Genomlysning visar behov av starkare och mer sammanhållen riskhantering i VGR

Publicerad:

Västra Götalandsregionen (VGR) har genomfört en fördjupad genomlysning av riskhanteringen i samband med Millenniuminförandet. Den belyser ett antal återkommande mönster som påverkat möjligheterna att upptäcka, eskalera och hantera vissa risker på ett effektivt sätt.

– Genomlysningen stärker och konkretiserar den bild vi har av att delar av riskhanteringen inte var tillräckligt sammanhållen inför införandet av Millennium. Det är en bekymmersam bild, men den ger oss också viktiga underlag för att skapa ett mer enhetligt riskhanteringssystem och en kultur präglad av öppenhet. Vi får inte upprepa samma mönster när vi arbetar vidare med en framtida vårdinformationsmiljö, säger AnnCharlotte Järnström, regiondirektör, VGR. 

Sedan tidigare visar både extern granskning och VGR:s egen insamling av medarbetares erfarenheter att risker inte hanterades tillräckligt väl inför driftstarten av Millennium. Liknande upplevelser och erfarenheter har framkommit i dialog med fackliga företrädare och tydliggjort behovet av att förstå hur riskhanteringen fungerat i praktiken. Därför fick VGR:s informationssäkerhetschef förra året i uppdrag av Samordning för vårdinformationsmiljö att göra en fördjupad genomlysning. 

Genomlysningen har framför allt fokuserat på riskhanteringen inom program Millennnium som har en formaliserad riskhanteringsmodell med struktur, roller och dokumentation. VGR saknar en samlad helhetsbild av riskerna eftersom programmet, förvaltningarna och andra delar arbetat i separata spår utan tillräckliga gemensamma strukturer.  

– Det här är ett tydligt förbättringsområde som identifierats. Det har saknats en organisationsövergripande modell för riskhantering som fungerar oavsett var arbetet bedrivs. Det har inte funnits någon instans som känt/haft ansvar för den samlade riskbedömningen, säger Ann-Charlotte Järnström. 

Genomlysningen är inte framtagen för ansvarsutkrävande och syftar inte heller till att förklara varför införandet av Millennium inte lyckades. Avsikten är inte heller att ge en heltäckande bild av riskhanteringen inom Millennium. 

– Uppdraget har varit att identifiera fel och brister, så det är det vi fokuserat på i syfte att dra lärdomar. Vi har gått igenom dokumentation och intervjuat medarbetare och därefter gjort analyser. Jag kan konstatera att det finns flera områden kring risker där VGR behöver stärka strukturer, arbetssätt och kultur, säger Anders Andersson, informationssäkerhetschef, VGR. 

Bland de förbättringsförslag genomlyssningen föreslår finns bland annat: 

  • en organisationsövergripande modell för riskhantering som fungerar oavsett om arbetet bedrivs i linje, program eller projekt
  • tydligare eskaleringsvägar 
  • stärkt ledarskap och kultur som främjar öppenhet
  • gemensamma arbetssätt och verktyg för riskhantering
  • större fokus på risk som strategiskt beslutsunderlag  

 – Vi behöver omhänderta flera av de förbättringsförslag som genomlysningen identifierat med målet att stärka VGR:s samlade förmåga att hantera risker i komplexa förändrings- och verksamhetsutvecklingsarbeten, säger regiondirektör Ann-Charlotte Järnström  

Riskhantering i samband med Millenniuminförandet, fördjupad genomlysning