Integraal risicomanagement Onderzoeksrapport Integraal risicomanagement in 40 Nederlandse ziekenhuizen
Inhoudsopgave Inleiding 3 Leeswijzer 5 Managementsamenvatting 6 1. Onderzoeksvraag 12 1.1. De meerwaarde van integraal risicomanagement: formulering onderzoeksvraag 12 1.2. Theoretische toelichting bij centrale onderzoeksvraag 13 1.2.1. Wat is risicomanagement? 13 1.2.2. Wat is IRM? 14 1.2.3. Wat zijn de belangrijkste elementen van IRM in relatie tot de volwassenheid? 16 2. Onderzoeksmethodiek en opzet 17 2.1 Onderzoeksvraag en doelstelling 17 2.2 Onderzoekstechniek 18 2.3 Datacollectie 18 2.4 Wijze van analyseren 18 2.4.1 Beoordelingscriteria voor IRM 19 2.5 Wegingsfactoren en scoringsmethodiek 21 2.6 Beperkingen 23 3. Onderzoeksresultaten en bevindingen 24 3.1. Totaalbevindingen van de scores per subonderzoeksvraag 1 tot en met 10 aan de hand van de beoordelingscriteria IRM 24 3.2.1. Toelichting per subonderzoeksvraag 25 3.2.2. Samenvattend totaaloverzicht resultaten per subonderzoeksvraag 1 tot en met 10 28 3.3. Totaalbevindingen van de scores per beoordelingscriterium (breedte, systematisch, structuur, meet- en toetsbaarheid) 39 3.4. Samenvattend overzicht van scores en bevindingen van alle onderzochte ziekenhuizen, per subonderzoeksvraag en per beoordelingscriterium 45 3.5. Resultaten per ziekenhuis, per beoordelingscriteria 46 4. Eindconclusie en aanbevelingen 49 4.1.1. Eindconclusie onderzoeksvraag 49 4.1.2. Aanbevelingen op basis van de conclusies bij de subonderzoeksvragen 40 4.2 Aanbevelingen op basis van de beoordelingscriteria 56 5. Over VvAA en ConQuaestor 59 Begrippen- en afkortingenlijst
2
| Jaarverslagenonderzoek
60
Inleiding Waardecreatie voor patiënten en de maatschappij is van groot belang voor ziekenhuizen. Risicomanagement is een essentieel onderdeel van de totale besturing en inrichting (hierna: governance) van ziekenhuizen. Sinds de totstandkoming van de Zorgbrede Governance Code in 2005 staat bij steeds meer Nederlandse ziekenhuizen risicomanagement op de agenda van de Raden van Bestuur en Raden van Toezicht. Een goede inrichting van de governance is maar één voorwaarde om de organisatie op koers te houden. Het opzetten van een goed functionerend risicobeheeren controlesysteem is een complex proces, en dat geldt ook voor ziekenhuizen. Een goed risicomanagementproces gaat uit van een lerende organisatie. Het verbetert de transparantie en zorgt voor meer inzicht en verbinding, waardoor de kwaliteit en veiligheid van de zorg worden verhoogd. Daarnaast vragen de publieke opinie en de maatschappelijke verantwoording om steeds meer transparantie over veilige zorg. Dit sluit aan bij de speerpunten van de Onderzoeksraad Voor Veiligheid. De zorgmarkt bevindt zich in een turbulente omgeving. Social media vormen een omgeving waarin steeds sneller moet worden gereageerd. De diversiteit van de risico’s neemt toe, maar daarnaast vertonen de risico’s die op zorgorganisaties afkomen ook steeds meer onderlinge samenhang. Deze ontwikkelingen versterken de behoefte aan een risicomanagement dat alle risico’s en bedreigingen beheersbaarder kan maken. Gezien de geschiedenis van de governancecode, de maatschappelijke ontwikkelingen en de huidige zorgmarkt roept dit anno 2013 de vraag op in hoeverre ziekenhuizen er in geslaagd zijn om risicomanagement te integreren in de dagelijkse bedrijfsvoering. Dit is voor ons de reden om de ziekenhuisjaarverslagen van 2010 en 2011 aan een onderzoek te onderwerpen. Dit onderzoek is een gezamenlijk initiatief van VvAA en ConQuaestor. Integraal risicomanagement komt pas volledig tot zijn recht als de totale zorgorganisatie in al haar facetten wordt meegenomen. De term ‘integraal’ benadrukt dat het gaat om het management van alle verschillende risicogebieden met betrekking tot de strategie, het zorgproces, de operationele bedrijfsvoering en wet- en regelgeving, in hun onderlinge samenhang. Daarom heeft het onderzoek (deskresearch) zich gericht op de mate waarin de ziekenhuizen hun integraal risicomanagement hebben beschreven in de jaarverslagen van 2010 en 2011. Daarnaast is bij het onderzoek een aantal belangrijke kernelementen van IRM meegenomen die worden gehanteerd in de subonderzoeksvragen en in de onderzoekscriteria. Deze zijn weliswaar indirect opgenomen in de governancecode (de wat-vraag), maar moeten door de zieken huizen expliciet gemaakt worden om IRM echt te laten werken (de hoe- vraag). Risicomanagement in het algemeen legt een belangrijke focus op het creëren van samenhang en verbinding tussen alle organisatiedisciplines. Een analyse van de mate waarin deze verbinding tot stand is gekomen, is van belang voor het succesvol creëren van waarde en hiermee de voorspelbaarheid van die waarde voor een ziekenhuis. IRM bestaat uit veel elementen, waaronder belangrijke als risicobereidheid, de strate gische beleidsdoelstellingen in relatie tot risicomanagement, compliance, governance,
Jaarverslagenonderzoek |
3
a uditing en de planning- & controlcyclus. De mate waarin deze elementen tot wasdom komen is een aanwijzing voor de ‘volwassenheid’ van IRM. Die volwassenheid kan op een schaal worden uitgedrukt. In dit onderzoek vormen de kernelementen van IRM, en de mate waarin deze beschreven zijn in de jaarverslagen, een indicatie voor de mate van volwassenheid. We zijn ons ervan bewust dat de jaarverslagen een beperkte kijk kunnen geven op het onderzoeksonderwerp; anderzijds geven ze wel inzicht in het beeld dat ziekenhuizen van zichzelf willen presenteren op het gebied van risicomanagement in het algemeen en IRM in het bijzonder. De meerwaarde van het onderzoek is, dat inzicht verkregen wordt in de mate waarin IRM beschreven is. Dit geeft tevens een indicatie van de volwassenheid van het IRM-proces in de ziekenhuizen. Dit betreft dan de mate waarin een organisatie profiteert van het proces van risicomanagement en met recht tegen de maatschappij, de toezicht houders, de financiers en haar patiënten kan zeggen dat zij ‘in control’ is. Utrecht, juni 2013 Lilian Knol - Risicomanagement voor de Gezondheidszorg - VvAA Thomas A. Ros - Vakgroep Governance, Audit, Risk & Compliance - ConQuaestor
4
| Jaarverslagenonderzoek
Leeswijzer 1. Onderzoeksvraag
In dit hoofdstuk wordt toegelicht hoe de onderzoeksvraag tot stand is gekomen. Een aantal elementaire onderwerpen komen aan de orde, zoals: wat is risicomanagement, wat is integraal risicomanagement (IRM), wat is IRM-volwassenheid en wat zijn daarvan de belangrijkste kenmerken? 2.
Onderzoeksmethodiek en opzet
Het onderzoek is kwalitatief van aard en gedaan op basis van deskresearch. De opzet, de keuze van de populatie en de gehanteerde onderzoeksmethodiek worden in dit hoofdstuk verder uitgewerkt en geëxpliceerd. 3.
Onderzoeksresultaten en bevindingen
In dit hoofdstuk worden de onderzoeksresultaten en bevindingen weergegeven. In eerste instantie gaan we in op de totaalscore van de tien subonderzoeksvragen, aan de hand van de vier beoordelingscriteria voor IRM. Vervolgens geven we per subonderzoeksvraag een toelichting , resulterend in een totaaloverzicht. Voorts komen de totaalbevindingen van de scores per IRM-beoordelingscriterium aan de orde. Tot slot wordt, aan de hand van een totaaloverzicht, ingegaan op de geanonimiseerde resultaten per ziekenhuis. 4.
Conclusies en aanbevelingen
In dit hoofdstuk geven we antwoord op de centrale onderzoeksvraag in de vorm van een eindconclusie. Deze eindconclusie betreft een indicatie van de IRM-volwassenheidsfase van de 40 onderzochte ziekenhuizen voor 2010 en 2011. Op basis van deze eindconclusie hebben we algemene aanbevelingen geformuleerd. De tien onderzoeksvragen en de vier beoordelingscriteria leidden tot een aantal conclusies. Op basis van die conclusies doen we een aantal aanbevelingen teneinde IRM, zowel inhoudelijk als voor de weergave in het jaarverslag, kwalitatief beter te beschrijven en te implementeren in de ziekenhuisorganisatie.
Jaarverslagenonderzoek |
5
Managementsamenvatting Nederlandse ziekenhuizen zijn nog onvoldoende in staat om integraal risicomanagement optimaal toe te passen. Sommige risico’s krijgen niet de aandacht die ze verdienen. Risico’s die samenhangen met financiën en met de veiligheid van patiënten worden doorgaans wel onderkend, maar ook dan blijft de onderlinge samenhang van die risico’s vaak buiten beeld. In 2010 en 2011 heeft vrijwel geen enkel ziekenhuis aangegeven in control te zijn op het gebied van risicomanagement. Bovendien is onvoldoende transparant hoe de Zorgbrede Governance Code in de praktijk wordt toegepast. Dit zijn de voornaamste conclusies van een onderzoek naar het integraal risicomanagement (IRM) van Nederlandse ziekenhuizen. Onderzoekers van ConQuaestor en VvAA analyseerden de jaarverslagen van veertig Nederlandse algemene ziekenhuizen over 2010 en 2011, en bekeken of en in hoeverre IRM in die jaarverslagen wordt behandeld. Op basis van dit onderzoek stellen zij vast dat ziekenhuizen weliswaar voortgang hebben geboekt in hun pogingen om IRM een volwaardige plaats te geven in hun organisaties, maar dat de professionaliteit en transparantie nog verbeterd kunnen worden. Een belangrijke aanbeveling is dat ziekenhuizen zelf vaststellen hoe volwassen hun IRM zou moeten zijn, en hoeveel transparantie nodig is om te voldoen aan de behoeften van hun stakeholders. In plaats van beleid op te stellen voor afzonderlijke risico’s, zou het risicomanagementbeleid zodanig moeten worden vormgegeven dat risico’s in de hele organisatie in hun samenhang worden bekeken. Meerwaarde onderzoek en centrale onderzoeksvraag
Dit onderzoek beschrijft de mate waarin IRM beschreven is in de jaarverslagen van Neder landse ziekenhuizen. Deze mate is een indicatie van de volwassenheid van IRM en het daaraan ten grondslag liggende proces. Dit onderzoek kan de discussie aanzwengelen over de wijze waarop IRM voor de ziekenhuizen naar een hogere graad van volwassenheid kan worden opgetild, zodat elk ziekenhuis optimaal van IRM kan profiteren en met recht tegen de maatschappij, de toezichthouders, de financiers en de patiënten kan zeggen ‘wij zijn in control’. VvAA en ConQuaestor hebben onder 40 ziekenhuizen onderzoek gedaan naar de huidige status van IRM, aan de hand van de volgende centrale vraag: In welke mate wordt integraal risicomanagement kwalitatief beschreven in de jaar verslagen 2010 en 2011 van de Nederlandse algemene ziekenhuizen? Onderzoeksopzet en aanpak
Ten behoeve van het onderzoek heeft het onderzoeksteam steekproefsgewijs een veertigtal ziekenhuizen geselecteerd. Er zijn in Nederland 81 algemene ziekenhuizen (NVZ 2011); er is een evenredige keuze gemaakt uit grote, gemiddelde en kleine ziekenhuizen. De academische ziekenhuizen zijn buiten beschouwing gelaten, vanwege hun specifieke positie op gebieden als financiering, universitair onderzoek, internationale scope, omvang en wijze van organisatie.
6
| Jaarverslagenonderzoek
De jaarverslagen over de boekjaren 2010 en 2011 zijn in hun totaliteit in de analyse meegenomen. Alle jaardocumenten zijn in digitale vorm publiekelijk vrij beschikbaar. Om de centrale onderzoeksvraag te kunnen beantwoorden heeft het onderzoeksteam een set van subonderzoeksvragen geformuleerd, alsmede een viertal beoordelingscriteria:
Subonderzoeksvragen 1. Is er een hoofdstuk risicomanagement aanwezig in het jaarverslag? 2. Is de risicobereidheid benoemd? 3. Is risicomanagement in relatie gebracht met de strategische doelstellingen? 4. Wordt er een risicomanagementbeleid geformuleerd? 5. Is er een governancestructuur aanwezig voor het risicomanagement? 6. Is compliance een onderdeel van het risicomanagementproces? 7. Is operational audit een onderdeel van, of maakt het gebruik van, het risicomanagementproces? 8. Wordt een in-controlverklaring afgegeven? 9. Is risicomanagement een onderdeel van de planning- & controlcyclus? 10. Blijkt uit de jaarcijfers een specifieke risicoreservering? Beoordelingscriteria
Omschrijving
Breedte
De mate waarin IRM in de gehele organisatie ingevoerd is in alle organisatielagen en in de strategische en operationele processen (het zorgproces en de operationele bedrijfsvoering)
Systematisch
De mate waarin specifieke risicomanagementmodellen of -methoden worden toegepast om het IRM-proces in de organisatie te borgen
Structureel
De mate waarin het IRM-proces, of de onderdelen daarvan, met een bepaalde frequentie en in samenhang met de bedrijfsvoering aan de orde komen
Meet- en toetsbaarheid
De mate waarin de input en de uitkomsten van het IRM-proces dusdanig gemeten kunnen worden dat er sprake is van expliciete resultaten
Elk ziekenhuis is vervolgens kwalitatief beoordeeld aan de hand van de volgende tabel, waarbij elk ziekenhuis een kwantitatieve score heeft gekregen van 1, 2 of 3. Hieruit volgt een indicatie van de fase van IRM- volwassenheid waarin elk ziekenhuis verkeert. Het meten van de volwassenheid is gedaan op basis van een volwassenheidsmodel:
Jaarverslagenonderzoek |
7
Constatering en beoordeling
Kleur-
IRM-
code
Score
Relatie met volwassenheidsfase IRM
voldoende, aanwezig, volledig, transparant
3
Volwassenheidsfase 4 en 5
in ontwikkeling, deels aanwezig, niet volledig, onduidelijk, voor verbetering vatbaar
2
Volwassenheidsfase 2 en 3
onvoldoende, niet aanwezig, niet transparant
1
Volwassenheidsfase 1
Voornaamste uitkomsten onderzoek
Het gezamenlijke onderzoek van ConQuaestor en VvAA heeft de volgende voornaamste uitkomsten opgeleverd, als antwoord op de centrale vraag in welke mate de veertig onderzochte Nederlandse algemene ziekenhuizen integraal risicomanagement kwalitatief beschrijven in de jaarverslagen over 2010 en 2011: Constatering en
Kleur-
IRM-
Relatie met vol-
Onderzochte
Beoordeling
code
Score
wassenheidsfase
ziekenhuizen
IRM 2010
voldoende, aanwezig, volledig, transparant in ontwikkeling, deels aanwezig, niet volledig, onduidelijk, voor verbetering vatbaar onvoldoende, niet aanwezig, niet transparant
2011
Volwassenheidsfase 4 en 5
15%
18%
3
28%
27%
2
Volwassenheidsfase 2 en 3
57%
55%
1
Volwassenheidsfase 1
- Op basis van de kwalitatieve uitgangspunten van het onderzoek laat de tabel zien dat, van de onderzochte ziekenhuizen, 85% voor 2010 en 82% voor 2011 nog in volwassenheidsfase 1, 2 of 3 verkeren. - Meer dan de helft van de 40 onderzochte ziekenhuizen heeft IRM nog onvoldoende beschreven in de jaarverslagen over 2010 en 2011. - Het onderzoek laat zien dat een klein percentage van de ziekenhuizen (15% in 2010 en 18% in 2011) zich in volwassenheidsfase 4 bevindt. Geen enkel ziekenhuis haalde de hoogste totaalscore op alle onderzoeksvragen en alle beoordelingscriteria. Dat wil zeggen dat geen enkel onderzocht ziekenhuis zich in volwassenheidfase 5 bevindt.
8
| Jaarverslagenonderzoek
- Ziekenhuizen besteden veel aandacht aan de risico’s die samenhangen met patiëntveiligheid en financiën. De onderlinge samenhang van deze risico’s wordt echter niet of nauwelijks door de ziekenhuizen in beschouwing genomen. - In 82% voor 2010 en 88% voor 2011 van de onderzochte jaarverslagen wordt geen melding gemaakt van risicobereidheid. Het proces van IRM zou idealiter moeten starten met de definitie van risicobereidheid. Alleen door toleranties en risicolimieten expliciet te benoemen en vast te leggen kunnen meetbare en acceptabele risicobeheersmaatregelen worden gekomen. Mede gelet op de antwoorden op de subonderzoeksvragen 3 en 4 kan worden geconcludeerd dat nog niet wordt voldaan aan de randvoorwaarden voor een effectief IRM-proces. Daarbij moeten alle risicogebieden met betrekking tot de strategie, het zorgproces, de operationele bedrijfsvoering en wet- en regelgeving worden gehanteerd en in samenhang worden beschouwd. Het bepalen en specifiek maken van de risicobereidheid, in relatie tot strategische doelstellingen, is noodzakelijk om die samenhang te borgen. - De Zorgbrede Governance Code blijft een punt van aandacht. Ondanks een verbetering van de score met 4% in 2011 ten opzichte van 2010, ontbreekt het aan voldoende transparantie over de wijze waarop de Zorgbrede Governance Code wordt doorvertaald. Vooral het bestuurlijke aspect uit de Zorgbrede Governance Code krijgt de aandacht van de Raden van Bestuur. De focus op inbedding van een governancestructuur voor risicomanagement in de ziekenhuizen is daarentegen onvoldoende. - De Zorgbrede Governance Code schrijft niet expliciet voor hoe het proces van IRM moet worden ingericht. Het is en blijft echter noodzakelijk om hieraan vorm te geven. Ziekenhuizen moeten vaststellen en vastleggen hoe de taken, verantwoordelijkheden en bevoegdheden in de eigen organisatie worden ingezet. Het strekt tot aanbeveling om dit op te nemen in het risicomanagementbeleid. - Met 86% voor 2011 wordt compliance door de ziekenhuizen niet of onvoldoende beschreven als onderdeel van het proces van risicomanagement. Compliance vormt echter een essentieel onderdeel van IRM. Daarnaast is de compliancefunctie veelal niet ingericht. Ziekenhuizen kunnen veel winnen door compliancerisico’s efficiënt te beheersen, en zo doublures in activiteiten en maatregelen te voorkomen. - De ziekenhuizen geven in hun jaarverslagen over 2010 en 2011 (95%) zelden of nooit een in-controlverklaring af in het kader van het risicomanagementbeleid. Het expliciet maken van de verantwoording over het gevoerde beleid ten aanzien van de risico’s van de organisatie maakt nog geen onderdeel uit van de communicatie door ziekenhuizen. Risicomanagement zou in deze een continu proces moeten zijn, met als eerste aanzet het benoemen en definiëren van de risicobereidheid als onderdeel van het risicomanagementbeleid. De uitgangspunten daarvan zouden moeten worden verankerd in de planning- & controlcyclus. Daarmee kan het management een verantwoording afleggen die past bij de governance, de organisatiecultuur en de behoefte van stakeholders (w.o. Raad van Toezicht, IGZ, Waarborgfonds Zorgsector, NVZ, financiers, et cetera). In het kader
Jaarverslagenonderzoek |
9
van transparantie en de verantwoording over het gevoerde risicobeleid zou een heldere communicatie over de mate van risicobeheersing gewenst zijn. - Op het beoordelingsscriterium Structureel is voor ziekenhuizen nog veel winst te behalen. - Op onderdelen wordt structureel gerapporteerd over risicomanagement. Het gaat dan echter vooral over de financiële kant van de organisatie, de kwaliteit van de zorg en de patiëntveiligheid. In ongeveer de helft van de gevallen wordt aangegeven dat er een verband bestaat met de planning- & controlcyclus. In andere gevallen kan worden vastgesteld dat deze relatie ontbreekt. Bij de beoordelingscriteria Breedte en Systematisch is geconcludeerd dat ziekenhuizen hun risico’s traditioneel benaderen vanuit een siloaanpak en niet in o nderlinge samenhang beschouwen. Deze samenhang is echter noodzakelijk om IRM in de organisatie te borgen. De aanbevelingen luiden als volgt: • Laat de organisatie, als geheel en per onderdeel, periodiek verantwoording afleggen over het gevoerde risicomanagementbeleid. • Verrijk het informatieprotocol met uitgangspunten die betrekking hebben op risicobereidheid, risicobeleid en risicoprofiel per resultaatverantwoordelijke eenheid. • Zorg voor borging van IRM in de lijnorganisatie (het zorgproces en de operationele bedrijfsvoering) als de ‘first line of defense’ (onderdeel van de ‘three lines of defense’). • Laat IRM-rapportagelijnen en -frequentie gelijk lopen met de planning - & control cyclus. - Op het beoordelingscriterium Meet- en toetsbaar is voor de ziekenhuizen eveneens nog veel winst te behalen. Ruim de helft van de onderzochte jaarverslagen scoren op dit criterium een onvoldoende. Dit duidt erop dat er geen sprake is van een expliciet geformuleerd normenkader. Dit kader is noodzakelijk om de metingen (input en resultaten) in het IRM- proces op een zinvolle wijze te toetsen, opdat kan worden tegemoetgekomen aan de eisen van de stakeholders (zoals toezichthouders en kapitaalverstrekkers). Hierdoor worden de ziekenhuizen steeds meer getriggerd om het IRM- proces goed neer te zetten in de organisatie, waarbij de volgende punten in acht worden genomen: • Maak IRM-uitgangspunten expliciet en meetbaar door gebruik te maken van risicobereidheid. Hieraan gerelateerd worden niet alleen de te kwantificeren doelstellingen (in cijfers), maar ook de kwalitatieve doelstellingen op het vlak van reputatie en bedrijfscultuur meegenomen. • Maak de kostenefficiëntie van beheersmaatregelen expliciet in relatie tot de risico’s. • Baseer risicoreserves op onderbouwde risico- en rendementsafwegingen. • Optimaliseer de weergave van IRM in het jaarverslag ten behoeve van transparantie voor alle stakeholders. • Ontwikkel risicomanagement verder op een manier die past bij de volwassenheid van de organisatie, en begin met hetgeen er al aanwezig is.
10
| Jaarverslagenonderzoek
Uit deze uitkomsten valt af te leiden dat ziekenhuizen een stap hebben gezet op weg naar de volgende volwassenheidsfase van IRM. Het bereiken van een verder geprofessionaliseerde en transparantere organisatie is echter niet vanzelfsprekend. De beste motivatie is een intrinsieke. Zodra er aandacht wordt gevraagd voor risicomanagement door wet of regelgeving of door toezichthouders, ligt het gevaar van bureaucratie op de loer. Dit resulteert vaak in een fragmentarische aanpak, in plaats van een integrale aanpak. Een ruime meerderheid van de onderzochte groep ziekenhuizen kent op dit moment onvoldoende transparantie over de verantwoording van de risicobeheersing. Belangrijkste aanbevelingen
Ziekenhuizen zouden voor zichzelf het ambitieniveau voor IRM moeten vaststellen en dat expliciet maken in IRM-beleid. Met de stakeholders moet worden vastgesteld hoe groot de behoefte is aan transparantie over risicomanagement en hoe het ziekenhuis zich daarmee kan onderscheiden. Daarbij is het van belang vast te stellen welke samenhang met de strategische doelstellingen verwacht wordt, passend bij de huidige integrale bedrijfsvoering en cultuur. Daarnaast moet samenhang worden aangebracht in de toepassing van IRM op de verschillende risicogebieden met betrekking tot de strategie, het zorgproces, de operationele bedrijfsvoering (inclusief IT) en wet- en regelgeving. Dit heeft tot gevolg dat de risico’s niet vanuit traditionele silo’s worden beschouwd, maar organisatiebreed. Een meerjarig groeimodel zal de meest effectieve aanpak zijn om de diverse fases van IRM-volwassenheid te doorlopen. Een goede start is het in beeld brengen van de huidige IRM-volwassenheid, waarbij optimaal gebruik wordt gemaakt van wat er al aanwezig is. Elk ziekenhuis kan volgens het groeimodel kiezen hoe het IRM wil ontwikkelen. Daarbij is zowel een top-down- als een bottom-upbenadering mogelijk. Een top-downbenadering wordt geïnitieerd door de Raad van Bestuur en de medische staf, op basis van een gemeenschappelijk en strategisch draagvlak. Een bottom-upbenadering maakt daarentegen gebruik van datgene wat er al ligt (meestal op het vlak van patiëntveiligheid) als basis voor een verdere doorontwikkeling. Tot slot
Vanuit de visie op de integrale bedrijfsvoering biedt IRM kansen voor de zorgsector. Door afstemming te zoeken tussen intern IRM- beleid en de uitvoering daarvan en de externe toetsing door toezichthouders en zorgautoriteiten, ontstaat een gedeeld normenkader voor IRM. Dit gezamenlijk normenkader zal leiden tot efficiëntere toetsing, een ‘level playing field’ voor alle marktpartijen en transparantie voor alle stakeholders.
Jaarverslagenonderzoek |
11
1. Onderzoeksvraag De vraag die dit onderzoek beantwoordt, is de volgende: In welke mate wordt integraal risicomanagement kwalitatief beschreven in de jaar verslagen 2010 en 2011 van de Nederlandse algemene ziekenhuizen?
De directe aanleiding om te onderzoeken in welke mate ziekenhuizen IRM in hun jaarverslagen hebben beschreven, zijn diverse maatschappelijke ontwikkelingen, in combinatie met de ontwikkelingen rond de Zorgbrede Governance Code. In dit hoofdstuk zetten we uiteen hoe de onderzoeksvraag tot stand is gekomen en geven we antwoord op een aantal voorafgaande vragen, zoals: wat is risicomanagement, wat is integraal risico management (IRM), wat is IRM- volwassenheid en wat zijn daarvan de belangrijkste kenmerken? 1.1. De meerwaarde van integraal risicomanagement: formulering onderzoeksvraag
Dit onderzoek geeft aan in hoeverre algemene ziekenhuizen IRM in hun jaarverslagen hebben beschreven. Dit geeft tevens een indicatie van de volwassenheid van het IRM-proces in de ziekenhuizen, ofwel de mate waarin een organisatie profiteert van het proces van risicomanagement en met recht tegen de maatschappij, toezichthouders, financiers en patiënten kan zeggen dat zij vanuit een intrinsieke motivatie ‘in control’ is. De Inspectie voor de GezondheidsZorg (IGZ) oefent risicogestuurd toezicht uit, en gebruikt daarvoor veiligheids- en kwaliteitsindicatoren. Deze indicatoren geven aan waar risico’s bestaan voor de kwaliteit van de zorg. Ze worden ook gehanteerd in het merendeel van de publiek beschikbare informatie in jaarverslagen, maatschappelijke jaarverslagen, websites en dergelijke (IGZ, 2012). Ziekenhuizen gebruiken die indicatoren om de kwaliteit van hun zorg te meten en te verbeteren, en om zichzelf te profileren. Zorgverzekeraars gebruiken de kwaliteitsindicatoren bij het inkopen van zorg. De veiligheids- en kwaliteitsindicatoren zijn gedefinieerd voor specialistische zorgprocessen. Andere, niet-zorggerelateerde, risico’s blijven daardoor onderbelicht, en worden soms zelfs helemaal niet onderkend. Dat kan leiden tot een silobenadering van risicogebieden in ziekenhuisorganisaties. Risico’s op het gebied van de strategie, het zorgproces, de operatio nele bedrijfsvoering en wet- en regelgeving lijken vaak onafhankelijk van elkaar te worden bekeken. Dit levert binnen ziekenhuizen mogelijk inefficiëntie op in het toepassen van de beheersmaatregelen, in zoverre beheersmaatregelen (onbewust) dubbel worden genomen of tegenstrijdig aan elkaar zijn. Maar bovenal worden door de siloaanpak de risico’s niet of onvoldoende in beeld gebracht, omdat de onderlinge afhankelijkheid van risico’s in de totale zorgketen niet transparant is. Ook de manier waarop risico’s de zorgprocessen beïnvloeden is onduidelijk.
12
| Jaarverslagenonderzoek
Om in een complexe organisatie als een ziekenhuis te komen tot een goede risicobeheersing in de hele zorgketen is een integrale aanpak nodig. Recent is immers meer dan eens aangetoond dat een kleine trigger genoeg is om het vertrouwen te verliezen. Als dat gebeurt kan een ziekenhuis worden geconfronteerd met onverwachte kosten; dat gebeurde bijvoorbeeld bij het Maasstad Ziekenhuis, het Medisch Spectrum Twente en het Ruwaard van Putten Ziekenhuis. De risico’s en de onderlinge afhankelijkheden van functies en processen w erden in die gevallen niet tijdig erkend of herkend. Deze incidenten hebben vaak niet alleen de zorg en de betrokken patiënten, specialist(en) en bestuurders geraakt, maar de gehele organisatie en de publieke opinie. Het zelfvertrouwen van een ziekenhuis, én het vertrouwen dat publiek en toezichthouders in een ziekenhuis hebben, wordt voor een groot deel bepaald door de transparantie waarmee het ziekenhuis communiceert over de manier waarop het met risico’s omgaat. IRM kan daarbij helpen, omdat het een totaaloverzicht biedt van de risico’s die de doelstellingen van het ziekenhuis bedreigen, en van hun onderlinge samenhang. Er zou zelfs gesteld kunnen worden dat zonder IRM geen werkelijk transparante externe communicatie mogelijk is. Voor het onderhavige onderzoek is gebruik gemaakt van jaardocumenten en jaarreke ningen. Dit zijn publiek beschikbare gegevens, waarmee ziekenhuizen verantwoording afleggen over hun risicobeheersing. 1.2. Theoretische toelichting bij centrale onderzoeksvraag
De centrale onderzoeksvraag is gebaseerd op een theorie over risicomanagement, die we hieronder uiteenzetten. 1.2.1. Wat is risicomanagement? Over risicomanagement wordt tegenwoordig veel gezegd, geschreven en nagedacht. Het ligt voor de hand dat risicomanagement allereerst draait om het zien of vinden van relevante risico’s en het bedenken van de daarbij behorende beheersmaatregelen. Voor een volwaardig risicomanagementproces is echter meer nodig. Goed risicomanagement staat in dienst van de strategische organisatiedoelstellingen, en gaat uit van de risicobereidheid en de cultuur van de organisatie. Dit zijn twee belangrijke elementen van risicomanagement waarmee een organisatie tot meetbare en acceptabele risicobeheersmaatregelen kan komen. Hierbij moet worden opgemerkt dat risicomanagement altijd een middel is om een doel te bereiken, en nooit een doel op zichzelf kan en mag zijn. COSO ERM (Enterprise Risk Management) geeft de volgende definitie van risicomanagement:
Ondernemingsrisicomanagement is een proces dat bewerkstelligd wordt door het bestuur van de onderneming, het management en ander personeel en wordt toegepast bij het formuleren van de strategie en binnen de gehele onderneming, ontworpen om potentiële gebeurtenissen die invloed kunnen hebben op de onderneming te identificeren en om risico’s te beheersen zodat deze binnen de risico-acceptatiegraad vallen, om een redelijke zekerheid te bieden ten aanzien van het behalen van de ondernemingsdoelstellingen.
Jaarverslagenonderzoek |
13
De COSO ERM-definitie en de verdieping ervan bevatten een aantal fundamentele elementen en ideeën over risicomanagement: • het is een continu proces, uitgevoerd door bestuur, management en alle medewerkers; • het is van invloed op de strategiebepaling en raakt alle mensen in alle lagen en op alle niveaus van de organisatie; • het wordt daarom door de hele organisatie toegepast; • het is gericht op het identificeren van potentiële problemen en risico’s; • het past bij de volwassenheid en cultuur van de organisatie; • als risico’s zich voordoen en de organisatie raken, worden ze gemanaged binnen de risico bereidheid van de organisatie. Het gaat hierbij om de beheersing die de organisatie wenselijk vindt, met als einddoel het behalen van de organisatie doelstellingen op een verantwoorde wijze. Hiermee is risicomanagement een manier van managen die organisatiebreed toepasbaar is en de organisatie op koers brengt en houdt. Risicomanagement voegt waarde toe aan de organisatie en de systemen en/of methoden die al gebruikt worden, zoals LEAN, kwaliteitsmanagement, verandermanagement et cetera. Voor de zorgsector is risicomanagement, zoals hiervoor beschreven, doorvertaald in de Zorgbrede Governance Code (BOZ,2011). Deze code verplicht de leden tot het uitvoeren van aantoonbare risicobeheersing en controles. In de code wordt vermeld dat de Raad van Bestuur en de Raad van Toezicht verantwoordelijk zijn voor kwaliteit, veiligheid en risk management.
De Code stelt: “Risk Management betreft niet alleen financiële risico’s van de zorgorganisatie, maar handelt ook over risico’s als kwaliteit van de zorg, patiënt veiligheid, imago- en marktrisico’s, bouwinvesteringen en fusietrajecten.” 1.2.2. Wat is IRM? IRM is geen statisch, maar een dynamisch en interactief proces. Dit proces wordt continu doorlopen, zodat op het gebied van risicomanagement een zelflerende en zelfsturende zorgorganisatie ontstaat, die zich bewust is van de impact van de verschillende risico’s en hun onderlinge samenhang, alsook van de opties voor beheersing en de verschillende consequenties hiervan, inclusief de belegging van verantwoordelijkheden in de organisatie. Het integrale karakter van IRM komt tot uiting doordat er een verbinding wordt gelegd tussen strategie en operatie, en doordat de daarmee gepaard gaande processen in onderlinge samenhang worden beschouwd. Zo worden kansen en bedreigingen geïdentificeerd die van invloed kunnen zijn op het uitvoeren van de strategie en het behalen van de daaraan gerelateerde doelstellingen. Bedreigingen worden vertaald in risico’s waarvoor beheersmaatregelen worden geïmplementeerd op zodanige wijze, dat deze passen bij de risico bereidheid van het ziekenhuis.
14
| Jaarverslagenonderzoek
De term ‘integraal’ benadrukt dat het gaat om het management van alle verschillende risicogebieden met betrekking tot de strategie, het zorgproces, de operationele bedrijfs voering en wet- en regelgeving in onderlinge samenhang. Hierbij wordt volledigheid nagestreefd door de organisatie. Voor dit onderzoek is in eerste instantie uitgegaan van de algemene definitie van IRM, afgeleid van COSO ERM, aangevuld met de uitgangspunten die opgenomen zijn in de Zorgbrede Governance Code en de kennis van VvAA en ConQuaestor. Ten behoeve van de analyse moeten de belangrijkste elementen van deze definitie echter verder worden uitgewerkt. Hierdoor wordt de definitie geoperationaliseerd en praktisch hanteerbaar. Op basis van ervaringen in alle bedrijfssectoren met IRM, hebben ConQuaestor en VvAA de volgende aanvullingen (met bijbehorende resultaten) op de definitie vastgesteld: • Risicomanagement is een gestructureerde en systematische aanpak om relevante risico’s, die het behalen van de organisatiedoelstellingen bedreigen, expliciet te kunnen identificeren, prioriteren analyseren en beheersen. • Integraal risicomanagement gaat uit van de samenhang van (cummulatie)risico’s, daarbij rekening houdend met de doelstellingen van de organisatie. • Aantoonbaar risicomanagement vergroot de transparantie en leidt tot toenemend vertrouwen van financiers en toezichthouders, patiënten en samenwerkingspartners. • Integraal risicomanagement geeft inzicht in zichtbare én onzichtbare kosten. De organisatie kan vervolgens concrete, doordachte en samenhangende maatregelen nemen die bijdragen aan kostenbeheersing en de juiste inschatting van mogelijke kansen en bedreigingen (denk ook aan kosten verspilling, herstelkosten, imagoschade, personeelsverloop etc.) • Integraal risicomanagement brengt onderwerpen structureel en expliciet onder de aandacht van alle lagen van de organisatie. • Integraal risicomanagement creëert draagvlak en wederzijds begrip van elkaars werkvelden; het verbindt organisatieonderdelen. • Een organisatie die risico’s proactief en continu in kaart brengt is beter voorbereid op de toekomst en kan sneller reageren op veranderingen. Hierdoor wordt de concurrentie positie versterkt.
Jaarverslagenonderzoek |
15
1.2.3. Wat zijn de belangrijkste elementen van IRM in relatie tot de volwassenheid? In een volwaardig IRM-proces zijn drie belangrijke elementen uitgeschreven die alle d ienen te worden bekrachtigd door de Raad van Bestuur en Raad van Toezicht: • De (strategische) doelstellingen van de organisatie. • De expliciete risicobereidheid in relatie tot de doelstellingen van de organisatie. • Het risicomanagementbeleid en de structuur (risicofunctie, governance, compliance, audit en control) om de doelen te realiseren op basis van de risicobereidheid. Hierbij dient te worden opgemerkt dat de ‘tone at the top’ onmiskenbaar van invloed is op de kwaliteit van het risicomanagement. De risicocultuur is de som van alle individuele en bedrijfswaarden, houdingen en gedragspatronen die bepalen of en hoe de zorgorganisatie is gecommitteerd aan integraal risicomanagement en het risicomanagementbeleid dat hiertoe is opgesteld. Het bestuur moet in woord en daad het belang van risicomanagement uitdragen. Vervolgens moet dit op alle niveaus geïntegreerd worden in de (dagelijkse) werkzaamheden. Daarnaast is er de vraag hoe de risico’s gemanaged worden en of dit in overeenstemming is met de strategie, risicobereidheid en het risicoprofiel van het ziekenhuis. De hiervoor geformuleerde IRM-elementen kunnen vertaald worden naar een volwassenheid die kan worden uitgedrukt in vijf opeenvolgende fasen. Model 1 is een visualisatie hiervan. Het onderzoeksteam hanteert deze schaalverdeling voor zowel de score als de analyse van de mate waarin de algemene ziekenhuizen in de jaarverslagen blijk geven IRM te hebben ingevoerd. Model 1. Volwassenheid IRM Fase 5 Fase 4
Relatie met de strategie
Fase 3 Fase 2
Fase 1 Ad hoc en reactief. Externe normen dominant
Risico identificatie en classificatie. Externe normen dominant, beperkt in samenhang met interne normen
Verankering. Constante identificatie, meeting vastlegging en beheersing van risico’s in risico register.
Risico/maatregel optimalisatie. Ook kwantificering van risico’s en kosten/baten analyses bij beheersing van risico’s. Interne norm in balans met externe norm.
Fase in ontwikkeling van integraal risicomanagement © ConQuaestor
16
| Jaarverslagenonderzoek
Risico integratie in de strategische planning: constante afstemming van risico’s tussen business model en strategie en doorvertaling van risico’s/beheersing naar tactisch en operationeel
2. Onderzoeksmethodiek en opzet De opzet van het onderzoek, de keuze van de populatie en de gehanteerde onderzoeks methodiek worden in dit hoofdstuk verder uitgewerkt en geëxpliceerd. 2.1. Onderzoeksvraag en doelstelling
Het onderzoek is gericht op de algemene ziekenhuizen in Nederland, en tracht op basis van de jaardocumenten over 2010 en 2011 inzicht te krijgen in de mate waarin IRM wordt toegepast. Dit levert tevens een indicatie op van de mate van volwassenheid van de toepassing van IRM door de Nederlandse ziekenhuizen. Het verkrijgen van inzicht in de mate van volwassenheid is essentieel voor ziekenhuizen die willen aantonen dat hun gebruik van IRM groei vertoont. Daarnaast is inzicht in de mate van IRM-volwassenheid noodzakelijk om een discussie aan te kunnen gaan over de wijze waarop IRM voor elk ziekenhuis kan toegroeien naar een hogere graad van volwassenheid. Het centrale doel van het onderzoek is dan ook het verkrijgen van inzicht in de mate van volwassenheid van de toepassing IRM door de Nederlandse ziekenhuizen. De onderzoeksvraag is als volgt opgesteld: In welke mate wordt integraal risicomanagement kwalitatief beschreven in de jaarverslagen 2010 en 2011 van de Nederlandse algemene ziekenhuizen?’
Om een antwoord te krijgen op de onderzoeksvraag, en daarbij deze onderzoekvraag ondersteuning te bieden, heeft het onderzoeksteam een tiental subonderzoeksvragen geformuleerd:
Subonderzoeksvragen 1. Is er een hoofdstuk risicomanagement aanwezig in het jaarverslag? 2. Is de risicobereidheid benoemd? 3. Is risicomanagement in relatie gebracht met de strategische doelstellingen? 4. Wordt er een risicomanagementbeleid geformuleerd? 5. Is er een governancestructuur aanwezig voor het risicomanagement? 6. Is compliance een onderdeel van het risicomanagementproces? 7. Is operational audit een onderdeel van, of maakt het gebruik van, het risicomanagementproces? 8. Wordt een in-controlverklaring afgegeven? 9. Is risicomanagement een onderdeel van de planning- & controlcyclus? 10. Blijkt uit de jaarcijfers een specifieke risicoreservering?
Jaarverslagenonderzoek |
17
2.2. Onderzoekstechniek
De toepassing van Risicomanagement is een element dat prominent naar voren komt in de Zorgbrede Governance Code. Volgens deze code dienen de leden van deelnemende brancheorganisaties (waaronder de Nederlandse ziekenhuizen), de principes na te leven die in de code beschreven zijn, en dienen zij hierover verantwoording af te leggen in de jaar verslaglegging. Vandaar dat in het onderzoek gebruik wordt gemaakt van de jaarverslagen van de ziekenhuizen om de onderzoeksvraag te beantwoorden. Voor het onderzoek is een kwalitatieve analyse uitgevoerd van jaarverslagen van Nederlandse ziekenhuizen over 2010 en 2011. Dit zijn publiek beschikbare gegevens, waarmee ziekenhuizen verantwoording afleggen over hun risicobeheersing. De analyse schetst een duidelijk beeld van het volwassenheidsniveau van de toepassing van IRM door Nederlandse ziekenhuizen. 2.3. Datacollectie
Het onderzoek is gericht op algemene ziekenhuizen in Nederland. Nederland heeft in totaal 81 van zulke ziekenhuizen (NVZ 2011). De categorie topklinische opleidingsziekenhuizen valt integraal in de onderzoekspopulatie van algemene ziekenhuizen. Daarnaast kent Nederland acht universitaire medische centra. Deze zijn in dit onderzoek buiten beschouwing gelaten vanwege hun specifieke financiering, verantwoordingeisen, toezichtsystemen en complexiteit. Om tot een gedragen conclusie te kunnen komen, is de omvang van de steekproef op 40 gezet; bijna de helft van de totale populatie van algemene ziekenhuizen in Nederland. Op grond van dit relatief grote aantal kan worden aangenomen dat er tot op zekere hoogte uitspraken gedaan kunnen worden over de gehele populatie. De steekproef betreft een niet a-selecte steekproef. Van de 81 ziekenhuizen is namelijk een evenredige keuze gemaakt uit grote, gemiddelde en kleine ziekenhuizen, op basis van de productiegegevens en het aantal specialisten/FTE’s . Tevens is rekening gehouden met een optimale geografische spreiding van de ziekenhuizen. Op deze manier is een adequate verdeling van de ziekenhuizen op grootte en geografische verspreiding geborgd. 2.4. Wijze van analyseren
Twee onderzoekers hebben de jaarverslagen van de ziekenhuizen geanalyseerd. Om tot eenduidige zoekresultaten te kunnen komen, is gebruik gemaakt van vaste zoekcriteria (zie Model 2: beoordelingscriteria IRM, hieronder). Iedere onderzoeker maakte gebruik van dezelfde criteria en onderzocht een vastgesteld aantal jaarverslagen. Daarna wisselden de onderzoekers hun gegevens uit, waarna zij opvallende scores bespraken en de beoordelingen toetsten. Tevens beoordeelden de onderzoekers onafhankelijk van elkaar steekproefsgewijs een identiek tiental jaarverslagen, waarna de verschillen in beoordeling werden onderzocht en bijgesteld. De beoordelings
18
| Jaarverslagenonderzoek
verschillen in deze steekproef waren minimaal en verwaarloosbaar; een aanwijzing dat de beoordeling consistent verliep. De jaarverslagen van de ziekenhuizen zijn in hun totaliteit in de analyse meegenomen, dus inclusief jaarrekeningen en (sociale) jaarverslagen. Alle jaardocumenten zijn in digitale vorm publiekelijk vrij beschikbaar. Uit respect voor de individuele ziekenhuizen is ervoor gekozen om het onderzoeksrapport te anonimiseren. 2.4.1. Beoordelingscriteria voor IRM Aan de hand van vier criteria is vastgesteld in hoeverre algemene ziekenhuizen blijkens hun jaarverslagen IRM hebben ingevoerd, en in welk stadium van volwassenheid hun risico management verkeert. De gehanteerde zoekcriteria zijn uitgewerkt in model 2.
Criteria
Omschrijving
Relatie met volwassenheidsfase IRM
Breedte
De mate waarin IRM in de gehele organisatie is ingevoerd in alle organisatie lagen en binnen de strategische en operationele processen
* * * *
Systematisch
De mate waarin specifieke risicomanagement modellen of methoden worden toegepast om het IRM proces in de organisatie te borgen
* Gebruik van risicomanagement methoden, technieken * Gebruik van risico categorieën/classificatie * Gehanteerde modellen (COSOII, ISO 31000, M_o_R) * Rapportagevormen * Risk Management tooling/IT * Externe databronnen
Structureel
De mate waarin het IRM proces, of de onderdelen daarvan, met een bepaalde frequentie en in samenhang met de bedrijfsvoering aan de orde komen
* Aantal keer per periode * Gekoppeld aan standaardrapportages * Agenda onderwerp in diverse lagen * Samenhang met planning en control
Meet- en toetsbaar
De mate waarin de input en de uitkomsten van het IRM proces dusdanig gemeten kunnen worden dat sprake is van expliciete resultaten
* Gebruik van wegingen, indicatoren * Specifieke onderbouwing van risico bereidheid en reserve * Transparantie over verantwoording (in-control verklaring)
Organisatie onderdelen in bereik van IRM Hiërarchische lagen betrokken bij IRM Expliciet verantwoordelijken voor IRM Overige stakeholders (accountant, interne audit, leveranciers, financiers, patiënten etc.)
Model 2. Beoordelingscriteria IRM
Jaarverslagenonderzoek |
19
Deze vier criteria zijn gekozen omdat zij multidimensionaal inzicht geven in de mate waarin ziekenhuizen integraal met risicomanagement omgaan. Het integrale karakter betekent in deze context dat een organisatie volledig stuurt op de strategie, doelstellingen, werkprocessen, medewerkers en middelen. Daarnaast stuurt de organisatie in de bedrijfsvoering op de aansluiting tussen afdelingen of bedrijfsonderdelen (resultaatverantwoordelijke een heden). Door het centrale bestuur worden de standaarden bepaald en beheerd voor die aansluiting. IRM focust op volledigheid wat betreft de risico’s die samenhangen met strategie, doelstellingen, werkprocessen, medewerkers en middelen. De organisatiecontext is dus bepalend voor de mate van volledigheid van IRM. Die context kent vier dimensies, die als criteria worden gebruikt in de analyse. De breedte waarmee IRM wordt ingezet in de organisatie is te bepalen aan de hand van de bedrijfsonderdelen waarop het van toepassing is en de relatie met bestuurlijke en opera tionele processen. Hoe systematisch IRM wordt ingezet in de organisatie is te herleiden uit het gebruik van specifieke risicomanagementmodellen, -methoden (bijvoorbeeld COSO II, ISO 31000, M_o_R ) en IT-tooling. Hoe structureel IRM in de organisatie wordt toegepast is op te maken uit de frequentie waarmee zowel input als output van het risicomanagementproces aan bod komen bij de aansturing van de organisatie. Dat komt tot uiting in de wijze en timing van de aansluiting tussen bedrijfsonderdelen, bijvoorbeeld de samenhang met de planning- & controlcyclus. De meet- en toetsbaarheid van de input, throughput en uitkomsten van het IRM-proces zijn zowel kwantitatief als kwalitatief van aard (of kunnen dat zijn). Meet- en toetsbaar betreft in deze context: expliciet. Kwantitatieve factoren zijn te herleiden uit risicobereidheid, het sturen op risicolimieten en -indicatoren en de uiteindelijk expliciete financiële vertaling naar risicoreserves. Daarnaast kan kwalitatief worden vastgesteld dat IRM leidt tot expliciete verantwoording over het gevoerde beleid en de betrouwbaarheid van de resultaten. De toepassing van deze beoordelingscriteria op de jaarverslagen van de algemene ziekenhuizen geeft inzicht in de mate waarin IRM is toegepast. Aan de hand van dat gegeven kunnen de tien onderzoeksvragen worden beantwoord. De jaarverslagen van de onderzochte ziekenhuizen zijn beoordeeld aan de hand van deze criteria. Aan de im- of expliciete invulling die de ziekenhuizen aan IRM geven is een factor toegekend; aan de hand van deze f actor kan de mate waarin verschillende ziekenhuizen IRM toepassen worden vergeleken.
20
| Jaarverslagenonderzoek
2.5. Wegingsfactoren en scoringsmethodiek
De analyse van de jaarverslagen bestaat uit het doorlopen van de beschrijvingen die direct of indirect aan IRM-activiteiten kunnen worden toegekend op basis van de subonderzoeksvragen. De beoordeling vindt plaats aan de hand van model 3. Hierbij is een directe v ertaling gemaakt naar de volwassenheidsfase van IRM.
Constatering en Beoordeling
Kleur-
IRM-
code
Score
Relatie met volwassenheidsfase IRM
voldoende, aanwezig, volledig, transparant
3
Volwassenheidsfase 4 en 5
in ontwikkeling, deels aanwezig, niet volledig, onduidelijk, voor verbetering vatbaar
2
Volwassenheidsfase 2 en 3
onvoldoende, niet aanwezig, niet transparant
1
Volwassenheidsfase 1
Model 3. Beoordelingscriteria IRM
Om de analyse niet onnodig complex te maken, heeft het onderzoeksteam ervoor gekozen om geen wegingsfactoren toe te kennen per criteria of per subonderzoeksvraag. Daardoor is de feitelijke uitkomst van de analyse: een score van 1, 2 of 3 per criterium, per subonderzoeksvraag en per ziekenhuis. Daaruit volgt een totale score op basis van kwalitatieve en kwantitatieve oordelen te herleiden voor de onderzoeksvraag voor elk ziekenhuis, voor de steekproef en voor de populatie van de algemene ziekenhuizen in Nederland. Deze score geeft inzicht in de mate waarin IRM in de jaarverslagen over 2010 en 2011 tot uitdrukking komt. Al deze gegevens werden samengebracht in een totaaltabel, waaruit alle bevindingen en conclusies werden afgeleid. Tezamen vormden deze gegevens tevens een indicatie voor het volwassenheidsfase van IRM in de onderzochte ziekenhuizen. Dit kan geïllustreerd worden aan de hand van model 4.
Jaarverslagenonderzoek |
21
Subonderzoeksvragen per ZKH
Mate waarin Risicomanagement als Integraal wordt beschreven in het jaarverslag Breedte
Systematisch
Structureel
Meet- en toetsbaarheid
1. Is een hoofdstuk risicomanagement aanwezig?
1
2. Is de risicobereidheid benoemd?
3. Is risicomanagement in relatie gebracht met strategische doelstellingen?
4. Wordt risicomanagementbeleid geformuleerd?
5. Is een risicomanage ment Governance Structuur aanwezig?
6. Is compliance een onder- deel van het risico managementproces?
7. Is audit een onderdeel van het risicomanagementproces?
8. Wordt een In Control verklaring afgegeven?
9. Is risicomanagement een onderdeel van P&C- cyclus?
10. Blijkt uit de jaarcijfers een specifieke risicoreservering?
2
3
Kwalitatief oordeel en kwantitatief oordeel
Model 4. Totaaloverzicht subonderzoeksvragen en beoordelingscriteria
22
| Jaarverslagenonderzoek
Kwalitatief oordeel
TOTAAL
Score IRM
De volgende stappen zijn doorlopen in de scoringsmethodiek: 1. Alle 40 ziekenhuizen hebben over 2010 en 2011 een eigen score gekregen voor alle tien de subonderzoeksvragen (zie 3.2) en alle vier de beoordelingscriteria (zie 3.3). 2. Vervolgens zijn de scores van de ziekenhuizen bij elkaar gebracht in een totaaltabel (zie tabel 16 3.4) 3. De totalen van alle rode, oranje en groene scores werden opgeteld. 4. Vervolgens werden deze scores omgezet naar gewogen percentages in grafieken 2.6. Beperkingen
De analyse is kwalitatief van aard. Dit heeft als consequentie dat de score onderhevig is aan de kwalitatieve beoordeling van de individuele teamleden. Om hun individuele beoorde lingen meer te objectiveren, hebben de onderzoekers hun analyses onafhankelijk van elkaar uitgevoerd. Vervolgens zijn de scores van de individuele onderzoekers vergeleken. De afwijkingen werden nogmaals bekeken en besproken, om te komen tot een gezamenlijke consensus. Hiermee is de subjectieve oordeelsvorming ingeperkt. Daarnaast is gebruik gemaakt van eenduidige zoekcriteria; dit vermindert de kans op verschillen in de codering. De onderzoekers hebben met dit kwalitatieve onderzoek niet als doel om causale verbanden te l eggen of om waarheden bloot te leggen voor de gehele populatie. Hun doel is om inzicht te v erkrijgen in de mate van volwassenheid van het risicomanagement van Nederlandse ziekenhuizen. Door de analyse van de jaarverslagen van 40 ziekenhuizen kunnen uitspraken gedaan worden over de mate van volwassenheid van risicomanagement van deze ziekenhuizen. Er is een waarschijnlijkheid dat deze uitkomsten ook van toepassing zijn op de gehele sector, al valt dit op grond van dit onderzoek niet te concluderen.
Jaarverslagenonderzoek |
23
3. Onderzoeksresultaten en bevindingen In dit hoofdstuk worden de onderzoeksresultaten en bevindingen weergegeven. In eerste instantie zal, aan de hand van de vier beoordelingscriteria voor IRM, worden ingegaan op de totaalscore van de tien subonderzoeksvragen. Vervolgens zal per subonderzoeks vraag een toelichting worden gegeven, resulterend in een totaaloverzicht. Voorts komen de totaalbevindingen van de scores per beoordelingscriterium voor IRM aan de orde. Tot slot gaan we, op geanonimiseerde basis, in op de resultaten per ziekenhuis. 3.1. Totaalbevindingen van de scores per subonderzoeksvraag 1 tot en met 10 aan de hand van de beoordelingscriteria IRM
Zoals weergegeven in hoofdstuk 2 ‘Onderzoeksmethodiek en opzet’ leidt de kwalitatieve en kwantitatieve beoordeling van de tien subonderzoeksvragen aan de hand van de vier beoordelingscriteria tot een totaaloordeel, uitgedrukt in de totale IRM-score. De scores zijn omgezet in percentages per kleurcode per jaar. Scoretabellen
Totaaltabel 1. Subonderzoeksvragen 1 t/m 10 aan de hand van de 4 beoordelingscriteria IRM: Breedte, Systematiek, Structureel, Meet- en toetsbaar: Totaalscore Jaar
Beoordelingscriteria
Breedte
Systematisch
Structureel
Meet- en toetsbaar
2010
20%
27%
53%
16%
27%
57%
20%
25%
55%
5%
33%
62%
2011
26%
25%
49%
19%
25%
56%
23%
24%
53%
4%
33%
63%
Totaalscores totaaltabel 1 in %:
Totaalscore 2010
Totaalscore 2011
10 subonderzoeks
57%
vragen en 4 beoordelingscriteria
10 subonderzoeks 55%
vragen en 4 beoordelingscriteria
28% 15%
24
| Jaarverslagenonderzoek
27% 18%
Bevindingen
Rood: In meer dan de helft van de onderzochte jaarverslagen voor zowel 2010 als 2011 wordt er in totaliteit een onvoldoende gescoord op de mate waarin IRM is beschreven. Indicatief kan derhalve gesteld worden dat uit deze jaarverslagen blijkt dat men nog in volwassenheidsfase 1 verkeert. Dit betekent dat er nog te vaak IRM-elementen ontbreken in de verslaglegging, met opvallend lage scores voor Meet- en toetsbaar. Oranje: Van de onderzochte jaarverslagen heeft 28% in 2010 en 27% in 2011 een oranje score gekregen. Enerzijds is sprake van een toename van 1% (van de rode naar oranje score). Anderzijds is sprake van een afname van 3% (van de rode naar de oranje naar de groene score) Kortom, er is een zeer lichte ontwikkeling in risicomanagement vastgesteld. Groen: Van de onderzochte jaarverslagen heeft 15% in 2010 en 18% in 2011 een groene score gekregen. Daarbij moet worden opgemerkt dat de daadwerkelijke IRM-volwassenheidsfase nog relatief laag is, omdat de score per criterium per ziekenhuis nergens de hoogste is, zoals de tabellen 17 en 18 laten zien (3.5. Resultaten per ziekenhuis). De meeste ziekenhuizen voeren hun IRM-activiteiten nu uit in de IRM-volwassenheidsfasen 1, 2 of 3. Conclusies
Gelet op bovenstaande bevindingen kan gesteld worden dat het overgrote gedeelte van de ziekenhuizen qua IRM nog een weg te gaan heeft in het groeien naar een hogere volwassenheidsfase. Met name op het gebied van verslaggeving omtrent risicobeheersing zijn er over vrijwel heel de linie nog verbeteringsslagen te maken. Er zijn slechts relatief kleine verschillen waarneembaar tussen de jaren 2010 en 2011. Rood en oranje nemen af ten gunste van de groene score in 2011. Hierbij zien we een toename van de groene score met 3%. Een toelichting op de resultaten per subonderzoeksvraag aan de hand van de vier beoordelingscriteria wordt gegeven in paragraaf 3.2.1. 3.2.1. Toelichting per subonderzoeksvraag De onderstaande toelichtingen per subonderzoeksvraag zijn opgebouwd uit de totaalscore van alle ziekenhuizen per vraag. De totaalscore is vertaald in percentages. Voor de scoringsmethodiek verwijzen we naar paragraaf 2.2.3. Daarnaast zijn de bevindingen per subonderzoeksvraag weergegeven.
Jaarverslagenonderzoek |
25
Subonderzoeksvraag 1: Is een hoofdstuk risicomanagement aanwezig?
Scoretabellen
Tabel 2. Subonderzoeksvraag 1, uitgesplitst per criterium Vraag 1 Jaar
Beoordelingscriteria
Breedte
Systematisch
Structureel
Meet- en toetsbaar
2010
50%
10%
40%
33%
20%
47%
45%
13%
42%
5%
25%
70%
2011
55%
13%
32%
45%
12%
43%
50%
20%
30%
5%
23%
72%
Totaalscores tabel 2. in %:
Totaalscore 2010
Totaalscore 2011
Subonderzoeksvraag 1:
Subonderzoeksvraag 1:
Is een hoofdstuk
50%
risicomanagement aanwezig?
Is een hoofdstuk risicomanagement aanwezig?
33% 17%
45% 38%
17%
Bevindingen
Rood: Hoewel de Zorgbrede Governance Code de ziekenhuizen motiveert om een hoofdstuk risicomanagement op te nemen in hun jaarverslagen, kan in 2010 voor 50% en in 2011 voor 45% van de gevallen het hoofdstuk risicomanagement niet achterhaald worden in het jaarverslag. Met name de meet- en toetsbaarheid hebben hierin een belangrijk aandeel. Oranje: Bij 17% van de onderzochte jaarverslagen voor 2010 en 2011 is het hoofdstuk risicomanagement in ontwikkeling, deels aanwezig, niet volledig, onduidelijk en voor verbetering vatbaar. Elementen van IRM zijn fragmentarisch terug te vinden in de jaarverslagen. Groen: In 2010 en 2011 is in respectievelijk 33% en 38% van de onderzochte jaarverslagen expliciet een risicomanagementhoofdstuk opgenomen. Afgezien van het onderzoekscriterium Meet- en toetsbaar is er duidelijk waarneembare vooruitgang geboekt. Conclusie
Het ontbreken van het hoofdstuk risicomanagement leidt ertoe dat de overige subonderzoeksvragen moeilijker te scoren zijn, voor zover aanwezig, versnipperd aanwezig is in heel het jaarverslag. Toch blijkt uit een vergelijking van de jaren 2010 en 2011 een zichtbare
26
| Jaarverslagenonderzoek
vooruitgang van 5%, hoewel nog steeds in ongeveer de helft van de gevallen in 2011 het hoofdstuk risicomanagement geheel ontbreekt.
Subonderzoeksvraag 2: Is de risicobereidheid benoemd?
Scoretabellen
Tabel 3. Subonderzoeksvraag 2, uitgesplitst per criterium Vraag 2 Jaar
Beoordelingscriteria
Breedte
Systematisch
Structureel
Meet- en toetsbaar
2010
3%
22%
75%
7%
8%
85%
10%
8%
82%
3%
12%
85%
2011
5%
10%
85%
5%
5%
90%
10%
3%
87%
0%
10%
90%
Totaalscores tabel 4. in %: Totaalscores tabel 3 in %:
Totaalscore 2010
82%
88%
Totaalscore 2011
Subonderzoeksvraag 2:
Subonderzoeksvraag 2:
Is de risicobereidheid
Is de risicobereidheid
benoemd ?
benoemd ?
12% 6%
5%
7%
Bevindingen
Rood: In 2010 wordt in 82% van de onderzochte jaarverslagen geen melding gemaakt van risicobereidheid; in 2011 geldt dit voor 88% van de jaarverslagen. Opvallend is dat met betrekking tot alle onderzoekscriteria er weinig verschuiving waar te nemen is. Wel valt over heel de linie van rode scores een verslechtering waar te nemen van 6% in 2011 ten opzichte van 2010. Oranje: In 2010 wordt in 12% en in 2011 wordt in 7% van de onderzochte jaarverslagen in enige mate iets gemeld over risicobereidheid. Voor zover de risicobereidheid expliciet wordt benoemd, vertoont deze bereidheid meestal een raakvlak met de financiële doelstellingen en is het kwalitatieve aspect onderbelicht. Groen: Een zeer klein deel van de ziekenhuizen, 6% in 2010 en 5% in 2011, heeft de risicobereidheid duidelijk herkenbaar vastgelegd en gerapporteerd.
Jaarverslagenonderzoek |
27
Conclusie
Gesteld kan worden dat het vertrekpunt voor IRM, de risicobereidheid, in meer dan 80% van de ziekenhuizen van dit onderzoek ontbreekt of niet formeel is beschreven en bevestigd door de Raad van Bestuur en de Raad van Toezicht. Daarmee ontbreekt de doorvertaling van de risicobereidheid in risicolimieten voor de operationele afdelingen of resultaatverantwoordelijke eenheden. Ook is de meetbaarheid van de mate van risicobeheersing moeilijker aantoonbaar te maken. Er valt over de hele linie een verslechtering waar te nemen van 6% in 2011 ten opzichte van 2010. De scores op oranje zijn met name verschoven richting rode scores. Daarmee is er sprake van een algehele verslechtering op het onderdeel risicobereidheid.
Subonderzoeksvraag 3: Is risicomanagement in relatie gebracht met strategische doelstellingen?
Scoretabellen
Tabel 4. Subonderzoeksvraag 3, uitgesplitst per criterium Vraag 3 Beoordelingscriteria Jaar
Breedte
Systematisch
Structureel
Meet- en toetsbaar
2010
30%
32%
38%
23%
32%
45%
35%
25%
40%
10%
43%
47%
2011
33%
37%
30%
28%
32%
40%
35%
32%
33%
3%
42%
55%
Totaalscores tabel 4. in %:
Totaalscore 2010
Totaalscore 2011
Subonderzoeksvraag 3:
Subonderzoeksvraag 3:
Is risicomanagement
Is risicomanagement
in relatie gebracht
43%
met strategische doelstellingen?
33% 24%
in relatie gebracht
36%
met strategische doelstellingen?
40%
24%
Bevindingen
Rood: Het totaalbeeld laat zien dat in 2010 43% en in 2011 40% van de ziekenhuizen onvoldoende transparant maken wat de relatie is tussen de strategische doelstellingen en het toepassen van risicomanagement bij het realiseren van de organisatiedoelstellingen. De verbetering van 3% in 2011 ten opzichte van 2010 kan als niet noemenswaardig worden gekenschetst.
28
| Jaarverslagenonderzoek
Oranje: In een aantal gevallen, 33% in 2010 en 36% in 2011, werd geconstateerd dat de relatie tussen strategische doelstellingen en risicomanagement aanwezig is, maar nog niet vanuit een integraal perspectief wordt weergegeven. Er heeft een lichte verschuiving plaatsgevonden van de rode scores ten gunste van de oranje scores. Dit betekent dat de ziekenhuizen dit onderdeel iets beter zijn gaan weergeven in hun jaarverslagen, hoewel ook dit niet als een grote sprong voorwaarts kan worden beschouwd. Groen: Slechts 24% van de onderzochte jaarverslagen behaalde in 2010 en 2011 een voldoende score. Over de gehele linie blijft het beeld bestaan dat ziekenhuizen er in beperkte mate in slagen om in hun jaarverslag een transparante koppeling te leggen tussen risicomanagement en de strategische doelstellingen. Conclusie
De relatie tussen een integrale aanpak van de risicobeheersing en de strategische doelstellingen is onvoldoende om van IRM te spreken. Dit geldt voor beide jaren. Indien risicomanagement niet over de gehele breedte van de organisatie wordt toegepast, zal de integraliteit van de risicobeheersing minimaal zijn. Dit heeft als consequentie dat de onderdelen kwaliteit en (patiënt)veiligheid (door de ziekenhuizen vaak in relatie gebracht met risicomanagement) eigenlijk een minimaal raakvlak hebben met het integrale risicomanagementproces. Hiermee wordt het silodenken ten aanzien van risicobeheersing van de onderzochte ziekenhuizen bevestigd.
Subonderzoeksvraag 4: Wordt risicomanagementbeleid geformuleerd?
Scoretabellen
Tabel 5. Subonderzoeksvraag 4, uitgesplitst per criterium Vraag 4 Beoordelingscriteria Jaar
Breedte
Systematisch
Structureel
Meet- en toetsbaar
2010
30%
38%
32%
25%
38%
37%
27%
33%
40%
5%
50%
45%
2011
48%
30%
22%
35%
35%
30%
45%
30%
25%
10%
50%
40%
Jaarverslagenonderzoek |
29
Totaalscores tabel 5 in %:
Totaalscore 2010
Totaalscore 2011
Subonderzoeksvraag 4:
Subonderzoeksvraag 4:
Wordt risicomanage-
Wordt risicomanage-
ment beleid
39%
geformuleerd?
39%
ment beleid geformuleerd?
34%
36% 30%
22%
Bevindingen
Rood: Voor beide jaren kan geconstateerd worden dat bij ongeveer een derde van de ziekenhuizen het risicomanagementbeleid ontbreekt of niet valt te herleiden uit het jaarverslag. Oranje: Met een score van 39% in 2010 en 36% in 2011 lijkt risicomanagementbeleid in ontwikkeling te zijn, waarbij het beleid op IRM op onderdelen is terug te vinden. Het risicomanagementbeleid dat op onderdelen aanwezig is, is vooral gericht op de risico’s die samenhangen met patiëntveiligheid en kwaliteit. Het beleid is niet zozeer gericht op de organisatie als geheel en op de onderlinge samenhang van de risico’s. Groen: Ten opzichte van 2010 kan een verbetering van 12% in 2011 worden vastgesteld, waarbij in ca. een derde van de onderzochte ziekenhuisjaarverslagen het geformuleerde risicomanagementbeleid duidelijk is neergezet. Conclusie
Risicomanagementbeleid is randvoorwaardelijk voor een goede implementatie van IRM. Dit beleid zou minimaal elementen moeten bevatten als systematiek, structuur en het meetbaar maken van de effecten van de risicobeheersing. Hoewel een duidelijke sprong voorwaarts is gemaakt, is het merendeel (oranje + rood = 66% in 2011) van de ziekenhuizen hierover niet of niet voldoende transparant. Daarbij wordt er geen of een minimale toelichting gegeven over hoe het beleid concreet is vertaald naar de operationele eenheden.
30
| Jaarverslagenonderzoek
Subonderzoeksvraag 5: Is een governancestructuur aanwezig voor risicomanagement?
Scoretabellen
Tabel 6: Subonderzoeksvraag 5, uitgesplitst per criterium
Vraag 5 Beoordelingscriteria Jaar
Breedte
Systematisch
Structureel
Meet- en toetsbaar
2010
25%
60%
15%
30%
50%
20%
25%
58%
17%
8%
65%
27%
2011
40%
45%
15%
28%
52%
20%
25%
58%
17%
13%
65%
22%
Totaalscores tabel 6 in %:
Totaalscore 2010
Totaalscore 2011
Subonderzoeksvraag 5:
Subonderzoeksvraag 5:
58%
Is een risicomanage-
55%
Is een risicomanage-
ment Governance
ment Governance
Structuur aanwezig?
Structuur aanwezig? 26%
22%
20%
19%
Bevindingen
Rood: Met uitzondering van het beoordelingscriterium Meet- en toetsbaarheid zijn de scores bij de beoordelingscriteria in de jaren 2010 en 2011 gelijk gebleven. In 2010 wordt in 20%, en in 2011 wordt in 19% van de onderzochte jaarverslagen geen melding gemaakt van de aanwezigheid van een governancestructuur voor risicomanagement. Oranje: De hoge oranje scores, 58% in 2010 en 55% in 2011, kunnen verklaard worden uit het feit dat veel ziekenhuizen op bestuurlijk niveau een slag aan het maken zijn om de Zorgbrede Governance Code in te voeren. De daling van het percentage tussen 2010 en 2011 met 3% heeft twee oorzaken. Enerzijds kan worden vastgesteld dat in 2010 een aantal ziekenhuizen eenmalig melding hebben gemaakt van de governancestructuur voor risicomanagement, maar dit in 2011 achterwege hebben gelaten. Anderzijds scoren 4% van de ziekenhuizen in 2011 een groene score, waar zij in 2010 een oranje score haalden. Groen: Met een groei van 4% in 2011 ten opzichte van 2010 is een zichtbare verbetering te constateren. Deze verbetering wordt met name getriggerd op de beoordelingscriteria Breedte en Meet- en toetsbaar.
Jaarverslagenonderzoek |
31
Conclusie
De Zorgbrede Governance Code blijft een punt van aandacht. Ondanks een verbetering van de score met 4% in 2011 ten opzichte van 2010, ontbreekt het aan voldoende transparantie over de wijze waarop de Zorgbrede Governance Code wordt toegepast. Vooral het bestuurlijke aspect uit de Zorgbrede Governance Code krijgt de aandacht van de Raden van Bestuur. De focus op inbedding van een governancestructuur voor risicomanagement in de ziekenhuizen is daarentegen onvoldoende.
Subonderzoeksvraag 6: Is compliance een onderdeel van het risicomanagementproces?
Scoretabellen
Tabel 7. Subonderzoeksvraag 6, uitgesplitst per criterium
Vraag 6 Beoordelingscriteria Jaar
Breedte
Systematisch
Structureel
Meet- en toetsbaar
2010
10%
10%
80%
5%
15%
80%
8%
12%
80%
3%
15%
82%
2011
3%
15%
82%
3%
12%
85%
3%
12%
85%
0%
10%
90%
Totaalscores tabel 7 in %:
Totaalscore 2010
81%
Subonderzoeksvraag 6:
Subonderzoeksvraag 6:
Is compliance een
Is compliance een
onderdeel van het
onderdeel van het
risicomanagement
risicomanagement
proces?
86%
Totaalscore 2011
proces? 13% 6%
12% 2%
Bevindingen
Rood: Compliance, het voldoen aan wet- en regelgeving, scoort opvallend veel rood met 81% in 2010 en 86% in 2011, terwijl het op een goede manier voldoen aan wet- en regelgeving voor ziekenhuizen juist een belangrijk speerpunt zou moeten zijn. Over de hele linie valt tussen 2010 en 2011 een verslechtering waar te nemen van in totaal 5%. Oranje: De scores met betrekking tot compliance laten een zeer lichte afname zien van 1% in 2011. Desondanks kan compliance, als onderdeel van het risicomanagementproces, slechts bij enkele ziekenhuizen op onderdelen in het jaarverslag worden teruggevonden.
32
| Jaarverslagenonderzoek
Groen: Met 6% in 2010 en 2% in 2011 is het aantal ziekenhuizen dat het onderwerp comp liance in relatie tot het proces van risicomanagement goed heeft kunnen weergeven in de jaarverslagen afgenomen met 4%. Conclusie
Met 86% voor 2011 wordt compliance door de ziekenhuizen niet of in onvoldoende mate beschreven als onderdeel van het proces van risicomanagement. Compliance is echter een essentieel onderdeel van IRM. Daarnaast is de compliancefunctie veelal niet ingericht. Ziekenhuizen hebben veel te winnen als zij compliancerisico’s op een efficiënte manier beheersen, en zo doublures in activiteiten en maatregelen voorkomen.
Subonderzoeksvraag 7: Is operational audit een onderdeel van, of maakt het gebruik van, het risicomanagementproces?
Scoretabellen
Tabel 8. Subonderzoeksvraag 7, uitgesplitst per criterium
Vraag 7 Beoordelingscriteria Jaar
Breedte
Systematisch
Structureel
Meet- en toetsbaar
2010
20%
40%
40%
10%
50%
40%
15%
45%
40%
3%
52%
45%
2011
25%
40%
35%
10%
50%
40%
25%
35%
40%
3%
52%
45%
Totaalscores tabel 8 in %:
Totaalscore 2010
Totaalscore 2011
Subonderzoeksvraag 7:
Subonderzoeksvraag 7:
Is operational audit
Is operational audit
47%
een onderdeel van het
41%
risicomanagement
44%
een onderdeel van het
40%
risicomanagement
proces?
proces? 16%
12%
Jaarverslagenonderzoek |
33
Bevindingen
Rood: Uit de onderzochte jaarverslagen blijkt dat operational audit in 2010 voor 41% en in 2011 voor 40% van de ziekenhuizen geen onderdeel uitmaakt van het risicomanagement proces. Opvallend is dat niet in alle gevallen getoetst wordt op eigen afspraken of op meetbaarheid van het risicomanagementproces. Oranje: In 2010 kan bij 47% van de ziekenhuizen worden vastgesteld dat op onderdelen auditprocessen of functies aanwezig zijn. In 2011 geldt dit voor 44%. Een financiële reden om auditprocessen geheel of gedeeltelijk op hun plaats te hebben wordt allereerst gegeven door de huisaccountant. Daarnaast is audit sterk zorgspecifiek georganiseerd, enerzijds om te voldoen aan de eisen van de IGZ, NIAZ en VMS, en anderzijds om de kwaliteit en veiligheid van het zorgproces in beeld te brengen. Groen: In 2010 is audit bij 12% van de ziekenhuizen in voldoende mate aanwezig als duidelijk onderdeel van het risicomanagementproces, met een brede inzet binnen de organisatie; in 2011 geldt dit voor 16% van de ziekenhuizen. Conclusie
Weliswaar worden bij de meeste ziekenhuizen kwaliteitsaudits uitgevoerd in het kader van de NIAZ-accreditatie, maar die worden voor het grootste deel niet gezien als een onlosmakelijk onderdeel van het integraal risicomanagementproces. Een duidelijke positionering van de rol en functie van audit, als onderdeel van de Three Lines of Defense, is absoluut noodzakelijk om te komen tot een volwaardig IRM. Een volwassen audit kijkt ook naar de operationele bedrijfsvoering, de financiën en IT.
Subonderzoeksvraag 8: Wordt een in-controlverklaring afgegeven?
Scoretabellen
Tabel 9. Subonderzoeksvraag 8, uitgesplitst per criterium
Vraag 8 Beoordelingscriteria Jaar
Breedte
Systematisch
Structureel
Meet- en toetsbaar
2010
5%
10%
85%
3%
10%
87%
7%
8%
85%
3%
10%
87%
2011
8%
20%
72%
3%
12%
85%
8%
10%
82%
3%
12%
85%
34
| Jaarverslagenonderzoek
Totaalscores tabel 9 in %: 86%
Totaalscore 2010
Totaalscore 2011
Subonderzoeksvraag 8:
Subonderzoeksvraag 8:
Wordt een In Control
Wordt een In Control
verklaring afgegeven?
verklaring afgegeven?
4%
81%
14%
10%
5%
Bevindingen
Rood: In de onderzochte jaarverslagen voor 2010 en 2011 is in respectievelijk 86% en 81% geen in-controlverklaring terug te vinden. Oranje: In 2010 kan in 10% en in 2011 kan in 14% van de onderzochte jaarverslagen iets worden gevonden wat lijkt op een in-controlverklaring, zij het fractioneel. Groen: In 4% van de onderzochte jaarverslagen over 2010 is een in-controlverklaring aangetroffen; voor 2011 geldt dit voor 5% van de jaarverslagen. Conclusie
Buiten een accountantsverklaring die standaard is opgenomen in alle jaarverslagen, geven ziekenhuizen in hun jaarverslagen van 2010 en 2011 zelden of nooit een eigen in-controlverklaring af in het kader van het risicomanagementbeleid. In samenhang met het vrijwel overal ontbreken van een expliciet gemaakte risicobereidheid geeft dit aan dat het expliciet maken van het gevoerde risicobeleid nog geen deel uitmaakt van de communicatie met externe stakeholders. Gezien alle overige scores en de ontwikkeling die de ziekenhuizen doormaken of nog moeten doormaken op weg naar volwassenheid van IRM is een in-controluitspraak mogelijk een brug te ver voor veel Raden van Bestuur en Raden van Toezicht. Indien wel tot een in- controluitspraak gekomen kan worden op basis van een gedegen risicomanagementbeleid en een goed geïmplementeerd risicomanagementproces, maakt het de communicatie met externe stakeholders, waaronder de accountant, makkelijker vanuit een sterkere positie.
Jaarverslagenonderzoek |
35
Subonderzoeksvraag 9: Is risicomanagement een onderdeel van de planning- & controlcyclus?
Scoretabellen
Tabel 10. Subonderzoeksvraag 9, uitgesplitst per criterium
Vraag 9 Beoordelingscriteria Jaar
Breedte
Systematisch
Structureel
Meet- en toetsbaar
2010
28%
25%
47%
20%
27%
53%
30%
25%
45%
8%
37%
55%
2011
43%
15%
42%
30%
25%
45%
35%
22%
43%
3%
52%
45%
Totaalscores tabel 10 in %:
Totaalscore 2010
Totaalscore 2011
Subonderzoeksvraag 9:
Subonderzoeksvraag 9:
Is risicomanagement
50%
een onderdeel van de Planning & Control cyclus?
29% 21%
Is risicomanagement 44%
een onderdeel van de Planning & Control cyclus?
27%
29%
Bevindingen
Rood: Uit de onderzochte jaarverslagen blijkt dat 50% van de ziekenhuizen in 2010 en 44% van de ziekenhuizen in 2011 geen beschrijving hebben opgenomen van risicomanagement in relatie tot de planning- & control cyclus. Oranje: Voor beide jaren kan gesteld worden dat iets minder dan een derde van de ziekenhuizen in de planning- & controlcyclus werkt met scorecards. Een expliciete benoeming van risico-elementen ontbreekt echter. Groen: Uit de onderzochte jaarverslagen blijkt een toename van 6% in 2011 ten opzichte van 2010, waarbij sprake is van een voldoende beschrijving van risicomanagement in relatie tot de planning- & controlcyclus. Conclusie
Een planning- & controlcyclus is bij alle ziekenhuizen gemeengoed. Ondanks een lichte verbetering in 2011 ten opzichte van 2010 met 6%, vindt sturing voor ongeveer 73% (rood en oranje) in 2011 kennelijk nog steeds op een traditionele wijze plaats. Deze wijze is reactief van aard op basis van de cijfers en productiedoelstellingen, en niet proactief (vooraf) op
36
| Jaarverslagenonderzoek
basis van risk assessments, waarbij de planning- & controlcyclus vooral sterk gericht is op de financiële component en in mindere mate op de werking, effecten en kosten van de beheersmaatregelen om de geïdentificeerde risico’s beheersbaar te maken.
Subonderzoeksvraag 10: Blijkt uit de jaarcijfers een specifieke risicoreservering?
Scoretabellen
Tabel 11. Subonderzoeksvraag 10, uitgesplitst per criterium
Vraag 10 Beoordelingscriteria Jaar
Breedte
Systematisch
Structureel
Meet- en toetsbaar
2010
5%
23%
72%
0%
20%
80%
0%
23%
77%
0%
20%
80%
2011
0%
23%
77%
0%
15%
85%
0%
15%
85%
0%
15%
85%
Totaalscores tabel 11 in %:
Totaalscore 2010
78%
Totaalscore 2011
Subonderzoeksvraag
Subonderzoeksvraag
10: Blijkt uit de
10: Blijkt uit de
jaarcijfers een
jaarcijfers een
specifieke
specifieke
risicoreservering?
83%
risicoreservering?
21%
17% 0%
1%
Bevindingen
Rood: Met 78% voor 2010 en 83% in 2011 kan worden vastgesteld dat in de onderzochte jaarverslagen niet of sporadisch (en dan nog summier) wordt gesproken van een specifieke risicoreservering. Oranje: Elementen over risicoreservering zijn terug te vinden in 21% van de onderzochte jaarverslagen over 2010 en in 17% van de jaarverslagen over 2011. Groen: Ziekenhuizen maken in 2010 met 1% slechts sporadisch een duidelijke risicoreservering in hun jaarrekeningen; in 2011 is zelfs dit lage percentage niet waarneembaar. Conclusie
In 2011 is in 100% geen sprake van een specifieke risicoreservering. Dit komt de transparantie en verantwoording niet ten goede en maakt onduidelijk hoe er integraal met de risico’s wordt omgegaan in het kader van het financieel beleid.
Jaarverslagenonderzoek |
37
3.2.2. Samenvattend totaal overzicht resultaten per subonderzoeksvraag 1 tot en met 10 Om de onderzoeksvraag, in welke mate IRM beschreven is in de jaarverslagen 2010 en 2011, te kunnen beantwoorden, is per subonderzoeksvraag in 3.2.1. een kwalitatief oordeel gegeven. De onderstaande diagrammen 1 en 2 laten, samenvattend, de verdeling over de subonderzoeksvragen zien in relatie tot de volwassenheid zoals blijkt uit de jaarverslagen: Diagram 1. Totaaloverzicht 2010: subonderzoeksvragen en mate van volwassenheid 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% 1. Is een hoofdstuk risico mgt aanwezig? 2. Is de risicobereidheid benoemd? 3. Is risico mgt in relatie gebracht met strategische doelstellingen? 4. Wordt er een risico mgt beleid geformuleerd? 5. Is een governancestructuur aanwezig voor risico mgt? 6. Is compliance een onderdeel van het risico mgt proces? 7. Is audit een onderdeel van het risico mgt proces? 8. Wordt een in-controlverklaring afgegeven? 9. Is risico mgt een onderdeel van de P&C-cyclus? 10. Blijkt uit de jaarcijfers een specifieke risicoreservering?
Diagram 2. Totaaloverzicht 2011: subonderzoeksvragen en mate van volwassenheid 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% 1. Is een hoofdstuk risico mgt aanwezig? 2. Is de risicobereidheid benoemd? 3. Is risico mgt in relatie gebracht met strategische doelstellingen? 4. Wordt er een risico mgt beleid geformuleerd? 5. Is een governancestructuur aanwezig voor risico mgt? 6. Is compliance een onderdeel van het risico mgt proces? 7. Is audit een onderdeel van het risico mgt proces? 8. Wordt een in-controlverklaring afgegeven? 9. Is risico mgt een onderdeel van de P&C-cyclus? 10. Blijkt uit de jaarcijfers een specifieke risicoreservering?
38
| Jaarverslagenonderzoek
Opvallend is, voor zowel 2010 als 2011, de relatief lage score voor de hoogste volwassenheidsfasen 4 en 5 (3) per subonderzoeksvraag (groen) en het relatief grote aandeel van niveau 1 (rood) en 2 en 3 (oranje). Het overzicht over beide jaren laat zien dat er weinig substantiële verschuivingen hebben plaatsgevonden. Dit betekent dat de implementatie van IRM bij de ziekenhuizen relatief weinig progressie maakt. Dit is mogelijk een indicatie dat de ziekenhuizen niet weten hoe ze IRM kunnen implementeren en in hun organisatie kunnen borgen. Het kan ook zijn dat ziekenhuizen het hoofdstuk risicomanagement nog onvoldoende belang toekennen, en dat de accenten in de jaarverslagen daardoor anders worden gelegd, bijvoorbeeld op patiëntveiligheid, VMS en kwaliteit. Dit algemene beeld lichten we hieronder per beoordelingscriterium toe. 3.3. Totaal bevindingen van de scores per beoordelingscriterium (breedte, systematisch, structuur, meet- en toetsbaarheid)
In 3.2.1 is, aan de hand van de tien subonderzoeksvragen, een kwalitatief oordeel gegeven waarbij per subonderzoeksvraag integraal rekening werd gehouden met breedte, systematisch, structuur en meet- en toetsbaarheid als gehanteerde beoordelingscriteria. In deze paragraaf zal per beoordelingscriterium een kwalitatief oordeel worden gepresenteerd, waarbij de subonderzoeksvragen integraal zijn meegenomen. Hiernavolgend worden de toelichtingen per criterium opgebouwd uit de totaalscore van alle ziekenhuizen. Per criterium wordt een tabel gepresenteerd met een omschrijving van het beoordelingscriterium. Onder de zoekcriteria in jaarverslagen staan voorbeelden waarop de jaar verslagen zijn gescreend. Daarnaast zijn de bevindingen per beoordelingscriterium weergegeven: 1. Breedte 2. Systematisch 3. Structureel 4. Meet- en toetsbaar
Ad 1. Beoordelingscriterium Breedte
Scoretabellen
Tabel 12. Beoordelingscriterium Breedte in aantallen Breedte Omschrijving
Zoekcriteria in jaarverslagen
De mate waarin IRM in de gehele organi- * Organisatie-onderdelen in bereik van satie is ingevoerd in alle organisatielagen IRM en binnen de strategische en operationele * Hiërarchische lagen betrokken bij IRM processen * Expliciet verantwoordelijken voor IRM * Overige stakeholders (accountant, interne audit, leveranciers, financiers, patiënten etc.)
Jaarverslagenonderzoek |
39
Beoordelingscriterium Breedte tabel 12 in %:
Totaalscore 2010
Totaalscore 2011
beoordelingscriterium
beoordelingscriterium
BREEDTE
52%
21%
27%
BREEDTE
50%
26%
24%
Bevindingen
Rood: Van het aantal onderzochte ziekenhuizen scoort 52% in 2010 en 50% in 2011 onvoldoende; IRM ontbreekt bij deze ziekenhuizen als onderdeel in de jaarverslagen. Daarmee is IRM niet ingevoerd in alle lagen, noch in de strategische en operationele processen. Oranje: In 2011 blijkt een afname van 3% ten opzichte van 2010 waarbij IRM nog in ontwikkeling is en derhalve voor verbetering vatbaar is. Dit betekent ook dat er wel delen van IRM aanwezig zijn, maar dat de onderlinge samenhang ontbreekt. Groen: In 2010 heeft slechts 21% van de ziekenhuizen IRM in de volle breedte ingevoerd en geborgd in de organisatie. Met een verbetering naar 26% (een stijging van 5%) in 2011 valt hierin een duidelijke ontwikkeling waar te nemen. Conclusie
IRM speelt zich in ziekenhuizen hoofdzakelijk af op bestuurlijk niveau. De doorvertaling naar de andere organisatielagen in de volle breedte is matig tot onvoldoende. Dit is gebleken uit 79% van de onderzochte jaarverslagen in 2010, en uit 74% van de jaarverslagen in 2011. Hiermee is er een verbetering opgetreden van 6%. Desondanks blijkt uit de jaar verslagen dat een expliciet gemaakte verantwoordelijke voor IRM, zoals een riskmanager, een compliance officer of een auditor, in de meeste gevallen ontbreekt. Deze score maakt inzichtelijk dat de ziekenhuizen hun risico’s traditioneel benaderen vanuit een siloaanpak, of zelfs helemaal niet proberen om hun risico’s in samenhang te beschouwen.
40
| Jaarverslagenonderzoek
Ad 2. Beoordelingscriterium Systematisch
Scoretabellen
Tabel 13. Beoordelingscriterium Systematisch in aantallen Systematische Omschrijving
Zoekcriteria in jaarverslagen
De mate waarin specifieke risicomanage- * Gebruik van risicomanagement methoden, ment- modellen of methoden worden toetechnieken gepast om het IRM proces in de organisatie * Gebruik van risico categorieën/ te borgen classificatie * Gehanteerde modellen (COSOII, ISO 31000, M_o_R) * Rapportagevormen * Risk Management tooling/IT * Externe databronnen Beoordelingscriterium Systematisch tabel 13 in %:
Totaalscore 2010
Totaalscore 2011
beoordelingscriterium
58%
SYSTEMATISCH
beoordelingscriterium 56%
SYSTEMATISCH
27%
25% 19%
15%
Bevindingen
Rood: Bij 58% van de onderzochte ziekenhuizen worden in 2010 geen specifieke risico managementmodellen toegepast. In 2011 betreft dit nog 56%. Modellen zoals COSO II, ISO 31000 en M_o_R worden onvoldoende gebruikt of niet benoemd in de jaarverslagen. Oranje: 27% van de onderzochte ziekenhuizen noemt in 2010 het gebruik van een risico managementmodel of risk tooling. In 2011 neemt dit aandeel af tot 25%. De oranje score is ook gegeven aan ziekenhuizen die het gebruik van HFMEA rapporteren in het kader van prospectieve risico-onderzoeken. Dit is slechts een onderdeel van het totale IRM-proces en doet geen recht aan het woord ‘integraal’. Groen: In 15% van de onderzochte jaarverslagen voor 2010 en 19% voor 2011 was het gebruik van de tooling en/ of risicomanagementmodellen wel te achterhalen of goed ingevoerd.
Jaarverslagenonderzoek |
41
Conclusie
Er zijn slechts geringe verschuivingen waarneembaar over de jaren 2010 en 2011. De afname van de oranje score met 2% en de afname van de rode score met eveneens 2% zijn daarvan de meest opvallende. De risicomanagementmodellen geven richting aan het invoeren van IRM in de organisatie. Dat de risicomanagementmodellen en IT- tooling ontbreken of slechts op onderdelen aanwezig zijn, duidt erop dat IRM in de ziekenhuizen zich nog op een laag volwassenheidsniveau bevindt. Voor zover sprake is van tooling wordt die weliswaar vaak ingezet voor thema’s op het gebied van kwaliteit en patiëntveiligheid, maar niet systematisch in de volle breedte van de organisatie. Ook vanuit het beoordelingscriterium Systematisch kan worden geconcludeerd dat ziekenhuizen hun risico’s traditioneel benaderen vanuit een siloaanpak, en niet in hun onderlinge samenhang beschouwen.
Ad 3. Beoordelingscriterium Structureel
Scoretabellen
Tabel 14. Beoordelingscriterium Structureel in aantallen Structueel Omschrijving
Zoekcriteria in jaarverslagen
De mate waarin het IRM- proces, of de onderdelen daarvan, met een bepaalde frequentie en in samenhang met de bedrijfsvoering aan de orde komen
* Aantal keer per periode * Gekoppeld aan standaardrapportages * Agenda-onderwerp in diverse lagen * Samenhang met planning en control
Beoordelingscriterium Structureel tabel 14 in %:
Totaalscore 2010
Totaalscore 2011
beoordelingscriterium
beoordelingscriterium 55%
STRUCTUREEL
20%
25%
STRUCTUREEL
53%
24%
23%
Bevindingen
Rood: In meer dan de helft van de onderzochte jaarverslagen is niets terug te vinden over de frequentie van risicomanagementrapportages binnen de organisatielagen. Ook ontbreekt een duidelijke relatie met de planning- & controlcyclus. Dit percentage is in 2010 en in 2011 nagenoeg gelijk.
42
| Jaarverslagenonderzoek
Oranje: In 2010 is bij 25% van de onderzochte jaarverslagen op onderdelen zichtbaar dat er een structurele plaats is ingeruimd voor IRM. De focus ligt met name op het gebied van financiën en kwaliteit/patiëntveiligheid. In een aantal gevallen kan een duidelijke relatie worden gelegd met de planning- & controlcyclus. In 2011 is sprake van een daling van 2%. Groen: In 2010 scoren ziekenhuizen met 20% relatief sterk als het gaat om het structureel terug laten keren van IRM in de rapportagelijnen. De score ligt hoger dan die van de overige beoordelingscriteria. Ook in 2011 blijft dit een relatief sterk onderdeel; de score stijgt licht met 4%. Conclusie
Aan de hand van de bevindingen kan geconcludeerd worden dat tenminste op onderdelen structureel wordt gerapporteerd over risicomanagement. Het zwaartepunt ligt echter bij de financiële kant van de organisatie en bij de kwaliteit/patiëntveiligheid. Slechts in ongeveer de helft van de gevallen bestaat er een duidelijk relatie met de planning- & control cyclus. Hier valt dus nog winst te behalen. Bij de beoordelingscriteria Breedte en Systematisch is al geconcludeerd dat ziekenhuizen hun risico’s traditioneel benaderen vanuit een siloaanpak, zonder ze niet in hun onderlinge samenhang te beschouwen. Dat laatste is echter noodzakelijk om IRM te borgen in de organisatie.
Ad 4. Beoordelingscriterium Meet- en toetsbaar
Scoretabellen
Tabel 15. Beoordelingscriterium Meet- en toetsbaar in aantallen Meetbaar & Toetsbaar
Zoekcriteria in jaarverslagen
Omschrijving
De mate waarin de input en de uitkomsten * Gebruik van wegingen, indicatoren van het IRM proces dusdanig gemeten * Specifieke onderbouwing van risicobereidkunnen worden dat sprake is van expliheid en reserve ciete resultaten * Transparantie over verantwoording (incontrol verklaring)
Jaarverslagenonderzoek |
43
Beoordelingscriterium Meet- en toetsbaar tabel 15 in %:
Totaalscore 2010
Totaalscore 2011
beoordelingscriterium
63%
beoordelingscriterium
MEETBAAR EN
MEETBAAR EN
TOETSBAAR
TOETSBAAR
63%
33%
33%
4%
4%
Bevindingen
Rood: In 2010 is bijna twee derde (63%) van de onderzochte ziekenhuizen niet transparant over de uitkomsten van het IRM-proces. Dit kan erop duiden dat er geen sprake is van een expliciet geformuleerd normenkader (zoals bijvoorbeeld risicobereidheid). In 2011 blijft het percentage gelijk. Oranje: Bij 33% van de onderzochte jaarverslagen is de verantwoording over de uitkomsten van het IRM-proces deels aanwezig of herkenbaar in het jaarverslag. Dit percentage is in 2010 en in 2011 identiek. Groen: In zowel 2010 als 2011 heeft slechts 4% van de ziekenhuizen de meet- en toetsbaarheid van de uitkomsten van het IRM-proces redelijk tot goed op orde. Conclusie
Op het beoordelingscriterium Meet- en toetsbaar is voor de ziekenhuizen nog veel winst te behalen. Ruim de helft van de onderzochte jaarverslagen scoort op dit criterium een onvoldoende. Dit duidt erop dat er geen sprake is van een expliciet geformuleerd normenkader. Dit kader is noodzakelijk om de metingen (input en resultaten) van het IRM-proces op een zinvolle wijze te toetsen en tegemoet te komen aan de eisen van de stakeholders (zoals toezichthouders en kapitaalverstrekkers). Druk van de stakeholders dwingt ziekenhuizen meer en meer om het IRM-proces in hun organisatie naar behoren vorm te geven.
44
| Jaarverslagenonderzoek
3.4. Samenvattend overzicht van de scores en bevindingen van alle onderzochte ziekenhuizen, per subonderzoeksvraag en per beoordelingscriterium
De scores kunnen nu per subonderzoeksvraag en per beoordelingscriterium in tabel 16 worden samengevat: Scanvragen per ziekenhuis
jaar
Breedte
Systematisch
Structureel
Meet- en toetsbaar
Totaal groen, oranje, rood
Is een hoofdstuk risico management aanwezig?
2010
50% 10% 40% 33% 20% 47% 45% 13% 42%
5% 25% 70% 33% 17% 50%
2011
55% 13% 32% 45% 12% 43% 50% 20% 30%
5% 23% 72% 38% 17% 45%
Is de risicobereidheid 2010 benoemd?
3% 22% 75%
7%
8% 85% 10%
8% 82%
3% 12% 85%
6% 12% 82%
2011
5% 10% 85%
5%
5% 90% 10%
3% 87%
0% 10% 90%
5%
Is risicomanagement in relatie gebracht met strategische doelstellingen? Wordt er een risico managementbeleid geformuleerd?
Is er een governancestructuur aanwezig voor risicomanagement? Is compliance een onderdeel van het risicomanagement proces? Is audit een onderdeel van het risicomanagement proces? Wordt een incontrolverklaring afgegeven?
Is risicomanagement een onderdeel van P&C- cyclus?
Blijkt uit de jaar cijfers een specifieke risicoreservering?
7% 88%
2010
30% 32% 38% 23% 32% 45% 35% 25% 40% 10% 43% 47% 24% 33% 43%
2011
33% 37% 30% 28% 32% 40% 35% 32% 33%
3% 42% 55% 24% 36% 40%
2010
30% 38% 32% 25% 38% 37% 27% 33% 40%
5% 50% 45% 22% 39% 39%
2011
48% 30% 22% 35% 35% 30% 45% 30% 25% 10% 50% 40% 34% 36% 30%
2010
25% 60% 15% 30% 50% 20% 25% 58% 18%
2011
40% 45% 15% 28% 52% 20% 25% 58% 17% 13% 65% 22% 26% 55% 19%
2010
10% 10% 80%
5% 15% 80%
8% 12% 80%
3% 15% 82%
6% 13% 81%
2011
3% 15% 82%
3% 12% 85%
3% 12% 85%
0% 10% 90%
2% 12% 86%
8% 65% 27% 22% 58% 20%
2010
20% 40% 40% 10% 50% 40% 15% 45% 40%
3% 52% 45% 12% 47% 41%
2011
25% 40% 35% 10% 50% 40% 25% 35% 40%
3% 52% 45% 16% 44% 40%
2010
5% 10% 85%
3% 10% 87%
7%
8% 85%
3% 10% 87%
4% 10% 86%
2011
8% 20% 72%
3% 12% 85%
8% 10% 82%
3% 12% 85%
5% 14% 81%
2010
28% 25% 47% 20% 27% 53% 30% 25% 45%
8% 37% 55% 21% 29% 50%
2011
43% 15% 42% 30% 25% 45% 35% 22% 43%
3% 52% 45% 27% 29% 44%
2010
5% 23% 72%
0% 20% 80%
0% 23% 77%
0% 20% 80%
1% 21% 78%
2011
0% 23% 77%
0% 15% 85%
0% 15% 85%
0% 15% 85%
0% 17% 83%
Totaal
2010
20% 27% 53% 16% 27% 57% 20% 25% 55%
5% 33% 62% 15% 28% 57%
Totaal
2011
26% 25% 49% 19% 25% 56% 23% 24% 53%
4% 33% 63% 18% 27% 55%
Kwalitatief oordeel en kwantitatief oordeel Tabel 16. Samenvattend overzicht van de scores in percentages van alle onderzochte ziekenhuizen, per subonderzoeksvraag en per beoordelingscriterium
Jaarverslagenonderzoek |
45
3.5. Resultaten per ziekenhuis, per beoordelingscriterium
De centrale onderzoeksvraag, in welke mate integraal risicomanagement kwalitatief is beschreven in de jaarverslagen 2010 en 2011, is generiek gesteld voor de algemene ziekenhuizen in Nederland. In de voorgaande paragrafen is ingegaan op de mate waarin IRM is beschreven in de jaarverslagen. In de methodiek is aangenomen dat dit een indicatie is van de IRM-volwassenheidsfase. Het is interessant om daarnaast de resultaten per ziekenhuis te zien, waarbij per ziekenhuis de mate van volwassenheid wordt uitgedrukt in scores op het vlak van de beoordelings criteria de Breedte, Systematisch, Structureel, Meet- en toetsbaarheid. Hiertoe zijn per ziekenhuis en per beoordelingscriterium drie stappen doorlopen: 1. Per ziekenhuis zijn alle scores van alle onderzoeksvragen bij elkaar opgeteld per beoordelingscriterium. 2. De scores zijn vervolgens per ziekenhuis, per beoordelingscriterium, afgezet tegenover de volgende tabel van volwassenheid:
Constatering en beoordeling
Kleur-
IRM-
code
Score
Relatie met volwassenheidsfase IRM
voldoende, aanwezig, volledig, transparant
3
Volwassenheidsfase 4 en 5
in ontwikkeling, deels aanwezig, niet volledig, onduidelijk, voor verbetering vatbaar
2
Volwassenheidsfase 2 en 3
onvoldoende, niet aanwezig, niet transparant
1
Volwassenheidsfase 1
3. Een ziekenhuis heeft per beoordelingscriterium minimaal een IRM-score van 10 (10 onderzoeksvragen x 1) en kan maximaal een IRM-score hebben van 30 (10 onderzoeksvragen x 3). Afhankelijk van de gescoorde waarden (die in de praktijk tussen de 10 en de 30 liggen), kan de volwassenheid per ziekenhuis en per beoordelingscriterium worden aangeduid met de IRM- scores 1, 2 of 3. Een ziekenhuis kan dus voor alle beoordelingscriteria samen minimaal 4 punten scoren en maximaal 12. De tabellen 17 en 18 zijn tot stand gekomen op basis van de scores per ziekenhuis. De tabellen 17 en 18 representeren op de verticale as het aantal onderzochte ziekenhuizen. De horizontale as representeert de totale IRM-score (en derhalve de mate van volwassenheid) op alle beoordelingscriteria tezamen. Zo kan aan een ziekenhuis een IRM-score worden toegekend, die van 1 tot 12 punten kan variëren. Gezien de aard van het onderzoek is ervoor gekozen om in de volgende jaartabellen, tabel 17 en tabel 18, de namen van de individueel onderzochte ziekenhuizen niet weer te geven:
46
| Jaarverslagenonderzoek
Onderzochte ziekenhuizen
Tabel 17. Totaal IRM-score van alle beoordelingscriteria per ziekenhuis in 2010 40 39 38 37 36 35 34 33 32 31 30 29 28 27 26 25 24 23 22 21 20 19 18 17 16 15 14 13 12 11 10 9 8 7 6 5 4 3 2 1
Breedte Systematisch Structureel 0
1
2
3
4
5
6
7
8
9
10
11
12
Meetbaar
Totaal IRM-score
Onderzochte ziekenhuizen
Tabel 18. Totaal IRM-score van alle beoordelingscriteria per ziekenhuis in 2011 40 39 38 37 36 35 34 33 32 31 30 29 28 27 26 25 24 23 22 21 20 19 18 17 16 15 14 13 12 11 10 9 8 7 6 5 4 3 2 1
Breedte Systematisch Structureel 0
1
2
3
4
5
6
7
8
9
10
11
12
Meetbaar
Totaal IRM-score
Jaarverslagenonderzoek |
47
Acht ziekenhuizen hebben in 2010 en in 2011 een gelijke score gehaald op alle beoordelingscriteria. Dit betekent dat deze ziekenhuizen in hun jaarverslagen geen ontwikkeling hebben doorgemaakt ten aanzien van IRM. Daarnaast kan worden geconstateerd dat de scores van acht ziekenhuizen met een daling respectievelijk stijging van -1 of +1 nagenoeg gelijk zijn gebleven. Hier is dus een minimale vooruitgang of achteruitgang geboekt. Van de totale onderzochte populatie hebben drie ziekenhuizen een zichtbare vooruitgang geboekt met +2 of meer. Er is één ziekenhuis met een totaalscore van -4, dat op alle beoordelingscriteria in 2011 is achteruitgegaan ten opzichte van 2010. Conclusie
Afgezien van drie positieve uitzonderingen laat het onderzoek het beeld zien dat de onderzochte ziekenhuizen niet of nauwelijks een echte ontwikkeling doormaken in de mate waarin zij IRM weergeven in hun jaarverslagen. Dit is tevens een indicatie dat de (gemiddelde) volwassenheid ten aanzien van IRM op een laag niveau blijft steken. Het is opvallend dat geen enkel ziekenhuis de hoogste totaalscore (van 12) heeft behaald.
48
| Jaarverslagenonderzoek
4. Eindconclusie en aanbevelingen In dit hoofdstuk geven we de eindconclusie op de onderzoeksvraag, gevolgd door een aan tal aanbevelingen voor de Nederlandse algemene ziekenhuizen. De eindconclusie betreft een indicatie van de IRM-volwassenheidsfase waarin de onderzochte ziekenhuizen in 2010 en 2011 verkeerden. Met de aanbevelingen geven we de ziekenhuizen een advies om IRM, zowel inhoudelijk als voor de weergave in het jaarverslag, in de toekomst op een hoger niveau te brengen. 4.1.1. Eindconclusie onderzoeksvraag Eindconclusie
De beantwoording van de centrale onderzoeksvraag in welke mate integraal risicomana gement kwalitatief wordt beschreven in de jaarverslagen 2010 en 2011 van de Nederlandse algemene ziekenhuizen, volgt direct uit de score per onderzoekscriterium en de resultaten per ziekenhuis. Het onderzoek en de voorgenoemde resultaten leiden tot de onderstaande eindconclusies voor 2010 en 2011: 2010 De mate waarin integraal risicomanagement kwalitatief wordt beschreven in de jaarverslagen 2010 van de Nederlandse algemene ziekenhuizen, is in 15% van de gevallen voldoende en in 28% van de onderzochte jaarverslagen slechts gedeeltelijk voldoende. In 57% van de onderzochte jaarverslagen wordt integraal risicomanagement in onvoldoende mate beschreven
2011 De mate waarin integraal risicomanagement kwalitatief wordt beschreven in de jaarverslagen 2011 van de Nederlandse algemene ziekenhuizen, is in 18% van de gevallen voldoende en in 27% van de onderzochte jaarverslagen slechts gedeeltelijk voldoende. In 55% van de onderzochte jaarverslagen wordt integraal risicomanagement in onvoldoende mate beschreven.
Tabel 19 vat deze eindconclusies samen. Uit deze eindconclusies valt af te leiden dat ziekenhuizen nog een weg te gaan hebben, willen zij IRM voldoende toepassen. Opvallend is dat voor een ruime meerderheid van de onderzochte ziekenhuizen de noodzakelijke transparantie op het gebied van de verantwoording van de risicobeheersing nog niet voldoende is, of nog in ontwikkeling is.
Jaarverslagenonderzoek |
49
Tabel 19. Mate van IRM-volwassenheid van de onderzochte ziekenhuizen Constatering en
Kleur-
IRM-
Relatie met vol-
Onderzochte
Beoordeling
code
Score
wassenheidsfase
ziekenhuizen
IRM 2010
voldoende, aanwezig, volledig, transparant in ontwikkeling, deels aanwezig, niet volledig, onduidelijk, voor verbetering vatbaar onvoldoende, niet aanwezig, niet transparant
2011
Volwassenheidsfase 4 en 5
15%
18%
3
28%
27%
2
Volwassenheidsfase 2 en 3
Volwassenheidsfase 1
57%
55%
1
Vertaald naar het eerder benoemde IRM-volwassenheidsmodel kunnen we concluderen dat dat de volwassenheid van IRM, op basis van de onderzochte jaarverslagen, zich hoofdzakelijk in de fasen 1 t/m 3 bevindt. Daarnaast kan geconcludeerd worden dat, naarmate de ziekenhuizen explicieter inzicht geven in de IRM-activiteiten aan de hand van het jaarverslag, ook meer inzicht ontstaat in de IRM-volwassenheidsfase. Het onderzoek maakt tot slot duidelijk dat er nog veel in ontwikkeling is, zowel met betrekking tot de IRM-activiteiten als met de weergave daarvan in het jaarverslag. Algemene aanbeveling
Vanuit de visie op integrale bedrijfsvoering biedt IRM een kans voor de zorgsector. Door afstemming te zoeken tussen het interne IRM-beleid, de uitvoering daarvan en de externe toetsing door toezichthouders en zorgautoriteiten, ontstaat een gedeeld normenkader voor IRM. Dit gezamenlijk normenkader zal leiden tot efficiëntere toetsing, een ‘level playing field’ voor alle marktpartijen en transparantie voor alle stakeholders. Ziekenhuizen zouden voor zichzelf een ambitieniveau voor IRM moeten vaststellen en dat expliciet maken in IRM-beleid. Met hun stakeholders moet worden vastgesteld welke behoefte er is aan transparantie over risicomanagement, en hoe het ziekenhuis zich daarmee kan onderscheiden. Daarbij is het van belang om vast te stellen welke samenhang met de strategische doelstellingen verwacht wordt, passend bij de huidige integrale bedrijfsvoering en cultuur. Ook is het van belang om samenhang aan te brengen in de toepassing van IRM in het ziekenhuis tussen afdelingen, specialismen, processen en risicogebieden. Dit houdt in dat risico’s niet vanuit de traditionele silo’s worden beschouwd, maar organisatiebreed. IRM is een randvoorwaarde voor een transparante communicatie en het afleggen van verantwoording over de risicobeheersing door ziekenhuizen. Voorwaarde is evenwel om een groei te bewerkstelligen naar een hogere IRM-volwassenheidsfase. De voornaamste aanbeveling is om te streven naar hogere IRM-volwassenheidsfasen. Er moet een visie
50
| Jaarverslagenonderzoek
orden ontwikkeld op IRM, die moet worden omgezet in IRM-beleid dat ook daadwerkelijk w geïmplementeerd moet worden. Het toepassen van IRM op minimaal niveau 4 zal leiden tot: • meer transparantie in verantwoording tegenover maatschappij, financiers en toezichthouders; • meetbaarheid van de risicobeheersing, hetgeen meer efficiënt en kostenbewust kiezen voor beheersmaatregelen mogelijk maakt; • zelf meer in control komen, een verbeterd inzicht in de eigen organisatie, het beter kunnen anticiperen op veranderingen en problemen en het benutten van kansen; • een IRM dat past bij de volwassenheid en cultuur van de organisatie. Een meerjarig groeimodel zal de meest effectieve aanpak zijn om de diverse fases van IRMvolwassenheid te doorlopen. Het in beeld brengen van de huidige IRM-volwassenheid, waarbij optimaal gebruik wordt gemaakt van wat er al aanwezig is, vormt een goede start. Elk ziekenhuis kan in het groeimodel kiezen op welke wijze IRM ontwikkeld kan worden. Daarbij is zowel een top-down- als een bottom-upbenadering mogelijk. Een top-downbenadering wordt geïnitieerd door de Raad van Bestuur en de medische staf, op basis van een gemeenschappelijk en strategisch draagvlak. Een bottom-upbenadering maakt daarentegen gebruik van datgene wat er al ligt (meestal op het vlak van patiëntveiligheid) als basis voor een verdere doorontwikkeling. Het verrijken van de Zorgbrede Governance Code met IRM-standaarden of een normenkader is een optie om de weergave en transparantie van IRM in de jaarverslagen te bevorderen en tevens IRM verder te ontwikkelen in de ziekenhuisorganisaties. Er kan dan gedacht worden aan methodiek, systematiek, organisatie en governance en mogelijke relevante risicogebieden. In de volgende paragrafen hebben we de aanbevelingen op basis van de subonderzoeks vragen en onderzoekscriteria beschreven. We hebben dat gedaan door steeds per sub onderzoeksvraag en per criterium de conclusie te herhalen, gevolgd door de bijbehorende aanbeveling. Definieer voor de zorgsector een gezamenlijk en gespecificeerd IRM-normenkader, dat als leidraad kan dienen voor de sector. Het normenkader omvat minimaal de volgende onderdelen: - Standaarden voor IRM-methodiek en -systematiek - Standaarden voor IRM-organisatie en governance - Standaarden voor alle relevante risicogebieden - Standaarden voor specifieke IRM-gerelateerde competenties van bestuurders en toezichthouders - Standaarden voor verantwoording in publieke uitingen met betrekking tot IRM
Jaarverslagenonderzoek |
51
4.1.2. Aanbevelingen op basis van de conclusies bij de subonderzoeksvragen
1. Is er een hoofdstuk risicomanagement aanwezig in het jaarverslag? Conclusie op basis van de bevindingen:
Het ontbreken van het hoofdstuk risicomanagement leidt ertoe dat de overige subonderzoeksvragen soms moeilijker te scoren zijn, voor zover aanwezig, versnipperd aanwezig is in heel het jaarverslag. Toch blijkt uit een vergelijking van de jaren 2010 en 2011 een zichtbare vooruitgang van 5%, hoewel nog steeds in iets minder dan de helft van de gevallen in 2011 het hoofdstuk risicomanagement geheel ontbreekt. Aanbeveling De Zorgbrede Governance Code hecht er veel belang aan dat de ziekenhuizen hun risico beheerssysteem op orde hebben. Om hieraan tegemoet te komen zullen ziekenhuizen het hoofdstuk risicomanagement specifieker en concreter moeten maken. Ze zullen moeten aangeven wat het proces van risicomanagement inhoudt en hoe ze het vormgeven als onderdeel van de bedrijfsvoering. Hiermee wordt ook de transparantie vergroot. De beste motivatie om aan risicomanagement te doen is een intrinsieke. Het implementeren van risicomanagement zou niet alleen moeten plaatsvinden vanwege externe druk.
2. Is de risicobereidheid benoemd? Conclusie op basis van de bevindingen:
Gesteld kan worden dat het vertrekpunt voor IRM, de risicobereidheid, in meer dan 80% van de ziekenhuizen van dit onderzoek ontbreekt of niet formeel is beschreven en bevestigd door de Raad van Bestuur en de Raad van Toezicht. Daarmee ontbreekt de doorvertaling van de risicobereidheid in risicolimieten voor de operationele afdelingen of resultaatverantwoordelijke eenheden. Ook is de meetbaarheid van de mate van risicobeheersing moeilijker aantoonbaar te maken. Er valt over de hele linie een verslechtering waar te nemen van 6% in 2011 ten opzichte van 2010. De scores op oranje zijn met name verschoven richting rode scores. Daarmee is er sprake van een algehele verslechtering op het onderdeel risicobereidheid. Aanbeveling Risicomanagement begint met de bepaling van de risicobereidheid. Koppel de risicobereidheid direct aan de strategische doelstellingen van de organisatie. Formuleer de risico bereidheid in zowel kwalitatieve als kwantitatieve uitspraken. Daarbij verdient het sterke aanbeveling deze uitspraken expliciet vast te leggen, met instemming van de Raad van Bestuur en de Raad van Toezicht. Vervolgens zal deze risicobereidheid organisatiebreed moeten worden doorvertaald naar het zorgproces en de operationele bedrijfsvoering.
52
| Jaarverslagenonderzoek
3. Is risicomanagement in relatie gebracht met de strategische doelstellingen? Conclusie op basis van de bevindingen
De relatie tussen een integrale aanpak van de risicobeheersing en de strategische doelstellingen is onvoldoende om van IRM te spreken. Dit geldt voor beide jaren. Indien risicomanagement niet over de gehele breedte van de organisatie wordt toegepast, zal de integraliteit van de risicobeheersing minimaal zijn. Dit heeft als consequentie dat de onderdelen kwaliteit en (patiënt)veiligheid (door de ziekenhuizen vaak in relatie gebracht met risicomanagement) eigenlijk een minimaal raakvlak hebben met het integrale risicomanagementproces. Hiermee wordt het silodenken ten aanzien van risicobeheersing van de onderzochte ziekenhuizen bevestigd. Aanbeveling Door het expliciet definiëren van de functie van risicomanagement in de organisatie, wordt voor het ziekenhuis duidelijk welke behoefte eraan bestaat voor de bedrijfsvoering. Daarbij moeten alle risicogebieden met betrekking tot de strategie, het zorgproces, de operationele bedrijfsvoering en wet- en regelgeving worden gehanteerd en in hun samenhang worden beschouwd. Om die samenhang te borgen moet de risicobereidheid worden bepaald en specifiek gemaakt in relatie tot de strategische doelstellingen.
4. Wordt risicomanagementbeleid geformuleerd? Conclusie op basis van de bevindingen
Risicomanagementbeleid is randvoorwaardelijk voor een goede implementatie van IRM. Dit beleid zou minimaal elementen moeten bevatten als systematiek, structuur en het meetbaar maken van de effecten van de risicobeheersing. Hoewel een duidelijke sprong voorwaarts is gemaakt, is het merendeel (oranje + rood = 66% in 2011) van de ziekenhuizen hierover niet of niet voldoende transparant. Daarbij wordt er geen of een minimale toelichting gegeven over hoe het beleid concreet is vertaald naar de operationele eenheden. Aanbeveling Een uitgeschreven risicomanagementbeleid is een voorwaarde om IRM daadwerkelijk in de organisatie te kunnen doorvoeren. Dit beleid zal expliciet tot uitdrukking moeten b rengen wat de toegevoegde waarde is van IRM voor: 1. De koppeling tussen strategie, zorgproces en operationele bedrijfsvoering; 2. het in samenhang brengen van de performance met de risico’s op alle organisatielagen; 3. het doorbreken van het welhaast traditionele silodenken; 4. het in onderlinge samenhang beschouwen van de risico’s; 5. het uit hoofde van IRM een juiste allocatie vaststellen van taken, verantwoordelijk heden en bevoegdheden.
Jaarverslagenonderzoek |
53
5. Is er een governancestructuur aanwezig voor risicomanagement? Conclusie op basis van de bevindingen
De Zorgbrede Governance Code blijft een punt van aandacht. Ondanks een verbetering van de score met 4% in 2011 ten opzichte van 2010, ontbreekt het aan voldoende transparantie over de wijze waarop de Zorgbrede Governance Code wordt toegepast. Vooral het bestuurlijke aspect uit de Zorgbrede Governance Code krijgt de aandacht van de Raden van Bestuur. De focus op inbedding van een governancestructuur voor risicomanagement in de ziekenhuizen is daarentegen onvoldoende. Aanbeveling De Zorgbrede Governance Code schrijft niet expliciet voor hoe het proces van IRM moet worden ingericht. Het is echter wel noodzakelijk om hieraan vorm te geven. Ziekenhuizen moeten vaststellen en vastleggen hoe de taken, verantwoordelijkheden en bevoegdheden in de eigen organisatie worden ingezet. Het strekt tot aanbeveling om dit op te nemen in het risicomanagementbeleid.
6. Is Compliance een onderdeel van het risicomanagementproces? Conclusie op basis van de bevindingen
Met 86% voor 2011 wordt compliance door de ziekenhuizen niet of in onvoldoende mate beschreven als onderdeel van het proces van risicomanagement. Compliance is echter een essentieel onderdeel van IRM. Daarnaast is de compliancefunctie veelal niet ingericht. Ziekenhuizen hebben veel te winnen als zij compliancerisico’s op een efficiënte manier beheersen, en zo doublures in activiteiten en maatregelen voorkomen. Aanbeveling Zet compliance op de agenda in relatie tot risicobeheersing. Definieer compliance als risicogebied, in samenhang met alle andere risicogebieden met betrekking tot de strategie, het zorgproces en de operationele bedrijfsvoering. Benoem voor dit onderdeel specifiek de rollen en verantwoordelijkheden van betrokkenen in de organisatie en draag zorg voor eigenaarschap.
7. Is operational Audit een onderdeel van, of maakt gebruik van, het risicomanagementproces? Conclusie op basis van de bevindingen
Weliswaar worden bij de meeste ziekenhuizen kwaliteitsaudits uitgevoerd in het kader van de NIAZ-accreditatie, maar die worden voor het grootste deel niet gezien als een onlosmakelijk onderdeel van het integraal risicomanagementproces. Een duidelijke positionering van de rol en functie van audit, als onderdeel van de Three Lines of Defense, is absoluut noodzakelijk om te komen tot een volwaardig IRM. Een volwassen audit kijkt ook naar de operationele bedrijfsvoering, de financiën en IT.
54
| Jaarverslagenonderzoek
Aanbeveling Maak duidelijk welke rol audit speelt in het IRM-proces, en maak de auditafdeling verantwoordelijk voor het monitoren van de voortgang. Maak duidelijk wat de rol is van de eerste, tweede en derde lijn in de risicobeheersing van het ziekenhuis.
8. Wordt een in-controlverklaring afgegeven? Conclusie op basis van de bevindingen
Buiten een accountantsverklaring die standaard is opgenomen in alle jaarverslagen, geven ziekenhuizen in hun jaarverslagen van 2010 en 2011 zelden of nooit een eigen in-controlverklaring af in het kader van het risicomanagementbeleid. In samenhang met het vrijwel overal ontbreken van een expliciet gemaakte risicobereidheid geeft dit aan dat het expliciet maken van het gevoerde risicobeleid nog geen deel uitmaakt van de communicatie met externe stakeholders. Gezien alle overige scores en de ontwikkeling die de ziekenhuizen doormaken of nog moeten doormaken op weg naar volwassenheid van IRM is een in-controluitspraak mogelijk een brug te ver voor veel Raden van Bestuur en Raden van Toezicht. Indien wel tot een in- controluitspraak gekomen kan worden op basis van een gedegen risicomanagementbeleid en een goed geïmplementeerd risicomanagementproces, maakt het de communicatie met externe stakeholders, waaronder de accountant, makkelijker vanuit een sterkere positie. Aanbeveling Definieer risicomanagement als een continu proces voor het ziekenhuis. Begin met vast te leggen dat de risicobereidheid een onderdeel is van het risicomanagementbeleid. Integreer die uitgangspunten in de planning- & controlcyclus en laat het management daarover verantwoording afleggen, op een manier die past bij de governance, de organisatiecultuur en de behoefte van de stakeholders. In het kader van transparantie en de verantwoording over het gevoerde risicobeleid is een heldere communicatie over de mate van risicobeheersing gewenst.
9. Is risicomanagement een onderdeel van de planning- & controlcyclus? Conclusie op basis van de bevindingen
Een planning- & controlcyclus is bij alle ziekenhuizen gemeengoed. Ondanks een lichte verbetering in 2011 ten opzichte van 2010 met 6%, vindt sturing voor ongeveer 73% (rood en oranje) in 2011 kennelijk nog steeds op een traditionele wijze plaats. Deze wijze is reactief van aard op basis van de cijfers en productiedoelstellingen, en niet proactief (vooraf) op basis van risk assessments, waarbij de planning- & controlcyclus vooral sterk gericht is op de financiële component en in mindere mate op de werking, effecten en kosten van de beheersmaatregelen om de geïdentificeerde risico’s beheersbaar te maken. Aanbeveling Benoem en definieer eerst de risicobereidheid en de risicolimieten, en leg vervolgens de
Jaarverslagenonderzoek |
55
relatie met de planning- & controlcyclus. Maak het proces pro-actief door de RVE’s met regelmaat en structureel riskassessments te laten uitvoeren op de jaarplannen en de daarin gestelde doelen.
10. Blijkt uit de jaarcijfers een specifieke risicoreservering? Conclusie op basis van de bevindingen
In 2011 is in 100% geen sprake van een specifieke risicoreservering. Dit komt de transparantie en verantwoording niet ten goede en maakt onduidelijk hoe er integraal met de risico’s wordt omgegaan in het kader van het financieel beleid. Aanbeveling Bepaal de behoefte aan kwantitatieve risicoinformatie van het management en de verschillende stakeholders. Stel de methode vast op basis waarvan risico’s kwantitatief worden gemaakt. Leg structureel de overwegingen vast voor de keuzes met betrekking tot de omvang van risicoreserves. Deze moeten in samenhang zijn met de risicobereidheid. 4.2. Aanbevelingen op basis van de beoordelingscriteria
De aanbevelingen, op basis van de conclusies naar aanleiding van de scores op de beoordelingscriteria, luiden als volgt: Beoordelingscriterium Breedte Conclusie op basis van de bevindingen
IRM speelt zich in ziekenhuizen hoofdzakelijk af op bestuurlijk niveau. De doorvertaling naar de andere organisatielagen in de volle breedte is matig tot onvoldoende. Dit is gebleken uit 79% van de onderzochte jaarverslagen in 2010, en uit 74% van de jaarverslagen in 2011. Hiermee is er een verbetering opgetreden van 6%. Desondanks blijkt uit de jaar verslagen dat een expliciet gemaakte verantwoordelijke voor IRM, zoals een riskmanager, een compliance officer of een auditor, in de meeste gevallen ontbreekt. Deze score maakt inzichtelijk dat de ziekenhuizen hun risico’s traditioneel benaderen vanuit een siloaanpak, of zelfs helemaal niet proberen om hun risico’s in samenhang te beschouwen. Aanbevelingen • Definieer organisatiebreed IRM-beleid. • Breng risico’s in kaart voor alle organisatieonderdelen in relatie tot de organisatiedoelstelling. • Beoordeel risico’s en maatregelen in onderlinge samenhang. • Vertaal risicodoelstellingen zowel naar strategische als operationele activiteiten. • Wijs ‘risicomanagement -champions’ aan zowel op managementniveau als operationeel niveau. • Pas risicobereidheid toe vanuit organisatiedoelstellingen, als uitgangspunt voor resultaatverantwoordelijke eenheden.
56
| Jaarverslagenonderzoek
Beoordelingscriterium Systematisch Conclusie op basis van de bevindingen
Er zijn slechts geringe verschuivingen waarneembaar over de jaren 2010 en 2011. De afname van de oranje score met 2% en de afname van de rode score met eveneens 2% zijn daarvan de meest opvallende. De risicomanagementmodellen geven richting aan het invoeren van IRM in de organisatie. Dat de risicomanagementmodellen en IT- tooling ontbreken of slechts op onderdelen aanwezig zijn, duidt erop dat IRM in de ziekenhuizen zich nog op een laag volwassenheidsniveau bevindt. Voor zover sprake is van tooling wordt die weliswaar vaak ingezet voor thema’s op het gebied van kwaliteit en patiëntveiligheid, maar niet systematisch in de volle breedte van de organisatie. Ook vanuit het beoordelingscriterium Systematisch kan worden geconcludeerd dat ziekenhuizen hun risico’s traditioneel benaderen vanuit een siloaanpak, en niet in hun onderlinge samenhang beschouwen. Aanbevelingen • Maak gebruik van bestaande ERM-modellen voor zowel het risicomanagementproces als de inhoudelijke samenhang. • Koppel de gebruikte modellen aan de planning- & controlsystematiek. • Hanteer bewezen risicoassessmentmethodieken voor risicoinventarisatie. • Breng de risicomanagementactiviteiten in lijn met gerelateerde functies: toezicht, compliance, auditing, finance, planning & control en lijnmanagement. Beoordelingscriterium Structureel Conclusie op basis van de bevindingen
Aan de hand van de bevindingen kan geconcludeerd worden dat tenminste op onderdelen structureel wordt gerapporteerd over risicomanagement. Het zwaartepunt ligt echter bij de financiële kant van de organisatie en bij de kwaliteit/patiëntveiligheid. Slechts in o ngeveer de helft van de gevallen bestaat er een duidelijk relatie met de planning- & controlcyclus. Hier valt dus nog winst te behalen. Bij de beoordelingscriteria Breedte en Systematisch is al geconcludeerd dat ziekenhuizen hun risico’s traditioneel benaderen vanuit een siloaanpak, zonder ze niet in hun onderlinge samenhang te beschouwen. Dat laatste is echter noodzakelijk om IRM te borgen in de organisatie. Aanbevelingen • Laat de organisatie, als geheel en per onderdeel, periodiek verantwoording afleggen over het gevoerde risicomanagementbeleid. • Verrijk het informatieprotocol met uitgangspunten over risicobereidheid, risicobeleid en risicoprofiel per resultaatverantwoordelijke eenheid. • Borg IRM in de lijnorganisatie (zorgproces en operationele bedrijfsvoering) als de ‘first line of defense’. • Laat IRM-rapportagelijnen en de frequentie van rapportages gelijk lopen met de planning- & controlcyclus.
Jaarverslagenonderzoek |
57
Beoordelingscriterium Meet- en toetsbaar Conclusie op basis van de bevindingen
Op het beoordelingscriterium Meet- en toetsbaar is voor de ziekenhuizen nog veel winst te behalen. Ruim de helft van de onderzochte jaarverslagen scoort op dit criterium een onvoldoende. Dit duidt erop dat er geen sprake is van een expliciet geformuleerd normenkader. Dit kader is noodzakelijk om de metingen (input en resultaten) van het IRM-proces op een zinvolle wijze te toetsen en tegemoet te komen aan de eisen van de stakeholders (zoals toezichthouders en kapitaalverstrekkers). Druk van de stakeholders dwingt ziekenhuizen meer en meer om het IRM-proces in hun organisatie naar behoren vorm te geven. Aanbevelingen • Maak risicomanagementuitgangspunten expliciet en meetbaar door gebruik van risicobereidheid voor kapitaalmanagement, product/marktoverwegingen, cultuur, HR en imago/reputatie. • Maak de kostenefficiëntie van beheersmaatregelen expliciet in relatie tot de risico’s. • Baseer risicoreserves op onderbouwde risico- en rendementsafwegingen. • Optimaliseer de weergave van IRM in het jaarverslag ten behoeve van transparantie voor alle stakeholders.
58
| Jaarverslagenonderzoek
5. Over VvAA en ConQuaestor VvAA
VvAA is een ledenorganisatie en dienstverlener die opereert in het hart van de gezondheidszorg, in dienst van meer dan 110.000 professionals: medici, paramedici, studenten en zorginstellingen. VvAA biedt hen verzekeringen, financiële diensten, integraal risicomanagement, juridisch advies, praktijkadvies, belastingadvies, praktijkfinanciering, vestigingsbegeleiding, opleidingen, een eigen reisbureau en ‘Arts en Auto’, het maandelijkse magazine. VvAA is gevestigd in Utrecht en heeft regiokantoren door het hele land. VvAA Risicomanagement voor de Gezondheidszorg B.V. is een 100% dochter van de VvAA Groep en richt zich volledig op het adviseren en implementeren van integraal risicomanagement bij Nederlandse zorginstellingen & -ondernemingen en medische professionals. ConQuaestor
ConQuaestor is een onafhankelijke adviesorganisatie voor de CFO. Meer dan 400 consultants en interim-managers lossen problemen op die op de agenda van financieel managers en financieel bestuurders staan. Die oplossingen bestaan uit inzicht in cijfers, control over processen, optimale bedrijfsvoering, advies over beslissingen en een heldere visie op de toekomst. ConQuaestor is een zelfstandig en onafhankelijk adviseur voor de publieke en de private sector. Wij verbeteren organisaties door exclusief de CFO-thema’s te ondersteunen. Wij werken al sinds 2004 onafhankelijk van andere accountantsdiensten, en zijn ook onafhankelijk van andere aanbieders van oplossingen. Wij zijn een zelfstandige onderneming met partners die een achtergrond hebben in het finance- en riskvak. En omdat we zelf sinds 2004 ondernemer zijn weten wij als geen ander wat bouwen, groeien en beheersen echt betekent. ConQuaestor is lid van Grant Thornton International Ltd. Contactgegevens
Voor vragen over dit onderzoek kunt u contact opnemen met: VvAA, Lilian Knol, +31 6 51608066,
[email protected] ConQuaestor, Thomas A. Ros, +31 6 13360734,
[email protected] www.vvaa.nl/risicomanagement www.conquaestor.nl
Jaarverslagenonderzoek |
59
Begrippen- en afkortingenlijst Lijst van veel gebruikte afkortingen:
ERM Enterprise Risk Management IRM Integraal Risicomanagement RM Risicomanagement
Lijst van belangrijkste begrippen
Compliance
Met compliance wordt aangeduid dat een persoon of organisatie werkt in overeenstemming met de geldende wet- en regelgeving. Het gaat over het nakomen van normen of het zich er naar schikken.
IGZ
De Inspectie voor de Gezondheidszorg (IGZ) bevordert de volksgezondheid door effectieve handhaving van de kwaliteit van zorg, preventie en medische producten. De inspectie adviseert de bewindspersonen en maakt ten opzichte van de zorgaanbieders gebruik van advies, stimulans, drang en dwang als bijdrage aan verantwoorde zorg. De inspectie onderzoekt en oordeelt onpartijdig, deskundig, zorgvuldig en onafhankelijk van politieke kleur of heersend zorgstelsel.
Input/ throughput
NIAZ
60
Input staat voor deskundigheid van medisch specialisten en andere zorgverleners. Throughput staat voor het concrete oplossen van het patiëntprobleem door medisch specialisten en zorgverleners. Het Nederlands Instituut voor Accreditatie in de Zorg (NIAZ) levert een bijdrage aan de borging en verbetering van de kwaliteit van de gezondheidszorg. Dat doet het door het ontwikkelen van kwaliteits normen en het toepassen daarvan in de toetsing van zorginstellingen en zorgprocessen. Dit resulteert in een oordeel (judicium) waaraan derden - zorgconsumenten, zorgverzekeraars, samenwerkingspartners, overheden en samenleving - het vertrouwen kunnen ontlenen dat de zorg reproduceerbaar op een adequate en veilige manier wordt voort gebracht.
| Jaarverslagenonderzoek
NVZ
De Nederlandse Vereniging van Ziekenhuizen (NVZ) is een vereniging die de collectieve belangen behartigt van de Nederlandse ziekenhuizen en andere organisaties die medisch-specialistische zorg aanbieden. De NVZ doet dat onder meer via beleidsontwikkeling, lobby en overleg met andere partijen in het veld. Daarnaast ondersteunt de vereniging individuele leden door informatieverstrekking over onderwerpen die betrekking hebben op de medische zorg. Ook kunnen leden individuele vraagstukken voor advies voorleggen aan de NVZ. Verder wordt minimaal twee keer per jaar een algemene ledenvergadering gehouden en organiseert de NVZ voor haar leden discussiebijeenkomsten.
Onderzoeksraad Voor Veiligheid De Onderzoeksraad Voor Veiligheid (OVV) is een zelfstandig bestuursorgaan in Nederland dat na rampen, grote ongevallen of andersoortige incidenten onderzoek kan doen naar de oorzaken en gevolgen van het betreffende incident. De OVV heeft zorg over het niveau van veiligheid in de bouw, de gezondheidszorg en de chemische industrie. Risicobereidheid Risicobereidheid is de mate waarin een organisatie bereid is om, bij het behalen van de (strategische) doelstellingen, risico’s te nemen. Risicoreservering Risicoreservering betreft de reservering binnen het eigen vermogen van de ondernemingsbalans, als buffer om schade als gevolg van mogelijk optredende risico’s, die vooraf zijn geïdentificeerd en in geld kwantitatief zijn gemaakt, op te kunnen vangen. Three lines of defense
Tone at the top
Met three line of defense wordt beoogd om een vangnet te creëren voor de organisatie rondom het proces van risicomanagement. Bij de ‘first line of defense’ gaat het om de borging van risicomanagement in de lijn (zorgproces en operationele bedrijfsvoering). De ‘second line of defense’ gaat over de afdeling Risicomanagement & Compliance, die een ‘management service functie’ vervult voor de ‘first line of defense’. De ‘third line of defense’ betreft een professionele Audit- afdeling dat gezien wordt als ‘management oversight’. Deze afdeling controleert en houdt toezicht op de processen binnen de ‘first’ en ‘second line of defense’. ‘Tone at the top’ staat voor de beïnvloeding van het gedrag van medewerkers door het topmanagement teneinde de strategische doelstellingen van de onderneming te behalen.
Jaarverslagenonderzoek |
61
Waarborgfonds Zorgsector
Zorgwetten
Zoals meer sectoren heeft ook de Zorgsector een Waarborgfonds, opgericht in 1999, voor het geval dat bijvoorbeeld ziekenhuizen failliet gaan. Dit Waarborgfonds Wfz en de WfZ-gegarandeerde leningen hebben de triple A status. Het Waarborgfonds voor de zorgsector, WfZ, verstrekt garanties voor leningen aan zorginstellingen, waardoor de instellingen goedkoper kunnen lenen. Het WfZ garandeert de geldverschaffers de betaling van rente en aflossingen. Het financiële voordeel van deze garanties mogen de zorginstellingen zelf houden. Momenteel staan € 7 miljard aan leningen uit in de zorgsector die door het WfZ worden gegarandeerd. Het fonds heeft een eigen financiële buffer van € 211 miljoen. Het Nederlandse zorgverzekeringstelsel bestaat uit twee zorgwetten. Deze zorgwetten zijn doorvertaald in de volgende zogenoemde volks- verzekeringen: - Algemene Wet Bijzondere Ziektekosten (AWBZ) - Zorgverzekeringswet (Zvw)
De indeling wordt soms samengevat als respectievelijk care en cure. De Zorgverzekeringswet bepaalt dat elke Nederlands ingezetene verplicht verzekerd is op de basisverzekering, welke kosten de basisdekking vergoedt en waaraan de verzekeraars moeten voldoen. In een aparte wet, de Wet op de zorgtoeslag, wordt geregeld dat de overheid bijdraagt in de premies voor ingezetenen met een laag inkomen.
62
| Jaarverslagenonderzoek
ONDERZOEKSRAPPORT INTEGRAAL RISICOMANAGEMENT BINNEN 40 NEDERLANDSE ZIEKENHUIZEN
Jaarverslagenonderzoek |
63
64
| Jaarverslagenonderzoek