RISICOGERICHT- EN STRATEGISCH STUREN Twee zijdes van dezelfde medaille ~ Door: mr. Frédérique Bakker & Jan Gerben Verzijl RC De functie van bestuurder of toezichthouder is in deze tijden niet eenvoudig. De veranderende wet- en regelgeving vliegt je om de oren en de maatschappelijke druk neemt in rap tempo toe. De vraagstukken en uitdagingen waar de zorg voor staat, worden er niet minder complex op. Hierdoor neemt de behoefte aan controle toe. De inzet van integraal risicomanagement als stuur- en toezichtsinstrument lijkt hiervoor een goede optie. Wat betekent dat in de praktijk? We presenteren een methodiek, waarmee u risicomanagement kunt inzetten als stuurinstrument. Sturen op basis van de reguliere beleidscyclus omvat het sturen op gebeurtenissen, zodat het voortbestaan van de organisatie en het realiseren van doelstellingen is geborgd. Dit sturingsinstrument gaat uit van controle en is reactief van aard, omdat de stuurindicatoren vrijwel altijd een achterafmeting zijn. Indicatoren die vooruit kijken zijn moeilijker vast te stellen, omdat het effect nog niet bekend is en daardoor moeilijker te kwantificeren is. Denk hierbij aan het effect in de toekomst van bijvoorbeeld scholing en innovatie. Sturen op basis van integraal risicomanagement omvat het opsporen, identificeren en waarderen van gebeurtenissen, die het voortbestaan van de organisatie en het realiseren van haar doelstellingen kunnen belemmeren. Strategisch risicomanagement gaat uit van voorkomen en is daarmee proactief van aard. Dit impliceert dat sturen op basis van risicomanagement de natuurlijke tegenhanger is van sturen op basis van planning & controle. U zou het kunnen zien als twee zijdes van dezelfde medaille. Wanneer u beide zijdes inzet, vergroot u de grip op de toekomstbestendigheid van uw organisatie. Met de methode zoals hier toegelicht, heeft u daarbij een effectief communicatiemiddel voor uw stakeholders. Strategisch sturen Strategisch sturen omvat het sturen op gebeurtenissen, zodat het voortbestaan van de organisatie en het realiseren van doelstellingen, is geborgd. Dit is ingebed in de reguliere besturingscyclus (planning & control). Met andere woorden; de medewerkers op de werkvloer kennen en handelen in de geest van de strategische doelen die u heeft gesteld. In een optimaal ingerichte besturingscyclus sluit uw strategische planning aan op de operationele sturing en vice versa. Om dit te bereiken wordt gebruik gemaakt van doelstellingen, werkprocessen en indicatoren. De norm voor de indicator vormt de betreffende doelstelling, de prestatie in de periode is de mate van realisatie of afwijking van de (norm-)doelstelling. Zie figuur 1 voor een weergave van deze zogenaamde alignment. Er zijn verschillende instrumenten voor handen om de realisatie van doelstellingen te meten. De Balanced Scorecard is de meest bekende.
Figuur 1: Alignmentanalyse Risicogericht sturen Risicogericht sturen betekent sturen op het voorkomen van gebeurtenissen die het voortbestaan van de organisatie en het realiseren van doelstellingen in de weg staan. Dit omvat het opsporen, identificeren en waarderen van die gebeurtenissen én het implementeren van maatregelen die het voorkomen van die gebeurtenissen vergroten. Risico’s komen in alle domeinen van een instelling voor: Primair proces Medewerker en patiënt/cliënt Financiën Infrastructuur (gebouwen, ICT, installaties) Bestuur en toezicht Wet en regelgeving Externe omgeving (maatschappij, social media) Risicobeoordelingen kunnen op ieder domein worden ingezet om mogelijke risico’s te inventariseren. Dit zegt alleen niets over de waardering van risico’s tussen de verschillende domeinen onderling. Dit is wel nodig om de vraag te kunnen beantwoorden of u als bestuurder of manager ‘in control’ bent als het de uitvoering van visie en strategie betreft. Q-Consult heeft een methode ontwikkeld die u helpt deze vraag te beantwoorden. Deze methode is gebaseerd op het COSO-model. COSO-model Het COSO-model staat ook bekend als het Enterprise Risk Management Framework (ERMF), zie figuur 2. Het model omvat de verschillende elementen van een intern beheersingssysteem. Het geeft de relatie weer tussen: de doelstellingen van de organisatie, de controlecomponenten en de activiteiten waarvoor de interne controle nodig is.
Figuur 2. COSO II model
Het COSO-model lijkt een helder ijkpunt voor integraal risicomanagement, maar hoe valt dat praktisch toe te passen? De uitwerking van het model laat dat open. Uit onderzoek1 blijkt dat organisaties (profit, not-for-profit en non-profit) geen pasklare antwoorden of toepassingen hebben die juist het integrale karakter dekken. Methode strategisch risicomanagement Onze methode is gericht op de risico’s bezien vanuit het bereiken van de doelstellingen en hoofdprocessen. Het vervangt niet de huidige risico-inventarisaties binnen de verschillende domeinen. Het destilleert wél de hoogste risico’s over de domeinen heen. Het bundelt de grootste risico’s uit de verschillende domeinen en zet deze tegen elkaar af. Het format leent zich daardoor bij uitstek voor managers, bestuurders en toezichthouders. Overigens blijkt uit risicobeoordelingen dat zogenaamde gestapelde risico's, daar waar gebeurtenissen uit verschillende domeinen simultaan optreden, het strategisch risico als geheel groter is dan de som der delen. Het format is pragmatisch inzetbaar en daardoor bruikbaar voor verschillende zorginstellingen (cure, care, ggz, groot, klein, etc.), zie figuur 3. Kolommen kunnen makkelijk worden gewijzigd of toegevoegd. De risicoanalyse met de risico-matrix kan vanuit de verschillende hiërarchische niveaus worden ingezet, waarbij de hoofddoelstellingen steeds verder worden vertaald naar een subdoelstelling. De kolom ‘proces’ kan ook worden veranderd in ‘afdeling’ of ‘unit’. En onder risico kan bijvoorbeeld ook nog het gebied ‘imago’ worden toegevoegd. Alle domeinen die zijn benoemd in uw instelling, kunnen voorkomen in het format. Zo is het format aan te passen aan de specifieke wensen van iedere organisatie.
1
Risicomanagement, De praktijk in Nederland, Herziene uitgave, Januari 2006, PricewaterhouseCoopers en
Rijksuniversiteit Groningen
Strategische doelstellingen Zorginstelling XX:
1. ..... 2. ...... 3. .....
Risicomatrix Zorginstelling XX
4. ....
RISICO
Werksoort Doelstelling(en)
Hoofdproces(sen)
Event
Patient Organisatie Financieel KANS IMPACT R (K*R) IMPACT R (K*R) IMPACT R (K*R)
TOTAAL GEM Risico
Beheersmaatregel
… … … … … … .. … … … … … … … … … … … .. .. … … … … … … … … …
…..
…..
…..
…..
Figuur 3: Format strategische risicoanalyse
Classificatie impact en waarschijnlijkheid Voor de classificatie van impact en waarschijnlijkheid zijn verschillende indelingen bruikbaar tot op een diep detailniveau (bijvoorbeeld NHS National Patiënt Safety Agency, 2008). Voor deze korte uiteenzetting volstaat de eenvoudige indeling: Kans op voorkomen event
Impact als event zich voordoet
1
Niet / zeldzaam
Jaarlijks
1
Verwaarloosbaar
Geen / minimaal letsel
Verlies <5% omzet
2
Soms
Meerdere malen per jaar
2
Klein
Beperkt letsel
Verlies 5>10% omzet
3
Regelmatig
Maandelijks
3
Groot
Ernstig letsel
Verlies 10>25% omzet
4
Groot / altijd
Wekelijks / dagelijks
4
Catastrofaal
Overlijden
Verlies >25% omzet
Hierbij staat 1 voor 0% en 4 voor 100% om tot een berekening van een score te komen per doelstelling en event. Events De koppeling tussen de strategische doelstellingen en de doelstellingen op het gekozen niveau is een voorwaarde voor juiste uitvoering van de risicoanalyse. Vervolgens geeft u per doelstelling events aan. Events zijn gebeurtenissen die het bereiken van de doelstellingen in gevaar brengen. Dit kan van alles zijn. Van (medisch) incident, tot verhuizing of bezuiniging. De events kunnen in één of meerdere domeinen van uw instelling voorkomen. Per doelstelling kunnen meerdere events geformuleerd worden. Een incident heeft tenslotte altijd meer dan één oorzaak. De input voor events kan ook voortkomen uit de resultaten van prospectieve risico-inventarisaties en interne audits.
Vervolgens wordt het risico van het event gescoord, zowel op kans als impact. Hetzelfde event kan verschillende gevolgen hebben op de verschillende domeinen. Bijvoorbeeld efficiencymaatregelen; deze kunnen leiden tot events zoals grotere wachtlijsten, die het imago verslechteren en toekomstige klanten kunnen afschrikken. In de maatregel zal de organisatie een vanuit deze optiek samengestelde actie moeten formuleren. De events die zowel op kans als impact hoog scoren, vormen de grootste risico’s voor de instelling. Beheersmaatregelen Op de grootste risico’s worden één of meerdere beheersmaatregelen gesteld. De beheersmaatregel kan zowel organisatorisch, technisch, inhoudelijk en/óf menselijk van aard zijn. Vraag je bij elke beheersmaatregel af: 1.
Leidt deze maatregel daadwerkelijk tot ander gedrag?
2.
Leidt deze maatregel daadwerkelijk tot een daling van het risico?
Wanneer deze vragen niet volmondig met ‘ja’ beantwoord kunnen worden, kunt u zich afvragen of het zin heeft om de maatregel te implementeren. Voorkom dat de maatregelen leiden tot administratieve lasten en tijdverspilling. Denk altijd goed na over de mogelijke impact en/of bijwerkingen, voordat een maatregel wordt ingevoerd of afgeschaft. Voorwaarden & succesfactoren Om risicomanagement als succesvol stuurinstrument in te zetten, moet er worden voldaan aan een aantal voorwaarden: 1.
De risico’s zijn gekoppeld aan doelstellingen.
2.
De doelstellingen (zowel van beleid als proces) zijn SMART geformuleerd.
3.
Het risicoprofiel en de risicoacceptatiegraad is voor zover mogelijk bepaald. Dit betekent dat de bedrijfseconomisch grenzen zijn bepaald. Het is helder hoeveel risico de instelling maximaal kan dragen, zowel op financieel vlak als op imago. Het helpt om de vraag te beantwoorden: 'Wat zou er moeten gebeuren waardoor ik niet meer kan slapen?’ Hier vloeit tevens de risicobereidheid uit voort: ‘hoeveel risico kan ik nemen’? Het antwoord op deze vraag kan per instelling verschillen. De risicobereidheid van een instelling op het platteland is over het algemeen kleiner dan die van een instelling in Amsterdam.
4.
De beheersmaatregelen leveren ander, gewenst gedrag op en verlagen het risico.
Conclusie Waarom zien wij risicomanagement en strategisch sturen nu als twee zijdes van dezelfde medaille? Als strategisch sturen in essentie betekent aan de hand van succesfactoren de bijbehorende prestatie-indicatoren vinden die geordend in een samenhang (zoals de BSC) de voortgang in kaart brengen; Als integraal risicomanagement in essentie betekent het opsporen, identificeren, waarderen van gebeurtenissen die het voortbestaan van de organisatie en het realiseren van haar doelstellingen belemmeren; Lijkt de conclusie gerechtvaardigd dat integraal risicomanagement de natuurlijke keerzijde, de tegenhanger, is van strategisch sturen.
Op basis hiervan trekken wij de conclusie dat strategisch risicomanagement een natuurlijke onderdeel kan zijn in de strategievorming en sturing van de organisatie. Juist in tijden van transitie een essentieel onderdeel. Vooruitblik In de adviespraktijk van de afgelopen jaren stond het strategisch stuurinstrumentarium volop in de belangstelling. Veel organisaties passen het gedachtegoed toe of hebben een eigen versie van de BSC gemaakt voor het sturen met indicatoren (bijvoorbeeld met indicatoren uit het kwaliteitsdenken). In de P&C-cyclus heeft dat zijn plaats inmiddels gekregen. Is de tijd nu aangebroken voor strategisch risicomanagement? Wij stellen daartoe de integratie met de P&C-cyclus voor om een jaarlijkse cyclus op gang te brengen vanuit een bestaande structuur. Deze integratie kan door: 1.
Jaarlijks een sessie met RvB, RvT en MT te houden om strategische risico's op te storen aan de hand van het genoemde format. Uitkomsten hiervan vormen input voor de organisatieonderdelen die daarmee tevens de op topniveau geformuleerde maatregelen verifiëren en daarover feedback kunnen geven;
2.
Alle bestaande indicatoren samen te vatten in één kader;
3.
Het met de rapportagekalender te integreren zoals vastgelegd in de P&C-cyclus.
Meer weten? Neem contact op met: mr. Frédérique Bakker
[email protected] Twitter LinkedIn Jan Gerben Verzijl RC
[email protected] LinkedIn W www.qconsultzorg.nl T 026 383 05 65 E
[email protected]
