Risikomanagement – eine fortwährende Aufgabe

Der prozessorientierte Umgang mit den Chancen und Risiken einer Organisation rückt in den Vordergrund des Qualitätsmanagements und ist Voraussetzung für eine Zertifizierung nach ISO 9001:2015.

Der prozessorientierte Umgang mit den Chancen und Risiken einer Organisation rückt in den Vordergrund des Qualitätsmanagements und ist Voraussetzung für eine Zertifizierung nach ISO 9001:2015.

Risikomanagement hat viele Facetten. Zum einen ist das patientenbezogene Risikomanagement Teil des praxisinternen Qualitätsmanagements und erfordert ein systematisches "Fehlermanagement" mit Fehlermeldesystem. Dazu ein Auszug aus der Qualitätsmanagement-Richtlinie/QM-RL des Gemeinsamen Bundesausschusses [16.11.2016].

Zu den Methoden und Instrumente nach § 4 (1) gehören:

Risikomanagement

"Risikomanagement dient dem Umgang mit potenziellen Risiken, der Vermeidung und Verhütung von Fehlern und unerwünschten Ereignissen und somit der Entwicklung einer Sicherheitskultur. Dabei werden unter Berücksichtigung der Patienten- und Mitarbeiterperspektive alle Risiken in der Versorgung identifiziert und analysiert sowie Informationen aus anderen Qualitätsmanagement-Instrumenten, insbesondere die Meldungen aus Fehlermeldesystemen genutzt. Eine individuelle Risikostrategie umfasst das systematische Erkennen, Bewerten, Bewältigen und Überwachen von Risiken sowie die Analyse von kritischen und unerwünschten Ereignissen, aufgetretenen Schäden und die Ableitung und Umsetzung von Präventionsmaßnahmen. Ein relevanter Teil der Risikostrategie ist eine strukturierte Risikokommunikation."

Fehlermanagement und Fehlermeldesysteme

"Der systematische Umgang mit Fehlern („Fehlermanagement“) ist Teil des Risikomanagements. Zum Fehlermanagement gehört das Erkennen und Nutzen von Fehlern und unerwünschten Ereignissen zur Einleitung von Verbesserungsprozessen in der Praxis. Fehlermeldesysteme sind ein Instrument des Fehlermanagements. Ein Fehlerberichts- und Lernsystem ist für alle fach- und berufsgruppenübergreifend niederschwellig zugänglich und einfach zu bewerkstelligen. Ziel ist die Prävention von Fehlern und Schäden durch Lernen aus kritischen Ereignissen, damit diese künftig und auch für andere vermieden werden können. Die Meldungen sollen freiwillig, anonym und sanktionsfrei durch die Mitarbeiterinnen und Mitarbeiter erfolgen. Sie werden systematisch aufgearbeitet und Handlungsempfehlungen zur Prävention werden abgeleitet, umgesetzt und deren Wirksamkeit im Rahmen des Risikomanagements evaluiert."

Um das aus der stationären Versorgung bekannte Critical Incidence Reporting System (CIRS) für die Arztpraxis besser nutzbar zu machen, startete im April 2017 das Projekt CIRSforte (www.cirs-ambulant.de). Es wird über den Innovationsfonds des G-BA für drei Jahre  gefördert. Mittlerweile liegen Handlungsempfehlungen vor, deren praktische Anwendbarkeit ab Frühjahr 2018 erprobt werden soll. Bis Ende April können sich Arztpraxen, die teilnehmen möchten, beim Aktionsbündnis für Patientensicherheit melden.

Zum anderen hat das Risikomanagement eine betriebswirtschaftliche Komponente. Diese ergibt sich nicht nur aus Haftungsfragen, wenn die Patientensicherheit gefährdet ist, was unter Umständen mit erheblichen Schadensforderungen beziehungsweise hohen Versicherungsprämien einhergeht. Das betriebswirtschaftliche Risikomanagement bezieht sich vielmehr auf die Zukunftsfähigkeit eines Unternehmens am Markt: Reichen die Einnahmen, um laufende Kosten zu decken und den eigenen Lebensunterhalt zu erwirtschaften? Verändern sich die Leistungsanforderungen? Welche Rücklagen für Investitionen sind nötig? Wie lassen sich Sicherheitslücken erkennen und beispielsweise die Risiken eines Brands, Diebstahls, Hacker-Angriffs oder Stromausfalls minimieren?

Normen fordern Prozesse

Seit 2009 liegt mit der IS0 31000 eine eigenständige Norm für das Risikomanagement vor. Sie wurde dieses Jahr aktualisiert. Zwar ist eine Zertifizierung danach nicht möglich, doch kann sie helfen, andere Managementsysteme umzusetzen, zum Beispiel die ISO 9001 zur Qualitätsverbesserung, die OHSAS 18001 für den Arbeitsschutz, die ab Frühjahr 2018 ihr Pendant als ISO 45001 erhält, und das Risikomanagement für medizinische IT-Netzwerke nach ISO 80001. Im Kern geht es darum, einen systematischen Prozess zu etablieren, um Risiken zu erkennen, zu analysieren und zu bewerten. Letzteres erfolgt, indem Eintrittswahrscheinlichkeit und Schadenshöhe in Beziehung gesetzt werden (siehe Matrix), woraus sich der Handlungsbedarf ableitet.

Dieser systematische Ansatz im Umgang mit den Chancen und Risiken einer Organisation wurde auch in die Revision der ISO 9001:2015 integriert. "Statt Fehler zu korrigieren, liegt der Schwerpunkt nun auf einer systematischen Risikoprävention", sagt Thomas Votsmeier, Leiter des Bereichs "Normung und internationale Kooperationen" bei der Deutschen Gesellschaft für Qualität (DGQ). Die Risikoprävention bezieht sich auf alle Bereiche, auf Organisations- und Führungsstrukturen, die Kompetenzen der Beschäftigten sowie die Produkte und Dienstleistungen und muss das Praxisumfeld einbeziehen. Entscheidend sei die Wirksamkeit des Qualitätsmanagementsystems, was sich anhand von Kennzahlen überprüfen lasse, nicht das Handbuch, betont Votsmeier.

Ab dem 14. September 2018 ist für eine Zertifizierung die ISO 9001:2015 bindend. Zertifikate nach ISO 9001:2008 verlieren ihre Gültigkeit. Die neue Version setzt nicht nur neue Akzente, sondern hat auch die Kapitelzuordnung dem Plan-Do-Check-Act-Zyklus angepasst und die Anforderungen an die oberste Leitung, des Praxisinhabers, hinsichtlich der Mitwirkung und Verpflichtung im Rahmen des Qualitätsmanagements verstärkt.