GESTION DES PROCESSUS, DES RISQUES et SCI dans les ... · La gestion des risques est un processus...

afin d’aligner les processus à la vision managériale, de rendre

l’improbable tangible et de maîtriser l’impact des risques.

GESTION DES PROCESSUS, DES RISQUES et SCI

dans les établissements de santé

08/2015

avec le

Sommaire

Généralités : SMI-Manager™

Les risques

Les exigences

Généralités sur la gestion des risques (GR) et le

Système de Contrôle Interne (SCI)

Méthodologie SMI-Manager™

Conclusion

Questions / Discussion www.jgs.ch

SMI-Manager™

http://www.jgs.ch/

Généralités : SMI-Manager™ SMI-Manager™

Le SMI-Manager™ a été développé par deux entreprises spécialisées, JGS SA et DEEProd SA. La convergence de leurs compétences, réunies dans un projet commun, a permis de développer une application informatique de dernière génération, répondant aux véritables besoins des fournisseurs de prestations de santé.

Le SMI-Manager™ est un logiciel spécifique pour les établissements de santé, permettant la gestion des processus en matière de Système de Management de la Qualité (SMQ), de Risk Management (RM) et de Système de Contrôle Interne (SCI). Il s’utilise au moyen d’une simple adresse URL (https://www...) et peut être utilisé par un nombre illimité d’utilisateurs.

https://www/

https://www/

https://www/

Généralités : SMI-Manager™ SMI-Manager™

3.1.1 Détails sur les technologies La communication entre le client et le serveur est assurée par le très connu protocole HTTP (HyperText Transfert Protocol), véhiculé sur le réseau intranet ou internet. Cette communication est déclenchée la plupart du temps par un simple clic d'un utilisateur sur un lien ou un bouton. La gamme de système de base de données relationnelle privilégiée pour le déploiement de SMI-ManagerTM est MySQL pour des raisons de montée en charge (scalabilité), d'ouverture (multiples technologies de stockage) et de pérennité (base de données la plus populaire et qui se marie bien avec les produits PHP et Apache). On peut notamment utiliser la réplication temps réel, pour avoir une copie temps réel de la base de données, voire les clusters de données, pour utiliser plusieurs serveurs distribués géographiquement. Le serveur web recommandé est Apache, car c'est le plus utilisé - environ 50% de parts de marché - et le plus stable. Les navigateurs web recommandés sont Mozilla Firefox, Chrome et Safari, tout particulièrement pour leur fiabilité, le respect des standards et leur sécurité. Internet Explorer est aussi envisageable , à partir de sa version 9. Les langages utilisés sont tous des standards du web les plus aboutis tels que XHTML Strict, CSS2, Ecmascript 1.6 (JavaScript). Le langage principal côté serveur est le PHP5.

Extrait non exhaustif de la documentation technique

Les risques

Afin d’assumer sa mission, tout établissement de santé est confronté à deux objectifs à priori contradictoires :

Développer l’innovation (afin de répondre aux attentes sociétales)

Évolution de la science médicale et des bio-technologies, nouvelles formes de traitements et d’approches, nouveaux médicaments, robotisation, sous-traitance, etc. ,

Garantir un haut niveau de sécurité et de qualité

Prise en charge rapide et correcte en situation d’urgence, prise en compte des spécificités de chaque patient, asepsie, risques opératoires, médication, etc.

Or, un établissement de santé est une entreprise

considérée à hauts risques …

SMI-Manager™

Un établissement de santé est considéré comme une entreprise à hauts risques.

Quelques raisons :

Complexité de la science médicale Evolution rapide de la science médicale

Utilisation de hautes technologies Composante humaine très forte

Changements rapides et fondamentaux des techniques Risques à impacts directs sur l’humain, en termes

d’intégrité physique et psychique Situations d’urgence avec une composante émotionnelle forte

Organisation compliquée (beaucoup d’interfaces) Contraintes élevées sur un marché fortement règlementé …

Les risques sont souvent issus des activités, donc des processus de l’entreprise …

Les risques SMI-Manager™

De manière générale, les processus à risques génèrent, à terme, des évènements indésirables, donc des situations de non satisfaction. Elles touchent aussi bien les professionnels de la santé que les patients et leur entourage. Les causes des évènements indésirables peuvent être multiples et souvent cumulées : mauvais dosage, erreur active, erreur de prescription ou de sa lecture, erreur de distribution des médicaments, défaut d’organisation, oublis dans la communication, négligence, confusion d’identité, manque d’informations, manque de formation à l’utilisation des équipements, etc.

Les coûts de la santé représentant plus de 11% du PIB, les risques du secteur intéressent les média …


Extrait de ce que l’on a entendu à la RTS (déjà en 1/2012) : En vingt ans, la science médicale a fait d’énormes progrès.

Il n’est pas acceptable d’avoir une médecine si performante et autant d’erreurs médicales.

Il ne faudrait pas perdre les bienfaits de l’évolution de la science médicale pour des raisons d’incompétences managériales et organisationnelles de l’entreprise Hôpital …

----------------- Plus les soins sont complexes et fragmentés => plus la sécurité des

patients/résidents dépend de la capacité des acteurs de travailler ensemble et à échanger sur les erreurs.


Travailler ensemble, échanger, … ça veut dire quoi ?

Cette question nous place hors du domaine des compétences professionnelles individuelles.

(savoir être vs savoir faire) ______

Elle se situe dans le domaine de la gestion et de l’organisation d’entreprise, de la culture Qualité, de l’apprentissage de l’erreur, du partage, de la

communication, etc. afin d’assurer « un travail bien fait ».

Cette question se pose à toutes les entreprises, aussi à l’établissement de santé.


En regard des avancées technologiques, de la vélocité des temps de vie des produits, des effets de la mondialisation, etc. les

attentes sociétales ont poussé le législateur à protéger le consommateur, donc à adapter

la législation. Dès lors, des exigences nouvelles, sous forme de maîtrise des processus, de responsabilité du fait du

produit, d’évaluation des risques ou encore de Système de Contrôle Interne, ont été

dictées aux entreprises.


satisfaire aux exigences légales et de

répondre aux attentes sociétales dans

un marché en pleine mutation.

En résumé, au niveau de l’entreprise « établissement

de santé » et en termes de gestion des risques, il s’agit de


Le législateur suisse ne prescrit aucun système particulier (cf. NAS 890). La norme, selon laquelle le SCI doit être adapté aux conditions qui prévalent dans l’entreprise, s’applique. En principe, l’entreprise est libre de la conception de son SCI.

L’exigence minimale requise est la mise en évidence des processus qui aboutissent à l'établissement des états financiers. Sur le plan international, les normes SCI sont établies selon COSO 2, qui fait référence en la matière.

Système de Contrôle Interne : exigences légales

Les exigences SMI-Manager™

L’exigence légale : Gestion des risques

Les exigences

Rôles et responsabilités, selon CO

Conseil d’administration

Direction opérationnelle

SMI-Manager™

Responsabilité de haute surveillance (CO 716 Réaliser une évaluation des risques (CO 728 a)

Souvent chargée de la mise en œuvre concrète de

l’évaluation des risques, avec la participation des collaborateurs spécialisés dans les domaines spécifiques

Les exigences

Rôles et responsabilités, selon CO

Responsabilité légale de l’organe de révision (selon CO)

Vérification par l’organe de révision

Importance de la méthode et de l’utilisation de standards reconnus (ISO 31000, COSO, NAS 890, RM ONR 49000, ...)

Code des Obligations, articles 727 et ss

SMI-Manager™

Tout le monde s’accorde sur le fait que l’établissement de santé sans risques n’existe pas.

______________

Par contre, ce qui n’est bientôt plus acceptable, c’est qu’un établissement de santé puisse exister

...

sans système de gestion des risques.

SMI-Manager™ Généralités sur la GR et le SCI

La gestion des risques est un processus mis en œuvre par les organes dirigeants et l’ensemble des collaborateurs afin :

• d’identifier les évènements potentiels et circonstances susceptibles d’affecter l’entreprise

• de gérer les risques dans leur limite d’appétence.

Toute entreprise « à risques » se doit de tout mettre en œuvre afin de réduire au maximum l’impact des risques liés à ses activités. Il s’agit de préserver • ses clients, • ses parties prenantes, • et son image, donc l’entité « entreprise » en elle-même afin

d’assurer sa pérennité.

Risque = effet de l’incertitude sur la réalisation des objectifs.


Approche systémique des risques Source : adapté au modèle de James REASON

Incident

Accident

Evénement

indésirable

Management général

Procédures

Équipements

Formation

Encadrement

Actes réalisés par les professionnels en contact

avec le patient

Protections

Précurseurs psychologiques

Causes latentes Causes patentes


Les objectifs de la gestion des risques sont multiples, notamment dans le nouveau paradigme du monde de la santé qui se dessine en Suisse, depuis 2012 :

• garantir la pérennité de l’institution • permettre une croissance dans une vision de développement

durable • satisfaire aux exigences légales • répondre aux besoins et exigences des clients … Cette liste n’est pas exhaustive : cf. ISO 31000

La gestion des risques vise à fournir une assurance raisonnable quant à l’atteinte des objectifs fixés par l’entreprise.

Dès lors, en milieu hospitalier la mise en place d’un SYSTÈME DE GESTION DES RISQUES, couvrant les exigences d’un SCI, fait du sens …


Sur le plan méthodologique, la gestion des risques, selon le SMI-Manager™ , se base sur 4 fondamentaux :

ISO 9001 Les processus COSO 2 ISO 31000

Bonnes pratiques managériales Les règles organisationnelles Norme de système de contrôle interne Norme de gestion des risques


COSO (Committee of Sponsoring Organizations of the Treadway Commission) est une organisation privée aux USA, créée en 1985 par cinq organisations de contrôles financiers et comptables (IIA, AICPA, FEI, IMA et AAA). COSO fixe des règles en matière d’élaboration des rapports financiers, de mise en place de systèmes de contrôle internes crédibles, d’amélioration des mesures de gestion, etc. (source : résumé de Wikipédia, 24.11.2012)

American Institute of Certified Public Accountants (AICPA) The Institute of Internal Auditors (IIA) Financial Executives International (FEI) The Association of Accountants and Financial professionals in Business (IMA) American Arbitration Association (AAA)

ISO 31000 : norme internationale sur la gestion des risques


Eléments de

gestion des

risques

Système de Contrôle Interne :

exigences / objectifs

COSO2 ; une approche tridimensionnelle

Niveaux de

l’organisation Définition des objectifs

Identification des événements

Evaluation des risques

Réponse aux risques

Activités de contrôle

Information et communication

Pilotage

Processus / Activité 1

Environnement interne





Définition des objectifs






Pilotage





Processus / Activité n

Cartographie des processus PM / SMQ avec cartes d’identité des processus, logigrammes, documents associés, AMDEC AMDEC, audits, analyse SCI, cartographie des risques Inventaire des contrôles, assignation des rôles, suivi Tdb institutionnel, RD

Mise en œuvre du CUBE COSO, sur la base de l’existant organisationnel, avec la méthodologie issue de l’ISO 31000


Relations entre les principes, le cadre organisationnel et le processus de management du risque

a) Crée de la valeur

b) Fait partie intégrante des

processus

organisationnels

c) Élément de la prise de

décision

d) Traite explicitement de

l’incertitude

e) Systématique, structuré

et en temps utile

f) S’appuie sur la meilleure

information disponible

g) Adapté

h) Tient compte des facteurs

humains et culturels

i) Transparent et participatif

j) Dynamique, itératif et

réactif au changement

k) Facilite l’amélioration

continue et le développe-

ment permanents de

l’organisme

Principe de management du

risque (Article 3)

Cadre de management

du risque (Article 4)

Processus de management

du risque (Article 5)

Mandat et

engagement

(4.2)

Conception du cadre

organisationnel de

management du

risque (4.3)

Surveillance et

revue du cadre

organisationnel

(4.5)

Amélioration

continue du cadre

organisationnel

(4.6)

Mise en œuvre

du management

du risque

(4.4)

Appréciation

du risque (5.4)

Co

mm

un

ica

tio

n e

t co

nc

erta

tio

n (5

.2)

Su

rve

illa

nc

e e

t re

vu

e (5

.6)Identification du

risque (5.4.2)

Analyse du risque

(5.4.3)

Évaluation du

risque (5.4.4)

Établissement du

contexte (5.3)

Traitement du

risque (5.5)

Source : ISO/FDIS 31000:2009(F)

ISO 31000


pour une véritable gestion des processus, Qualité, Risques et SCI, en conformité avec l’ISO 9001, l’ISO 31000, COSO 2 et en harmonie avec la théorie des Balanced Score Cards®.

SMI-Manager™

SMI Manager™ : définition (méthodologie)

SMI Manager™ est un processus systématique de gestion visant la

maîtrise des processus et des risques de l’entreprise « établissement

de santé ». Il est déclenché par les dirigeants de l’entreprise et

s’adresse à l’ensemble du personnel, dans l’objectif de garantir la

conformité des pratiques managériales, de reporting ou

opérationnelles, selon les objectifs fixés à l’entreprise.

SMI Manager™ se calque sur le système organisationnel mis en place

dans l’entreprise. Il permet un développement selon les normes (par

exemple ISO 9001 et ISO 31000) et les théories de management

actuelles (par exemple au niveau des BSC), avec l’établissement de

tableaux de bord de gestion des risques.

Références : ISO 31000 : management du risque – principes et lignes directrices

Méthodologie SMI-Manager™ SMI-Manager™


Identification des risques

Maîtrise des processus

Analyse des risques

Evaluation de risques

Monitoring des contrôles

Inventaire des contrôles

Implémentation des contrôles

Mesures et actions d’amélioration

Représentation du delta d’amélioration

Act Plan

Do Check

Mise en œuvre selon PDCA

Méthodologie SMI-Manager™

Gestion des processus

Mise à plat des processus

Audits internes Analyse des indicateurs et des non conformités

SMI-Manager™

Stratégie : selon PESTEL

Opérationnel : maîtrise des risques sur les processus (selon SMQ)

Reporting : exactitude des données de gestion

Conformité : respect de la législation et des procédures

Mise en œuvre du CUBE COSO

Actions sur les objectifs







Pilotage

P r o c e s s u s / A c t i v i t é 1




P r o c e s s u s / A c t i v i t é n


SMI-Manager™

Gestion des processus et des risques avec

indicateurs de sécurité, d’activité, de qualité, de

performance, de progression des projets,

etc.

Ensemble des processus et de la docum. SMI

Actions correctives et préventives au niveau des processus

SMQ, RM, SCI, avec les tableaux de Bord

TdB institutionnels

Mesures d’amélioration

SMI-Manager™ Méthodologie SMI-Manager™

Cartographie des risques (exemple TdB processus)


Réseau des processus (Niveau 1) P1

Management 1.1

Stratégie et politique 1.2

Communication 1.3

Finances

1.4 Management de la

qualité

P2 Ressources et soutien

2.1 Ressources humaines

2.2 Maintenance

2.3 Logisitque et

transports

2.4 Informatique

P3 Prise en charge du patient

3.1 Admission

3.2 Assistance

3.3 Animation

3.4 Sortie

P4 Diagnostics et traitement du

patient

4.1 Consultations et

traitements

4.2 Analyses

4.3 Imagerie

4.4 Support externe

4.5 Pharmacie

P5

Soins infirmiers et prestations médicales

déléguées

5.1 Soins infirmiers

5.2 Physiothérapie

5.3 Ergothérapie

5.4 Diététique

P6 Hôtellerie

6.1 Nettoyages

6.2 Approvisionnements

6.3 Repas

Processus

Descriptif,

référentiel,

documents

associés, etc.

2

contrôle validation émission

no d’identif. Date Responsable Logo

Entrées Sorties

Niveau 2

Activités

1

Logigramme

3

contrôle validation émission

no d’identif. Date Responsable Logo

Documents

associés

de niveau 3

Dessin Responsable Description

(Activités)

Niveau 3

Actions GR et SCI focalisées

directement sur les processus de

l’entreprise et liées à la gestion

documentaire de votre système de

management

La mise en place de l’amélioration continue (avec effets sur les processus, par les audits internes)


Phase 1 : Analyse de la situation actuelle

Identification et recensement des états financiers, statistiques, procédures, documents et

instruments d’évaluations existants afin de déterminer le système de management de

l’entreprise.

Phase 2 : Identification des processus et des risques associés

Prise en considération des processus, détermination et évaluation des risques

Phase 3 : Elaboration de la documentation SMQ, des inventaires de contrôles et de la

cartographie des risques associés

Identification des risques et inventaire des contrôles associés, puis évaluation des risques

identifiés dans une cartographie des risques pour chaque processus. Ces documents

comportant également les risques d’erreurs significatives dans les états financiers et les

contrôles y relatifs.

Phase 4 : Consolidation au niveau institutionnel du système

Consolidation des inventaires de contrôles et des cartographies des risques en tableau de bord

institutionnel.

Phase 5 : Actions correctives et d’amélioration

Identification des éléments lacunaires et des potentiels d’améliorations afin d’instaurer et mettre

en œuvre des mesures correctives, selon leur priorité en fonction de leur importance et de leur

influence.

Projet de gestion des risques SMI-Manager™

Questions / Discussion

À votre disposition pour vos questions …

SMI-Manager™

Nombre d’utilisateurs illimité (time-out, traçabilité avec versioning) Limitation des droits d’accès selon compétences et attributions Gestion du progiciel à l’interne (administrateur) Langage PHP, base de données MySQL / serveur web Apache … Combien ça coûte ? Beaucoup moins que l’avènement d’un risque majeur.

Mise en place du SCI : par l’établissement, selon ses compétences, avec le soutien de JGS SA et DEEProd SA pour la partie « logiciel ».

Conclusion

Pour un établissement de santé, la mise en place d’un Système de Management Intégré constitue une étape majeure en regard de son positionnement futur. Le nouveau marché qui se dessine recèle des opportunités à saisir, à condition de satisfaire aux exigences des « quatre C » inéluctables au succès de toute entreprise :

Confiance / Client / Compétitivité / Conformité

SMI-Manager™

GESTION DES PROCESSUS, DES RISQUES et SCI dans les ... · La gestion des risques est un processus...

Documents

Transcript of GESTION DES PROCESSUS, DES RISQUES et SCI dans les ... · La gestion des risques est un processus...