % респондентов дали положительный ответ на вопрос о наличии рисков, связанные с наймом персонала на постоянной или временной основе.

• 56 % респондентов выделили риск для репутации в результате заявлений конкурента или СМИ, основанных на фактической или ложной информации.

Особое внимание следует обратить на отсутствие положительных ответов на вопрос о наличии риска утраты доверия со стороны учредителей, органов управления здравоохранения, что свидетельствует о стабильно высоком имидже организации и ответственности перед всеми заинтересованными сторонами.

Руководством больницы за основу взяты процессы управления риском, представленные в стандарте ISO 31000:2009 [4]. Навыки работы с международными стандартами, сформированные в ходе реализации проекта внедрения ISO 9001, позволяют легко освоить структуру стандарта, процессную модель управления рисками. В перспективе процессы риск-менеджмента должны стать неотъемлемой частью управления, внедрены в культуру и практики, а также приспособлены к бизнес-процессам организации. Поставленные цели и задачи в системе риск-менеджмента должны быть отражены в следующих документах, разрабатываемые в медицинской организации:

• политика управления рисками;

• декларация о рисках (перечень рисков или каталог рисков);

• положение по управлению рисками;

• план мероприятий по управлению рисками;

• календарный план-график мероприятий по управлению рисками;

• служебные инструкции руководителям по управлению рисками;

• карты рисков;

• методики по расчету показателей степени опасности рисков;

• стандарты, правила и нормативы по управлению рисками.

Процесс менеджмента риска (risk management process) заключается в систематическом применении политик, процедур и практик менеджмента к деятельности по обмену информацией, консультированию, установлению ситуации (контекста) и идентификации, анализу, оцениванию, воздействию на риск, мониторингу и пересмотру риска [5]. Эффективная процедура риск-менеджмента позволяет руководству медицинской организации предвидеть риски и принимать продуманные решения относительно того какими рисками и каким именно образом необходимо управлять, что необходимо для достижения стратегических целей организации.

Особое внимание в контексте результатов нашего исследования следует уделять комплаенс-рискам, рассматривая 4 основных области комплаенса:

• целостность клиентской базы (знание своего клиента, актуальность клиентской базы, борьба с мошенничеством, ограничительные меры и административные санкции при необходимости);

• взаимодействие с персоналом (конфиденциальность, должности с определенным уровнем ответственности и др.),

• организационная системная целостность (честная конкуренция, защита и использование персональных данных, хранение и архивация данных, привлечение внешних подрядчиков и др.)

• должная осмотрительность (консультирование пациентов, предоставление информации о возможных осложнениях, работа с жалобами и претензиями и др.)

Залогом успеха комплаенса в медицинской организации является классическое сотрудничество трех линий защиты и взвешенное распределение ответственности и полномочий внутри каждой линии (рис. 2).

Рис. 2. «Три линии защиты» — «Leveraging COSO across Three lines of defense»

Следует отметить, что конечная цель комплаенса — защита органов управления здравоохранением, руководителей, из

заместителей, сотрудников организации, пациентов и всех контрагентов от риска использования медицинской организации в противоправных

целях. Диагностика комплаенс-рисков и применение инструментов и методов управления рисками в данной сфере служит устойчивому развитию организации, обеспечению достижения ее стратегических целей, повышение эффективности финансово-хозяйственной деятельности.

Выявление рисков, угрожающих деятельности организации и управление такими рисками позволяет более эффективно использовать ресурсы организации, обеспечивать сохранность ее имущества. Кроме этого, достигается полнота и достоверности финансовой, бухгалтерской, статистической, управленческой и другой отчетности за счет обеспечение соблюдения законодательства, а также внутренних политик, регламентов и процедур организации. ■

1. Вялков А. И. Организационно-методические аспекты снижения рисков в медицинской практике // А. И. Вялков, В. 3. Кучеренко. - ГлавВрач. - 2006. - № 2. -С. 6-11.

2. Князюк Н. Ф. Моделирование интегрированной системы управления рисками в медицинской организации / Н. Ф. Князюк // Медицинский альманах. -2011. -№ 2 (15). - С. 9-13.

3. Князюк Н. Ф. Управление рисками медицинской организации / Н. Ф. Князюк и соавт. - Здравоохранение. - 2016-№ 5-С. 42-50.

4. Национальный стандарт Российской Федерации ГОСТ Р ИСО 31000-2010 «Менеджмент риска. Принципы и руководство. Risk

5. Там же.

СПИСОК ЛИТЕРАТУРЫ

Вялков А. И. Организационно-методические аспекты снижения рисков в медицинской практике // А. И. Вялков, В. 3. Кучеренко. - ГлавВрач. -2006.-№2.-С. 6-11.

Князюк Н. Ф. Моделирование интегрированной системы управления рисками в медицинской организации / Н. Ф. Князюк // Медицинский альманах.-2011.-№2(15).-С. 9-13.

Князюк Н. Ф. Управление рисками

медицинской организации / Н. Ф. Князюк и соавт. -Здравоохранение. - 2016 - № 5 - С. 42-50.

Национальный стандарт Российской Федерации ГОСТ Р ИСО 31000-2010 «Менеджмент риска. Принципы и руководство. Risk management. Principies and guidelines». - 2010. - 19 с.

Compliance risk management

© Nevmerzhitskiy P., Knyazyuk N., 2017

The article reviews the concept of risk as it is, identifies the main medical organization risks, examine approaches to minimizing risks through the introduction of international standards for quality management systems. Particular attention is paid to the compliance risks, approaches to the identification and registration of the compliance risks for strategic planning. Provided an overview of risk management standards, which can be used by managers. Described the research technique and results of compliance risks based on COSO questionnaire. As the results of the survey were identified main compliance risks areas and risk protection levels.

Keywords: compliance risks, risk management, tools and techniques to identify the risks, the COSO questionnaire.