Integraal risicomanagement in de zorgsector

Integraal risicomanagement in

de zorgsector

Integraal risicomanagement in

de zorgsector

- “zorg voor transparantie” -

Auteur:

H.D.E.M. Mennen

Studentnummer:

1060368

Opleiding:

Master Accountancy & Controlling

Afstudeervariant:

Accountancy

Universiteit:

Rijksuniversiteit Groningen (RuG)

Faculteit:

Faculteit Economie en Bedrijfskunde

Datum:

Oktober 2008

Eerste begeleider RuG: drs. ing. G.H. Keppels RA

Tweede begeleider RuG: dr. R.B.H. Hooghiemstra

Voorwoord

Deze scriptie is geschreven ter afsluiting van de studie Master of Science/ doctoraal in Accountancy aan de Faculteit Economie en Bedrijfskunde aan de Rijksuniversiteit Groningen.

De afgelopen maanden heb ik onderzoek gedaan naar de toepassing van integraal risicomanagement in de zorgsector. Dit heb ik gedaan door middel van een

jaarverslaganalyse onder ziekenhuizen en AWBZ-zorginstellingen in Nederland. Het resultaat van dit onderzoek ligt hier voor u. Ik hoop met dit onderzoek een bruikbare en innovatieve bijdrage te hebben geleverd in de verduidelijking van de toepassing van risicomanagement in de zorgsector.

Graag wil ik ook nog even enige toelichting geven op de keuze van de afbeelding met de quote “Never, never, never quit” van Winston Churchill. Eind december 2007 kreeg ik van een cliënt een kalender met hierop diverse quotes. Deze quote zat hier eveneens bij, deze sprak mij toen meteen aan. Het is absoluut niet bedoeld om een vergelijking met de persoon Winston Churchill te trekken, maar het is meer de quote op zichzelf die mij aanspreekt.

Ik heb al jaren als persoonlijk doel om een universitaire titel te behalen. Nadat ik in februari 2007 was afgestudeerd voor AA-Accountant, heb ik me dan ook per september 2007 ingeschreven voor het Masterjaar Accountancy aan de RuG. Met deze scriptie sluit ik de Master of Science in Accountancy af, waarmee ik tevens mijn jarenlange wens ten aanzien van het behalen van de universitaire drs.-titel, hoop heb doen laten uitkomen. Vandaar “Never, never, never, quit”.

Daarnaast vind ik de quote tevens van toepassing op het onderwerp van deze scriptie. Integraal risicomanagement (ERM) dient namelijk een iteratief, dynamisch proces te zijn binnen de bedrijfsvoering. Het is nooit af, het moet constant herzien, herhaald, verbeterd en aangevuld worden. Een proces wat “never, never, never quit”.

Samenvatting

In Nederland heeft de Commissie Tabaksblat recentelijk het Nederlandse bedrijfsleven meer duidelijkheid verschaft over de invulling van goed bestuur. Ondertussen zijn er verschillende codes met sterke overeenkomsten opgesteld voor andere typen

organisaties, waaronder de Zorgbrede Governancecode voor de zorgsector. Deze corporate governancecodes vereisen allemaal een periodieke rapportage van de Raad van Bestuur aan de Raad van Toezicht over de interne risicobeheersings- en

controlesystemen, en een geformaliseerde vastlegging van het risicomanagement van een organisatie.

Risicomanagement lijkt geen nieuw verschijnsel meer binnen de zorgsector. Bijna elke zorginstelling in mijn steekproef heeft inmiddels wel enige vorm van risicomanagement verankerd in haar bedrijfsvoering. Naast de recente veranderingen zoals de

marktwerking, de veranderende financieringsomgevingen en diverse technologische en medische ontwikkelingen, is ook de Zorgbrede Governancecode een belangrijke bron voor het toenemende risicobewustzijn in de zorgsector. De eis om risicomanagement op orde te hebben wordt steeds groter, zowel vanuit het oogpunt van corporate governance als vanuit de maatschappelijke verantwoordelijkheid. Er wordt hierdoor meer

transparantie voor de stakeholders gecreëerd. Risicomanagement heeft daarnaast ook toegevoegde waarde voor de interne organisatie. Op basis van de uitkomsten van integraal risicomanagement binnen een organisatie, kunnen de bedrijfsprocessen en werkinstructies eventueel opnieuw worden ingericht.

De al geïmplementeerde en naderende wijzigingen rondom marktwerking en integrale tarieven leiden tot een aanzienlijke vergroting van de risico’s van zorginstellingen. Deze risico’s dienen te worden beheerst door de Raad van Bestuur en het management, zodat de strategische organisatiedoelstellingen worden behaald en de continuïteit van de

instellingen wordt verzekerd. Continuïteit wordt in de door mij onderzochte jaarverslagen in een aantal gevallen benoemd als één van de belangrijkste doelstellingen. Inzicht in risico’s en getroffen beheersmaatregelen zijn van belang en het hebben van een

risicomanagementsysteem is een eis vanuit het oogpunt van corporate governance. Het gaat daarbij niet alleen om financiële risico’s, maar ook om bedrijfsvoerings- en

imagorisico’s. De geïdentificeerde risico’s, voor het behalen van de strategische doelstellingen, kunnen op verschillende manieren worden behandeld, te weten: vermijden, accepteren, verminderen of delen (COSO-riskresponses).

Uit mijn onderzoek onder de jaarverslagen 2007 blijkt dat risicomanagement binnen de zorginstellingen, in tegenstelling tot mijn subjectieve hogere verwachtingen vooraf, toch nog maar op een relatief beperkt niveau wordt beschreven. Het bestaat op dit moment hoofdzakelijk uit een beschrijving van de risico’s van bepaalde delen van de

bedrijfsvoering. Ook worden deze veelal niet centraal en op overzichtelijke wijze in het jaarverslag besproken.

Als eindoordeel over het onderzoek is dan ook te zeggen dat er binnen zorginstellingen nog het één en ander dient te gebeuren om risicomanagement op een gestructureerde en geformaliseerde wijze te beschrijven in de externe verslaggeving. De ziekenhuizen, en hierbij met name de UMC’s, zijn verder in hun ontwikkeling ten aanzien van

risicomanagement dan dat de AWBZ-zorginstellingen dat zijn. De relatief kleinere organisaties doen hierbij het minst aan het beschrijven van risicomanagement. Het zou daarom aan te bevelen zijn risicomanagement in de toekomst meer gestructureerd en geformaliseerd te beschrijven in de jaarverslagen. Hierbij zouden de door mij, aan de hand van de uitkomsten mijn jaarverslaganalyse, ontworpen normenkaders de

zorginstellingen een helpende hand kunnen bieden.

Daarnaast heeft het formaliseren van risicomanagement in een zogenaamd planning- en controlcyclus (waarin het risicobeheersings- en controlesysteem is verwerkt), zie hiervoor hoofdstuk 5, een aantal voordelen, te weten:

- Totaalinzicht in de risico’s die de zorginstelling loopt; - Totaalinzicht in de getroffen beheersmaatregelen;

- Een beoordelingskader of de risico's acceptabel zijn (passend bij het gewenste risicoprofiel);

- Verhoging van het risicobewustzijn binnen de zorginstelling;

- Voldoen aan de gestelde eisen in het kader van corporate governance (Zorgbrede Governancecode).

Het is mijn inziens verder van belang om risico’s te inventariseren binnen verschillende tijdsniveaus. De visie: “Leer van het verleden, leef in het heden, focus op de toekomst”, is hier heel goed op te betrekken. Het is van belang dat een organisatie zich bewust is van zowel de risico’s die hebben gespeeld in het verleden (en hier leer uit te trekken), als op de risico’s die nu spelen en die nog kunnen gaan spelen op zowel korte termijn (circa 1-5 jaar) als op de langere termijn (circa 5 jaar en langer), en hier geschikte risk

responses en maatregelen voor te nemen. Met name de risico’s op de lange termijn zijn belangrijk goed te beheersen om de continuïteit te kunnen waarborgen. Dit betreffen

veelal de strategische risico’s. Korte termijnrisico’s zijn over het algemeen vaak uitsluitend financieel van aard.

De risico’s die de zorginstellingen uit de steekproef in hun jaarverslagen beschrijven zijn: 1. De marktwerking in de zorg (als gevolg van de veranderende regelgeving); 2. Integrale tarieven waarvan de kapitaallasten onderdeel uitmaken;

3. Nieuwe bekostigingssystemen in de zorg (DBC, ZZP); 4. Veranderde vastgoedfinanciering;

5. Continuïteitsrisico’s, met name als gevolg van het informatie- en ICT-risico; 6. Patiëntenrisico (patiëntenveiligheid)/ medische risico’s (medische incidenten);

(oplossing: VMS-systeem binnen ziekenhuizen);

7. Medewerkersrisico (medewerkersveiligheid)/ Arbo/ ziekteverzuim/

gezondheidsrisico (mede als gevolg van het werken met gevaarlijke stoffen etc.); 8. Veiligheid gebouwen en bezoekers;

9. Risico’s personeelsvoorziening;

10.Risico’s rondom bouwwerkzaamheden; 11.Imago- en reputatierisico’s;

12.Milieurisico’s;

13.Calamiteitenrisico’s (zoals aansprakelijkheid en brand);

14.Terugloop geboorten/ vergrijzing (heeft overigens ook weer effect op de personeelsvoorziening);

15.Fraude.

Volgens de Zorgbrede Governancecode is het opnemen van een “in control-statement” niet verplicht. Toch is het mijn inziens wel aan te bevelen een dergelijk statement te verwerken in het jaarverslag. Dit om de transparantie over risicomanagement naar de stakeholders toe te vergroten.

In hoofdstuk 5 heb ik aanbevelingen gegeven ten aanzien van zowel het beheersen van de actuele risico’s in de zorgsector als om risicomanagement verder te ontwikkelen in de verslaggeving in de zorgsector. In hoofdstuk 6 heb ik twee normenkaders opgenomen, te weten één voor ziekenhuizen en één voor AWBZ-zorginstellingen. Deze kunnen bruikbaar zijn voor de zorginstellingen bij de implementatie van integraal risicomanagement in hun toekomstige verslaggeving. Hiermee hoop ik te bereiken dat er zowel meer structuur als meer standaardisatie tussen de zorginstellingen onderling betreffende het onderwerp risicomanagement in de jaarverslagen ontstaat. Deze normenkaders zijn opgesteld en gebaseerd op de door mij uitgevoerde jaarverslaganalyse onder 100 zorginstellingen alsmede op aanvullend literatuuronderzoek met betrekking tot dit onderwerp.

Inhoudsopgave

HOOFDSTUK 1 INLEIDING ________________________________________________________ 8

1.1 AANLEIDING ONDERZOEK EN ACTUALITEIT ___________________________________________ 8 1.2 OPBOUW VAN HET VERSLAG _______________________________________________________ 9

HOOFDSTUK 2 HET ONDERZOEK_________________________________________________ 10

2.1 ONDERZOEKSMETHODEN EN –TECHNIEKEN _________________________________________ 10 2.2 DOELSTELLINGEN EN PROBLEEMSTELLING __________________________________________ 11 2.3 TYPE ONDERZOEK ______________________________________________________________ 12 2.4 THEORETISCH- EN CONCEPTUEEL MODEL ___________________________________________ 13 2.5 RANDVOORWAARDEN ___________________________________________________________ 16 2.6 WETENSCHAPPELIJKE EN PRAKTISCHE RELEVANTIE ___________________________________ 18

HOOFDSTUK 3 INTEGRAAL RISICOMANAGEMENT ______________________________ 19

3.1 BEGRIPSOMSCHRIJVING INTEGRAAL RISICOMANAGEMENT _____________________________ 19 3.2 ONTSTAANSMOMENT EN ONTWIKKELING VAN INTEGRAAL RISICOMANAGEMENT ____________ 20 3.3 DOEL VAN RISICOMANAGEMENT __________________________________________________ 21 3.4 PROCES VAN RISICOBEHEERSING _________________________________________________ 22 3.5 RISICOMANAGEMENT BINNEN CODE TABAKSBLAT VERSUS HET COSO-RAAMWERK ________ 23

HOOFDSTUK 4 INTEGRAAL RISICOMANAGEMENT ZORGINSTELLINGEN ______ 32

4.1 DE GEZONDHEIDSZORG IN NEDERLAND ____________________________________________ 32 4.2 ONTSTAAN EN ONTWIKKELING VAN DE ZORGBREDE GOVERNANCECODE _________________ 34 4.3 DE ZORGBREDE GOVERNANCECODE IN HET KORT ____________________________________ 35 4.4 STAKEHOLDERS ZORGSECTOR ____________________________________________________ 38 4.5 JAARDOCUMENT MAATSCHAPPELIJKE VERANTWOORDING ______________________________ 39 4.6 RISICOMANAGEMENT CODE TABAKSBLAT VERSUS ZORGBREDE GOVERNANCECODE ________ 41 4.7 WET TOELATING ZORGINSTELLINGEN (WTZI) ______________________________________ 42 4.8 REGELING AO/ICAWBZ-ZORGAANBIEDERS ______________________________________ 45 4.9 BASISVERZEKERING ZORG _______________________________________________________ 48 4.10 WET OP DE MARKTORDENING GEZONDHEIDSZORG (WMG) ___________________________ 49 4.11 WET MAATSCHAPPELIJKE ONDERSTEUNING (WMO) _________________________________ 50 4.12 VEILIGHEIDS MANAGEMENT SYSTEEM (VMS) _______________________________________ 50 4.13 CONCLUSIE: BELANG VERSLAGGEVING RISICOMANAGEMENT VOOR ZORGINSTELLINGEN_____ 52

HOOFDSTUK 5 ONDERZOEKSRESULTATEN, CONCLUSIE EN AANBEVELINGEN 53

5.1 RISICO-INVENTARISATIE ZORGSECTOR ____________________________________________ 53 5.2 GEBEURTENISSEN, RISICO’S EN AANBEVELINGEN ____________________________________ 54 5.3 UITKOMSTEN JAARVERSLAGANALYSE EN CONCLUSIE __________________________________ 67 5.4 AANBEVELINGEN VOOR VERSLAGGEVING OVER INTEGRAAL RISICOMANAGEMENT ___________ 72 5.5 VERLOOP UITVOERING EMPIRISCH ONDERZOEK ______________________________________ 76

HOOFDSTUK 6 NORMENKADERS _________________________________________________ 77

6.1 AANLEIDING, ONTWIKKELING EN TOTSTANDKOMING VAN DE NORMENKADERS _____________ 77 6.2 DEFINITIE NORMENKADER VERSLAGGEVING RISICOMANAGEMENT ZORGSECTOR ___________ 77 6.3 DOEL NORMENKADER VERSLAGGEVING RISICOMANAGEMENT ZORGSECTOR _______________ 78 6.4 NORMENKADER VOOR VERSLAGGEVING OVER RISICOMANAGEMENT _____________________ 79

LITERATUURLIJST __________________________________________________________________ 93

BIJLAGE 1 SELECTIE ZIEKENHUIZEN EN AWBZ-INSTELLINGEN _______________ 96

BIJLAGE 2 ONDERZOEKSPUNTEN _______________________________________________ 100

Hoofdstuk 1

Inleiding

In deze scriptie wordt een empirisch onderzoek gedaan naar de mate waarin

zorginstellingen in Nederland op dit moment integraal risicomanagement, als onderdeel van de Zorgbrede Governancecode, toepassen. Het onderzoek is uitgevoerd door middel van een jaarverslaganalyse onder 100 zorginstellingen in Nederland. Hierbij is

onderscheid gemaakt tussen 50 ziekenhuizen en 50 AWBZ-zorginstellingen.

1.1 Aanleiding onderzoek en actualiteit

De diverse bekende boekhoudschandalen in het recente verleden (Enron, Ahold) hebben geleid tot een aanscherping van de corporate governance regelgeving, zoals de Code Tabaksblat en de Sarbanes Oxley-wet. Op 30 december 2004 is de “pas toe of leg uit”-regel van de Code Tabaksblat wettelijk verankerd voor beursgenoteerde ondernemingen (Artikel 2: 391 lid 4 BW (Staatsblad 2004, 747). Beursgenoteerde ondernemingen dienen in het jaarverslag aan te geven of zij de codevoorschriften toepassen en zo niet, waarom niet. Dit betekent dat iedere beursgenoteerde onderneming in de jaarverslagen met ingang van het boekjaar 2004 een mededeling over de naleving van de principes en best practice bepalingen moet hebben opgenomen. Toch blijken in de praktijk ook steeds meer niet-beursgenoteerde instellingen alsmede de publieke sectoren hieraan invulling te geven.

Zorginstellingen voelen als gevolg van hun bijzondere maatschappelijke

verantwoordelijkheid de verplichting om brede verantwoording af te leggen. De aandacht voor deze zorggovernance neemt in Nederland de laatste jaren steeds meer toe. Als oorzaak hiervoor zijn diverse ontwikkelingen aan te wijzen waarmee de zorgsector nu en in het verleden wordt en werd geconfronteerd. Als gevolg hiervan wordt het besturen van zorginstellingen steeds complexer, maar ook risicovoller. De aandacht voor een goede governance wordt hierbij steeds groter. In december 2005 is hiertoe de Zorgbrede Governance Code verschenen. De Zorgbrede Governancecode is ontstaan ter verdieping op de veelal vrij globale aanbevelingen uit het Health Governance-rapport voor de gezondheidszorg uit 1999 en als specifiek op de zorgsector toegesneden variant van de Code Tabaksblat.

Als belangrijke recente ontwikkelingen binnen de zorgsector zijn met name te noemen: - De invoering van de nieuwe basisverzekering in 2006;

- De invoering van de Wet op de Marktordening Gezondheidszorg (WMG) in 2006; - De afschaffing van de contracteerplicht van zorgverzekeraars;

- De invoering van de productgerichte bekostiging in de AWBZ en de invoering van de DBC-financiering in de ziekenhuissector. Deze steeds verdergaande invoering van prestatiebekostiging, leidt ertoe dat bestaande zekerheden over de hoogte van de opbrengsten (budgetgarantie) komen te vervallen;

- De wijzigingen qua zorgaanspraken in de AWBZ in relatie tot de invoering van de Wet Maatschappelijke Ondersteuning (WMO) in 2007;

- De invoering van de Wet Toelating Zorginstellingen (WTZi), ter vervanging van de Wet Ziekenhuisvoorzieningen (WZV), waardoor de verantwoordelijkheid voor investeringen in de infrastructuur in toenemende mate wordt overgeheveld van de Rijksoverheid naar de Raden van Bestuur van zorginstellingen.

Deze bovenstaande ontwikkelingen maken het steeds belangrijker dat bestuurders zich constant blijven afvragen of de organisatiedoelstellingen in voldoende mate worden gerealiseerd, en of ze voldoende kwaliteiten in huis hebben. Meer over deze

ontwikkelingen valt te lezen in hoofdstuk 4.

In dit afstudeeronderzoek wordt primair gefocust op Nederlandse zorginstellingen versus de invulling van verslaggeving over integraal risicomanagement volgens de betreffende best practices van de Zorgbrede Governancecode. Het onderzoek heeft als einddoel een normenkader voor verslaggeving omtrent risicomanagement te ontwikkelen welke gebruikt kan worden door de zorgsector in Nederland, waarmee indien deze wordt toegepast meer duidelijkheid en uniformiteit voor de toepassing en uitwerking van deze best practices zal ontstaan.

1.2 Opbouw van het verslag

In hoofdstuk 2 zal ik allereerst de methoden en technieken voor het opzetten en uitvoeren van het onderzoek beschrijven. Vervolgens wordt in hoofdstuk 3 de theorie omtrent integraal risicomanagement behandeld. In hoofdstuk 4 zal vervolgens specifieker ingegaan worden op de theoretische basis van integraal risicomanagement en de

specifieke regelingen die bestaan binnen de zorgsector. In hoofdstuk 5 zullen de onderzoeksresultaten beschreven worden, welke gedaan is aan de hand van de jaarverslagen van 100 Nederlandse zorginstellingen. Ook zullen in dit hoofdstuk

conclusies en aanbevelingen worden aangereikt. In hoofdstuk 6 wordt het normenkader voor verslaggeving omtrent risicomanagement als eindresultaat van het onderzoek beschreven. Ik heb hierbij twee versies ontwikkeld, één specifiek voor de ziekenhuizen en één specifiek voor de AWBZ-zorginstellingen.

Hoofdstuk 2

Het onderzoek

Het onderzoeksontwerp betreft de manier waarop het onderzoek daadwerkelijk wordt weergegeven1_{. Dit onderzoek betreft een empirisch kwantitatief onderzoek. Empirie}

betekend werkelijkheid, het is een onderzoek waarbij directe en indirecte waarnemingen uit de werkelijkheid (jaarverslagen) worden gebruikt. Dit onderzoek zal bestaan uit een jaarverslaganalyse. Op basis van vooraf door mij opgestelde onderzoekspunten zal ik onderzoeken in hoeverre deze “in werkelijkheid” terugkomen in de jaarverslagen.

Bij empirisch kwantitatief onderzoek zijn er twee onderzoeksontwerpen te onderscheiden, namelijk de survey en het experiment. In dit geval is er sprake van een eenmalige

survey, ik wil namelijk informatie ten aanzien van de verslaggeving betreffende risicobeheersing van veel zorginstellingen (onderzoeksobjecten) verkrijgen. Deze

informatie verzamel ik door observatie van de jaarverslagen van het boekjaar 2007 van deze instellingen.

Het onderzoek zal plaatsvinden aan de hand van een steekproef. De totale populatie zorginstellingen in Nederland is te groot om allemaal te onderzoeken. In totaal zijn er dit jaar 1.066 jaardocumenten 2007 van zorginstellingen gedeponeerd, dit aantal betreft de totale populatie. Ik zal hieruit een steekproef van 50 ziekenhuizen en 50

AWBZ-instellingen gaan trekken en vervolgens nader onderzoeken. Dit zal een representatieve afspiegeling vormen van de totale populatie (9,4%). De respondenten (zorginstellingen) in de steekproef zijn bepaald door middel van de methode “nonprobability sampling”2. Dit omdat niet de gehele populatie geschikt is voor het onderzoek. Alleen de grotere

zorginstellingen zijn relevant voor het onderzoek, aangezien zij met name integraal risicomanagement alsmede corporate governance beschrijven in hun jaarverslagen. Vandaar dat geselecteerd is op grootte van de zorginstelling waarbij gelet is op een evenredige tweedeling tussen ziekenhuizen en AWBZ-instellingen. De grootte van de zorginstelling is hierbij afgemeten aan de hoogte van de omzet van de instelling. Ook is gekeken naar de grootte van de plaats waar de instelling is gevestigd alsmede de spreiding in Nederland.

Het onderzoek zal hoofdzakelijk uitgevoerd worden door gebruik te maken van bestaande, gepubliceerde informatie. Dit worden ook wel secundaire gegevens genoemd3_{. In dit verband wordt ook wel vaak de term “desk research” gebruikt.}

Bestaande jaarverslagen en jaardocumenten van zorginstellingen worden nader geanalyseerd, dit betreffen externe en openbare bronnen.

2.2 Doelstellingen en probleemstelling

De doelstellingen van het onderzoek zijn:

Het verschaffen van inzicht in zowel de mate waarop integraal risicomanagement op dit moment wordt beschreven in de jaarverslagen 2007 binnen de zorgsector (hierbij onderscheid gemaakt tussen AWBZ-zorginstellingen en ziekenhuizen), als in wat de volledige invoer van de corporate governance code voor de zorgsector met zich

meebrengt op het gebied van risicomanagement. Verder is het doel het ontwikkelen van een bruikbaar en bij de zorgsector passend normenkader voor verslaggeving omtrent integraal risicomanagement en het geven van aanbevelingen voor zowel de beheersing van de actuele risico’s als voor de ontwikkeling van verslaggeving over integraal

risicomanagement binnen de zorgsector.

De probleemstelling luidt:

In welke mate wordt integraal risicomanagement binnen de zorgsector beschreven in het jaarverslag 2007? Wat brengt volledige invoer van de corporate governance code voor de zorgsector met zich mee op het gebied van risicomanagement? Is er een normenkader te ontwikkelen en zijn er aanbevelingen te doen voor zowel de beheersing van de actuele risico’s als voor de ontwikkeling en verbetering van verslaggeving over integraal risicomanagement binnen de zorgsector?

2.3 Type onderzoek

Er worden drie typen onderzoek onderscheiden, te weten beschrijvend, explorerend en toetsend. Het type onderzoek wordt bepaald aan de hand van de probleemstelling4.

Dit onderzoek bevat twee typen. Het eerste deel van de in de voorgaande paragraaf beschreven probleemstelling: “In welke mate wordt integraal risicomanagement binnen

de zorgsector beschreven in het jaarverslag 2007? Wat brengt volledige invoer van de corporate governance code voor de zorgsector met zich mee op het gebied van

risicomanagement?” is te typeren als een beschrijvend onderzoek. Er dient hierbij

namelijk beschreven te worden welke specifieke risico’s beschreven worden in de

verschillende jaarverslagen en in welke mate risicomanagement wordt toegepast binnen de geselecteerde zorginstellingen. Daarnaast dient beschreven te worden wat de invoer van de corporate governance code voor eisen stelt aan de zorgsector.

Het tweede deel van de probleemstelling: “Is er een normenkader te ontwikkelen en zijn

er aanbevelingen te doen voor zowel de beheersing van de actuele risico’s als voor de ontwikkeling en verbetering van verslaggeving over integraal risicomanagement binnen de zorgsector?” is te typeren als een explorerend onderzoek. Het gaat hier niet alleen om

het beschrijven van de aanwezige risicogebieden in de jaarverslagen, maar ook om de relaties tussen de verschillende voorkomende risico’s en het type zorginstelling (AWBZ-instelling dan wel ziekenhuis) alsmede beheersingsmaatregelen en de kwantiteit. Op deze wijze zal dan een oordeel gevormd kunnen worden ten aanzien van welke risico’s en risicogebieden belangrijk en welke iets minder belangrijk zijn om benoemd te worden in het jaarverslag van de zorginstelling. Dit zal worden vastgelegd, een analyse hiervan zal vervolgens leiden tot de ontwikkeling van een normenkader voor verslaggeving omtrent risicomanagement. Dit normenkader kan als leidraad dienen voor de

ondernemingsleiding van een zorginstellingen bij het opmaken van het onderdeel integraal risicomanagement in het jaarverslag. Daarnaast worden er aanbevelingen gedaan voor de beheersing van de belangrijkste actuele risico’s die op dit moment binnen de zorgsector spelen.

Ik zal met name de mate van transparantie omtrent de verslaggeving van integraal risicomanagement gaan onderzoeken, dit is namelijk ook de achterliggende gedachte van verslaggeving als onderdeel van corporate governance. Hiermee hoop ik een innovatieve

4

bijdrage te leveren aan het kennisgebied omtrent de toepassing van corporate governance binnen de zorgsector.

2.4 Theoretisch- en conceptueel model

Het theoretisch model is een gestructureerde voorstelling van de theoretische concepten die aan de grondslag van het onderzoek liggen. Door deze informatie samen te vatten, wordt voorkomen dat cruciale concepten in de loop van het operationaliseringsproces uit het oog verloren worden. Het einddoel van het operationaliseringsproces is onder meer het conceptueel model dat de operationele vertaling is van het theoretisch model. Operationaliseren betekend het bruikbaar maken (operationaliseren) van de begrippen met het oog op empirisch onderzoek5.

Aan de hand van de in paragraaf 2.2 omschreven probleemstelling heb ik de volgende acht deelvragen geformuleerd:

Deelvraag 1:

Wat houdt het begrip integraal risicomanagement precies in?

Deze vraag wordt uitgebreid beantwoord in hoofdstuk 3.

Deelvraag 2:

Wat is in de context van dit onderzoek de definitie van zorg, zorginstelling en zorgsector?

Deze vraag wordt zowel behandeld in hoofdstuk 4, alsmede bij de operationalisering van de begrippen verderop in dit hoofdstuk.

Deelvraag 3:

Wat is het belang van de toepassing van integraal risicomanagement voor de zorginstellingen?

Deze vraag wordt met name behandeld in paragraaf 4.13.

Deelvraag 4:

Welke risicogebieden worden wel en niet behandeld in de jaarverslagen 2007 binnen de zorgsector?

Deze vraag wordt beschreven in hoofdstuk 5 door middel van een inventarisatie van de risico’s. Er wordt hierbij onderzocht of de diepgang toereikend is of en niet, en of er eenduidigheid is in de beschreven risico’s of niet.

Deelvraag 5:

In welke mate wordt risicomanagement op dit moment beschreven in de jaarverslagen van AWBZ-instellingen en in de jaarverslagen van ziekenhuizen?

Deze vraag wordt beschreven in hoofdstuk 5.

Deelvraag 6:

Welke aanbevelingen zijn te geven voor de belangrijkste onderkende actuele risico’s beschreven in de jaarverslagen van de zorginstellingen?

Deze vraag zal uitgebreid worden besproken in hoofdstuk 5.

Deelvraag 7:

Welke aanbevelingen kunnen worden geformuleerd voor de verdere ontwikkeling van de verslaggeving over risicomanagement?

Deze vraag zal worden behandeld in hoofdstuk 5. Deelvraag 8:

Is er een normenkader voor verslaggeving omtrent risicomanagement te ontwikkelen?

Deze vraag wordt beschreven in hoofdstuk 6.

Hieronder zal ik vervolgens de begrippen die mijn inziens een nadere toelichting behoeven definiëren en operationaliseren:

- Integraal risicomanagement:

Hiervoor zijn verschillende typen definities te vinden, binnen het verband van dit onderzoek vind ik de definitie binnen het COSO-rapport het meest dekkend. COSO omschrijft risicomanagement als volgt: “A process, effected by an entity’s Board of

Directors, management and other personnel, applied in a strategy setting and across the enterprise, designed to identify potential events that may affect the entity, and manage risks to be within its risk appetite, to provide reasonable assurance regarding the

achievement of entity objectives”6.

- Zorg/ zorginstelling/ zorgsector:

Tot de zorg wordt gerekend: alle vormen van zorg zoals deze worden aangeboden in één van de toegelaten zorginstellingen (instelling waar zorg wordt verleend7_{). Deze}

zorg kan in hoofdcategorieën worden ingedeeld:

o Ziekenhuiszorg: algemene, categorale en academische zorg, de

zelfstandige behandelcentra (ZBC’s, ook wel privéklinieken genoemd); o Geestelijke gezondheidszorg, zoals deze onder meer wordt aangeboden

door psychiatrische ziekenhuizen, RIAGG en RIBW, maar ook door vrijgevestigde psychologen en psychotherapeuten;

o Verpleeghuiszorg; o Verzorgingshuiszorg;

o Gehandicaptenzorg (verstandelijk, visueel, auditief); o Thuiszorg.

Het geheel van deze zorg en zorginstellingen omvat de zorgsector in het verband van dit onderzoek. De zorgsector wordt volgens Van Dale omschreven als: de

gezondheidszorg en de maatschappelijke dienstverlening samen8.

- Normenkader:

Kader waarbinnen het complex van normen, betreffende de best practices omtrent integraal risicomanagement binnen de Zorgbrede Governancecode alsmede Code Tabaksblat, waarnaar de zorginstellingen zijn handelen richt en op grond waarvan het eigen handelen en dat van anderen kan worden beoordeeld (zowel door de

zorginstellingen zelf als door haar stakeholders). Een normenkader is in dit verband een geheel van eisen dat wordt gesteld om een juiste en volledige verslaggeving over risicomanagement volgens de Zorgbrede Governancecode te kunnen waarborgen.

Het verband tussen deze verschillende begrippen in het onderzoek, ook wel concepten genoemd, kan worden weergegeven door middel van het conceptueel model. Dit is een grafische weergave hoe de verschillende begrippen met elkaar samenhangen9_.

In figuur 1 op de volgende pagina staat het conceptueel voor dit onderzoek afgebeeld.

Grote Van Dale, 2005

8

Grote Van Dale, 2005 9

Conceptueel model

Normenkader

Belang integraal

Zorgsector

verslaggeving integraal

risicomanagement

risicomanagement

INTEGRAAL RISICOMANAGEMENT

Huidige toepassing

binnen de jaarverslagen

2007

Theoretische basis

Figuur 1: Conceptueel model

2.5 Randvoorwaarden

Het doel van het onderzoek is onder andere afhankelijk van de randvoorwaarden van het onderzoek, te weten:

- Hoeveel tijd is er voor het onderzoek beschikbaar?

Er is voor deze masterafstudeerscriptie circa 6 maanden gereserveerd, dit betreft de maanden mei tot en met oktober 2008.

- Welke bronnen (kunnen) worden gebruikt?

Er kunnen externe bronnen worden gebruikt, te weten de jaarverslagen van de verschillende zorginstellingen alsmede de bestaande literatuur met betrekking tot risicomanagement (COSO, Code Tabaksblat, Zorgbrede Governancecode etc.). Voor wat betreft de jaarverslagen zal ik uitsluitend gebruik maken van de wettelijk gedeponeerde jaardocumenten over het verslagjaar 2007. Deze zijn te

- Hoeveel literatuur is er al over het onderwerp geschreven?

De Corporate Governance Code alsmede de Zorgbrede Governance Code zijn nog vrij nieuw en recent verschenen. Het is op dit moment een actueel onderwerp waar nog voldoende onderzoek naar kan en wordt gedaan zowel ter aanvulling als verduidelijking. Voor mijn onderzoek betreft dit: Op het gebied van integraal risicomanagement wordt in de codes beschreven dat hier aandacht aan dient te worden besteedt, echter er is niet omschreven “hoe” oftewel er is geen

normenkader voor verslaggeving voorhanden betreffende welke risico’s relevant zijn en op welke manier deze beschreven kunnen worden. Voor de

vergelijkbaarheid tussen zorginstellingen onderling (o.a. ten behoeven van de stakeholders) is het van belang dat hierin uniformiteit wordt gecreëerd. Dit is dan ook het einddoel van dit onderzoek.

- Wat is de focus van het onderzoek?

De Corporate Governance Code en de Zorgbrede Governancecode zijn vrij breed in hun uitwerking. Binnen dit onderzoek focus ik mij primair op het onderdeel integraal risicomanagement binnen deze codes.

- Welke eisen worden er gesteld aan de afstudeeropdracht?

Dit afstudeeronderzoek dient te voldoen aan de eisen die door de Rijksuniversiteit Groningen, faculteit Economie en Bedrijfskunde (variant Accountancy) zijn

gesteld.

- Dient het onderzoek maatschappelijk/ economisch relevant en/ of vernieuwend te zijn?

Dit is inderdaad het geval, met name de maatschappelijke en economische relevantie is van belang. Daarnaast dient het onderzoek iets bij te dragen aan de reeds bestaande kennis, met andere woorden het dient innovatief te zijn. Met de uitkomst van dit onderzoek, het normenkader voor verslaggeving en overige aanbevelingen, hoop ik deze bijdrage te leveren.

2.6 Wetenschappelijke en praktische relevantie

Op dit moment bestaat er nog geen eenduidig normenkader betreffende de verslaggeving van integraal risicomanagement volgens de Code Tabaksblat en de

Zorgbrede Governancecode. De vraag naar een dergelijk normenkader is sinds de nieuwe nationale corporate governance-regelgeving toegenomen, aangezien deze regelgeving veelal van de bestuurders een uitspraak vereist over de effectiviteit van (delen van) hun risicomanagement en interne beheersingssystemen. COSO IC (1992) en het latere COSO ERM (2004) konden ook al niet in deze behoefte voorzien namelijk10. Ik hoop met dit onderzoek hiertoe een belangrijke innovatieve bijdrage ter verduidelijking te leveren.

Aan de hand van een onderzoek onder 100 zorginstellingen in Nederland zal allereerst geïnventariseerd worden in hoeverre op dit moment aan integraal risicomanagement wordt gedaan binnen zorginstellingen, welke risicogebieden worden beschreven en of hierin eenduidigheid is te onderscheiden. Ook geef ik aan de hand van de

onderzoeksresultaten aanbevelingen voor beheersingsmaatregelen voor de belangrijkste actuele risico’s in de zorgsector. Als resultaat van dit onderzoek zal ik een praktisch te hanteren normenkader voor verslaggeving omtrent risicomanagement aandragen waarmee meer duidelijkheid zal worden gecreëerd. Hierbij streef ik ernaar zowel een specifieke versie voor de ziekenhuizen als een specifieke versie voor de AWBZ-zorginstellingen te creëren.

Ik hoop hiermee een bruikbare en wetenschappelijke toevoeging te doen aan het economische concept van integraal risicomanagement binnen Code Tabaksblat en de Zorgbrede Governancecode.

Hoofdstuk 3

Integraal risicomanagement

In dit hoofdstuk zal ik o.a. nader ingaan op de eerste deelvraag, te weten “Wat houdt het

begrip integraal risicomanagement precies in?”.

3.1 Begripsomschrijving integraal risicomanagement

Zoals ik bij de operationalisering van de begrippen in hoofdstuk 2 ook reeds aangaf, bestaan er diverse definities in de literatuur voor het begrip integraal risicomanagement. Overkoepelend kan uit al deze definities die voorkomen geconcludeerd worden dat het begrip risicomanagement nauw verband houdt met het begrip “onzekerheid”. Maar deze onzekerheid kan zowel risico’s als kansen bevatten, gebeurtenissen kunnen immers zowel negatieve effecten (risico’s) als positieve effecten (kansen) hebben. Voor een organisatie is het van belang om de gebeurtenissen met negatieve effecten binnen bepaalde, door de organisatie individueel te bepalen, acceptabele risiconiveaus (bandbreedten) te beheersen. Dit wordt ook wel de mate van risicoafkeer van een organisatie genoemd. Risicoafkeer betreft hier de mate waarin de organisatie geneigd is lagere doelstellingen te accepteren in ruil voor meer zekerheid11.

In de Verenigde Staten heeft de Committee of the Sponsoring Organizations of the Treadway Commission (COSO), de commissie die voor de corporate governance-wetgeving het governancekader heeft uitgewerkt, risicomanagement als volgt gedefinieerd:

“A process, effected by an entity’s Board of Directors, management and other personnel, applied in a strategy setting and across the enterprise, deigned to identify potential events that may affect the entity, and manage risks to be within its risk appetite, to provide reasonable assurance regarding the achievement of entity objectives”12

De nadruk ligt in deze definitie op het proces en de relatie met doelstellingen. Verder wordt hierin benadrukt een bewuste keuze te maken ten aanzien van een bepaald acceptabel risiconiveau. Voor dit onderzoek vind ik deze definitie het meest relevant en allesdekkend.

11

MCA, Emanuels en De Munnik, juni 2006 12

3.2 Ontstaansmoment en ontwikkeling van integraal risicomanagement

Het begrip “risicomanagement” is al relatief oud. Het begrip als zodanig kwam voor het eerst voor in een publicatie van het Harvard Business Review in 1956. In het betreffende artikel werd gepleit om binnen een organisatie een fulltime risicomanager aan te stellen met de taak om verliezen in de bedrijfsvoering te minimaliseren. Nadien is

risicomanagement al vrij snel geïntegreerd geraakt in het denken van veel mensen die zich hier veelvuldig mee bezighielden. Dit waren op dat moment met name security en safety managers binnen organisaties, mensen in de beveiligings- en

verzekeringsbranche.

Risicomanagement werd vroeger sterk in verband gebracht met het zogenaamde “verzekeringsdenken”. Dit totdat een risicomanager van Xerox Corporation, C.M.

Armstrong, in een artikel in Business Insurance de mensen van een ander bewustzijn op de hoogte bracht. Hij schreef “The risk management industry was almost exclusively

insurance-driven in the mid to late sixties. If we could solve it through insurance, we did so first. Now, that is the last thing we do. First we try to mitigate or eliminate the risk, and if we can’t do so, we then attempt to finance the risk through insurance, self-insurance or non-self-insurance”.

Deze verandering in de manier van risicodenken heeft in latere jaren steeds meer

doorgezet. Diverse opleidingen, zowel in de Verenigde Staten als in Nederland en België, hebben vervolgens ook een belangrijke bijdrage geleverd aan de ontwikkeling van risicomanagement. Verder hebben maatschappelijke ontwikkelingen en wetgevingen de term risicomanagement op de kaart gezet. Hiertoe is in 1970 in de Verenigde Staten de Occupational Safety and Health Administration ingevoerd, en later de

aansprakelijkheidswetgeving. Deze aansprakelijkheidswetgeving is toen ook in Nederland opgezet. Een voorbeeld hiervan is de Arbo, de Nederlandse arbeidswetgeving. In deze wet wordt op gestructureerde wijze risicomanagement rondom arbeidsongevallen en beroepsziekten aangegeven. Als laatste stimulans voor de ontwikkeling van

risicomanagement in de tijd is aan te geven de problematiek die destijds in veel landen ontstond rondom het prijsniveau van verzekeringen en de wisselende stabiliteit in verzekerbaarheid13_.

Kortom, in de loop der jaren is er een bewustwording ontstaan dat er efficiëntere

manieren zijn om met risico’s om te gaan in plaats van deze simpelweg te verzekeren, te weten het voorkomen dat een gebeurtenis met negatief gevolg zich voordoet en het minimaliseren van de grootte van het verlies als de gebeurtenis zich wel mocht voordoen.

3.3 Doel van risicomanagement

Risicomanagement annex risicobeheersing heeft als doel om met gewenste mate van zekerheid te kunnen stellen dat organisatiedoelstellingen worden bereikt. Het

risicobeheersingssysteem richt zich op vier categorieën van doelstellingen, namelijk: - Strategic/ strategisch: globale doelen, afgestemd op en ondersteund de missie;

- Operations/ operationeel: efficiënt en effectief gebruik van middelen;

- Reporting/ Rapportage: betrouwbaarheid van de verslaglegging;

- Compliance/ toezicht: naleving van de wet- en regelgeving14.

De eerste twee, strategisch en operationeel, zijn externe doelstellingen. De laatste twee, compliance en rapportage zijn interne doelstellingen voor een organisatie.

Belangrijk is om hierbij op te merken dat indien een organisatie een

risicobeheersingssysteem heeft, dit niet automatisch wil zeggen dat ze haar

organisatiedoelstellingen ook daadwerkelijk realiseert. Het gaat er om dat transparant wordt gemaakt welke risico’s met de organisatiedoelstellingen samenhangen en welke beheersingsmaatregelen hiervoor getroffen kunnen worden. Er bestaan vele methoden om risico’s te inventariseren, zie hiervoor ook paragraaf 3.5, een combinatie van

methoden blijkt in de praktijk toch vaak het meest effectief en efficiënt voor wat betreft de toepassing. Tevens dient risicomanagement als proces sterk verankerd te worden binnen de gehele organisatie, dat wil zeggen op alle niveaus en elke manager dient zich hiervan bewust te zijn. In dit verband worden de volgende randvoorwaarden voor de verankering van het risicomanagementproces in de organisatie genoemd:

- Cultuur: risicobewustzijn, dat gedacht wordt vanuit kansen en risico’s;

- Structuur: opzet van het systeem + de organisatie van de bedrijfsprocessen (het ERM-systeem, zie ook paragraaf 3.5, verankeren op het hoogste niveau binnen de organisatie);

- Competenties: kennis en vaardigheden; - Techniek: technische hulpmiddelen15.

COSO, 2004 15

3.4 Proces van risicobeheersing

Het risicobeheersingsproces valt uiteen in de risico-identificatie en -evaluatie. De risicoanalyse vormt de grondslag van het risicobeheersingsproces, de risicoanalyse-techniek zal ik nader toelichten in de volgende paragraaf. Ik ben van mening dat schematische overzichten in sommige situaties meer zeggen in plaats van tekst, zo ook ik dit specifieke geval. Onderstaand stroomschema geeft mijn inziens een goed, compleet en overzichtelijk beeld van de inhoud van het risicobeheersingsproces. Dit overzicht kan toegepast worden op vrijwel elk type organisatie.

Risicobeheersingsproces

Geen risico NEE I s er een ris ico?

JA Risico-evaluatie

I s het risico

geëvalueerd? NE E

JA Het risico is JA Kan het risic o

vermeden worden vermeden?

NEE I s het risico s ignificant?

JA Schadepreventie

Kan het risico

worden verminderd? JA NEE

I s het een

calamiteitenrisic o? NE E NEE JA

Zelf dragen Keuze m.b.t. Mix verzekeren of

financiering zelf dragen

Verzekeren

Figuur 2: Risicobeheersingsproces (ontleend aan U. Nordblad, 1977) 16

Met het doorlopen van dit schema kan op inzichtelijke wijze de risk response bepaald worden die het beste past bij de specifieke organisatie qua zowel haar doelstellingen als cultuur (gewenst risicoacceptatieniveau/ risicoafkeer/ risk appetite, normen en waarden).

Met risk response wordt overigens bedoeld het nemen van risicomitigerende maatregelen om door de organisatie onderkende risico’s terug te kunnen dringen, zie hiervoor ook paragraaf 3.5. In dit verband worden als mogelijke risk responses, waaruit kan worden gekozen, onderscheiden:

- Accepteren (en in de gaten houden);

- Vermijden (en elimineren dan wel afstoten);

- Delen (door bijvoorbeeld verzekeren of partneren/ outsourcing); - Verminderen (en beheersen)17.

3.5 Risicomanagement binnen Code Tabaksblat versus het COSO-raamwerk

De Corporate Governance Code

Een recente ontwikkeling in Nederland zijn de codes voor goed bestuur. In eerste instantie is deze in 2003 uitgegeven door de Commissie Tabaksblat. Code Tabaksblat is een gedragscode voor beursgenoteerde bedrijven met als doel verbeterde transparantie in de jaarrekening, betere verantwoording van de Raad van Commissarissen en een versterking van de zeggenschap en bescherming van aandeelhouders. Deze zogenoemde Code Tabaksblat is “principle based” en focust zich primair op principes van goed

bestuur, in tegenstelling tot regelgeving.

Het verschil tussen het bedrijfsleven en de publieke sector, waaronder de

zorginstellingen ook behoren als semi-overheidsinstellingen, komt naar voren in het belang dat gehecht wordt aan de geproduceerde documentatie. De jaarrekening is in het bedrijfsleven de belangrijkste publicatie, waarbij de winst als meest belangrijk wordt gezien en de bestuurder hier eventueel op worden afgerekend door de stakeholders. In de publieke sector is de belangrijkste publicatie de begroting, hier wordt meestal veel gediscussieerd over de beleidsplannen. Er vindt wel een verschuiving plaats binnen de publieke sector, het belang van de verantwoording over de geleverde prestaties wordt namelijk steeds groter18_.

COSO, 2004 18

In haar eerste rapport van december 2003 over de naleving van de Nederlandse Corporate Governance Code deed de Monitoring Commissie Corporate Governance (Frijns) aanbevelingen over de toepassing van best practice bepaling II.1.4 (interne risicobeheersings- en controlesystemen). Deze Monitoring Commissie maakt onderscheid tussen risico’s met betrekking tot de financiële verslaggeving en andere risico’s, zoals operationele, strategische en wet- en regelgevingrisico’s.

Best practice bepaling II.1.4 van de Nederlandse Corporate Governance Code luidt letterlijk als volgt:

“In het jaarverslag verklaart het bestuur dat de interne risicobeheersings- en

controlesystemen adequaat en effectief zijn en geeft hij een duidelijke onderbouwing hiervan. Het bestuur rapporteert in het jaarverslag over de werking van het interne risicobeheersings- en controlesysteem in het verslagjaar. Het bestuur geeft daarbij tevens aan welke eventuele significante wijzigingen zijn aangebracht, welke eventuele belangrijke verbeteringen zijn gepland en dat één en ander met de auditcommissie en de raad van commissarissen is besproken”19.

De verklaring van het bestuur betreffende de passage binnen bepaling II.1.4 “het

bestuur in het jaarverslag verklaart dat de interne risicobeheersings- en

controlesystemen adequaat en effectief zijn” wordt ook wel benoemd als het veel

besproken “in control statement”.

De Commissie is van oordeel dat aan best practice bepaling II.1.4 wordt voldaan indien: 1. Ten aanzien van financiële verslaggevingsrisico’s:

- Wordt verklaard dat de risicobeheersings- en controlesystemen een redelijke mate van zekerheid geven dat de financiële verslaggeving geen onjuistheden van

materieel belang bevat;

- Wordt verklaard dat de risicobeheersings- en controlesystemen in het verslagjaar naar behoren hebben gewerkt;

- Wordt verklaard dat er geen indicaties zijn dat de risicobeheersings- en controlesystemen in het lopende jaar niet naar behoren zullen werken;

- Eventuele tekortkomingen die mogelijkerwijs materiële gevolgen kunnen hebben en in het verslagjaar respectievelijk het lopende jaar zijn geconstateerd worden gemeld, waarbij tevens aangebrachte of geplande verbeteringen worden

aangegeven.

2. Ten aanzien van andere risico’s (operationele/ strategische risico’s en wet- en regelgeving risico’s):

- Een beschrijving van de risicobeheersings- en controlesystemen op basis van de geïdentificeerde belangrijke risico’s wordt gegeven;

- Indien van toepassing, belangrijke tekortkomingen die in het verslagjaar zijn geconstateerd worden gemeld, waarbij tevens aangebrachte of geplande verbeteringen worden aangegeven.

Voor wat betreft de inhoud van een “redelijke mate van zekerheid” dient hierbij

uitgegaan te worden van wat als zodanig geldt voor een zorgvuldig handelend bestuurder in de gegeven omstandigheden20.

Code Tabaksblat benadrukt het systeem van “checks and balances” in een organisatie. “Checks” wil zeggen: efficiënt toezicht op het bestuur, en “balances” wil zeggen: een evenwichtige verdeling van invloed tussen het bestuur, Raad van Commissarissen (RvC) en Algemene vergadering van Aandeelhouders (AvA). Verder introduceert de Code de zogenaamde “pas toe of leg uit”-regel. Hiermee wordt bedoeld dat de Code toegepast dient te worden en indien dit niet in zijn geheel mogelijk is dat uitgelegd wordt waarom niet. Uitleggen in dit verband is naleven na goedkeuring door de AvA.

Op 19 december 2007 heeft de Monitoring Commissie haar derde rapport uitgebracht. De Commisie constateert hierin dat de naleving van de Code Tabaksblat op niveau blijft (95%). Nadere aanbevelingen geeft de Monitoring Commissie op het gebied van bezoldiging van bestuurders, diversiteit in de samenstelling van raden van commissarissen en interne risicobeheersing- en controlesystemen.

De Commissie plaatst in dit rapport overigens wel enkele kanttekeningen bij de

risicoverslaggeving in de jaarverslagen en komt daarom met een aantal aanbevelingen, te weten:

1. Risicobeheersing en het onderscheid tussen de verschillende risicocategorieën. De Monitoring Commissie wijst hier erop dat risicobeheersing integraal deel uitmaakt van de bedrijfsvoering; het gaat hierbij om de wijze waarop de onderneming haar strategische, operationele, compliance en financiële risico’s beheerst. Ook dient het proces rondom risicobeheersing te worden beschreven in het verslag. Deze risicoverslaggeving moet een beschrijving van het risicoprofiel van de

onderneming, een uiteenzetting van het aanwezige interne risicobeheersings- en controlesysteem alsmede een “in control-statement”;

20

2. Beschrijving van het risicoprofiel. Hierbij dient aangegeven te worden met welke risico’s de onderneming in aanraking komt dan wel kan komen bij de uitvoering van haar strategie. De onderneming dient hierbij tevens aan te geven welke risico’s zij bereid is te nemen om haar doelstelling te realiseren waarbij deze zoveel mogelijk gekwantificeerd worden (via een gevoeligheidsanalyse). Het risicoprofiel moet tenminste bevatten:

a. de voornaamste risico’s gerelateerd aan de strategische doelstellingen van de onderneming, waarbij tevens wordt ingegaan op de houding die de

onderneming heeft ten opzichte van deze risico’s (‘risk appetite’);

b. een beschrijving van de voornaamste strategische, operationele, financiële, wet- en regelgeving en financiële verslaggevingrisico’s van de onderneming, waarbij in ieder geval de kwalitatieve impact van deze risico’s wordt

beschreven, eventueel aangevuld met een beschrijving van de wijze waarop de onderneming met deze risico’s omgaat;

c. een gevoeligheidsanalyse van de geïdentificeerde risico’s, indien deze analyse redelijkerwijs verwacht mag worden gelet op de “best practices” in de sector waarin de desbetreffende onderneming werkzaam is;

3. Beschrijving van het interne risicobeheersings- en controlesysteem. Naast de voornoemde beschrijving van het risicoprofiel, dient de onderneming ook uiteen te zetten hoe het interne risicobeheersings- en controlesysteem is ingericht en hoe deze aansluit op het risicoprofiel. Hieruit zal dan moeten blijken welke

maatregelen de onderneming heeft genomen om de geïdentificeerde risico’s te kunnen beheersen. Hierbij gaat het niet alleen om het systeem zelf, het gaat ook op de verankering van dit systeem in de organisatie. Men beveelt hierbij aan in ieder geval de volgende punten te bespreken:

a. de risico’s die door het interne- risicobeheersing- en controlesysteem worden beheerst en zo nodig het referentiemodel dat is gebruikt om het systeem te ontwerpen;

b. de organisatie van het interne- risicobeheersing- en controlesysteem en de inbedding daarvan in de organisatie; de verdeling van de

verantwoordelijkheden, de planning, de monitoring en evaluatie;

c. de resultaten van een periodiek te verrichten evaluatie van de opzet en werking van het interne risicobeheersing- en controlesysteem en, voor zover van toepassing, de naar aanleiding daarvan getroffen

verbetermaatregelen.

De verslaglegging over het interne- risicobeheersings- en controlesysteem dient in samenhang te worden gezien met best practice bepaling III.1.8. Deze bepaalt dat de raad van commissarissen in elk geval éénmaal per jaar de strategie en risico’s

verbonden aan de onderneming en de uitkomsten van de beoordeling door het bestuur van de opzet en werking van de interne risicobeheersings- en

controlesystemen alsmede de significante wijzigingen daarin beoordeelt. In het verslag van de raad van commissarissen wordt hier melding van gemaakt. De uitkomsten van deze bespreking dient ook zijn weerslag te vinden in de verslaggeving over het risicobeheersing- en controlesysteem;

4. Plaats van het interne risicobeheersings- en controlesysteem in het jaarverslag. Deze dient zoveel mogelijk op één plaats in het jaarverslag te worden behandeld; 5. Referentiemodel: COSO Integrated Internal Control Framework het meest

gebruikt. De Commissie zegt dat het nuttig is een referentiemodel in kaart te brengen, maar dat het niet nodig is om te verwijzen naar een bepaald model indien de risicobeheersing voor de onderneming inzichtelijk is21.

Verder valt in het rapport te lezen dat de Commissie initiatieven vanuit de markt, gericht op verbetering en nadere invulling van het proces van risicobeheersing, toejuicht. De rol van accountants in de aandeelhoudersvergaderingen blijft bescheiden22.

De Code Tabaksblat dient inmiddels als vertrekpunt voor andere codes. Sinds de vaststelling van de Code Tabaksblat zijn er namelijk meerdere codes verschenen, die veelal hiervan zijn afgeleid. Als voorbeelden zijn te noemen: de Zorgbrede

Governancecode, de NVZ-code, de NVZD-code, de NVTZ-code, de codes voor Health Care Governance (Meurs, 1999), de Code Corporate Governance, de Code

Uitvoeringsorganisaties, de code voor culturele instellingen (Cultural Governance), code voor Caritas Instellingen en codes in het kader van Onderwijs Governance (Code VO, Code HBO Raad). Concluderend kan hierover gezegd worden dat deze verschillende codes veelal vereenvoudigde versies zijn van de Code Tabaksblat. Echter, ze geven in feite weinig extra toevoegingen of inzichten. Dit is op zich vreemd aangezien de publieke sector over het algemeen qua aard en omvang veel complexer is te noemen. Tevens zitten de verschillende codes in de publieke sector niet op één lijn, zich uitend in dat ze soms strijdig zijn met elkaar. Op dit moment bestaat er nog geen één uniforme code voor de gehele publieke sector23. De zorgsector hanteert hiertoe wel één code, te weten de Zorgbrede Governancecode, meer hierover kunt u lezen in hoofdstuk 4.

Monitoring Commissie Corporate Governance Code, December 2007 22

www.nivra.nl, 2007 23

Enterprise Risk Management Framework, COSO

Tot 2002 werd risicomanagement in de corporate governance codes, zoals in de veertig aanbevelingen van de Commissie Peters (Commissie Corporate Governance, 1996) en in het originele COSO-rapport uit 1992, niet echt behandeld. In 2004 kwam COSO met een nieuw framework. Dit framework, getiteld Enterprise Risk Management: Integrated Framework”, is gericht op het organisatiebreed beheersen van risico’s, ook wel het raamwerk voor interne beheersing genoemd. Om risico’s in te kunnen schatten binnen een organisatie, als onderdeel van de implementatie van de verschillende hiervoor benoemde Codes, kan het COSO-raamwerk voor interne beheersing worden gehanteerd. Enterprise Risk Management, afgekort ERM, heeft namelijk ten doel om risico’s van het niet behalen van de doelstellingen te beheersen24

ERM binnen het COSO-raamwerk bestaat uit acht met elkaar verbonden componenten. Deze componenten zijn afgeleid van de wijze waarop het management een onderneming voert en zijn verbonden met het managementproces.

Het COSO ERM model wordt in het framework weergegeven door middel van een kubus. Een kubus omdat al deze componenten samen het totale systeem vormen. Een ERM-systeem is als volgt te definiëren: “Het ERM-systeem dat het management in staat stelt om de relevante risico’s, die het behalen van de doelstellingen van de organisatie bedreigen, te kunnen identificeren, te prioriteren, te analyseren en te beheersen”25. De risico’s dienen organisatiebreed te worden beheerst.

In figuur 3 op de volgende pagina staat de COSO ERM-kubus grafisch afgebeeld.

24

MCA, Emanuels en De Munnik, december 2005 25

COSO ERM-kubus

Figuur 3: COSO ERM-kubus26

Op het bovenvlak van de kubus staan de vier categorieën van organisatiedoelstellingen afgebeeld (strategic, operations, reporting, compliance), zie hiervoor ook paragraaf 3.3. Het voorvlak bevat de acht componenten van het systeem, het zijvlak bevat de

verschillende ondernemingsniveaus waarop ERM kan worden toegepast, te weten

subsidairy, business unit, division, entitylevel. COSO heeft het de vorm van een kubus

gegeven, als zijnde een 3D-matrix, omdat er een direct verband bestaat tussen de doelstellingen van de organisatie en de componenten van ERM, die aangeven wat er benodigd is om de doelstellingen te realiseren. Het is mogelijk om te focussen op ERM in totaliteit, per categorie doelstellingen, per component afzonderlijk of per

bedrijfsonderdeel.

Het proces van ERM is een zich steeds maar herhalend en dynamisch proces. Het stopt in feite nooit (onder continuïteitsveronderstelling). Tevens is het van belang dat het wordt uitgevoerd door alle personeelsleden op ieder niveau binnen een organisatie.

26

De acht componenten welke het totale systeem vormen zijn in het proces op chronologische wijze als volgt weer te geven:

- Control environment en objective setting betreffen de randvoorwaarden;

- Event identification en risk response betreft het proces;

- Control activities;

- Information;

-

Het ERM-proces is in deze vorm een chronologisch en zich herhalend proces. Het kan zich hierbij steeds in verschillende volgorden bewegen. De componenten kunnen hierbij elkaar beïnvloeden.

Ik zal nu de verschillende componenten inhoudelijk even in het kort toelichten27: 1. Control environment/ interne omgeving:

Dit bevat de toon van de organisatie. Het geeft een basis voor hoe de verschillende risico’s binnen een organisatie worden gezien en geadresseerd door de mensen binnen de organisatie, inclusief risicomanagementbeleid alsmede

risicoacceptatiegraad, integriteit, ethische normen en waarden en de omgeving waarin zij opereren.

2. Objective setting/ formuleren van doelstellingen:

Doelstellingen moeten bestaan voordat het management mogelijke gebeurtenissen die invloed hebben op het behalen van deze doelen kan erkennen. ERM

bewerkstelligd dat het management een proces heeft dat de doelstellingen in zekere zin vastlegt, dat gekozen doelstellingen afgestemd zijn op en de missie ondersteunen en in overeenstemming zijn met de risicoacceptatiegraad.

3. Event identification/ identificeren van gebeurtenissen:

Dit betreft het identificeren van zowel interne als externe gebeurtenissen die invloed hebben op het behalen van de organisatiedoelstellingen. Hierbij dient onderscheid te worden gemaakt tussen kansen en risico’s. Kansen kunnen hierbij vervolgens

teruggekoppeld worden nar het strategie- en/ of doelstellingenformuleringsproces.

4. Risk assessment/ risicobeoordeling:

Hierbij worden risico’s geanalyseerd, hierbij de waarschijnlijkheid en impact in ogenschouw genomen, die als basis dienen voor hoe deze zouden moeten worden beheerst.

5. Risk response/ reactie op risico:

Het management van de organisatie maakt de keuze uit en selecteert uit de volgende risk responses: vermijden, accepteren, verminderen en delen van het risico (zie ook paragraaf 3.4).

6. Control activities/ (interne) beheersingsmaatregelen:

Dit omvat de procedures en richtlijnen die worden geformuleerd en vervolgens geïmplementeerd om te waarborgen dat de risk responses effectief worden uitgevoerd.

7. Information and Communication/ informatie en communicatie:

Hierbij wordt relevante informatie geïdentificeerd, verzameld en vervolgens

gecommuniceerd naar een ieder binnen de organisatie. Dit dient te gebeuren in een vorm en tijdsbestek dat het de betreffende personen mogelijk maakt zijn/ haar verantwoordelijkheden uit te kunnen voeren. Effectieve communicatie vindt hierbij binnen de organisatie ook in de meest ruime zin plaats, dit houdt in zowel

horizontaal, verticaal als bilateraal.

8. Monitoring/ bewaking:

Het ERM-proces wordt in zijn geheel bewaakt. Hierbij worden, indien noodzakelijk, wijzigingen doorgevoerd. Bewaking geschiedt door steeds voortdurende

managementactiviteiten, seperate evaluaties of een combinatie van beide.

Het is nog wel belangrijk te vermelden dat ERM naast de voordelen, ook duidelijke nadelen heeft. Deze nadelen zijn voornamelijk gelegen in de subjectiviteit van de menselijke oordeelsvorming. Hierbij kan bijvoorbeeld gedacht worden aan onjuiste of onvolledig genomen beslissingen, beslissingen op basis van mode op dat moment terwijl misschien wel niet het meest effectief, menselijke fouten en samenspanning. Als gevolg hiervan kan er nooit een absolute zekerheid gegeven worden dat organisatiedoelen worden bereikt, maar wel een redelijke mate van zekerheid28.

De precieze plaats en betekenis van risicomanagement in het kader van corporate governance binnen de Code Tabaksblat alsmede de hiervan afgeleide, specifiek voor de zorgsector geldende, Zorgbrede Governancecode is tot op heden nog vrij onderbelicht gebleven. Om op een verantwoorde wijze te kunnen ondernemen en doelstellingen te kunnen realiseren is het toch erg van belang om de interne en externe risico’s waaraan een organisatie blootgesteld staat, in kaart te brengen.

Hoofdstuk 4

Integraal risicomanagement zorginstellingen

In dit hoofdstuk zal ik specifieker ingaan op de corporate governance, en in het bijzonder gefocust op het onderdeel risicomanagement binnen zorginstellingen. Ook wordt de meest relevante specifieke regelgeving voor de zorgsector in dit hoofdstuk toegelicht. In dit hoofdstuk zal antwoord worden geven op de in hoofdstuk 2 geformuleerde deelvragen 2 en 3.

4.1 De gezondheidszorg in Nederland

Tot de zorg wordt gerekend: alle vormen van zorg zoals deze worden aangeboden in één van de toegelaten zorginstellingen (= instelling waar zorg wordt verleend29). Het geheel van deze zorg en zorginstellingen omvat de zorgsector in het verband van dit onderzoek. De zorgsector wordt volgens Van Dale omschreven als: de gezondheidszorg en de

maatschappelijke dienstverlening samen30.

Zoals in hoofdstuk 2 bij de operationalisering van de begrippen reeds is aangegeven, bestaan er verschillende typen zorg, hieronder zal ik deze nog even voor de volledigheid opsommen:

o Ziekenhuiszorg: algemene, categorale en academische zorg, de

zelfstandige behandelcentra (ZBC’s, ook wel privéklinieken genoemd); o Geestelijke gezondheidszorg, zoals deze onder meer wordt aangeboden

door psychiatrische ziekenhuizen, RIAGG en RIBW, maar ook door vrijgevestigde psychologen en psychotherapeuten;

o Verpleeghuiszorg; o Verzorgingshuiszorg;

o Gehandicaptenzorg (verstandelijk, visueel, auditief); o Thuiszorg.

Verder worden nog alle vormen van zorg meegenomen die worden geboden door individuele beroepsbeoefenaren. Hierbij valt te denken aan medisch specialisten, tandartsen, huisartsen, apothekers, fysiotherapeuten en verloskundigen. Ook deze zogenoemde eerstelijnsvoorzieningen gaan recent steeds meer samenwerken. Ze bieden hiertoe hun diensten steeds meer aan vanuit één centrum.

Grote Van Dale, 2005

30

Er wordt binnen de zorgsector onderscheid gemaakt tussen curatieve zorg, ook wel cure-sector genoemd, en de care-cure-sector. Globaal gezien kan dit onderscheid als volgt worden weergegeven:

- Curatieve (cure) zorg: de op genezing gerichte zorg; alle zorg die wordt

aangeboden in de algemene, categorale en academische ziekenhuizen. Ook valt hieronder de medisch-specialistische zorg, ondersteunende zorg (paramedische zorg) en huisartsenzorg. De basisverzekering van de zorgverzekeraars dekt over het algemeen deze zorg;

- Care-zorg: de op ondersteuning en zorgverlening aan met name (chronisch)

zieken en hulpbehoevenden. Dit betreffen alle andere typen zorg dan de

hierboven beschreven curatieve zorg. De aanspraken op de verschillende soorten voorzieningen die hiervoor nodig zijn, alsmede de financiering hiervan zijn

geregeld in de Algemene Wet Bijzondere Ziektekosten (AWBZ). De financiering van de AWBZ wordt door iedereen met een inkomen gedragen. De bijdrage voor de AWBZ is namelijk verdisconteerd in de eerste schijf van de loon- en

inkomstenbelasting.

De zorgsector is één van de belangrijkste sectoren van de Nederlandse economie te noemen. Er gaat namelijk veel geld in om, en deze sector biedt veel werkgelegenheid. De kosten in de zorgsector worden voor een belangrijk deel gefinancierd uit de AWBZ en uit de verplichte basisverzekering.

Qua rechtsvorm zijn de meeste zorginstellingen een stichting. In een aantal specifieke gevallen komt ook wel eens de Besloten Vennootschap voor, maar de doorsnee

ziekenhuizen en AWBZ-instellingen worden gevoerd door middel van de stichting. Hierna zal ik de kenmerken van een dergelijke stichting even nader uiteenzetten.

De zorginstelling (stichting) wordt bestuurd door een Raad van Bestuur (RvB). Deze RvB is verantwoording verschuldigd aan een Raad van Toezicht (RvT). Binnen het

(meerjaren)beleidsplan en de jaarlijkse begroting, die beiden dienen te worden

goedgekeurd door de RvT, heeft de RvB het mandaat om alle dagelijkse beheersdaden uit te voeren. De RvB voert periodiek overleg met de RvT. Een kleine minderheid aan zorginstellingen hebben een directeur dan wel een meerhoofdige directie. Deze directeur dan wel directie is verantwoording verschuldigd aan de RvB. Dit wordt ook wel het Raad van Beheer-model genoemd. Deze zorginstellingen hebben geen RvT.

De laatste tien, vijftien jaar is er een grote fusiegolf gaande in de zorgsector. Deze leiden tot forse schaalvergrotingen van de zorginstellingen. Eén belangrijke reden voor deze fusies is dat ze onder één dak een breed pakket aan zorgvoorzieningen kunnen

aanbieden. Dit varieert van thuiszorg en ouderenzorg tot en met ziekenhuiszorg. Deze grote instellingen tellen nu soms wel eens duizenden medewerkers en een zorgomzet van tientallen, tot honderden miljoenen euro’s31.

Het is nu logisch en goed te begrijpen dat de besturing van dergelijk grote organisaties hierdoor erg complex is geworden. Om toch transparantie in de besturing en beheersing van deze instellingen te houden voor de belanghebbenden/ stakeholders, is de corporate governance een uitkomst. Hiertoe wordt de Zorgbrede Governancecode, afgeleid van Code Tabaksblat, nu steeds meer en meer toegepast. Transparantie in de verslaggeving is immers de achterliggende gedachte van corporate governance. Een onderdeel van deze corporate governance is integraal risicomanagement, waar de focus van deze scriptie op ligt.

Hierna zal ik nader ingaan op het belang van de code alsmede de verslaggeving over risicomanagement voor de zorginstellingen.

4.2 Ontstaan en ontwikkeling van de Zorgbrede Governancecode

Na het verschijnen van de Code Tabaksblat in december 2003 kwam er in verschillende sectoren van de Nederlandse publieke sector een discussie op gang over aanscherping van het bestaande governancekader. In de zorg leidde dit tot allerlei verschillende governancecodes van brancheverenigingen, zoals die van de Nederlandse Vereniging voor Ziekenhuizen (NVZ) en van ActiZ. Omdat er als gevolg hiervan een stapel codes met ongelijke regels dreigde, besloten de brancheverenigingen tijdelijk te gaan samenwerken om één code te ontwikkelen die kon gelden voor de gehele zorgsector. De Zorgbrede Governancecode is hiervan het resultaat. Deze code is in 2006 ingevoerd. Het betreft overigens, net als de Code Tabaksblat, geen wettelijke regeling. Het zijn slechts best practices oftewel aanbevelingen. Het is een code die de zorgsector zichzelf oplegt.

De voornoemde brancheorganisaties stimuleren overigens wel om de code toe te passen. Indien deze namelijk (deels) niet wordt toegepast, wordt de Raad van Bestuur dan wel de Raad van Toezicht opgeroepen om uit te leggen waarom de code (deels) niet door hen is toegepast. Dit staat bekend als het “comply or explain”-principe (vergelijk: “pas toe of leg uit”-principe in de Code Tabaksblat).

31

De inleiding van de Zorgbrede Governancecode geeft een verklaring waarom men deze code noodzakelijk vond om samen te stellen. Dit betreffen de volgende redenen:

- In verband met de veelheid en veelvormigheid van fusies, waardoor concerns en werkverbanden waren onstaan die de traditionele branches overstegen;

- Omdat er een behoefte bestond om aan te sluiten bij de meest actuele governance-inzichten;

- Omdat men behoefte had aan een code die voldoende concreet is om er op het niveau van de zorgorganisatie mee aan de slag te gaan.

De volgende brancheorganisaties hebben het initiatief tot ontwikkeling van de Zorgbrede Governancecode aangedragen, dit betreffen de brancheorganisaties die een groot deel van de gehele Nederlandse zorg omvatten:

- Arcares, de brancheorganisatie voor verpleging en verzorging; - GGZ Nederland, instellingen voor geestelijke gezondheidszorg; - Nederlandse Federatie van Universitaire Medische Centra; - Z-org, thuiszorginstellingen;

- NVZ, de Nederlandse Vereniging van Ziekenhuizen; - VGN, Vereniging Gehandicaptenzorg Nederland32.

4.3 De Zorgbrede Governancecode in het kort

In december 2005 is de Zorgbrede Governancecode (ook wel BOZ-code genoemd) verschenen als specifiek op de zorgsector toegesneden variant van de Code Tabaksblat. De Zorgbrede Governancecode is een samenbundeling van moderne en inmiddels breed gedragen algemene opvattingen binnen de zorg over goed bestuur, toezicht en

verantwoording. Een belangrijk element van deze code is de striktere scheiding tussen de uitvoerende en toezichthoudende functies en de verdere professionalisering van deze functies. Het model beschrijft de benodigde kwaliteit en competenties van de Raad van Bestuur (RvB) en van de Raad van Toezicht (RvT) die de RvB controleert en met raad en daad ter zijde staat.

De leden van de RvT zijn bij voorkeur deskundigen op verschillende terreinen die geen persoonlijke of werkgerelateerde binding met de zorginstelling hebben. Het Raad van Beheermodel, zie ook paragraaf 4.1, is volgens de Zorgbrede Governancecode niet geschikt, omdat de noodzakelijke distantie voor de toezichthouder ontbreekt en de samenstelling van een dergelijk bestuur vaak, maatschappelijk gezien, niet in evenwicht is.

32