5.1 Samenvatting
Ik heb onderzoek gedaan naar risicomanagement bij zorginstellingen. Ik heb onderzoek gedaan naar of zorginstellingen een formeel beleid van risicomanagement toepassen. Daarnaast heb ik onderzoek gedaan naar of de zorginstellingen bekend zijn met het COSO ERM raamwerk en of ze dit ook op dit moment toepassen of dat ze van plan zijn om het in de toekomst toe te gaan passen. Daarnaast heb ik onderzoek gedaan naar wat de zorginstellingen belangrijke thema’s (risicogebieden) vinden waar het risicomanagement van toegevoegde waarde zou zijn voor de zorginstelling. Als laatste heb ik onderzocht wat de ambitie is van de zorginstellingen met betrekking tot het toepassen van risicomanagement.
Allereerst heb ik een theoretische beschouwing gegeven van wat het COSO ERM raamwerk is en hoe op dit moment risicomanagement is verankerd in de wet- en regelgeving en/of andere geldende normen.
Het COSO ERM raamwerk kan beschouwd worden als het wereldwijd geaccepteerde raamwerk voor het organiseren van risicomanagement in organisaties. Het raamwerk is ontwikkeld om aan de behoefte te voldoen om een model voor risicomanagement op te stellen waarmee organisaties geholpen worden om effectieve programma’s te bouwen voor het identificeren en beoordelen van risico’s en voor het reageren op deze risico’s (Chapman, 2003). Een belangrijk aspect van het COSO ERM raamwerk is dat het voor de organisaties mogelijk is om organisatiebreed risico’s in kaart te brengen en te beheersen. Het COSO ERM raamwerk heeft een toegevoegde waarde een organisatie. Doordat het raamwerk risico’s op verschillende gebieden in kaart brengt en beheersingsmaatregelen op deze risico’s opstelt, die het behalen van de doelstellingen kunnen belemmeren, is het voor de organisatie mogelijk om met een zekere mate van zekerheid te kunnen stellen dat de doelstellingen worden behaald. Beursgenoteerde bedrijven in Nederland moeten voldoen aan de Nederlandse corporate governance code. Deze code geeft aan dat het beursgenoteerde bedrijf aan moet geven welk raamwerk of model de organisatie gebruikt voor het organiseren van risicomanagement. Als voorbeeld wordt het eerste raamwerk van COSO uit 1994 genoemd. Zorginstellingen in Nederland moeten voldoen aan de Zorgbrede Governance code. In deze Zorgbrede Governance code staat niet aangegeven dat de zorginstelling aan moet geven welk raamwerk of model is gebruikt voor het organiseren van risicomanagement. Tevens wordt er in de code ook geen voorbeeld gegeven met betrekking tot welke raamwerk of model de zorginstelling zou kunnen gebruiken voor de toepassing van risicomanagement.
Om te onderzoeken hoe de stand van zaken op dit moment is met betrekking tot de toepassing van risicomanagement in de branche gezondheidszorg heb ik een enquête via het internet afgenomen onder de honderd grootste zorginstellingen in Nederland. Vijfenveertig zorginstellingen hebben gereageerd op het verzoek om mee te doen met het onderzoek en hebben de enquête ingevuld.
Uit de resultaten van de enquête blijkt dat net iets meer dan de helft van de geënquêteerde zorginstellingen op dit moment een formeel beleid voor risicomanagement in de organisatie heeft. Dit formele beleid is bij de meeste zorginstellingen in de afgelopen drie jaar vormgegeven. Van de zorginstellingen die een formeel beleid voor het toepassen van risicomanagement hebben past ongeveer éénderde het COSO ERM raamwerk geheel of gedeeltelijk toe in de zorginstelling. Daarnaast zijn twaalf zorginstellingen die op dit moment niet het COSO ERM raamwerk gebruiken voor het organiseren van risicomanagement of die op dit moment nog helemaal geen formeel beleid voor risicomanagement hebben van plan om het COSO ERM raamwerk in de toekomst toe te gaan passen in de zorginstelling.
Daarnaast is aan de zorginstelling gevraagd wat zij belangrijke thema’s vinden waarop het risicomanagement van toegevoegde waarde zou zijn. Ofwel waar liggen voor de zorginstelling belangrijke risico’s die beheerst zouden moeten worden. Uit de resultaten blijkt dat de meerderheid van de zorginstellingen alle elf genoemde thema’s belangrijk of zeer belangrijk vindt. Hieruit blijkt dat de zorginstellingen organisatiebreed risico’s zouden willen beheersen.
Als laatste is onderzoek gedaan naar wat de ambities zijn van de zorginstellingen met betrekking tot het toepassen van risicomanagement. Uit de resultaten blijkt dat de zorginstellingen ambities hebben om een uitgebreide vorm van risicomanagement in de zorginstelling toe te gaan passen. Drieëntwintig van de vijfenveertig zorginstellingen hebben de ambitie om risico’s te bespreken en te documenteren, om beheersingsmaatregelen aan deze risico’s te koppelen en om testwerkzaamheden op de beheersingsmaatregelen uit te voeren om de juiste werking van de beheersingsmaatregelen te testen. Op dit moment passen vier van de vijfenveertig zorginstellingen deze vorm van risicomanagement toe.
5.2 Conclusie
Op basis van de behandeling van de deelvragen in de voorgaande hoofdstukken zal ik nu een antwoord formuleren op de hoofdvraag:
In hoeverre is het COSO ERM raamwerk geschikt om in de branche gezondheidszorg risicomanagement te organiseren?
In de hoofdvraag wil ik te weten komen of het COSO ERM raamwerk geschikt is om in de branche gezondheidszorg risicomanagement te organiseren. Om hier een antwoord op te kunnen formuleren heb ik op basis van de deelvragen onderzoek gedaan naar het risicomanagement bij de zorginstellingen.
Op dit moment heeft ongeveer de helft van de onderzochte zorginstellingen een formeel beleid voor het toepassen van risicomanagement. In de komende jaren zullen denk ik nog meer zorginstellingen hun aandacht gaan richten op het toepassen van risicomanagement in hun zorginstelling. Ik ben van mening dat als dit onderzoek over een vijf jaar herhaald zal worden dan zullen meer zorginstellingen een formeel beleid voor het toepassen van risicomanagement in de zorginstelling hebben en dat de zorginstellingen ook vaker de uitgebreide vorm van risicomanagement zullen toepassen voor het organiseren van risicomanagement.
Op basis van de beantwoording van de deelvragen ben ik van mening dat het COSO ERM raamwerk geschikt is om het risicomanagement voor zorginstellingen te organiseren. Deze redenering is gebaseerd op twee onderliggende redenen. De eerste reden dat ik van mening ben dat het COSO ERM raamwerk geschikt is om risicomanagement te organiseren voor zorginstellingen is dat de zorginstellingen aan hebben gegeven een breed scala aan thema’s belangrijk vinden waarvoor het risicomanagement van toegevoegde waar zou zijn. Hierdoor vinden zorginstellingen het belangrijk dat risico’s organisatiebreed in kaart worden gebracht en beheerst. Het COSO ERM raamwerk kan hiervoor goed gebruikt worden. Een belangrijk kenmerk van het raamwerk is dat het organisaties in staat stelt om organisatiebreed risico’s te beheersen. De tweede reden is dat de meerderheid van de zorginstellingen de ambitie heeft om een uitgebreide vorm van risicomanagement toe te gaan passen, waarin risico’s worden besproken en gedocumenteerd, beheersingsmaatregelen aan deze risico’s worden gekoppeld en vervolgens testwerkzaamheden plaatsvinden om te testen of de beheersingsmaatregelen ook daadwerkelijk het gewenste resultaat opleveren. Het COSO ERM raamwerk sluit hier goed op aan. Het raamwerk bestaat uit acht componenten. Deze acht componenten zijn samen te vatten als het bepalen van de te beheersen doelstellingen, het bepalen van de risico’s, het nemen van risicomitigerende maatregelen en bewaking en bijsturing. Dit sluit natuurlijk goed aan bij de ambitie van de meerderheid van de zorginstellingen. Als de zorginstellingen het gehele COSO ERM raamwerk toepassen dan zullen ze een risicomanagement aanpak hebben die aansluit bij hun ambitie.
Uit de enquête blijkt dat ongeveer de helft van de zorginstellingen een formeel beleid voor het toepassen van risicomanagement heeft. Ik heb de enquête gehouden onder de honderd grootste zorginstellingen van Nederland en mijn verwachting was dat bijna iedere zorginstelling wel een formeel beleid voor risicomanagement zou hebben. Het blijkt dat in de
afgelopen drie jaren er bij veel zorginstellingen begonnen is met het toepassen van risicomanagement. Ik denk dat over een vijftal jaren het aantal zorginstellingen met een formeel beleid voor het toepassen van risicomanagement dan ook aanzienlijk groter is dan dat nu het geval is. Dit blijkt ook uit de ambitie die de zorginstellingen op dit gebied hebben. Daarnaast vond ik het verassend dat maar weinig zorginstellingen gebruik maakten van het COSO ERM raamwerk, terwijl dit raamwerk wereldwijd geaccepteerd is als het raamwerk voor het toepassen van risicomanagement en het organisaties in staat stelt om organisatiebreed risico’s te beheersen. Dit laatste sluit aan bij de resultaten van de enquête waarin de zorginstellingen hebben aangegeven dat zij verschillende risicogebieden belangrijk vinden om aandacht aan te besteden. Ik denk dat dit een belangrijk punt is voor het toepassen van het COSO ERM raamwerk. Vanuit de zorginstellingen komt duidelijk naar voren dat zij verschillende risicogebieden belangrijk vinden om het risicomanagement te organiseren. Dit is een goed uitgangspunt voor de zorginstellingen om het COSO ERM raamwerk toe te gaan passen in hun organisatie.
HOOFDSTUK 6 EVALUATIE
6.1 Terugblik
Op deze plaats wil ik graag even terugblikken op het onderzoek dat ik gedaan heb. Ik ben redelijk tevreden met hoe het onderzoek verlopen is. Het heeft wel iets langer geduurd dan dat ik zelf van te voren had bedacht. Ik had voor mezelf een planning gemaakt dat ik rond het begin van de zomervakantie mijn scriptie af zou hebben. Uiteindelijk had ik voor de zomervakantie de eerste globale versie af. Vervolgens heb ik na de zomervakantie de draad weer opgepakt en de scriptie afgrond tot de staat waarin hij nu verkeerd. Eén van de redenen dat het later is geworden dan ik had verwacht is dat het opstarten van het onderzoek, het goed onderbouwen van de hoofd- en deelvragen en het goed afbakenen van het onderzoek toch wat meer tijd in beslag nam dan dat ik van te voren zelf had gedacht. Bij bet starten van mijn afstudeerstage had ik nog geen concreet onderwerp voor mijn scriptie. Hierdoor ben je de eerste weken bezig met het zoeken van een onderwerp en vervolgens je te verdiepen in het onderwerp en er veel over lezen. Daarna begint het proces van opstellen van hoofd- en deelvragen en het onderbouwen van deze hoofd- en deelvragen.
Bij dit proces heb ik veel begeleiding en ondersteuning gehad van mijn begeleider bij KPMG en van mijn begeleider van de universiteit. Deze begeleiding en ondersteuning is voor mij heel belangrijk geweest om uiteindelijk met een concrete probleemstelling te komen en een plan om het onderzoek uit te gaan voeren.
Ik heb er voor gekozen om via een enquête mijn data te verzamelen. Ik was zeer verrast met het responspercentage van 45%. Vooraf had mijn begeleider van de universiteit gezegd dat ik blij mocht zijn als ik twintig van de honderd verstuurde enquêtes terug zou krijgen. Uiteindelijk heb ik van vijfenveertig zorginstellingen de enquête terug mogen ontvangen. Ik denk dat dit vooral komt door het online afnemen van de enquête en dat daarnaast het onderwerp ook leeft bij de zorginstellingen. De zorginstellingen die niet binnen de termijn gereageerd hebben, hebben vervolgens nog een herinnering ontvangen om alsnog deel te nemen aan het onderzoek. Op deze herinnering hebben veel mensen gereageerd en vrijwel kort daarna de enquête ingevuld op de website.
Voordat ik was begonnen met het uitvoeren van het onderzoek had ik voor mezelf in gedachten hoe zorginstellingen met risicomanagement bezig zouden zijn. Ik verwachtte dat veel van de honderd grootste zorginstellingen in Nederland risicomanagement in hun zorginstelling zouden toepassen. Daarnaast verwachtte ik dat als de zorginstellingen risicomanagement zouden toepassen dat ze dan gebruik zouden maken van het wereldwijd
geaccepteerde raamwerk voor het toepassen van risicomanagement, het COSO ERM raamwerk. De uitkomsten van de enquête kwamen voor mij als verassing. Ik had verwacht dat meer zorginstellingen een formeel beleid voor het toepassen van risicomanagement zouden hebben en dat ze ook meer gebruik zouden maken van het COSO ERM raamwerk.
Mijn onderzoek heeft voor mij in ieder geval duidelijk gemaakt dat nog niet iedere grote organisatie een formeel beleid voor het toepassen van risicomanagement heeft en dat niet overal het COSO ERM raamwerk wordt gebruikt om risicomanagement te organiseren.
Na het kiezen van een onderwerp, het formuleren van de hoofd- en deelvragen en het uitvoeren van het onderzoek moet als laatste stap nog genomen worden dat alles opgeschreven moet worden. Het schrijven is niet iets dat mij eenvoudig afgaat, heb ik de afgelopen periode vernomen. Dit proces heeft ook langer geduurd dan dat ik van te voren in gedachten had.
Na het doen van dit onderzoek zijn er toch een aantal punten die ik liever anders had willen doen. Ten eerste het kiezen van een onderwerp. Ik had veel eerder moeten beginnen met het nadenken over mogelijke onderwerpen. Als je wilt beginnen met het schrijven van je scriptie en je hebt nog geen idee waarover je het wilt doen dan ben je zo een paar weken verder en dat is jammer van de tijd. Als ik van te voren een onderwerp had gekozen en concreet had gemaakt wat ik vervolgens wou onderzoeken dan had ik eerder met het daadwerkelijk onderzoek kunnen beginnen en dat biedt vervolgens wat extra ruimte in de planning. Ten tweede had ik nog graag een verdiepingsslag willen maken in het onderwerp. Ik had graag als aanvulling op het onderzoek wat ik nu heb uitgevoerd ook in kaart willen brengen wat een zorginstelling zou moeten doen als de zorginstelling het COSO ERM raamwerk wil gebruiken voor het organiseren van risicomanagement. Tijdens een interview met een concerncontroller van één van de zorginstellingen is mij duidelijk geworden dat het niet mogelijk was om dit te realiseren met een aantal interviews. Om dit wel te kunnen doen moet er bij verschillende zorginstellingen interviews plaatsvinden op alle niveaus in de organisatie en dit was niet realiseerbaar voor mijn onderzoek. En als laatste punt zou ik mijn planning anders hebben opgezet. Aangezien ik nu geleerd heb dat van het kiezen van een onderwerp tot het daadwerkelijk hebben van concrete hoofd- en deelvragen er paar weken voorbij gaan. En dat het schrijven van de uiteindelijke scriptie voor mij in ieder geval toch wat langer geduurd heeft dan ik van te voren had gedacht zou ik bij een nieuw uit te voeren onderzoek meer tijd voor deze onderdelen inruimen.
6.2 Aanbevelingen
Op deze plaats wil ik nog een aantal suggesties doen voor vervolgonderzoek. Ik heb in mijn scriptie alleen onderzoek gedaan naar de honderd grootste zorginstellingen in Nederland. Interessant om verder onderzoek naar te doen is of de gevonden resultaten in dit onderzoek ook gelden bij alle zorginstellingen in Nederland. Daarnaast is het interessant om het onderzoek over een aantal jaren te herhalen omdat gebleken is dat de zorginstellingen die op dit moment een formeel beleid voor risicomanagement hebben, dit beleid in de afgelopen drie jaren vorm hebben gegeven. Mijn verwachting is dat er de komende jaren nog veel verandert op het gebied van risicomanagement in de branche gezondheidszorg en daarom is het denk ik interessant om over een vijftal jaren te onderzoeken hoe de stand van zaken dan is bij de zorginstellingen met betrekking tot de toepassing van risicomanagement. Een laatste suggestie voor vervolgonderzoek is het in kaart brengen hoe een zorginstelling het COSO ERM raamwerk het beste geïmplementeerd kan worden in de zorginstelling. Als in kaart wordt gebracht welke stappen een zorginstelling zou moeten nemen wanneer men het COSO ERM raamwerk wil toepassen dan zou dit veel waarde kunnen hebben voor zorginstellingen die het COSO ERM raamwerk in de toekomst toe willen gaan passen. In het kader van het hebben van te weinig tijd heb ik niet de mogelijkheid gehad om aan dit onderwerp eveneens aandacht te schenken. Ik heb wel vernomen dat dit vanuit de zorginstellingen als zeer waardevol wordt gezien.
LITERATUURLIJST
Aanen, D.K. (2006). De zorgbrede governancecode. Zorg & Financiering maart 2006
Beasley, M.S., Clune, R., Hermanson, D.R. (2005). ERM a status report. Internal Auditor vol. 62: 67-72.
Chapman, C. (2003). Bringing ERM into focus. Internal Auditor vol. 60: 30-35
Ching, W.R.H. (2003). Enterprise Risk Management: Laying a broader framework for health care risk management. Health Care Risk Management
Commissie Corporate Governance, De Nederlandse corporate governance code: Beginselen van deugdelijk ondernemingsbestuur en best practice bepalingen (2003).
Commissie Meurs, Health Care Governance (1999).
Committee of Sponsoring Organisations of the Treadway Commission (COSO), Integrated Control framework (1992).
Committee of Sponsoring Organisations of the Treadway Commission (COSO), Enterprise Risk Management – Integrated Framework (2004).
Emanuels, J.A. (2005). Interne beheersing: in control of in de krant? Rijksuniversiteit Groningen: Oratie
Emanuels, J.A., de Munnik, W.G. (2006). Enterprise Risk Management: een risicobeheersingssysteem voor organisaties. Maandblad voor Accountancy en Bedrijfseconomie vol. 6: 294-299.
Francis, S., Paladino, B. (2008). Enterprise Risk Management: a best practice approach. Journal of Corporate Accounting & Finance vol. 19: 19-33.
Fraser, J.R.S., One, H., Simkins, B.J. (2007). Ten common misconceptions about enterprise risk management. Journal of Applied Corporate Finance vol. 19: 75-81.
Leeuw, A.C.J. de. (2001). Bedrijfskundige methodologie. Management van onderzoek. Koninklijke Van Gorcum B.V. Assen.
PriceWaterhouseCoopers, Zorgvisie (2007). Top-100 Zorgaanbieders. Zorgvisie oktober 2007.
Shimpi, P. (2005). ERM – From compliance to value. Financial Executive vol. 21: 52-55.
Snapper, H.A., Swagerman, D.M. (2007). Enterprise Risk Management bij ziekenhuizen. ControllersMagazine vol. 4: 32-35
Stroh, P.J. (2005). Enterprise Risk Management at Unitedhealth Group. Strategic Finance: 27-35.
Voetelink, D. (2007). Integrale visie op risico’s is bepalend voor succes van managers. Z-E Magazine vol. 1: 14-17.
Wilders, Y. (2007). Bouwstenen voor praktisch risicomanagement. Z-E Magazine vol. 1: 34-37.
Zee, F. van der (2004). Kennisverwerving in de Empirische Wetenschappen. Boeken over Methoden van Onderzoek voor het Onderwijs en andere Organisaties. Groningen.
Zee, F. van der (2007). De enquête, het maken van een goede vragenlijst. Boeken over Methoden van Onderzoek voor het Onderwijs en andere Organisaties. Groningen.