Nulla di nuovo sotto il cielo. Chi lascerebbe la propria automobile sempre aperta per poter accedervi più rapidamente? I benefici sarebbero quelli di aumentare la facilità di accesso ma a che prezzo? Questa è una analisi dei rischi. Viene valutata la minaccia (ladri) e la vulnerabilità (serratura aperta) e, quindi, la probabilità che la minaccia “percorra” la vulnerabilità in rapporto al valore del danno (valore dell’auto rubata e relativi disagi nel non averla). Da questa analisi ne derivano delle valutazioni che portano alla definizione della misura che ridimensioni il rischio (sarà impossibile annullarlo; la vita per fortuna è troppo imprevedibile) a livello accettabile (chiudere l’auto con chiave; chiuderla e attivare un allarme; chiuderla, attivare un allarme e tenerla all’interno di un garage). E’ sostanzialmente quello che oggi è richiesto, mutatis mutandis, alle strutture sanitarie in materia di:
- Sicurezza delle informazioni (misure minime di sicurezza per i dati sensibili)
- Sicurezza sul posto di lavoro (analisi dei rischi afferenti i lavoratori)
- Analisi dei rischi afferenti i reati “presupposto “231” (Responsabilità amministrativa degli enti)
- Analisi del rischio clinico
- Conformità alle Leggi Regionali di riferimento per l’accreditamento istituzionale (su tutto requisiti 6.2 e 6.3 Allegato A – Intesa Stato-Regioni 19.02.2015)
- Sviluppo dell’intero Sistema di Gestione della Qualità (“Conditio sine qua non” della nuova ISO 9001:2015) e quindi delle procedure operative adottate per l’attività sanitaria (utilizzo del consenso informato, attività di formazione e gestione delle responsabilità, modalità di comunicazione con il paziente etc …)
Ovviamente dobbiamo fare i dovuti distinguo: ad esempio mentre per lo sviluppo del Sistema di Gestione Qualità il rischio viene analizzato per valorizzare il servizio al paziente, per il modello 231 il rischio viene analizzato al fine di contrapporsi alla possibile commissione di un reato.
Diamo ora a tal proposito alcuni spunti di riflessione permettendoci però di dichiarare una cosa su tutto: le strutture sanitarie devono avere una netta propensione al rischio ossia, come definito dallo standard di riferimento ISO 31000, adottare un approccio dell’organizzazione che valuti ed eventualmente ricerchi, ritenga, assuma o eviti il rischio.
Partiamo dal presupposto che non ha alcun valore una analisi dei rischi che non tenda ad una verosimiglianza, che ossia non consideri con schiettezza il contesto interno ed esterno in cui l’organizzazione si muove. Il miglior modo per procedere ad una corretta analisi dei rischi è pertanto quella di partire da dati ed informazioni il più corrette possibili e questo può avvenire solamente attraverso un’ “opera collettiva”: una collaborazione tra chi conosce la realtà e chi riesce ad interpretare le informazioni e renderle utilizzabili per l’analisi.
Ancora una volta (leggi l’articolo La gestione delle risorse umane: un ambito trasversale per la struttura sanitaria) ritorniamo all’importanza delle persone. “L’alta direzione” dovrà comprendere quali siano le figure interne all’organizzazione che uniscono conoscenza del processo e conoscenza della pratica. Saranno queste figure a fornire gli elementi che, uniti alle competenze (probabilmente esterne) di conversione delle informazioni per una analisi dei rischi, forniranno gli input su cui approfondire le analisi e giungere alle misure di risposta ai rischi.
Secondo aspetto da evidenziare in una analisi dei rischi è quello di non dare mai per scontato che un rischio sotto controllo da anni non possa più essere una minaccia. Un esempio: sicurezza delle informazioni. Abbiamo implementato, in risposta alla possibilità di hackeraggio del nostro server, una politica di sicurezza molto efficace. Il rischio afferente le informazioni è stato minimizzato abbondantemente sotto la soglia di tolleranza. Possiamo affermare che tale aspetto non rappresenti più un rischio? Assolutamente no. Il rischio esiste ma è contrastato allo stato attuale e dallo stato dell’arte della tecnologia che, per definizione, evolve e, pertanto, è soggetta a obsolescenza, riportando nel tempo la soglia del rischio oltre la tolleranza. Soluzione: non dimenticarci dei rischi “quiescenti” che, proprio grazie ad una ottimale analisi dei rischi, sono stati efficacemente contrastati.
Abbiamo valutato due dei numerosi aspetti fondamentali dell’analisi dei rischi:
- Importanza del fattore umano
- Importanza di revisionare l’analisi dei rischi non tralasciando i rischi che “apparentemente” non sembrano più essere minacciosi.
La propensione al rischio è un percorso che ogni organizzazione in sanità deve affrontare. E’ importante che nelle prime fasi sia indirizzata da soggetti competenti, per poi magari camminare con le proprie risorse. Analizzare i rischi non solo significa tutelarsi maggiormente ma anche favorire lo sviluppo di una lean organization che focalizzi le forze dove effettivamente servono. Consigliamo pertanto di affrontare il percorso affiancati da professionisti di fiducia e rimaniamo a disposizione, ai contatti sotto indicati, per ulteriori delucidazioni di merito.
