uit de analyse van de jaarverslagen op het gebied van risicomanagement naar voren zijn gekomen. Zoals gezegd bestond deze jaarverslaganalyse uit 50 ziekenhuizen en 50 AWBZ-zorginstellingen. Verder zal ik hierbij de conclusies en aanbevelingen, die ik op basis van wat beschreven is in de jaarverslagen gemaakt heb, weergeven voor de
verdere ontwikkeling en verbetering van integraal risicomanagement in de verslaggeving van de zorginstellingen. De aanbevelingen voor de beheersing van de risico’s staan in dit hoofdstuk meteen na en tussen de betreffende onderwerpen omkaderd afgebeeld. In paragraaf 5.3 geef ik de procentuele uitkomsten van het onderzoek weer. De
aanbevelingen voor verbetering en ontwikkeling van de verslaggeving over integraal risicomanagement staan in paragraaf 5.4 vermeld.
5.1 Risico-inventarisatie zorgsector
De activiteiten en resultaten van de zorginstellingen, in dit geval voor zowel de
ziekenhuizen als de AWBZ-zorginstellingen, zijn onderhevig aan uiteenlopende risico’s. In deze paragraaf geef ik een opsomming van alle risico’s die in de jaarverslagen uit de steekproef zijn beschreven. Dit betreffen zowel strategische, financiële, compliance als operationele risico’s. De strategische, financiële en operationele risico’s voeren overigens over het algemeen gezien de boventoon in de onderzochte jaarverslagen.
Hieronder volgt de opsomming van de risico’s welke ik ben tegengekomen in de jaarverslagen:
1. De marktwerking in de zorg (als gevolg van de veranderende regelgeving); 2. Integrale tarieven waarvan de kapitaallasten onderdeel uitmaken;
3. Nieuwe bekostigingssystemen in de zorg (DBC, ZZP); 4. Veranderde vastgoedfinanciering;
5. Continuïteitsrisico’s, met name als gevolg van het informatie- en ICT-risico; 6. Patiëntenrisico (patiëntenveiligheid)/ medische risico’s (medische incidenten);
(oplossing: VMS-systeem binnen ziekenhuizen);
7. Medewerkersrisico (medewerkersveiligheid)/ Arbo/ ziekteverzuim/
gezondheidsrisico (mede als gevolg van het werken met gevaarlijke stoffen etc.); 8. Veiligheid gebouwen en bezoekers;
9. Risico’s personeelsvoorziening;
10.Risico’s rondom bouwwerkzaamheden; 11.Imago- en reputatierisico’s;
13.Calamiteitenrisico’s (zoals aansprakelijkheid en brand);
14.Terugloop geboorten/ vergrijzing (heeft overigens ook weer effect op de personeelsvoorziening);
15.Fraude.
5.2 Gebeurtenissen, risico’s en aanbevelingen
Ik zal nu de in de jaarverslagen beschreven belangrijkste gebeurtenissen (“events”) die de risico’s in de zorgsector veroorzaken, alsmede de bijbehorende beschreven risico’s hieronder beschrijven. De informatie in deze paragraaf is een verzameling welke afkomstig is uit mijn jaarverslaganalyse. Daarnaast geef ik, waar mogelijk,
aanbevelingen voor de beheersing van deze risico’s in de organisatie. Ik maak hierbij onderscheid tussen gebeurtenissen en risico’s die gelden voor de:
- Gehele zorgsector; - Ziekenhuizen;
- AWBZ-zorginstellingen.
Gebeurtenissen en risico’s: GEHELE ZORGECTOR
1. Marktwerking
In de zorgsector vinden momenteel grote veranderingen plaats. Stap voor stap wordt namelijk gereguleerde marktwerking in de zorgsector ingevoerd. Marktwerking en concurrentie in de zorg staan momenteel hoog op de politieke agenda in Nederland. De “vrije” markt zorgt alleen voor risico’s die er voorheen nauwelijks waren. Imago en bekendheid in de markt worden nu voor de zorginstellingen belangrijker als gevolg van het ontstaan van concurrentie. Het zorgkantoor en de zorgverzekeraar krijgen meer contracteervrijheid. Het product van de zorginstellingen kan als gevolg hiervan mogelijk niet meer aansluiten bij de klant-/ patiëntbehoeften.
Daarnaast krijgt de zorgsector te maken met nieuwe markttoetreders zoals zelfstandige behandelcentra (ZBC’s), ook wel privéklinieken genoemd (bijvoorbeeld zorghotels etc.). Het besturingsmodel kantelt hierdoor van een centrale aanbodsturing naar een
decentrale vraagsturing. Dat grote veranderingsproces vergt veel begeleiding en toezicht voor alle betrokken partijen. De belangrijkste partijen in de zorgsector in deze context bedoeld zijn met name: overheidsinstanties en uitvoeringsorganisaties met zorg in hun takenpakket, zorgvragers, zorgaanbieders en zorgverzekeraars/ inkopers.
Het is de zorginstellingen aan te bevelen om als gevolg van de steeds meer toenemende concurrentie de marktontwikkelingen continu nauwlettend in de gaten gehouden en waar mogelijk hierop in te spelen en te anticiperen. Kansen in de markt dienen tijdig te
worden gesignaleerd. Hierbij dienen zij met name de concurrentie goed in de gaten te houden. Uitblinken boven de massa is hierbij het sleutelwoord.
Verder dienen de onderhandelingen zo optimaal mogelijk te worden uitgevoerd, de techniek hiervoor is ook een vak apart te noemen, het is aan te bevelen hiertoe mensen in de organisatie specifiek voor op te leiden (met name soft skills,
onderhandelingsvaardigheden enz.).
Om snel en goed op veranderingen in de markt te kunnen inspelen is een flexibele organisatie nodig. Deze flexibiliteit kan echter een probleem gaan vormen voor de grote instellingen. De grote instellingen zijn doorgaans niet erg flexibel als gevolg van hun complexe structuur, bedrijfsprocessen en omvang. Indien mogelijk, is het inpassen van enige flexibiliteit in de organisatie aan te bevelen.
2. WTZi; integrale tarieven (tweede kapitaallastenbrief Ministerie VWS)
Veel van de in de jaarverslagen beschreven onderkende risico’s komen voort uit de recent ingevoerde WTZi, met name betreffende de invoering van integrale tarieven. Invoering van integrale tarieven heeft namelijk financiële risico’s. Het heeft gevolgen voor de afschrijvingskosten, de rente op vastgoed en de rente op werkkapitaal.
Zorginstellingen krijgen nu pas betaald na geleverde zorg, terwijl ze in de oude situatie een vaste vergoeding van de overheid kregen voor de huisvestingslasten. De
kapitaallasten zullen nu moeten worden terugverdiend door het leveren van zorg. De betaling van de zorg kan soms echter op zich laten wachten, de zorginstellingen kunnen bijvoorbeeld te maken krijgen met wanbetalers. Ook zal de geleverde zorg variabel zijn als gevolg van de marktwerking (volumerisico), waardoor de inkomsten hieruit kunnen fluctueren.
Gevolg is ook, doordat zorginstellingen met de invoering van integrale tarieven zelf verantwoordelijk worden voor hun vastgoed, de banken naar verwachting hun rente om deze te financieren zullen gaan verhogen. Banken worden in toenemende mate
stakeholder in de zorgsector. Er ontstaat hierdoor zowel een volumerisico als een
tariefrisico. Het bouwregime is, zoals in hoofdstuk 4 reeds gezegd, voor de ziekenhuizen per 1 januari 2008 afgeschaft en voor AWBZ-instellingen wordt deze naar verwachting per 1 januari 2009 afgeschaft.
Omdat de kapitaallasten uit de geleverde zorg moeten worden terugverdiend, is het zaak om qua zorgverlening “uit te blinken” boven die van de concurrentie. In theorie klinkt dit natuurlijk erg mooi. In de praktijk is het zaak om zo goed mogelijk zorg te verlenen aan de patiënt, een goede reputatie te behouden dan wel op te bouwen, positief in het nieuws komen. Een eerste stap hierbij is om medische incidenten te voorkomen, één incident kan namelijk al de reputatie vernietigen. Het VWS-systeem kan hierbij houvast bieden. Om wanbetalers in de markt tegen te gaan kunnen zorginstellingen een actief debiteurenbeleid ontwikkelen.
3. Continuïteitsrisico
Er wordt in de jaarverslagen ook veel gesproken over een continuïteitsrisico bij de zorginstellingen. Het gaat hierbij o.a. om verlies aan data door stroomuitval en ICT-problemen (ook wel informatierisico genoemd). Ook valt hieronder de levensbedreigende situaties voor patiënten die kunnen ontstaan als gevolg van stroomuitval (uitvallen van apparatuur, verlies van medische patiëntgegevens).
Hiertoe is er binnen veel zorginstellingen reeds een calamiteitenplan opgesteld, dit is dan ook ten zeerste aan te bevelen. Als beheersingsmaatregel voor stroomuitval zijn hiertoe noodstroom-generatoren/ -aggregaten aan te bevelen.
In het kader van de verbetering van informatiebeveiliging zijn verder binnen bepaalde zorginstellingen activiteiten gedefinieerd voor het invoeren van continuïteitsbeheer binnen de organisaties. Continuïteitsbeheer heeft hierbij tot doel de beschikbaarheid van de belangrijke bedrijfsprocessen en de benodigde informatievoorziening onder normale en buitengewone omstandigheden te waarborgen.
Voor het afdekken van de ICT-risico’s kan gedacht worden aan Service Level Agreements (SLA’s), IT-general- en application controls, waaronder o.a. vallen de backup-en
recoveryprocedures, calamiteitenplan, logische toegangsbeveiliging, continuïteitsbeheer, wijzigingenbeheer.
4. Patiëntenrisico
Op het terrein van patiëntenzorg worden in de jaarverslagen risico’s rond het realiseren van de beoogde kwaliteit benoemd. Dit betreffen enerzijds risico’s van het daadwerkelijk leveren van goede zorg, maar ook risico’s rond de waarneming ervan door “de
omgeving” en “de klant”. Elementen zoals “bereikbaarheid en communicatie”, “efficiency” en “wachtlijsten” spelen hierbij een rol. Ook het voorkomen van medische missers/ incidenten is hierbij erg belangrijk.
Binnen een aantal ziekenhuizen wordt recentelijk het Veiligheid Management Systeem, kortweg VMS, toegepast en ontwikkeld om de patiëntenveiligheid te waarborgen. Dit systeem dient in 2009 verplicht ingevoerd te zijn in alle Nederlandse ziekenhuizen. Voor de AWBZ-zorginstellingen zou een dergelijk systeem eveneens aan te bevelen zijn.
6. Gezondheidsrisico’s en veiligheid van medewerkers
Binnen de gezondheidszorg is het van groot belang een goed beeld te hebben van de aanwezige risico’s voor medewerkers. De risico’s zijn algemeen beschreven in de literatuur, zoals Arbo-risico’s in de branche gezondheids- en welzijnszorg, TNO-rapport Beroepsziekten, praktijkgids arbeidshygiëne; Arbo-convenant academische ziekenhuizen. Enkele belangrijke aandachtsgebieden welke de zorginstellingen beschrijven in hun jaarverslagen zijn werkdruk (psychische belasting), agressie en geweld, lichamelijke belasting, blootstelling aan narcosegassen en cytostatica, prikongelukken, ioniserende straling en bedrijfshulpverlening. Ook brengen eventuele ver- en nieuwbouwactiviteiten aanvullende specifieke risico’s met zich mee.
De risico’s hiertoe kunnen heel goed gestructureerd worden geïnventariseerd met het veel gebruikte model risico-inventarisatie en –evaluatie (RI&E), zie de toelichting hierna. Deze is overigens al jaren verplicht voor praktisch alle organisaties. Naast het
inventariseren van de risico’s kunnen er ook inspecties en audits binnen de
zorginstellingen uitgevoerd. Dit kan bijvoorbeeld per afdeling gebeuren. Verder is het aan te bevelen het Arbo-beleid na te volgen en ook up to date bij te houden.
Toelichting: Risico Inventarisatie & Evaluatie RI&E:
De zorginstellingen passen eveneens veelvuldig de methode RI&E, ofwel
Risico-inventarisatie en evaluatie, toe. RI&E is een methodiek om gezondheidsrisico’s van het werk te onderkennen en te beheersen. Dit is noodzakelijk om verantwoord leiding te kunnen geven aan de medewerkers. De werkgever is verplicht zijn werknemers gezonde werkomstandigheden te bieden. RI&E bestaat kortweg uit een lijst met alle risico’s in de organisatie en uit een plan van aanpak voor het oplossen van deze risico’s. Met deze twee zaken kunnen de risico’s voor zowel het personeel als voor de organisatie teruggebracht worden. En daarmee ook meteen een deel van het financiële risico. De zorgsector kent een aantal grote gezondheidsrisico’s. De werkdruk zorgt voor een hoge psychische belasting. Daarnaast komen veel werknemers in aanraking met gevaarlijke (chemische) stoffen en huidirriterende stoffen, zoals bijvoorbeeld latex (handschoenen etc.). Contacteczeem en andere huidaandoeningen kunnen het gevolg zijn. En hoewel zogenaamde “tilhulpen” en andere hulpmiddelen zijn voorgeschreven, belasten veel medewerkers in de praktijk hun rug toch vaak nog te veel.
Ingeval van ziekteverzuim, kunnen deze kosten behoorlijk hoog worden. Ook de kosten voor vervanging van personeel kunnen hierbij behoorlijk in de papieren lopen, net als de verzekeringspremies voor verzuimverzekeringen. In een kleinere zorginstelling kan dat al snel een groot financieel risico voor de werkgever betekenen. Hieronder zal ik de
methodiek RI&E zoals deze binnen veel ziekenhuizen wordt toegepast even nader omschrijven.
De risico-inventarisatie & -evaluatie (RI&E) is al sinds 1 januari 1994 verplicht voor nagenoeg alle werkgevers. Het plan van aanpak is een verplicht onderdeel van de RI&E. Dat staat namelijk in de Arbeidsomstandighedenwet (Arbo-wet). Vanaf 1 november 1999 geldt de nieuwe Arbeidsomstandighedenwet, ook wel Arbo-wet 1998 genoemd. De verplichting om een RI&E uit te voeren, inclusief plan van aanpak, is hierin nog eens duidelijk beschreven.
De Arbeidinspectie zegt over RI&E45:
Elk bedrijf met personeel moet (laten) onderzoeken of het werk gevaar kan opleveren of schade kan veroorzaken aan de gezondheid van de werknemers. Dit onderzoek heet een RI&E. Het moet schriftelijk worden vastgelegd. In het plan van aanpak moet de
werkgever aangeven binnen welke termijn zijn bedrijf concrete maatregelen gaat nemen tegen de geïnventariseerde risico's, en wat deze maatregelen opleveren. De werkgever rapporteert jaarlijks aan de werknemers (of, indien aanwezig binnen de zorginstelling, de Personeelsvertegenwoordiging) over de uitvoering van het plan van aanpak. De
werkgever mag zijn RI&E zelf maken. Ingeval van een grote instellingen dient deze te worden getoetst door de Arbeidsinspectie.
De toetsingcriteria zal ik hieronder voor de volledigheid even in het kort weergeven: Organisaties met ten hoogste 40 uur arbeid per week moeten een RI&E hebben, maar hoeven dat document niet te laten toetsen. Organisaties met ten hoogste 25 werknemers hoeven na de wetswijziging per 1 januari 2007 hun RI&E-document niet langer te laten toetsen, mits ze gebruik maken van een goedgekeurde branchespecifieke en in de CAO opgenomen door een deskundige getoetst RI&E-instrument. Hier is sprake van een verandering als gevolg van de wijziging van de Arbo-wet per 1 januari 2007 (Arbo-wet artikel 14 en Arbo-besluit artikel 2.14b): vóór 1 januari 2007 lag de grens bij bedrijven met maximaal 10 werknemers, deze is nu opgetrokken tot bedrijven met maximaal 25 werknemers. Voor organisaties waarvoor niet zo’n CAO-RI&E-instrument bestaat, en voor alle organisaties met meer dan 25 werknemers blijft de RI&E-toets verplicht. Hierbij zijn wel lichte varianten mogelijk. Bespreking hiervan valt mijn inziens buiten de scope van
45
deze scriptie. Voor nader informatie hierover verwijs ik dan ook naar de bron.
De RI&E is eveneens een continu doorgaand proces, als de arbeidsomstandigheden veranderen, dient de RI&E ook hierop te worden aangepast. De RI&E dient altijd actueel en up to date zijn.
RI&E dient antwoord te geven op zes vragen:
1. Zijn er in het verleden ongevallen gebeurd binnen de organisatie?
2. Wat kan er op dit moment fout gaan in de organisatie, zodat ongevallen of verzuim optreden?
3. Hoe groot is de kans dat dit gebeurt?
4. Hoe kan een risico of de schade als het toch misgaat beperkt worden? 5. Welke beheersingsmaatregelen zijn nodig en hoe kunnen deze doorgevoerd
worden in de organisatie?
6. Op welke wijze kan gegarandeerd blijven dat de beheersingsmaatregelen blijven werken?
De onderkende stappen in de RI&E bij de zorginstellingen zijn veelal:
- Stap 1 Risico-inventarisatie: alle risico’s die voorkomen in de organisatie op één lijst afgebeeld.
- Stap 2 Evaluatie: het sorteren van de risico’s, hierbij staan de belangrijkste risico’s bovenaan de lijst. Welke risico's zijn het meest dreigend? Zijn er situaties in uw bedrijf die wettelijk niet zijn toegestaan? Welke risico's kunnen schade veroorzaken aan uw medewerkers, apparaten of het productieproces? Welke risico's zien de medewerkers graag aangepakt? Welke aanpassingen zijn technisch mogelijk, en hoeveel kan erin geïnvesteerd worden?
- Stap 3: Plan van aanpak: wie doet wat en wanneer? Hierbij wordt een “things to do”-list opgemaakt, er moeten vervolgens termijnen aan de aanpak van de risico’s vast gehangen worden. Ook moet aangegeven worden wie er met welk risico aan de slag gaat en wanneer het gewenst resultaat is bereikt (doelstelling
risicomanagement bereikt qua criteria).46
46
8. Risico’s personeelsvoorziening/ arbeidsmarkt
Beschreven wordt dat binnen bijna alle functies in de zorg de komende jaren een
verhoogde uitstroom plaats zal vinden als gevolg van de vergrijzing. Dit brengt het risico met zich mee van een tekortschietende personeelsomvang.
Vergrijzing is natuurlijk niet te beheersen door de zorginstellingen. Wel is aan te bevelen om, wellicht in samenwerking met de gehele zorgsector, een campagne op te stellen om op (middelbare) scholen een studie en het werken in de zorg te promoten. Ook kunnen hierbij reclames via radio/ tv uitgezonden worden, zoals recentelijk ook al gebeurd met andere sectoren waarin schaarste aan personeel is onderkend (zoals accountancy, onderwijs en de politie). Ook kan het aantrekkelijk gemaakt worden voor de (toekomstige) student om te kiezen voor de zorgsector door het afgeven van
baangaranties, aantrekkelijke (stage)vergoedingen, het aanbieden van de combinatie werken en studeren (waarbij bijvoorbeeld de studie (deels) wordt vergoed door de zorginstelling).
9. Bouwwerkzaamheden
Een aantal zorginstellingen beschrijven momenteel bezig te zijn met plannen voor (nieuw)bouw. Aan de uitvoering van dergelijke, veelal omvangrijke, bouwprojecten kleven specifieke risico’s, die verband houden met de tijdshorizon, alsook met juridische, organisatorische en financiële factoren. Enkele van deze factoren zijn:
- Vertragingen van diverse oorzaken die inherent zijn aan de uitvoering van grote bouwprojecten;
- Onzekerheden omtrent prijs-/ kostenontwikkeling van bouwen;
- Onzekerheden omtrent het bouwbudget onder andere door wijzigende wet- en regelgeving in de kapitaallastensfeer. De financiële risico’s hierbij zijn verbonden aan de huidige trend dat de gegarandeerde vaste bekostiging uit het verleden steeds meer productieafhankelijk wordt en de zorginstellingen hiertoe meer prijs- en volumerisico’s gaan lopen (geleidelijke afschaffing bouwregime).
Een adequate beheersing van de (nieuw)bouwkosten en doorlooptijd van het bouwtraject is hierbij aan te bevelen. Hiertoe kan ook weer een risicoanalyse worden uitgevoerd waarbij deze jaarlijks dient te worden herhaald om de veranderende omstandigheden te monitoren en bijsturing te waarborgen. Ook kunnen er specifieke werkgroepen voor de monitoring betreffende bouwactiviteiten opgericht worden.
10. Aanbevelingen voor implementatie van risicomanagement in de organisatie
Een “ideale beschrijving” welke verder bij mijn onderzoek naar voren kwam, is afkomstig van de UMC’s. Deze neem ik dan ook op als overkoepelende aanbeveling voor de gehele zorgsector (zowel voor de ziekenhuizen als voor de AWBZ-zorginstellingen), als zijnde een beschrijving van een mijn inziens ideale situatie over hoe integraal
risicomanagement binnen zorginstellingen gestructureerd kan worden geïmplementeerd binnen alle afdelingen en bedrijfsprocessen. Om risicomanagement integraal in de organisatie in te bouwen zullen namelijk alle bedrijfsprocessen, afdelingen en
functionarissen hierbij betrokken moeten worden. Om dit te bereiken is het inbouwen van een zogenaamd planning- en controlsysteem (waarin het risicobeheersings- en controlesysteem is verwerkt) in de organisatie aan te bevelen.
Het formaliseren van risicomanagement in een planning- en controlcyclus (waarin het risicobeheersings- en controlesysteem is verwerkt), heeft namelijk een aantal voordelen, te weten:
- Totaalinzicht in de risico’s die de zorginstelling loopt; - Totaalinzicht in de getroffen beheersmaatregelen;
- Een beoordelingskader of de risico's acceptabel zijn (passend bij het gewenste risicoprofiel);
- Verhoging van het risicobewustzijn binnen de zorginstelling;
- Voldoen aan de gestelde eisen in het kader van corporate governance (Zorgbrede Governancecode).
Het planning & controlsysteem zoals hierna in het kader beschreven kan voor alle
zorginstellingen voor de Raad van Bestuur een belangrijk stuurinstrument voor integraal risicomanagement zijn.
Op de volgende pagina volgt de gedetailleerde uitwerking van deze overkoepelende aanbeveling:
Planning- en controlsysteem als beheersingsinstrument voor o.a. integraal risicomanagement
Als sturings- en beheersingsysteem kan de zogenaamde planning & controlcyclus worden toegepast binnen de zorginstellingen. Bij deze instellingen is de Financieel Directeur of controller dan verantwoordelijk voor het functioneren van de planning & controlcyclus. In de planning & controlcyclus wordt de strategische visie van de Raad van Bestuur vertaald via het meerjaren strategisch beleidsplan naar jaarplannen per afdeling en cluster. De haalbaarheid van deze plannen en de benodigde investeringen zullen vooraf zorgvuldig gewogen moeten worden, waarbij een risicoanalyse onderdeel uitmaakt van de
overwegingen en besluitvorming. Hierbij kunnen prestatie-indicatoren op het gebied van risicomanagement opgenomen worden in de (bijvoorbeeld maandelijkse) rapportage via de planning & controlcyclus. Op deze wijze wordt continue monitoring van de
belangrijkste risicofactoren nog beter mogelijk en beheersing van risico’s transparanter.
Het planning & controlsysteem kan door bijvoorbeeld de (interne) auditcommissie aangevuld worden met een controlesysteem door middel van gerichte audits op processen, geautomatiseerde systemen en de uitkomsten daarvan. Jaarlijks kan de (interne) auditcommissie hiertoe een plan vaststellen dat is gebaseerd op een initiële risico-inschatting. De uitvoering van de controles kan dan bijvoorbeeld door de (interne) auditafdeling gebeuren. Deze controles zijn gericht op zowel financiële als niet-financiële (kwantitatieve en kwalitatieve) waarden van de organisatie. Zodoende is de Raad van Bestuur, via het interne auditcommissie, in staat de algehele doeltreffendheid van het systeem van interne beheersing periodiek te beoordelen. Ook kunnen enkele
operationele audits uitgevoerd worden, die meer het karakter hebben van beoordeling van de effectiviteit en efficiency van de primaire processen.
De financiële functionaris binnen de zorginstelling, bijvoorbeeld de controller, kan een belangrijk rol vervullen binnen de toepassing van risicomanagement. Kenmerkend voor