Come gli ospedali svizzeri possono gestire i loro rischi in modo olistico

Essendo organizzazioni relativamente avverse al rischio, gli ospedali hanno un interesse acquisito nella gestione del rischio prudente e creatrice di valore che permette una visione globale dei rischi clinici, tecnologici e di amministrazione aziendale. Nella gestione tradizionale del rischio, la mappa del rischio gioca un ruolo centrale. Sulla base della classificazione dei rischi in una matrice bidimensionale, le misure di controllo sono derivate secondo un sistema a semaforo. Questo strumento di facile comprensione è diffuso come uno strumento importante in molti istituti di formazione e di perfezionamento. Per questo motivo, è probabilmente l'approccio più diffuso nella pratica della valutazione del rischio oggi, anche se è associato a notevoli carenze metodologiche, come la mancanza di un riferimento obiettivo e la pericolosa considerazione dei valori di aspettativa del rischio.

Recenti risultati della ricerca suggeriscono che le mappe di rischio, che sono comuni nella gestione tradizionale del rischio, dovrebbero essere usate con grande cautela. Possono incoraggiare decisioni sbagliate e quindi avere un effetto controproducente. È qui che entra in gioco il moderno approccio dell'enterprise risk management (ERM). Promuove una comprensione olistica del rischio che collega la pesatura di opportunità e minacce con gli obiettivi organizzativi e il processo decisionale all'interno dell'azienda. Questo obiettivo è alla base del progetto di ricerca finanziato a livello federale "Gestione olistica dei rischi negli ospedali svizzeri" (vedi Infobox). L'esempio del gruppo Insel, che partecipa al progetto, è usato qui sotto per delineare come può essere un moderno processo ERM nelle operazioni ospedaliere.

Identificazione e analisi dei rischi
Il primo passo è l'identificazione del rischio, che prende in considerazione non solo i rischi interni ma anche i rischi potenziali dell'ambiente aziendale. Da un punto di vista organizzativo, l'identificazione del rischio inizia ai livelli gerarchici inferiori (operazioni ospedaliere) e procede dalla direzione. I rischi così identificati sono assegnati alle categorie di rischio orientate alle cause: clinico, strategico, operativo e finanziario, in vista di un'analisi qualitativa dei rischi. La descrizione verbale precisa delle cause e degli effetti nel quadro dell'identificazione del rischio crea il presupposto per una gestione mirata del rischio. Su questa base, i rischi pre-identificati devono essere valutati secondo la frequenza di accadimento (numero di incidenti per unità di tempo) e l'ammontare della perdita (perdita finanziaria netta a lungo termine) per uno scenario credibile del caso peggiore.

Nella gestione tradizionale del rischio, i rischi sono poi classificati nella matrice di rischio di cui sopra sulla base dei valori di scala assegnati per la probabilità di verificarsi e l'entità del danno, al fine di derivare le strategie di trattamento corrispondenti. Anche se questo approccio può servire allo scopo di una selezione iniziale del rischio, non è più sufficiente per la gestione del rischio a livello aziendale secondo la moderna comprensione dell'ERM. I rischi non dovrebbero essere gestiti in modo isolato in un portafoglio di rischi, ma in conformità con gli obiettivi aziendali derivati dalla strategia.

Selezione dei rischi principali
A causa dei deficit menzionati sopra, i risk manager preselezionano i rischi principali sulla base dei rischi consolidati a livello dell'azienda nel suo insieme. Si tratta di rischi che potrebbero avere un serio impatto sugli obiettivi dell'azienda. La probabilità di accadimento è deliberatamente trascurata in questa selezione: è difficile da stimare in modo affidabile, e semplicemente non è rilevante se il rischio si verifica effettivamente. Nel gruppo Insel, tra i rischi principali ci sono anche le lesioni ai pazienti del core business. In linea di principio, questi possono portare a costi di trattamento e premi assicurativi più elevati, richieste di risarcimento per responsabilità civile, perdita di reputazione e, a medio termine, a un calo del numero di casi. Pertanto, le lesioni dei pazienti, che hanno un alto potenziale di perdita finanziaria a causa della loro catena di effetti, devono essere classificate come un rischio aziendale significativo. Al fine di creare trasparenza, i responsabili della gestione dei rischi del Gruppo Insel informano i risk owner interessati sui rischi principali, che vengono comunicati alla Direzione generale e al Consiglio di amministrazione.

Analisi quantitativa degli scenari
I rischi possono essere gestiti, confrontati e messi in ordine di priorità in modo olistico solo se c'è una base comune e coerente per la valutazione. A tal fine, i rischi principali selezionati devono essere sottoposti a una valutazione quantitativa del rischio. Insieme al risk manager, i risk owner esaminano questi rischi utilizzando un'analisi di scenario approfondita. Gli scenari sono stati alternativi, anticipati nel futuro in cui i rischi possono verificarsi in forme diverse (anche come opportunità). Nella gestione tradizionale del rischio, si assume troppo semplicisticamente che i rischi siano alternative binarie nel senso di "si verificano" o "non si verificano". In realtà, però, un rischio può verificarsi in diversi gradi di gravità e in diversi periodi di tempo. Questa situazione deve essere rappresentata da scenari di modellazione. Questi scenari includono la causa da un lato e le circostanze da cui nasce il rischio effettivo dall'altro. Di conseguenza, gli effetti del verificarsi del rischio sono anche descritti più dettagliatamente. Questa catena di causa ed effetto di ogni rischio viene infine rivista dai rispettivi decisori (per esempio i capi divisione).

I rischi principali descritti fino a questo punto sono in parte interdipendenti, si influenzano a vicenda o vengono così amplificati o ridotti. Nell'approccio ERM integrato, tali interdipendenze di rischio devono essere valutate esplicitamente. Questo permette una valutazione olistica e realistica del rischio. Il portafoglio dei rischi contiene quindi tutti i rischi principali quantificati, i loro scenari valutati dall'uomo e le interdipendenze. Come risultato, una panoramica dell'impatto finanziario dei rispettivi scenari di tutti i rischi principali può essere generata con una valutazione coerente di un parametro fiscale rilevante (ad esempio, EBITDAR nell'ambiente ospedaliero). La figura riassume questi passi.

Con l'aiuto di una procedura di simulazione disponibile nello strumento di gestione dei rischi o di un add-in di MS Excel, i rischi principali sono infine aggregati in un rischio globale basato sui dati iniziali descritti. Questa procedura permette di collegare la gestione dei rischi con la pianificazione aziendale. Solo in questo modo è possibile identificare gli effetti dei rischi sulla pianificazione aziendale. Inoltre, il valore totale del rischio può essere confrontato con la propensione al rischio definita (il rischio imprenditoriale totale accettato) e la performance su diversi anni può essere confrontata.

Nel caso di rischi che non possono essere accettati secondo la propensione al rischio applicabile, il proprietario del rischio pianifica misure che riducono la probabilità di accadimento e/o l'ammontare del danno. A seconda della situazione del rischio, il risk owner propone delle misure che sono preventive per quanto riguarda le cause o che mirano a limitare il danno. Se i decisori o un comitato di rischio li approvano, il risk owner riceve un budget per le misure.

Il processo ERM presentato è affiancato dal reporting e dal monitoraggio continuo, nonché dall'informazione, dalla comunicazione e dal reporting. Contrariamente alla gestione tradizionale dei rischi, le informazioni sui rischi rilevanti per le decisioni sono disponibili in ogni momento nel Gruppo Insel grazie al supporto di strumenti e a un dashboard flessibile.

Conclusione
L'implementazione del processo ERM nel Gruppo Insel rende chiaro che si deve prestare particolare attenzione a un ambiente interno adeguato fin dall'inizio. Questo include una cultura del rischio condivisa che stabilisce un linguaggio uniforme per quanto riguarda i rischi e le opportunità. In particolare nelle operazioni ospedaliere avverse al rischio, è importante prevenire una comprensione negativa unilaterale del rischio che fondamentalmente vede i rischi come qualcosa di negativo. Con l'aiuto di una politica dei rischi, si può creare la base formale per il processo ERM. Quest'ultimo si caratterizza per il fatto che collega la gestione del rischio con gli obiettivi strategici. A tal fine, tuttavia, non utilizza un modello statistico, ma vari scenari che sono stimati da esperti. Proprio per questo l'approccio ERM qui presentato è uno strumento di gestione ampiamente accettato nel Gruppo Insel.