gestion des processus, des risques et sci dans les ... · la gestion des risques est un processus...
TRANSCRIPT
afin d’aligner les processus à la vision managériale, de rendre
l’improbable tangible et de maîtriser l’impact des risques.
GESTION DES PROCESSUS, DES RISQUES et SCI
dans les établissements de santé
08/2015
avec le
Sommaire
Généralités : SMI-Manager™
Les risques
Les exigences
Généralités sur la gestion des risques (GR) et le
Système de Contrôle Interne (SCI)
Méthodologie SMI-Manager™
Conclusion
Questions / Discussion www.jgs.ch
SMI-Manager™
Généralités : SMI-Manager™ SMI-Manager™
Le SMI-Manager™ a été développé par deux entreprises spécialisées, JGS SA et DEEProd SA. La convergence de leurs compétences, réunies dans un projet commun, a permis de développer une application informatique de dernière génération, répondant aux véritables besoins des fournisseurs de prestations de santé.
Le SMI-Manager™ est un logiciel spécifique pour les établissements de santé, permettant la gestion des processus en matière de Système de Management de la Qualité (SMQ), de Risk Management (RM) et de Système de Contrôle Interne (SCI). Il s’utilise au moyen d’une simple adresse URL (https://www...) et peut être utilisé par un nombre illimité d’utilisateurs.
Généralités : SMI-Manager™ SMI-Manager™
3.1.1 Détails sur les technologies La communication entre le client et le serveur est assurée par le très connu protocole HTTP (HyperText Transfert Protocol), véhiculé sur le réseau intranet ou internet. Cette communication est déclenchée la plupart du temps par un simple clic d'un utilisateur sur un lien ou un bouton. La gamme de système de base de données relationnelle privilégiée pour le déploiement de SMI-ManagerTM est MySQL pour des raisons de montée en charge (scalabilité), d'ouverture (multiples technologies de stockage) et de pérennité (base de données la plus populaire et qui se marie bien avec les produits PHP et Apache). On peut notamment utiliser la réplication temps réel, pour avoir une copie temps réel de la base de données, voire les clusters de données, pour utiliser plusieurs serveurs distribués géographiquement. Le serveur web recommandé est Apache, car c'est le plus utilisé - environ 50% de parts de marché - et le plus stable. Les navigateurs web recommandés sont Mozilla Firefox, Chrome et Safari, tout particulièrement pour leur fiabilité, le respect des standards et leur sécurité. Internet Explorer est aussi envisageable , à partir de sa version 9. Les langages utilisés sont tous des standards du web les plus aboutis tels que XHTML Strict, CSS2, Ecmascript 1.6 (JavaScript). Le langage principal côté serveur est le PHP5.
Extrait non exhaustif de la documentation technique
Les risques
Afin d’assumer sa mission, tout établissement de santé est confronté à deux objectifs à priori contradictoires :
Développer l’innovation (afin de répondre aux attentes sociétales)
Évolution de la science médicale et des bio-technologies, nouvelles formes de traitements et d’approches, nouveaux médicaments, robotisation, sous-traitance, etc. ,
Garantir un haut niveau de sécurité et de qualité
Prise en charge rapide et correcte en situation d’urgence, prise en compte des spécificités de chaque patient, asepsie, risques opératoires, médication, etc.
Or, un établissement de santé est une entreprise
considérée à hauts risques …
SMI-Manager™
Un établissement de santé est considéré comme une entreprise à hauts risques.
Quelques raisons :
Complexité de la science médicale Evolution rapide de la science médicale
Utilisation de hautes technologies Composante humaine très forte
Changements rapides et fondamentaux des techniques Risques à impacts directs sur l’humain, en termes
d’intégrité physique et psychique Situations d’urgence avec une composante émotionnelle forte
Organisation compliquée (beaucoup d’interfaces) Contraintes élevées sur un marché fortement règlementé …
Les risques sont souvent issus des activités, donc des processus de l’entreprise …
Les risques SMI-Manager™
De manière générale, les processus à risques génèrent, à terme, des évènements indésirables, donc des situations de non satisfaction. Elles touchent aussi bien les professionnels de la santé que les patients et leur entourage. Les causes des évènements indésirables peuvent être multiples et souvent cumulées : mauvais dosage, erreur active, erreur de prescription ou de sa lecture, erreur de distribution des médicaments, défaut d’organisation, oublis dans la communication, négligence, confusion d’identité, manque d’informations, manque de formation à l’utilisation des équipements, etc.
Les coûts de la santé représentant plus de 11% du PIB, les risques du secteur intéressent les média …
Les risques SMI-Manager™
Extrait de ce que l’on a entendu à la RTS (déjà en 1/2012) : En vingt ans, la science médicale a fait d’énormes progrès.
Il n’est pas acceptable d’avoir une médecine si performante et autant d’erreurs médicales.
Il ne faudrait pas perdre les bienfaits de l’évolution de la science médicale pour des raisons d’incompétences managériales et organisationnelles de l’entreprise Hôpital …
----------------- Plus les soins sont complexes et fragmentés => plus la sécurité des
patients/résidents dépend de la capacité des acteurs de travailler ensemble et à échanger sur les erreurs.
Les risques SMI-Manager™
Travailler ensemble, échanger, … ça veut dire quoi ?
Cette question nous place hors du domaine des compétences professionnelles individuelles.
(savoir être vs savoir faire) ______
Elle se situe dans le domaine de la gestion et de l’organisation d’entreprise, de la culture Qualité, de l’apprentissage de l’erreur, du partage, de la
communication, etc. afin d’assurer « un travail bien fait ».
Cette question se pose à toutes les entreprises, aussi à l’établissement de santé.
Les risques SMI-Manager™
En regard des avancées technologiques, de la vélocité des temps de vie des produits, des effets de la mondialisation, etc. les
attentes sociétales ont poussé le législateur à protéger le consommateur, donc à adapter
la législation. Dès lors, des exigences nouvelles, sous forme de maîtrise des processus, de responsabilité du fait du
produit, d’évaluation des risques ou encore de Système de Contrôle Interne, ont été
dictées aux entreprises.
Les risques SMI-Manager™
satisfaire aux exigences légales et de
répondre aux attentes sociétales dans
un marché en pleine mutation.
En résumé, au niveau de l’entreprise « établissement
de santé » et en termes de gestion des risques, il s’agit de
Les risques SMI-Manager™
Le législateur suisse ne prescrit aucun système particulier (cf. NAS 890). La norme, selon laquelle le SCI doit être adapté aux conditions qui prévalent dans l’entreprise, s’applique. En principe, l’entreprise est libre de la conception de son SCI.
L’exigence minimale requise est la mise en évidence des processus qui aboutissent à l'établissement des états financiers. Sur le plan international, les normes SCI sont établies selon COSO 2, qui fait référence en la matière.
Système de Contrôle Interne : exigences légales
Les exigences SMI-Manager™
L’exigence légale : Gestion des risques
Les exigences
Rôles et responsabilités, selon CO
Conseil d’administration
Direction opérationnelle
SMI-Manager™
Responsabilité de haute surveillance (CO 716 Réaliser une évaluation des risques (CO 728 a)
Souvent chargée de la mise en œuvre concrète de
l’évaluation des risques, avec la participation des collaborateurs spécialisés dans les domaines spécifiques
Les exigences SMI-Manager™
Les exigences
Rôles et responsabilités, selon CO
Responsabilité légale de l’organe de révision (selon CO)
Vérification par l’organe de révision
Importance de la méthode et de l’utilisation de standards reconnus (ISO 31000, COSO, NAS 890, RM ONR 49000, ...)
Code des Obligations, articles 727 et ss
SMI-Manager™
Les exigences SMI-Manager™
Les exigences SMI-Manager™
Tout le monde s’accorde sur le fait que l’établissement de santé sans risques n’existe pas.
______________
Par contre, ce qui n’est bientôt plus acceptable, c’est qu’un établissement de santé puisse exister
...
sans système de gestion des risques.
SMI-Manager™ Généralités sur la GR et le SCI
La gestion des risques est un processus mis en œuvre par les organes dirigeants et l’ensemble des collaborateurs afin :
• d’identifier les évènements potentiels et circonstances susceptibles d’affecter l’entreprise
• de gérer les risques dans leur limite d’appétence.
Toute entreprise « à risques » se doit de tout mettre en œuvre afin de réduire au maximum l’impact des risques liés à ses activités. Il s’agit de préserver • ses clients, • ses parties prenantes, • et son image, donc l’entité « entreprise » en elle-même afin
d’assurer sa pérennité.
Risque = effet de l’incertitude sur la réalisation des objectifs.
SMI-Manager™ Généralités sur la GR et le SCI
Approche systémique des risques Source : adapté au modèle de James REASON
Incident
Accident
Evénement
indésirable
Management général
Procédures
Équipements
Formation
Encadrement
Actes réalisés par les professionnels en contact
avec le patient
Protections
Précurseurs psychologiques
Causes latentes Causes patentes
SMI-Manager™ Généralités sur la GR et le SCI
Les objectifs de la gestion des risques sont multiples, notamment dans le nouveau paradigme du monde de la santé qui se dessine en Suisse, depuis 2012 :
• garantir la pérennité de l’institution • permettre une croissance dans une vision de développement
durable • satisfaire aux exigences légales • répondre aux besoins et exigences des clients … Cette liste n’est pas exhaustive : cf. ISO 31000
La gestion des risques vise à fournir une assurance raisonnable quant à l’atteinte des objectifs fixés par l’entreprise.
Dès lors, en milieu hospitalier la mise en place d’un SYSTÈME DE GESTION DES RISQUES, couvrant les exigences d’un SCI, fait du sens …
SMI-Manager™ Généralités sur la GR et le SCI
Sur le plan méthodologique, la gestion des risques, selon le SMI-Manager™ , se base sur 4 fondamentaux :
ISO 9001 Les processus COSO 2 ISO 31000
Bonnes pratiques managériales Les règles organisationnelles Norme de système de contrôle interne Norme de gestion des risques
SMI-Manager™ Généralités sur la GR et le SCI
COSO (Committee of Sponsoring Organizations of the Treadway Commission) est une organisation privée aux USA, créée en 1985 par cinq organisations de contrôles financiers et comptables (IIA, AICPA, FEI, IMA et AAA). COSO fixe des règles en matière d’élaboration des rapports financiers, de mise en place de systèmes de contrôle internes crédibles, d’amélioration des mesures de gestion, etc. (source : résumé de Wikipédia, 24.11.2012)
American Institute of Certified Public Accountants (AICPA) The Institute of Internal Auditors (IIA) Financial Executives International (FEI) The Association of Accountants and Financial professionals in Business (IMA) American Arbitration Association (AAA)
ISO 31000 : norme internationale sur la gestion des risques
SMI-Manager™ Généralités sur la GR et le SCI
Eléments de
gestion des
risques
Système de Contrôle Interne :
exigences / objectifs
COSO2 ; une approche tridimensionnelle
Niveaux de
l’organisation Définition des objectifs
Identification des événements
Evaluation des risques
Réponse aux risques
Activités de contrôle
Information et communication
Pilotage
Processus / Activité 1
Environnement interne
Processus / Activité 1
Processus / Activité 1
Processus / Activité 1
SMI-Manager™ Généralités sur la GR et le SCI
Définition des objectifs
Identification des événements
Evaluation des risques
Réponse aux risques
Activités de contrôle
Information et communication
Pilotage
Processus / Activité 1
Environnement interne
Processus / Activité 2
Processus / Activité 3
Processus / Activité n
Cartographie des processus PM / SMQ avec cartes d’identité des processus, logigrammes, documents associés, AMDEC AMDEC, audits, analyse SCI, cartographie des risques Inventaire des contrôles, assignation des rôles, suivi Tdb institutionnel, RD
Mise en œuvre du CUBE COSO, sur la base de l’existant organisationnel, avec la méthodologie issue de l’ISO 31000
SMI-Manager™ Généralités sur la GR et le SCI
Relations entre les principes, le cadre organisationnel et le processus de management du risque
a) Crée de la valeur
b) Fait partie intégrante des
processus
organisationnels
c) Élément de la prise de
décision
d) Traite explicitement de
l’incertitude
e) Systématique, structuré
et en temps utile
f) S’appuie sur la meilleure
information disponible
g) Adapté
h) Tient compte des facteurs
humains et culturels
i) Transparent et participatif
j) Dynamique, itératif et
réactif au changement
k) Facilite l’amélioration
continue et le développe-
ment permanents de
l’organisme
Principe de management du
risque (Article 3)
Cadre de management
du risque (Article 4)
Processus de management
du risque (Article 5)
Mandat et
engagement
(4.2)
Conception du cadre
organisationnel de
management du
risque (4.3)
Surveillance et
revue du cadre
organisationnel
(4.5)
Amélioration
continue du cadre
organisationnel
(4.6)
Mise en œuvre
du management
du risque
(4.4)
Appréciation
du risque (5.4)
Co
mm
un
ica
tio
n e
t co
nc
erta
tio
n (5
.2)
Su
rve
illa
nc
e e
t re
vu
e (5
.6)Identification du
risque (5.4.2)
Analyse du risque
(5.4.3)
Évaluation du
risque (5.4.4)
Établissement du
contexte (5.3)
Traitement du
risque (5.5)
Source : ISO/FDIS 31000:2009(F)
ISO 31000
SMI-Manager™ Généralités sur la GR et le SCI
pour une véritable gestion des processus, Qualité, Risques et SCI, en conformité avec l’ISO 9001, l’ISO 31000, COSO 2 et en harmonie avec la théorie des Balanced Score Cards®.
SMI-Manager™
SMI Manager™ : définition (méthodologie)
SMI Manager™ est un processus systématique de gestion visant la
maîtrise des processus et des risques de l’entreprise « établissement
de santé ». Il est déclenché par les dirigeants de l’entreprise et
s’adresse à l’ensemble du personnel, dans l’objectif de garantir la
conformité des pratiques managériales, de reporting ou
opérationnelles, selon les objectifs fixés à l’entreprise.
SMI Manager™ se calque sur le système organisationnel mis en place
dans l’entreprise. Il permet un développement selon les normes (par
exemple ISO 9001 et ISO 31000) et les théories de management
actuelles (par exemple au niveau des BSC), avec l’établissement de
tableaux de bord de gestion des risques.
Références : ISO 31000 : management du risque – principes et lignes directrices
Méthodologie SMI-Manager™ SMI-Manager™
Définition des objectifs
Identification des risques
Maîtrise des processus
Analyse des risques
Evaluation de risques
Monitoring des contrôles
Inventaire des contrôles
Implémentation des contrôles
Mesures et actions d’amélioration
Représentation du delta d’amélioration
Act Plan
Do Check
Mise en œuvre selon PDCA
Méthodologie SMI-Manager™
Gestion des processus
Mise à plat des processus
Audits internes Analyse des indicateurs et des non conformités
SMI-Manager™
Stratégie : selon PESTEL
Opérationnel : maîtrise des risques sur les processus (selon SMQ)
Reporting : exactitude des données de gestion
Conformité : respect de la législation et des procédures
Mise en œuvre du CUBE COSO
Actions sur les objectifs
Définition des objectifs
Identification des événements
Evaluation des risques
Réponse aux risques
Activités de contrôle
Information et communication
Pilotage
P r o c e s s u s / A c t i v i t é 1
Environnement interne
P r o c e s s u s / A c t i v i t é 2
P r o c e s s u s / A c t i v i t é 3
P r o c e s s u s / A c t i v i t é n
Méthodologie SMI-Manager™ SMI-Manager™
SMI-Manager™
Gestion des processus et des risques avec
indicateurs de sécurité, d’activité, de qualité, de
performance, de progression des projets,
etc.
Ensemble des processus et de la docum. SMI
Actions correctives et préventives au niveau des processus
SMQ, RM, SCI, avec les tableaux de Bord
TdB institutionnels
Mesures d’amélioration
SMI-Manager™ Méthodologie SMI-Manager™
Cartographie des risques (exemple TdB processus)
Méthodologie SMI-Manager™ SMI-Manager™
Réseau des processus (Niveau 1) P1
Management 1.1
Stratégie et politique 1.2
Communication 1.3
Finances
1.4 Management de la
qualité
P2 Ressources et soutien
2.1 Ressources humaines
2.2 Maintenance
2.3 Logisitque et
transports
2.4 Informatique
P3 Prise en charge du patient
3.1 Admission
3.2 Assistance
3.3 Animation
3.4 Sortie
P4 Diagnostics et traitement du
patient
4.1 Consultations et
traitements
4.2 Analyses
4.3 Imagerie
4.4 Support externe
4.5 Pharmacie
P5
Soins infirmiers et prestations médicales
déléguées
5.1 Soins infirmiers
5.2 Physiothérapie
5.3 Ergothérapie
5.4 Diététique
P6 Hôtellerie
6.1 Nettoyages
6.2 Approvisionnements
6.3 Repas
Processus
Descriptif,
référentiel,
documents
associés, etc.
2
contrôle validation émission
no d’identif. Date Responsable Logo
Entrées Sorties
Niveau 2
Activités
1
Logigramme
3
contrôle validation émission
no d’identif. Date Responsable Logo
Documents
associés
de niveau 3
Dessin Responsable Description
(Activités)
Niveau 3
Actions GR et SCI focalisées
directement sur les processus de
l’entreprise et liées à la gestion
documentaire de votre système de
management
La mise en place de l’amélioration continue (avec effets sur les processus, par les audits internes)
Méthodologie SMI-Manager™ SMI-Manager™
Phase 1 : Analyse de la situation actuelle
Identification et recensement des états financiers, statistiques, procédures, documents et
instruments d’évaluations existants afin de déterminer le système de management de
l’entreprise.
Phase 2 : Identification des processus et des risques associés
Prise en considération des processus, détermination et évaluation des risques
Phase 3 : Elaboration de la documentation SMQ, des inventaires de contrôles et de la
cartographie des risques associés
Identification des risques et inventaire des contrôles associés, puis évaluation des risques
identifiés dans une cartographie des risques pour chaque processus. Ces documents
comportant également les risques d’erreurs significatives dans les états financiers et les
contrôles y relatifs.
Phase 4 : Consolidation au niveau institutionnel du système
Consolidation des inventaires de contrôles et des cartographies des risques en tableau de bord
institutionnel.
Phase 5 : Actions correctives et d’amélioration
Identification des éléments lacunaires et des potentiels d’améliorations afin d’instaurer et mettre
en œuvre des mesures correctives, selon leur priorité en fonction de leur importance et de leur
influence.
Projet de gestion des risques SMI-Manager™
Questions / Discussion
À votre disposition pour vos questions …
SMI-Manager™
Nombre d’utilisateurs illimité (time-out, traçabilité avec versioning) Limitation des droits d’accès selon compétences et attributions Gestion du progiciel à l’interne (administrateur) Langage PHP, base de données MySQL / serveur web Apache … Combien ça coûte ? Beaucoup moins que l’avènement d’un risque majeur.
Mise en place du SCI : par l’établissement, selon ses compétences, avec le soutien de JGS SA et DEEProd SA pour la partie « logiciel ».
Conclusion
Pour un établissement de santé, la mise en place d’un Système de Management Intégré constitue une étape majeure en regard de son positionnement futur. Le nouveau marché qui se dessine recèle des opportunités à saisir, à condition de satisfaire aux exigences des « quatre C » inéluctables au succès de toute entreprise :
Confiance / Client / Compétitivité / Conformité
SMI-Manager™