In hoofdstuk 3 is een normenkader opgesteld waarmee de laatste deelvraag van het onderzoek beantwoord kan worden:
In welke mate wordt er ingegaan op de risicobeheersing van de geïdentificeerde risico’s in het jaardocument over 2010?
Met het normenkader wordt inzichtelijk gemaakt hoe de 10 grootste GGZ instellingen omgaan met de risicoparagraaf, wat ze per individueel risico toelichten en of ze de belangrijkste risico’s benoemen.
In dit hoofdstuk worden de resultaten van de analyse op de jaardocumenten van het jaar 2010 beschreven. De resultaten worden in verschillende paragrafen toegelicht, hierbij wordt de volgorde van het normenkader aangehouden. In de eerste paragraaf wordt ingegaan op het algemene beeld van de analyse op de jaardocumenten. In paragraaf twee wordt dieper ingegaan op de risicoparagraaf van het jaardocument. In de derde paragraaf wordt beschreven hoe uitgebreid instellingen ingaan op de risico’s. Wordt het risico gekoppeld aan een strategische doelstelling en wordt er een oorzaak-gevolg relatie benoemd bij een risico? In paragraaf vier wordt tenslotte beschreven of de instellingen ingaan op de belangrijkste risico’s, zoals deze benoemd zijn door de professionals.
4.1 Inleiding
De resultaten van de analyse op de jaardocumenten zijn opmerkelijk te noemen. De verwachting was dat alle GGZ instellingen in ieder geval kort in zouden gaan op de risico’s en onzekerheden die de instelling loopt. Uit de analyse blijkt dat dit niet het geval is.
Verder is onderzocht welke accountant een verklaring heeft afgegeven bij de verschillende instellingen. De tien grootste instellingen worden gecontroleerd door Ernst & Young (E&Y), PwC of door KPMG. Uit de analyse blijkt dat er geen verband is tussen de hoeveelheid benoemde risico’s en de accountant. E&Y is de controlerend accountant van Altrecht, de instelling die de meeste risico’s benoemd maar E&Y is tegelijkertijd ook accountant van de instelling die maar 25% van de risico’s benoemd (Stichting Rivierduinen). Ook voor de andere instellingen is geen verband te leggen tussen de controlerend accountant en de hoeveelheid risico’s.
Vanuit eerdere onderzoeken naar risicoverslaggeving (Beretta en Bozzolan (2004), Mohobbot (2005), Linsley en Shrives (2006) en Kajüter en Esser (2007)), is een verband vastgesteld tussen de grootte van de onderneming en de mate van risicoverslaggeving. Op basis van deze onderzoeken was de verwachting dat de grootste GGZ instellingen redelijk uitgebreid in zouden gaan op de risico’s en onzekerheden waar zij mee te maken heeft. Gemiddeld geeft maar 43% van de instellingen de elementen weer zoals deze beschreven staan in het normenkader. Daarbij geeft Altrecht het beste haar risico’s weer (65%) en Pro Persona geeft op geen enkele wijze invulling aan het formuleren van risico’s en beheersingsmaatregelen.
In alle jaardocumenten wordt op verschillende manieren ingegaan op de ontwikkelingen waar de risico’s uit voort komen. Ook Pro Persona gaat wel in op ontwikkelingen maar noemt hierbij geen risico’s. Bij 80% van de jaardocumenten wordt ingegaan op ontwikkelingen en risico’s. 10% van de jaardocumenten spreekt over aandachtspunten in plaats van risico’s. Omdat de aandachtspunten ingingen op de ontwikkelingen in de sector is er in dit onderzoek vanuit gegaan dat met aandachtspunten risico’s worden bedoeld.
Wat bijzonder was dat bij één van de 10 geanalyseerde jaardocumenten geen afzonderlijke risico’s terug te vinden waren maar werd een algemene beschrijving gegeven, zoals hieronder weergegeven:
‘Binnen twee jaar na haar ontstaan, zullen de ondersteunende diensten en de zorgonderdelen van de dochterstichtingen en de Pompestichting zich in een nieuwe organisatorische structuur gevoegd hebben. Los van de toenemende risico’s die de herziening van het zorgstelsel en de ingezette economische crisis voor de organisatie in het algemeen met zich brengen is een dergelijke fase van ontwikkeling voor een grote organisatie vol risico’s en kansen’. (Pro Persona)
In de risicoparagraaf en in het verdere jaardocument wordt niet ingegaan op specifieke risico’s en maatregelen die zijn getroffen.
4.2 Risicoparagraaf
In deze paragraaf wordt ingegaan op de risicoparagraaf van het jaardocument. In paragraaf 1.3 is vastgesteld dat GGZ instellingen in Nederland in het jaardocument een beschrijving moeten geven welke risico’s, kansen en onzekerheden zij ziet en welke maatregelen zijn genomen om de risico’s te beheersen. In het jaardocument komt deze beschrijving terug onder paragraaf 3.4 Bedrijfsvoering. In de subparagrafen zal worden ingegaan op de verschillende elementen van het normenkader. Op het element prioriteitenvolgorde zal niet in een afzonderlijke paragraaf worden ingegaan omdat slechts bij één van de geanalyseerde jaardocumenten is vastgesteld dat de belangrijkste risico’s specifiek worden benoemd en daarmee prioriteit wordt gegeven aan de belangrijkste risico’s. Hieruit kan geconcludeerd worden dat GGZ instellingen in hun jaardocument nog niet laten zien welke prioriteit zij geven aan de verschillende risico’s.
Figuur 5. Analyse Risicoparagraaf
0% 10% 20% 30% 40% 50% 60% 70% 80%
Risicoparagraaf
Risicoparagraaf4.2.1. Benoeming en toelichting specifieke risico’s
Uit de analyse (zie figuur 5) van de risicoparagraaf blijkt dat niet alle GGZ instellingen een beschrijving geven van de specifieke risico’s waar het mee te maken heeft. Dit is een opvallende uitkomst omdat de GGZ instellingen het jaardocument aan moeten leveren volgens het standaard document. Hierin wordt benoemd dat de instelling een beschrijving dienen te geven van de risico’s. 30% van de instellingen benoemt geen specifieke risico’s in het jaardocument. In de gevallen waarin geen specifieke risico’s worden genoemd, wordt er een korte beschrijving gegeven zoals onderstaande tekst opgenomen (Cordaan, pag. 34)
‘Minimaal twee maal per jaar vindt een expliciete omgevings- en risicoanalyse plaats. Bij de vaststelling van het jaarplan en de begroting en bij de vaststelling van het jaardocument en de jaarrekening. Het gaat om zowel interne als externe risico’s’.
Er worden in drie van de tien geanalyseerde jaardocumenten geen risico’s apart benoemd in de paragraaf bedrijfsvoering. De andere zeven instellingen gaan verschillend in op de specifieke risico’s. Bij een aantal instellingen wordt in de risicoparagraaf uitgebreid ingegaan op de risico’s en wordt ook ingegaan op de beheersingsmaatregelen horende bij de risico’s. Bij andere instellingen (10%) worden de risico’s kort benoemd en wordt daarna verwezen naar de paragraaf waar de risico’s worden toegelicht. Omdat in deze gevallen niet wordt ingegaan op de beheersingsmaatregelen in de risicoparagraaf maar de maatregelen wel terugkomen in het jaardocument, is in deze gevallen de helft van de punten toegekend. In de toelichting bij het jaardocument wordt niet toegelicht in hoeverre er ingegaan moet worden op de beheersingsmaatregelen horende bij de risico’s. Uit de analyse blijkt dat wanneer een instelling een risico benoemt, de instelling in meer of mindere mate ook ingaat op de beheersingsmaatregelen die het heeft getroffen om het risico af te dekken.
4.2.2 Classificeren van risico’s
In hoofdstuk 2 is vastgesteld dat het classificeren van risico’s wordt aangemoedigd vanuit de literatuur. Daarnaast schrijft ook de RJ dit voor. De RJ geeft handvatten voor het beschrijven van risico’s en noemt verschillende categorieën. Uit de analyse blijkt dat de helft van de instellingen ook andere categorieën risico’s noemt dan financiële risico’s. Veel risico’s worden echter gekoppeld aan financiële gevolgen. Één instelling noemde verschillende categorieën risico’s maar classificeerde de risico’s niet naar de verschillende categorieën. 40% van de instellingen gaat uitgebreid in op de categorieën en classificeren de risico’s ook naar verschillende categorieën. Een voorbeeld is hieronder weergegeven (Lentis, p.33)
‘Hieronder volgt een overzicht van de ontwikkelingen en risico’s op basis van het Healthcare Control Web, een tool van PwC waarmee de belangrijkste interne beheersingsmaatregelen in kaart worden gebracht’.
Lentis heeft de risico’s ondergebracht in verschillende categorieën en benoemt hierbij de ontwikkeling en het risico dat hieruit voortkomt en de maatregelen waarmee het risico wordt afgedekt. Lentis heeft de risico’s niet benoemd in de categorieën zoals deze zijn beschreven in dit onderzoek (strategisch, operationeel, financieel en
compliance) maar legt wel uit in welke categorieën ze wel zijn onderverdeeld. Geen van de onderzochte instellingen benoemd de risico’s in categorieën zoals opgenomen in het COSO model.
4.2.3 Risicomanagementsysteem
De Zorgbrede Governance Code schrijft voor dat de RvB zorg draagt voor een op de organisatie toegesneden, intern risicobeheersings- en controlesysteem. Uit de analyse blijkt dat 60% van de geanalyseerde instellingen aangeven dat er gebruik gemaakt wordt van een risicomanagementsysteem en de wijze waarop dit systeem is geïmplementeerd binnen de organisatie. In al deze gevallen is het risicomanagementsysteem onderdeel van de planning & control cyclus. Er wordt op verschillende manieren aandacht geschonken aan het systeem. 20% van de instellingen geven aan gebruik te maken van INK model1 ter ondersteuning van de planning & controlcyclus. Opvallend bij de analyse was dat alle instellingen aandacht besteden aan het gebruik van een veiligheidsmanagementsysteem. Een veiligheidsmanagementsysteem vormt het systeem waarmee GGZ-instellingen continue risico’s signaleren, verbeteringen doorvoeren en beleid vastleggen, evalueren en aanpassen. Door het systeem wordt de patiëntveiligheid in de praktijk verankerd (GGZ Nederland, 2011). Het wordt gelijk aan het risicomanagementsysteem genoemd en maakt ook onderdeel uit van de planning & controlcyclus. Dit onderdeel is op voorhand niet meegenomen in de analyse maar het geeft wel aan dat GGZ-instellingen willen laten zien op welke manier zij de patiëntveiligheid willen waarborgen.
4.3 Individuele risico’s
In deze paragraaf wordt ingegaan op de individuele risico’s. Dit om vast te stellen in hoeverre de instellingen transparant zijn als het gaat om de toelichting van individuele risico’s. Een aantal risico’s kwamen niet terug in de risicoparagraaf maar in een ander gedeelte van het jaardocument. Van deze risico’s is onderzocht of deze gekoppeld waren aan een doelstelling, of er beheersingsmaatregelen benoemd worden die het risico afdekken en of de oorzaak en het gevolg benoemd wordt bij het risico. Er werd in geen van de jaardocumenten een duidelijke relatie gelegd tussen de oorzaak van het risico, het risico zelf en het gevolg dat het risico met zich mee brengt.
Figuur 6. Analyse individuele risico’s
1Het INK-managementmodel is bedoeld voor organisaties om een zelfevaluatie uit te voeren. Hiermee kan de volwassenheid van de organisatie worden bepaald en kunnen verbeterpunten worden geïdentificeerd. Het model helpt organisaties te focussen op de gebieden, waar verbeteringen mogelijk zijn (Bron: http://nl.wikipedia.org/wiki/INK-model).
0% 10% 20% 30% 40% 50% 60%
Risico verbonden aan
doelstelling Beheersingsmaatregel genoemd Oorzaak en gevolg bij risico
Individuele risico's
4.3.1 Koppeling risico’s aan doelstellingen
Vanuit de literatuur worden risico’s gekoppeld aan het behalen van doelstellingen. In paragraaf 2.1 worden risico’s omschreven als ontwikkelingen en gebeurtenissen in de interne en externe omgeving van organisaties die realisatie van de doelstellingen van de organisatie kunnen bedreigen (de Groot, 2009). Het is daarom van belang risico’s te koppelen aan doelstellingen. Ook tijdens de interviews kwam dit meerdere malen ter sprake. Risico’s worden weliswaar geclassificeerd naar categorieën maar zouden ook gekoppeld kunnen worden aan doelstellingen. In het normenkader is daarom de koppeling van een risico aan een doelstelling meegenomen als element. De koppeling van risico’s aan doelstellingen is nog niet ver ontwikkeld in de GGZ sector. 80% van de instellingen koppelt haar risico’s (nog) niet aan doelstellingen. In een aantal gevallen wordt de koppeling genoemd in de paragraaf bedrijfsvoering maar worden er geen specifieke risico’s en doelstellingen aan elkaar gekoppeld. Een voorbeeld hiervan is hieronder weergegeven (Dimence, p. 29).
‘Dimence ziet risicomanagement als het beheersen van risico’s die het behalen van haar organisatiedoelstellingen bedreigen. Dit kunnen financiële risico’s zijn, maar ook risico’s op het gebied van patiënt- en medewerkerveiligheid of vastgoed’.
Uit bovenstaand voorbeeld blijkt dat de risico’s niet individueel gekoppeld worden aan doelstellingen. De koppeling word wel indirect gemaakt maar de risico’s en doelstellingen worden niet specifiek benoemd.
4.3.2 Benoeming beheersingsmaatregelen
Vanuit het jaardocument wordt een instelling gevraagd te beschrijven welke maatregelen zijn genomen om risico’s te beheersen. In paragraaf 4.1 is deels meegenomen in hoeverre de risico’s worden toegelicht. In deze analyse zijn halve punten toegekend aan de instellingen die bij een aantal maar niet bij elk risico de maatregelen noemt die het afdekt. Vanuit de analyse blijkt dat 50% van de instellingen haar beheersingsmaatregelen noemt per risico. Dit komt overeen met de onderzoeksresultaten van Van der Beek et al. (2009) bij een analyse naar de risicoverslaggeving van ziekenhuizen waarbij 53% van de ziekenhuizen aangaf met welke beheersingsmaatregelen de risico’s werden afgedekt.
De Groot (2010) geeft aan dat het beschrijven van oorzaken en gevolgen bijdraagt aan transparante risico-verslaggeving. Bij geen van de instellingen worden specifieke oorzaken en gevolgen van risico’s beschreven. Wel worden de ontwikkelingen in de sector beschreven. Bij een aantal instellingen wordt daarbij ook aangegeven dat er door de ontwikkelingen en bezuinigingen risico’s bestaan voor de organisatie, alleen worden er geen specifieke risico’s benoemd. In het jaardocument van Arkin wordt dit als volgt beschreven:
‘Omdat het ondernemen als GGZ-instelling steeds risicovoller wordt door o.a. de veranderingen in de financiering en de toename van de concurrentie wordt integraal risicomanagement steeds belangrijker. Daarom wordt in 2011 gestart met het op gecoördineerde wijze inzicht krijgen in de risico’s die Arkin loopt en in de beheersing daarvan’.
In dit jaardocument wordt wel aangegeven dat er in 2011 gestart wordt met het inzicht in risico’s en de beheersing daarvan. Dit komt terug in meerdere documenten, hieruit kan geconcludeerd worden dat GGZ instellingen wel bezig zijn om hun risicoverslaggeving verder te ontwikkelen.
4.4 Benoeming van belangrijkste risico’s
Uit de gesprekken met professionals zijn risico’s naar voren gekomen die door het maatschappelijk verkeer als belangrijk zijn geïdentificeerd. Deze elementen zijn verwerkt in het laatste gedeelte van het normenkader. In deze paragraaf wordt inzichtelijk gemaakt in hoeverre de GGZ instellingen ingaan op de individuele risico’s zoals beschreven in het normenkader.
Figuur 7. Benoeming risico’s
Zoals uit bovenstaande grafiek is af te leiden, wordt door 90% van de instellingen het waarderingsrisico benoemd in het jaardocument. Het waarderingsrisico is hiermee het meest genoemde risico. Het bezettingsrisico volgt, 60% van de instellingen geeft aan dat zij de verschuiving tussen klinische en ambulante zorg als een risico zien. Het ICT risico is met het personeelsrisico het minst genoemde risico, bij slechts drie van de instellingen worden deze benoemd. Het lage percentage met betrekking tot het personeelsrisico kan als oorzaak hebben dat niet alle regio’s in Nederland met krapte op de arbeidsmarkt te maken hebben. Tijdens het interview werd door één van de geïnterviewden al aangegeven dat dit risico niet bij elke instelling aan de orde zou zijn omdat dit een regiogevoelig risico betreft.
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%
Benoeming risico's
Benoeming risico'sHet patiëntveiligheidsrisico wordt bij 40% van de instellingen als risico gegeven. Daarbij is opmerkelijk dat alle instellingen, zoals eerder aangegeven in paragraaf 4.2.3 wel ingaan op de veiligheid van patiënten, echter ziet 40% van de instellingen dit niet als risico. Het prijsrisico en compliancerisico worden bij 40% van de instellingen genoemd als risico. Deze risico’s worden bij minder dan de helft van de instellingen aangemerkt als risico en het lijkt er hierdoor op dat instellingen deze risico’s van minder groot belang vinden dan bijvoorbeeld het waarderingsrisico.
Er worden gemiddeld 4,6 van de tien belangrijkste risico’s vermeld in de jaardocumenten die tijdens de interviews geïdentificeerd zijn. Hierbij geeft één instelling acht van de belangrijkste risico’s weer en één instelling geeft geen enkel specifiek risico. Opmerkelijk is dat de grootste GGZ instelling tevens de meeste risico’s weergeeft.