• In het topmanagement is mandaat en toewijding aanwezig om risicomanagement te implementeren en blijvend van de benodigde resources te voorzien.
Lex Baaij (lid RvB) is binnen de tweehoofdige RvB eindverantwoordelijk voor
risicomanagement. Nu de organisatie uit de financiële problemen van de afgelopen jaren is, staat risicomanagement steeds hoger op de agenda. De wens vanuit de RvB en het
management is om integraal risicomanagement te implementeren.
• Risicomanagement wordt vanuit het topmanagement gecoördineerd.
Risicomanagement wordt niet systematisch vanuit het management gecoördineerd en uitgerold. Als risico’s op tactisch/strategisch niveau worden gesignaleerd, dan wordt daarover met het management gesproken en worden eventueel maatregelen getroffen.
• Er is een Chief Risk Officer (CRO) of iemand met een vergelijkbare functie, met directe toegang tot de RvB.
Er is geen CRO binnen de organisatie aanwezig, doch het lid van de RvB is (o.a.) eindverantwoordelijk voor risicomanagement, waardoor directe toegang tot de RvB is geborgd.
• Er is een separate afdeling voor risicomanagement.
Er is geen afzonderlijke afdeling voor risicomanagement ingericht. Risicomanagement is vooral belegd binnen de afdeling Finance & Control.
• Er wordt gebruik gemaakt van een risicomanagementraamwerk dat aansluit bij de eigen specifieke situatie van de organisatie.
Nee, er wordt geen gebruik gemaakt van een raamwerk zoals COSO ERM of ISO 31000. Er wordt gewerkt vanuit de pragmatiek. Als risico’s zich voordoen wordt daarop bijgestuurd. Er
51 is geen structurele inrichting van risicomanagement. De wens om dit in de nabije toekomst vorm te geven is er nadrukkelijk wel.
• Er wordt een volledig en up-to-date risicobestand (riskfile) bijgehouden.
Op operationeel niveau wordt jaarlijks een risicoanalyse op de financiële processen uitgevoerd. Deze worden in een riskfile bijgehouden. Op tactisch/strategisch niveau wordt niet expliciet een risicoanalyse uitgevoerd, doch vanuit financiële urgentie zijn de
belangrijkste risico’s wel in beeld gebracht en deze worden door de RvB besproken met en gerapporteerd aan de Raad van Toezicht. Ten aanzien van de operationele risico’s in de primaire zorgprocessen wordt gesteund op de risicoanalyse die de externe toezichthouder (IGJ) uitvoert. De controles op deze processen omvatten de onderwerpen die ook door de toezichthouder worden gecontroleerd.
• De risico’s waaraan de organisatie wordt blootgesteld, zijn geïdentificeerd, geanalyseerd en geëvalueerd op basis van de risicocriteria.
Op onderdelen wordt een risicoanalyse uitgevoerd (zie hierboven). Risico’s worden niet geprioriteerd.
• Het bepalen en in kaart brengen van de prestaties van het risicomanagement is een integraal onderdeel van het meten en in kaart brengen van de prestaties van de organisatie.
Risicomanagement is zeker geen integraal onderdeel van de performance van de organisatie. Risicomanagement wordt veelal nog ad hoc opgepakt in plaats van dat het een expliciet en structureel onderdeel is van de managementcyclus.
• De organisatie zet zich in om ervoor te zorgen dat alle leden van de organisatie zich volledig bewust zijn van de risico’s, de beheersmiddelen en de taken waarvoor zij verantwoordelijk zijn.
Vooralsnog blijft risicomanagement beperkt tot het management van Beweging 3.0. De wens is om risicomanagement meer integraal en organisatiebreed in te richten.
52 • Er zijn aangewezen individuen verantwoordelijk gemaakt om risico’s in de gaten te houden,
te beheersen en om de beheersmaatregelen te verbeteren – deze aangewezen individuen beschikken over de autoriteit, tijd, training, middelen en competenties die nodig zijn om hun verantwoordelijkheden te kunnen nakomen en zij zijn in staat om effectief met interne en externe betrokkenen te communiceren over risico’s en het management daarvan.
Taken en bevoegdheden omtrent risicomanagement zijn niet vastgelegd. Het is meer een ad hoc proces dan een gestructureerde werkwijze.
• Een gedegen risicoanalyse vormt de basis voor de controleplanning.
Ten aanzien van de risicoanalyse op de financiële processen vormt de risicoanalyse de basis voor de controleplanning. Ten aanzien van de primaire zorgprocessen wordt gesteund op de toezichthouder. De onderwerpen waarop de toezichthouder controleert, worden in de controleplanning opgenomen.
• Voorafgaand aan de uitvoering van controles wordt een risicogerichte steekproef getrokken. Er is geen sprake van een risicogerichte steekproef. De steekproeven worden altijd aselect getrokken.
• Bij geconstateerde tekortkomingen wordt een gedegen oorzaakanalyse uitgevoerd.
Er wordt geen oorzaakanalyse vastgelegd, impliciet wordt deze wel uitgevoerd en besproken met het management.
• Communicatie met interne en externe belanghebbenden wordt beschouwd als een integraal en essentieel component van risicomanagement.
Het belang van in- en externe communicatie wordt zeker gezien, doch de integraliteit is nog niet ingericht. Met de accountant is nadrukkelijk gesproken over het belang van de inrichting van integraal risicomanagement. Met het management wordt gesproken over de uitkomsten van uitgevoerde controles.
• Als onderdeel van goede governance is er sprake van uitvoerige rapportage met betrekking tot het functioneren van het risicomanagement.
Over de voortgang omtrent tactisch/strategische risico’s wordt door de RvB periodiek gerapporteerd aan de RvT. De uitkomsten van controles op de operationele processen worden separaat gerapporteerd een de RvB.
53 • Risicomanagement wordt binnen de gehele organisatie algemeen beschouwd als een
centraal en integraal onderdeel van het managementproces.
Zoals hiervoor al is aangegeven is risicomanagement geen integraal onderdeel van het managementproces en wordt risicomanagement nog onvoldoende gestructureerd uitgevoerd.
Effect van de inrichting op de werking
Als je kijkt naar de vijf elementen van inrichting (Governance & Cultuur, Strategie en doelstellingen, Performance, Review & Revisie, Informatie & Communicatie), welk van deze elementen zou dan het meeste invloed hebben op een goede werking van risicomanagement en waarom?
In de basis zijn alle elementen wat mij betreft van belang, maar als je kijkt naar waar het allemaal begint, dan is dat gedragenheid vanuit het topmanagement. Er zijn veel
instellingen die een eenhoofdige Raad van Bestuur hebben, waarbij de bestuurder veelal een zware zorg achtergrond heeft. Daardoor is risicomanagement, maar ook finance, vaak niet een gedragen onderwerp vanuit de Raad van Bestuur. Wij hebben zelf gekozen voor een structuur met twee bestuurders waarbij de taken verdeel zijn in de zorgkant en finance, control en risicomanagement. Uiteraard is structuur niet doorslaggevend, maar gedragenheid en voorbeeldgedrag vanuit het topmanagement is wel waar het wat mij betreft begint. Daarnaast denk ik dat het belangrijk is dat risicomanagement een integraal onderdeel van de (strategische) planning en het managementproces is. Nu is risicomanagement bij een beperkt aantal functionarissen belegd waarbij het een onderwerp zou moeten zijn waar het hele management bij betrokken is.
Op welke wijze beïnvloeden onderstaande factoren de wijze waarop de organisatie vanuit de inrichting van risicomanagement komt tot een goede werking?
Cultuur
Er is binnen Beweging 3.0 ruimte voor medewerkers om fouten te mogen maken zonder dat daar direct sancties op staan. Mensen zouden elkaar juist wel wat meer mogen aanspreken op de kwaliteit van hun werk. Er zijn naar mijn weten geen prikkels waardoor
54 kortetermijndoelstellingen worden nagestreefd die een negatief effect hebben op de
organisatiedoelstellingen. Ten aanzien van het beloningssysteem wijken wij niet af van de voor ons geldende CAO. Hierin zitten volgens mij geen perverse prikkels die onethisch of illegaal gedrag in de hand werken. De heersende cultuur biedt in mijn ogen positieve aanknopingspunten om een goede werking van risicomanagement te ondersteunen.
Leiderschap
Er is sprake van een tweehoofdige Raad van Bestuur, de voorzitter heeft de primaire zorgverlening in portefeuille, en het lid heeft Finance, Control en Risicomanagement als aandachtsgebieden. Door deze opzet is in ieder geval op het hoogste niveau countervailing power ingericht. De inrichting en de werking van het leiderschap hebben een positieve invloed op het risicomanagement.
Alignment
Risicomanagement is geen integraal onderdeel van de managementcyclus. Alignment van risicomanagement met strategische planning ontbreekt. Daarnaast is er geen integrale managementrapportage waarin ook de prestaties op het gebied van risicomanagement worden opgenomen. Op dit onderdeel dienen nog stappen te worden gezet om
risicomanagement goed te kunnen ondersteunen.
Systemen
De organisatie heeft geen gestandaardiseerd systeem voor interne controle. Er is wel een maandelijks gestandaardiseerd rapport over de financiële performance, doch hierin wordt niet over de uitkomsten van controles gerapporteerd. Omtrent interne controles wordt in een afzonderlijke rapportage gerapporteerd. Ook op dit onderdeel dienen we nog te groeien om risicomanagement goed te kunnen ondersteunen.
Structuur
De verantwoordelijkheid voor risicomanagement is belegd in de RvB. Er zijn wel structuren vastgesteld voor rapportage aan de Raad van Bestuur. De financiële interne controles en de controles aan de primaire zorgkant worden periodiek aan de RvB gerapporteerd. Er zijn derhalve wel structuren, maar onvoldoende integraal.
55