Risicomanagement Nederlandse zorginstellingen nog in ontwikkeling Nederlandse zorginstellingen hebben hun risicomanagement nog onvoldoende, inefficiënt en te oppervlakkig georganiseerd. Slechts zo’n tien procent van de zorginstellingen in Nederland heeft haar risicoprofiel herzien naar aanleiding van de huidige financiële crisis. De zorgbrede governancecode geeft aanleiding om het risicoprofiel aan te passen. Anton van Rosmalen, Advisory, Governance Risk & Compliance Ellis Kastelein, Assurance, Healthcare Marcel Prinsenberg, Advisory, Governance, Risk & Compliance
1. Inleiding Rijksuniversiteit Groningen, Nyenrode Business Universiteit, het Koninklijke NIVRA en PricewaterhouseCoopers hebben een gezamenlijk onderzoek gedaan naar het risicomanagement van Nederlandse zorginstellingen. In het onderzoek werden ruim 1000 bedrijven en non-profit instellingen met een omzet of budget van meer dan 10 miljoen euro onderzocht. Onder de onderzochte organisaties bevonden zich circa 100 zorginstellingen.
40
Amper een vijfde van de bedrijven en iets meer dan tien procent van de instellingen in Nederland blijkt haar risicoprofiel herzien te hebben naar aanleiding van de huidige financiële crisis. De onderzoekers geven de onderzochte bedrijven en instellingen gemiddeld een rapportcijfer van 4,5.
PricewaterhouseCoopers
Organisaties die geen risicomanagement voeren, kunnen uiteindelijk te maken krijgen met crisismanagement. Geen ideale situatie, al was het maar omdat crisismanagement lastiger en veel duurder is. De essentie van risicomanagement komt neer op het willen voorkomen van verrassingen; een streven dat als redelijk generiek bestempeld kan worden voor iedere manager. Vandaar dat PricewaterhouseCoopers de mening is toegedaan dat risicomanagement niets anders is of zou moeten zijn dan gewoon management, patiëntveiligheid naast kostenbeheersing zogezegd. In de praktijk besteedt nagenoeg iedere manager dan ook een aanzienlijk deel van zijn of haar tijd aan het bewust of onbewust beheersen van risico’s. Waarom risicomanagement In dit bewustzijn zit de essentie als het gaat om het invoeren van risicomanagement binnen organisaties. Het draait hier om het expliciet maken van wat de organisatie, of delen daarvan, doorgaans impliciet al lang weet en doet. Neem bijvoorbeeld de rechtmatigheid van zorgverlening in de AWBZ binnen de indicatiestelling. Vaak wordt hier in de organisatie wisselend mee omgegaan, waardoor grote financiële risico’s ontstaan. Zodra risico’s en beheersingsactiviteiten eenmaal expliciet gemaakt zijn, ontstaat de mogelijkheid om bepaalde activiteiten in perspectief tot elkaar te zien. Hierdoor kunnen organisaties bepaalde risico’s binnen verschillende onderdelen van hun organisatie, met een integrale aanpak op efficiënte wijze benaderen. Een gefragmenteerde benadering is dan niet nodig. Patiëntveiligheid kan bijvoorbeeld niet losgezien worden van hygiëne op de operatiekamers. Denk hierbij aan ’sleutelmedewerkers’ met specifieke kennis en kunde op kritieke plekken binnen de organisatie. Doorgaans zijn diverse benaderingen zichtbaar ter bestrijding van de vergelijkbare risico’s binnen een organisatie. Eén afdeling richt een kennisdatabank in, een andere afdeling besluit processen vast te leggen, een derde afdeling creëert een buddysysteem, een vierde afdeling heeft überhaupt nog niet nagedacht over dit risico enzovoort. Wanneer de organisatie een breed inzicht heeft in de omvang van de risico’s, kan zij een organisatiebrede pool van specialisten opzetten voor meerdere projecten. Kostbare en tijdrovende individuele activiteiten zijn dan overbodig. Heeft de organisatie zicht op het gehele portfolio aan risico’s, dan kan zij overwogen keuzes maken over het inzetten van schaarse mensen en het beheersen en monitoren van specifieke risico’s. Zij kan vervolgens met haar toezichthouders een objectieve, geïnformeerde discussie
41
Samenvatting Dit artikel bespreekt de resultaten van een onderzoek door de Rijksuniversiteit Groningen, Nyenrode Business Universiteit, het Koninklijke NIVRA en PricewaterhouseCoopers naar het risicomanagement van Nederlandse zorginstellingen. Tevens worden zeven principes uitgewerkt voor de analyse van risicomanagement.
voeren over waarom zij bepaalde zaken wel en andere zaken niet oppakt. Ook moet dan gesproken worden over risk appetite: welk niveau van risico’s is acceptabel? Zo voorkomt zij een discussie op basis van gevoel en aannames en wordt de discussie toegespitst op de relevante risico’s. Toezichthouders krijgen het comfort dat het management zicht heeft op zaken die spelen zowel binnen als buiten de organisatie. Bovendien kan de organisatie op basis van een goed zicht op risico’s goed bepalen hoeveel weerstandsvermogen zij moet aanhouden en hoeveel kapitaal zij nodig heeft om de directe financiële gevolgen van risico’s op te kunnen vangen. Zo vertalen risico’s voor ziekenhuizen zich in vermogensnormen.
2. Zeven principes voor de analyse van risicomanagement Hoe kan een organisatie een oordeel vormen over de kwaliteit van haar risicomanagementsystemen? Hieronder zijn zeven principes uitgewerkt voor analyse van risicomanagement.
Zeven principes voor analyse van risicomanagement: • periodiciteit; • integraal karakter; • bedrijfsbrede benadering; • proactiviteit; • expliciet karakter; • gestructureerd; • rapportages.
Principe 1 - Periodiciteit Bij periodiciteit gaat het om de frequentie waarmee risico’s en risicomanagement expliciet aandacht krijgen binnen organisaties. Hoe vaker risicomanagement aan bod komt,
PricewaterhouseCoopers
hoe hoger de score. Rijksuniversiteit Groningen, Nyenrode, het NIVRA en PricewaterhouseCoopers, die gezamenlijk het onderzoek deden naar het risicomanagement van Nederlandse zorginstellingen, vinden dat organisaties minimaal eens per jaar een integrale en bedrijfsbrede risico-inventarisatie en -analyse moeten uitvoeren (met bij voorkeur een update per kwartaal) om risicomanagement te kunnen uitvoeren. Uit het onderzoek is gebleken dat 50% van de zorginstellingen slechts eenmaal per jaar een integrale en bedrijfsbrede risico-inventarisatie en -analyse uitvoert. 32% van de instellingen geeft zelfs aan helemaal nooit een dergelijke analyse uit te voeren. Ondanks dat een integrale en bedrijfsbrede inventarisatie en analyse van risico’s nog beperkt plaatsvindt, geeft 32% van de instellingen te kennen ieder kwartaal intern te rapporteren over risico’s. 20% geeft aan dit zelfs maandelijks te doen. Niet onderzocht is wat de kwaliteit en diepgang van deze rapportages is en in hoeverre de resultaten uit de integrale risico-inventarisatie en -analyse een vertrekpunt vormen voor de risicorapportages. Het merendeel van de organisaties geeft immers aan slechts eenmaal per jaar een integrale risico-inventarisatie en -analyse uit te voeren. Bij slechts 8% van de instellingen vindt geen interne rapportage over risico’s plaats. Gedegen risicomanagement en rapportage is bij zorginstellingen waarschijnlijk nog sterk in ontwikkeling. De wet- en regelgeving, waaronder de zorgbrede governancecode, vraagt hiervoor sinds enige jaren nadrukkelijk de aandacht. Principe 2 - Integraal karakter Het integrale karakter betreft de reikwijdte van het risicomanagement. Is de risicoanalyse beperkt tot de financiële risico’s of benoemt de organisatie ook strategische, operationele, rapportage- en compliancerisico’s? Hoe meer categorieën de organisatie bij de analyse betrekt, hoe meer er sprake is van een integrale kijk op de risico’s. Van de instellingen die aangegeven hebben een integrale en bedrijfsbrede risico-inventarisatie en -analyse uit te voeren beperkt 6% van de instellingen zich tot slechts één risicocategorie. In deze gevallen is de analyse doorgaans beperkt tot het in kaart brengen van de financiële risico’s. 65% van de instellingen geeft aan twee of drie categorieën risico’s in kaart te brengen. Dit zijn doorgaans strategische, financiële en/of operationele risico’s. Compliance- en/of rapportagerisico’s worden bij slechts
42
10% van de instellingen in kaart gebracht. Bovendien hebben nagenoeg alleen instellingen die risico’s over de volledige breedte van het speelveld analyseren, aandacht voor risico’s die een impact hebben op de juistheid van financiële verslaggeving. Compliance- en/of rapportagerisico’s zijn weinig populaire risicocategorieën, net als die risico’s die een impact hebben op juistheid van financiële verslaggeving. Hiervoor hebben vrijwel alleen die instellingen aandacht die risico’s over de volledige breedte van het speelveld analyseren. Specifiek voor zorginstellingen is het risico van patiëntveiligheid. Principe 3 - Bedrijfsbrede benadering Dit element geeft aan in hoeverre risicomanagement doorgedrongen is in alle lagen en niveaus van de organisatie. De mate waarin ook de lagere managementlagen bij risicoanalyses en/of het afgeven van een in-controlverklaring betrokken worden, is een goede indicatie hiervan. Wanneer de organisatie meerdere managementlagen betrekt bij het in kaart brengen van risico’s, krijgt zij meer inzicht in de risico’s en worden managers en medewerkers zich meer bewust van het risicobeheersinggebied. Onder de deelnemende instellingen blijkt 41% haar risico’s slechts op het niveau van de raad van bestuur in kaart te brengen. Principe 4 - Proactiviteit Bij proactiviteit gaat het om de vraag of de organisatie risicoanalyses inzet bij belangrijke - strategische - beslissingen of bijzondere gebeurtenissen en/of incidenten zodat zij zich tijdig een actueel en specifiek beeld kan vormen van zaken die het realiseren van doelen zou kunnen belemmeren. Het op proactieve wijze benaderen van risico’s is een belangrijke indicator voor de volwassenheid van risicomanagement binnen organisaties. Risicomanagement richt zich immers op het voorkomen van verrassingen door een goede discussie over mogelijke obstakels op meerdere niveaus binnen de organisatie. 60% van de instellingen geeft aan risicoanalyses uit te voeren als integraal onderdeel van de ‘planning & control’-cyclus (de P&C-cyclus). Het is een positieve constatering dat meer dan de helft risicoanalyses uitvoert als onderdeel van de P&C-cyclus. Dit duidt in ieder geval op een regelmatig terugkerende aandacht voor risico’s. Het feit dat risicoanalyses deel
PricewaterhouseCoopers
uitmaken van de P&C-cyclus betekent overigens niet dat de frequentie hiervan optimaal zou zijn. Veel instellingen lijken geen verband te zien tussen belangrijke beslissingen en projecten, en analyse van betrokken risico’s. Het feit dat weinig instellingen met de raad van toezicht, de auditcommissie of het managementteam over risico’s praten, is niet anders dan als zorgelijk te bestempelen. Auditcommissies agenderen dit wel in toenemende mate. Slechts 20% van de instellingen geeft te kennen dat belangrijke beslissingen en projecten aanleiding geven voor een analyse van de betrokken risico’s. Risico’s worden slechts bij 18% van de instellingen besproken met de raad van toezicht of de auditcommissie. Risico’s zijn bij slechts 42% van de instellingen een onderwerp van besprekingen binnen het managementteam. Dat 10% van de deelnemende instellingen in de financiële crisis een aanleiding vond om haar risicoprofiel te herzien, is, gezien deze laatste cijfers, weinig verrassend doch niet minder teleurstellend. Het risicomanagement lijkt een weinig doorleefd karakter te hebben en meer iets te zijn van op de automatische piloot als onderdeel van de budgetcyclus. Principe 5 - Expliciet karakter Principe 5, het expliciete karakter, betreft de mate waarin de organisatie risicomanagementactiviteiten ook als zodanig benoemt, aandacht voor risico’s expliciteert in bijvoorbeeld de P&C-cyclus en het management op voorhand duidelijk weet te maken wat het van medewerkers verwacht indien bepaalde risico’s zich manifesteren. Waar 30% van de totale populatie aangeeft te hebben bepaald welke hoeveelheid risico zij acceptabel acht, blijft de zorgsector hier met 13% van de deelnemende instellingen ver in achter. Vergeleken met de totale populatie, blijft de zorgsector ver achter met het bepalen welke hoeveelheid risico zij acceptabel acht. In combinatie met het vorige criterium ontstaat het beeld dat menig instelling alleen risico’s in kaart brengt omdat toezichthouders of wet- en regelgeving dit afdwingen. Risicobeheersing lijkt een onderwerp te zijn dat niet vanuit een intrinsieke motivatie op de agenda verschijnt.
43
Principe 6 - Gestructureerd ‘Gestructureerd’ betreft de wijze waarop risicomanagement is vormgegeven in de organisatie. Hierbij valt te denken aan het raamwerk zoals COSO ERM, INK en het gehanteerde instrumentarium ter ondersteuning van risicomanagementactiviteiten. Meer dan de helft van de zorginstellingen gebruikt geen standaard voor de inrichting van risicomanagement en interne beheersing. INK wordt het meest toegepast, gevolgd door COSO/COSO ERM. Op de vraag welke standaard de organisatie hanteert voor de inrichting van risicomanagement en interne beheersing geeft meer dan de helft (52%) van de ondervraagden aan geen standaard te gebruiken. Standaard INK heeft een dekking van 39% onder de deelnemende instellingen en COSO/COSO ERM 14%. De financiële functie speelt bij 59% van de instellingen een rol in de coördinatie van de risicomanagementactiviteiten. Bij meer dan de helft van de instellingen speelt de financiële functie een rol in de coördinatie van de risicomanagementactiviteiten. Opvallend is dat de kwaliteitsafdeling een aanzienlijk grotere rol lijkt te spelen bij risicomanagement binnen de gezondheidszorg dan over de gehele populatie. Dit zal te maken hebben met de kwetsbaarheid van de patiënt. Bij meer dan de helft van de instellingen zijn meerdere afdelingen betrokken bij de coördinatie van risicomanagementtaken. De patiënt maakt immers vaak gebruik van meerdere afdeling. Principe 7 - Rapportages Het principe ‘rapportages’ behelst vooral de inhoud en kwaliteit van aandacht voor risico’s en beheersing in rapportages en de wijze waarop het management verantwoording aflegt over risico’s en beheersing. 64% van de instellingen geeft aan extern te rapporteren over financiële risico’s. Het is op zich vreemd dat slechts ruim de helft van de instellingen extern rapporteert over financiële risico’s aangezien volgens BW2 titel 9 en de Zorgbrede Governancecode in het jaarverslag een uiteenzetting moet worden opgenomen van de belangrijkste risico’s en de opzet en werking van de risicobeheersystemen. Het standaard jaardocument biedt hiertoe afdoende ruimte. Vanaf 2010 is een controleprotocol van kracht waarin de accountant nadrukkelijk wordt gevraagd naar deze passage in het jaarverslag te kijken.
PricewaterhouseCoopers
Het overgrote deel (98%) van de participanten geeft overigens wel aan te rapporteren over enige aan risicomanagement gerelateerde aspecten. Opvallend is dat de respondenten de kwaliteit van hun risicomanagement aanzienlijk hoger waarderen dan gerechtvaardigd is op grond van het oordeel van de onderzoekers op basis van de door de onderzoekers opgestelde leidraad. Op de vraag ‘Welk schoolcijfer (tussen 1 en 10) geeft u uw risicomanagement?’ was de gemiddelde score van de respondenten van de zorginstellingen een 6, terwijl die voor de totale populatie een 6,5 was; de onderzoekers kwamen uit op een 4,4 voor zorginstellingen, nagenoeg gelijk aan de 4,5 als gemiddelde van de totale populatie volgens de onderzoekers. In de eigen beeldvorming scoorde tweederde van de zorginstellingen een voldoende. Volgens het oordeel van de onderzoekers scoorde tweederde van de zorginstellingen juist een onvoldoende, waarbij bijna een kwart van de instellingen maar liefst een twee of lager scoorde. Kennelijk is aan de perceptie over de kwaliteit van het eigen risicomanagement nog een weg te gaan. Overigens verschilt de zorgsector hierin niet wezenlijk van andere sectoren.
3.
Conclusie
De uitkomsten van het onderzoek illustreren dat de ontwikkeling van risicomanagement in Nederlandse zorginstellingen (en overigens ook in het bedrijfsleven) nog duidelijk in de kinderschoenen staat. Om risicomanagement succesvol te laten zijn, is het belangrijk dat iedereen in de instelling doordrongen is van het belang daarvan en er een rol in heeft (intrinsieke motivatie). Risicomanagement dat beperkt is tot de leden van het bestuur of de directie die één keer per jaar een lijstje invullen omdat dat nu eenmaal moet van de toezichthouder, heeft maar beperkt nut. Een expliciete overweging van risico’s en onzekerheden wordt idealiter betrokken bij elke (strategische) beslissing en is onderwerp van gesprek op elk niveau.
risicomanagement. Het is echter maar de vraag of dit ook werkelijk in alle gevallen opgaat. De financiële sector krijgt het hoogste rapportcijfer op basis van dit onderzoek. Organisaties in deze sector krijgen vanuit diverse hoeken te maken met een uitgebreid scala aan wet- en regelgeving en dienen zich op vele gebieden te verantwoorden. Het uitgebreide netwerk van regels en verplichtingen levert uiteindelijk een 6,1 op als rapportcijfer. Een magere voldoende. Tevens vond de wereldwijde financiële crisis haar oorsprong in de financiële sector. Wet- en regelgeving en de instrumentele benadering van risicomanagement die hieruit voortkomt, blijkt onvoldoende adequaat in het voorkomen van bepaalde vormen van ongewenst gedrag. Door de veelheid van (verplichte) activiteiten die onder de noemer van risicomanagement plaatsvinden, lijken organisaties of individuele medewerkers uiteindelijk het zicht op de risico’s zelf te hebben verloren. Wat dit ons leert, is dat goed risicomanagement niet een kwestie is van het voldoen aan bepaalde regels en voorschriften. Goed risicomanagement staat of valt bij een gezonde houding en gedrag jegens risico’s. Dit betekent gewoon aan de slag gaan door expliciet beleid en sturing te zetten op belangrijke aandachtsgebieden. Neem hiervoor bijvoorbeeld de indicatoren van de Inspectie of de normen voor verantwoorde zorg. Deze indicatoren dekken grote delen af van de operationele risico’s, onder andere op het gebied van patiëntveiligheid. Ze kunnen worden uitgebreid op basis van een bredere risicoanalyse door het management. Maak deze risico’s dan regelmatig terugkerend onderwerp van gesprek onder medewerkers en managers en expliciet onderdeel van de afweging die voorafgaat aan het bewust nemen van beslissingen. Dit maakt risicomanagement in essentie niet nieuw of complex, maar slechts iets wat we gewoon moeten doen.
De rapportcijfers die organisaties kregen van de onderzoekers lijken toe te nemen naar mate de druk die wetgevers en toezichthouders leggen op risicomanagement, stijgt. Hieruit zou de conclusie getrokken kunnen worden dat meer regels, in ieder geval in vorm, leiden tot een beter
44
PricewaterhouseCoopers
