Risicomanagement:
NOG TE WEINIG INTEGRAAL RISICOMANAGEMENT IN DE GEZONDHEIDSZORG
De Nederlandse gezondheidszorg kenmerkt zich door ruime aandacht voor risicomanagement. De toepassing van integraal risicomanagement is daarentegen nog altijd beperkt. Een opmerkelijke constatering voor wie zich bedenkt dat deze sector opereert in een complexe, snel veranderende omgeving waarbij instellingen voortdurend worden blootgesteld aan nieuwe risico's. De invoering van marktwerking, veranderende financieringssystemen, technologische en medische ontwikkelingen en de verdergaande individualisering zijn enkele voorbeelden hiervan. Door middel van een enquête bij 40 ziekenhuizen is gezocht naar een verklaring voor de beperkte toepassing van integraal risicomanagement.
36
MCA: juni 2008, nummer 4
Brent Wong: beeld
de definities te vinden. De omschrijving van Enterprise Risk Management, oftewel ERM (COSO 2004), wordt wereldwijd het meest frequent aangehouden en hebben wij om die reden eveneens voor ons onderzoek gehanteerd. Deze definitie luidt als volgt: 'A process, effected by an entity's board of directors, management and other personnel, applied in strategy setting and across the enterprise, designed to identify potential events that may affect the entity, and manage risk to be within its risk appetite, to provide reasonable assurance regarding the achievement of entity objectives.’ Op basis van het voorgaande kan integraal risicomanagement worden gezien als een proces dat bestaat uit vier stappen: 1. definiëren van de te beheersen organisatiedoelstellingen; 2. bepalen van de risico's; 3. (desgewenst) nemen van risicomitigerende maatregelen (risicorespons); 4. Bewaking en bijsturing. We kunnen hieruit concluderen dat ERM zich toelegt op een 'topdown' risicobenadering, die uitgaat van de strategische doelen van de organisatie. Een integraal risicomanagementsysteem kan derhalve, in navolging van Emanuels (2005), worden gedefinieerd als: 'een systeem dat het management in staat stelt om de relevante risico's die het behalen van de doelstellingen van de organisatie bedreigen, te kunnen identificeren, prioriteren, analyseren en beheersen'.
Henk Snapper en Dirk Swagerman: In de Zorgbrede Governance Code (2005) staat geschreven dat de Raad van Bestuur verantwoordelijk is voor het beheersen van de risico's verbonden aan de activiteiten en financiering van de zorgorganisatie. De toelichting stelt dat hiermee niet alleen de financiële risico's worden bedoeld, maar ook risico's in verband met kwaliteit, veiligheid enzovoort. De code benadrukt hiermee het belang van een integrale benadering van risicomanagement. Daarmee komt de vraag op welke oorzaken ten grondslag liggen aan de toepassing van integraal risicomanagement binnen de Nederlandse gezondheidszorginstellingen.
Succesfactoren Bij veertig ziekenhuizen hebben wij door middel van enquêtes onderzocht of de mate van toepassing van integraal risicomanagement kan worden verklaard op basis van de volgende factoren, te weten: ~ strategie; ~ externe omgeving; ~ (bedrijfs)cultuur; ~ organisatiestructuur; ~ competenties van functionarissen1.
Noot
Integraal risicomanagement Om deze vraag te kunnen beantwoorden, moet eerst het begrip integraal risicomanagement worden gedefinieerd. In de literatuur zijn verschillen-
1 Dit artikel is ontleend aan het afstudeeronderzoek van de Controllersopleiding aan de RuG van H.A. Snapper welke de VRC scriptieprijs 2007 heeft gewonnen, op te vragen via
[email protected].
MCA: juni 2008, nummer 4
37
5% 23%
72%
De keuze voor deze factoren is ons ingegeven omdat die zoveel mogelijk overeenkomen bij COSO genoemde aspecten. Op basis van de enquêteresultaten kan worden geconcludeerd dat bij vrijwel alle ziekenhuizen risicomanagement wordt toegepast, zij het slechts op bepaalde facetten van de bedrijfsvoering (zie figuur 1). Hierbij valt bijvoorbeeld te denken aan veiligheid, kwaliteit en betrouwbaarheid financiële verslaggeving. Slechts enkele instellingen passen integraal risicomanagement toe. Als we kijken naar deze instellingen, beschikken zij alle over de volgende eigenschappen. ~ 'Het verbeteren van het exploitatieresultaat en het weerstandsvermogen' is vrijwel altijd een strategisch doel. De strategische doelen zijn bij de meeste medewerkers bekend. ~ Marktwerking wordt als (zeer) belangrijk ervaren. Er bestaat tevens een verband tussen toepassing van risicomanagement (integraal of beperkt tot enkele bedrijfsvoeringsfacetten) en wettelijke regelingen. ~ Tweederde van deze instellingen maakt een afweging tussen risico en 'rendement'. Een cultuur waar openheid en het leren van fouten centraal staan, is eveneens bevorderlijk. ~ De aanwezigheid van een betrokken Raad van Bestuur en directie die de randvoorwaarden creëren en bewaken, duidelijke doelstellingen formuleren, een 'open leercultuur' nastreven en een afweging van risico en rendement ondersteunen. Wat verder uit het praktijkonderzoek naar voren komt, is dat een geformaliseerd risicomanagement bij een groot deel van de instellingen ontbreekt. Een kwart van de instellingen heeft de taken en verantwoordelijkheden inzake risicomanagement niet vastgelegd. De risicomanagementfunctie wordt bij 40 procent van de instellingen niet belegd. Hoewel de gebruikte beheersingsmaatregelen en -systemen grotendeels vergelijkbaar zijn, maken ziekenhuizen meer dan andere sectoren gebruik van kwaliteitsmanagement, zoals het INK-model. Beheersingsmaatregelen als klokkenluiderregelingen, risicoanalyses, performance management en bedrijfscontinuïteitsplanning worden daarentegen juist minder gebruikt. Deze resultaten komen overeen met de uitkomsten van het onderzoek naar de praktijk van risicomanagement in Nederland (PricewaterhouseCoopers, 2006).
38
MCA: juni 2008, nummer 4
Toepassing op meerdere bedrijfsvoeringsfacetten Geen of beperkte toepassing Integraal risicomanagement
Figuur 1. Toepassing risicomanagement
Hoewel dit onderzoek zich enkel richt op ziekenhuizen, valt te verwachten dat de genoemde eigenschappen ook gelden voor qua omvang en complexiteit vergelijkbare zorginstellingen.
Actuele ontwikkelingen Het onderzoek waarop wij ons in dit artikel baseren, is uitgevoerd in de periode van december 2006 tot en met februari 2007. Risicomanagement en de ontwikkeling van de onderzochte organisaties op dit gebied, staat echter niet stil. Relevante actuele ontwikkelingen die wij hieronder verder zullen toelichten, zijn: corporate governance en jaarverslaggeving, een gewijzigde financiering van de gezondheidszorg en de veranderende rol van toezichthouders en controllers. Corporate governance en jaarverslaggeving Vanaf het verslagjaar 2007 heeft de gezondheidssector te maken met de verplichte Jaarverantwoording Zorginstellingen 2007. Deze wet impliceert dat alle verslagen – zoals het financiële jaarverslag, het kwaliteitsverslag en het sociaal verslag – worden geïntegreerd in één zogenaamd maatschappelijk verslag. Een onderdeel van deze verantwoording is het jaarverslag. De vereisten van BW 2 titel 9 en Regeling verslaglegging WTZi maken duidelijk dat de Raad van Bestuur hierin een uiteenzetting moet geven van risico's en risicobeheersing. Dit is geheel in lijn met hetgeen in de Zorgbrede Governance Code staat vermeld.
VOORSCHRIFTEN REGELING VERSLAGLEGGING WTZI In het jaarverslag geeft de Raad van Bestuur een uiteenzetting omtrent de werking van het in de zorginstelling gebruikte interne risicobeheersings- en controlesysteem in het verslagjaar. De Raad van Bestuur geeft daarbij tevens aan welke eventuele significante wijzigingen zijn aangebracht dan wel zijn gepland en dat deze met de Raad van Toezicht zijn gecommuniceerd. Een effectief middel om informatie over de interne organisatie te verstrekken kan de zogenaamde bedrijfsvoeringverklaring zijn. Daarmee verklaart het bestuur van de zorginstelling dat de bedrijfsvoering op te benoemen onderdelen aan bepaalde, met specifieke belanghebbenden afgesproken, eisen heeft voldaan. (...) Het jaarverslag geeft tevens een beschrijving van de voornaamste
Hoewel de genoemde handreiking een 'in control statement' niet verplicht, zou een dergelijke verklaring ons inziens goed passen bij deze verslaggeving, omdat sprake is van een geïntegreerde verslaggeving. Het toevoegen van een in control statement sluit aan op de uitgangspunten van de Zorgbrede Governance Code, integraal risicomanagement en op de gestelde vereisten vanuit de Regeling verslaggeving WTZi. De toevoeging van een in control statement zou bovendien een positieve impuls kunnen geven aan de toepassing van integraal risicomanagement. Ten aanzien van de tekst van een dergelijk in control statement adviseren wij de aanbevelingen van de commissie-Frijns (Monitoring Commissie Corporate Governance Code, 2006) in acht te nemen. Deze commissie stelt dat wat betreft de financiële verslaggevingrisico's moet kunnen worden verklaard dat deze risico's 'in control' zijn. Wanneer het gaat om operationele, wet- en regelgeving en strategische risico's is een beschrijving van de risico- en controlesystemen afdoende. Aanvullend kunnen de sterke en zwakke punten in het systeem en (verbeter)stappen worden beschreven. Belanghebbenden krijgen op die manier goed inzicht in de kwaliteit van het risicomanagementsysteem binnen de organisatie. Overigens willen we aantekenen dat het in de praktijk complex zal zijn om de diversiteit aan risico's en risicobeheersingmaatregelen te 'consolideren' in een in control statement. Richtlijnen en
risico's en onzekerheden waarmee de rechtspersoon wordt geconfronteerd.
Gedeelte uit: Regeling verslaggeving WTZi, Verslaggevingseisen inzake risicobeheersings- en controlesysteem. De Raad van Bestuur is verantwoordelijk voor het beheersen van de risico's verbonden aan de activiteiten van de zorgorganisatie en voor de financiering van de zorgorganisatie. De Raad van Bestuur rapporteert hierover aan en bespreekt de interne risicobeheersings- en controlesystemen met de Raad van Toezicht.
Gedeelte uit: Brancheorganisaties Zorg (2005), 'Verantwoordelijkheid bestuur voor risicobeheersing'.
aanwijzingen zullen, in het geval een in control statement wordt opgenomen in het maatschappelijk verslag, nog moeten worden ontwikkeld. In dit kader zal aandacht moeten zijn voor (Marsh, 2007): ~ het classificeren van risico's en de diepgang waarmee deze risico's dienen te worden omschreven in termen van impact, frequentie en beheersing; ~ de standaard conform welke de risico-evaluaties moeten plaatsvinden en de wijze waarop de werking van het risicobeheersings- en controlesysteem dient te worden beoordeeld. Wijzigende financiering Als het aan het kabinet ligt, wordt gefaseerd overgegaan op DBC-bekostiging van ziekenhuizen, waarmee de gezondheidszorg opnieuw te maken krijgt met toenemende marktwerking. Er zijn voornemens om het ziekenhuizen vanaf 2012 mogelijk te maken om winst uit te keren. Dit alles maakt dat ziekenhuizen in de (nabije) toekomst beter inzicht dienen te hebben in hun baten en lasten, kansen en risico's. De toepassing van integraal risicomanagement zal hierdoor naar verwachting toenemen. Rol van toezichthouders Naar de veranderende rol van toezichthouders hebben wij geen onderzoek gedaan. Toch valt te constateren dat de Raad van Toezicht van verschillende zorginstellingen – mede naar aanleiding van wijzigingen in financiering, schandalen in andere sec-
MCA: juni 2008, nummer 4
39
‘De structuur en cultuur moeten een afweging tussen risico en rendement mogelijk maken’ toren (Ahold, Enron, Parmalat) en de aandacht voor Sarbanes Oxley en de code Tabaksblat – zich in toenemende mate (integraal) bezighoudt met de wijze waarop zorginstellingen risico's inventariseren, evalueren en beheersen. Wij schatten in dat hierdoor de toepassing van integraal risicomanagement de komende jaren in deze sector zal toenemen. Rol van de controller Risicomanagement is primair de verantwoordelijkheid van het bestuur en management. De controller kan in dit proces van toegevoegde waarde zijn. Enerzijds door zijn betrokkenheid bij het opstellen van risicomanagement, het risicomanagementsysteem en procedures. Anderzijds door zijn beoordelende rol in het risicomanagementproces. Hoewel de controller momenteel nog veelal een uitvoerende rol heeft, constateren we een toenemende bewustwording van de toegevoegde, ondersteunende waarde van de controller. Door zijn kennis van bedrijfsprocessen is de controller namelijk in staat om het effect van de verschillende stappen van het proces en de onderlinge verwevenheid van risico's te beoordelen.
Bovenstaande elementen zullen bij een zorgsinstelling in het interne sturings- en beheersingssysteem moeten worden geïncorporeerd. Wij constateren dat bovenstaande vier randvoorwaarden veelal een cultuurverandering vereisen. Hoewel nog sprake is van een beperkte toepassing van integraal risicomanagement signaleren wij diverse ontwikkelingen die ons inziens het belang van integraal risicomanagement onderstrepen. We verwachten dan ook dat integraal risicomanagement in de (nabije) toekomst bij steeds meer zorginstellingen een rol van belang gaat spelen. Literatuur ~ Brancheorganisaties Zorg (BoZ), Zorgbrede Governance Code, Utrecht, 19 december 2005. ~ Committee of Sponsoring Organisations of the Treadway Commission (COSO), Enterprise risk management framework, september 2004. ~ Emanuels, J.A & W.G. de Munnik, Enterprise Risk Management als risicobeheersingssysteem - Een praktische uitwerking van het risicomanagementproces. In: Management Control & Accounting, december 2005, p. 30-34. ~ Emanuels, J.A. & W.G. de Munnik, Enterprise Risk Management: een risicobeheersingssysteem voor organisaties. In: Maandblad voor Accountancy en Bedrijfseconomie, juni
Conclusie
2006, pagina 294 t/m 299.
Op basis van de bestudeerde literatuur en het door ons uitgevoerde praktijkonderzoek concluderen wij dat er vier randvoorwaarden zijn die een succesvolle toepassing van integraal risicomanagement bij zorginstellingen mogelijk maken. ~ Concrete doelstellingen. De strategische doelen van een organisatie vormen de basis voor integraal risicomanagement en dienen bekend te zijn in de organisatie. ~ De structuur en cultuur moeten een afweging tussen risico en 'rendement' mogelijk maken. Organisaties die risicomijdend gedrag vertonen, zullen veelal moeite hebben met het adequaat toepassen van integraal risicomanagement. ~ Een 'open leercultuur'. Hiermee wordt openheid bedoeld en de wil om te leren van fouten. Wij willen hierbij verwijzen naar een onderzoek van Shell Nederland (2004) in het kader van het VWS-programma 'Sneller Beter'. ~ Betrokkenheid van Raad van Bestuur en directie. Alleen dan kunnen de drie hiervoor genoemde randvoorwaarden worden bereikt.
40
MCA: juni 2008, nummer 4
~ Marsh, Risicomanagement bij zorginstellingen, 2007. ~ Monitoring Commissie Corporate Governance Code, Tweede rapport over de naleving van de Nederlandse corporate governance code. Den Haag, december 2006 (zie www.commissiecorporategovernance.nl) ~ PriceWaterhouseCoopers (in samenwerking met de RuG), Risicomanagement: De praktijk in Nederland. Herziene versie, januari 2006. ~ Schein, E., Organizational culture and leaderschip. San Fransisco, Jossey-Bass, 2004. ~ Shell Nederland, Hier werk je veilig, of je werkt hier niet. In: Sneller Beter – De veiligheid in de zorg, november 2004 (zie www.snellerbeter.nl) ~ Snapper, H.A. & D.M. Swagerman, Enterprise Risk Management bij ziekenhuizen. In: Controllersmagazine, nr. 4, april 2007, p. 32-35.
Henk Snapper is directeur Financiën & Control van het Universitair Medisch Centrum Groningen (UMCG). Dirk Swagerman is hoogleraar Controlling aan de Rijksuniversiteit Groningen (RuG).