Risicomanagement bij
zorginstellingen
Onderzoek naar risicomanagement bij de honderd
grootste zorginstellingen van Nederland
Rijksuniversiteit Groningen
Faculteit Economie & Bedrijfskunde
Auteur:
Hans Roelofs
Studentnummer: 1421352
Begeleider:
drs. S.S. Bruinsma RA
Datum:
20 augustus 2008
VOORWOORD
Voor u ligt mijn afstudeerscriptie over risicomanagement bij zorginstellingen. Mijn scriptie is de afsluiting van de Master Accountancy van de Rijksuniversiteit Groningen en met deze scriptie komt een einde aan de voltijd studie aan de faculteit Economie en Bedrijfskunde.
Op deze plaats wil ik graag een aantal mensen bedanken die mij direct of indirect geholpen hebben met het tot stand brengen van deze scriptie.
Ik heb voor het schrijven van mijn scriptie een afstudeerstage gevolgd bij KPMG in Groningen. Ik heb daar een uiterst leerzame en aangename tijd doorgebracht. Ik wil mijn begeleiders bij KPMG, Miranda Visser en Albert Mosselaar, bedanken voor het wegwijs maken binnen KPMG en met het begeleiden van mijn scriptie. Daarnaast wil ik iedereen van KPMG kantoor Groningen bedanken voor de leuke en aangename tijd die ik bij jullie heb mogen doorbrengen.
Daarnaast wil ik mijn afstudeerbegeleider van de universiteit, de heer Sikko Bruinsma, bedanken voor het begeleiden tijdens mijn afstuderen en het geven van heldere feedback.
Met deze scriptie is dus een einde gekomen aan mijn studie Accountancy aan de Rijksuniversiteit Groningen. Vanaf september begint er voor mij een nieuwe uitdaging, waarin ik naast dat ik ga beginnen met werken ook de post-master opleiding tot Registeraccountant ga volgen aan de Rijksuniversiteit Groningen.
Als laatste wil ik graag mijn vriendin en mijn familie bedanken voor hun steun tijdens de studie en het afstuderen.
Hans Roelofs
MANAGEMENTSAMENVATTING
Risicomanagement is een onderwerp dat de laatste jaren steeds meer aandacht heeft gekregen en het zal binnen organisaties de komende jaren ook steeds belangrijker worden. Vanuit de cursussen die worden aangeboden in de Master Accountancy van de Rijksuniversiteit Groningen wordt ook uitgebreid aandacht besteed aan risicomanagement. In deze cursussen wordt voornamelijk nadruk gelegd op risicomanagement bij beursgenoteerde bedrijven die moeten voldoen aan de Nederlandse corporate governance code. In die code wordt een raamwerk genoemd die de beursgenoteerde bedrijven kunnen gebruiken voor het organiseren van risicomanagement in hun organisaties. Vanuit de cursussen is voor mijzelf een globaal beeld gevormd hoe beursgenoteerde bedrijven aandacht besteden aan risicomanagement. Ik vind het interessant om te onderzoeken of organisaties die niet aan de Nederlandse corporate governance code hoeven te voldoen, of die organisaties ook een formeel beleid voor risicomanagement hebben en of die organisaties eveneens het raamwerk gebruiken voor het organiseren van risicomanagement dat als voorbeeld wordt genoemd in de Nederlandse corporate governance code. Ik heb onderzoek gedaan bij de branche gezondheidszorg. De zorginstellingen vallen niet onder de Nederlandse corporate governance code. Met dit onderzoek wil ik in kaart brengen of zorginstellingen aandacht besteden aan risicomanagement en of zij het raamwerk gebruiken dat als voorbeeld staat genoemd in de Nederlandse corporate governance code.
Ik heb onderzoek gedaan naar in hoeverre zorginstellingen een formeel beleid van risicomanagement hebben. Daarnaast heb ik onderzoek gedaan naar in hoeverre de zorginstellingen bekend zijn met het COSO ERM raamwerk en of ze dit ook op dit moment toepassen of dat ze van plan zijn om het in de toekomst toe te gaan passen. Daarnaast heb ik onderzoek gedaan naar wat de zorginstellingen belangrijke thema’s (risicogebieden) vinden waar het risicomanagement van toegevoegde waarde zou zijn voor de zorginstelling.
Als laatste heb ik onderzocht wat de ambities zijn van de zorginstellingen voor het toepassen van risicomanagement.
Om te onderzoeken hoe de stand van zaken op dit moment is met betrekking tot de toepassing van risicomanagement in de branche gezondheidszorg heb ik een enquête via het internet afgenomen onder de honderd grootste zorginstellingen in Nederland. Vijfenveertig zorginstellingen hebben gereageerd op het verzoek om mee te doen met het onderzoek en hebben de enquête ingevuld.
Uit de resultaten van de enquête blijkt dat net iets meer dan de helft van de zorginstellingen op dit moment een formeel beleid voor risicomanagement in de organisatie heeft. Dit formele beleid is bij de meeste zorginstellingen in de afgelopen drie jaar vormgegeven.
Van de zorginstellingen die een formeel beleid voor het toepassen van risicomanagement hebben, past ongeveer éénderde het COSO ERM raamwerk geheel of gedeeltelijk toe. Daarnaast zijn twaalf zorginstellingen die op dit moment niet het COSO ERM raamwerk gebruiken voor het organiseren van risicomanagement of die op dit moment nog helemaal geen formeel beleid voor risicomanagement hebben van plan om het COSO ERM raamwerk in de toekomst toe te gaan passen.
Daarnaast is aan de zorginstellingen gevraagd wat zij belangrijke thema’s vinden waarop het risicomanagement van toegevoegde waarde zou zijn. Ofwel waar liggen voor de zorginstellingen belangrijke risico’s die beheerst zouden moeten worden. Uit de resultaten blijkt dat de meerderheid van de zorginstellingen alle elf genoemde thema’s belangrijk of zeer belangrijk vindt. Hieruit blijkt dat de zorginstellingen organisatiebreed risico’s zouden willen beheersen.
Als laatste is onderzoek gedaan naar wat de ambities zijn van de zorginstellingen met betrekking tot het toepassen van risicomanagement. Uit de resultaten blijkt dat de zorginstellingen ambities hebben om een uitgebreide vorm van risicomanagement in de zorginstelling toe te gaan passen. Drieëntwintig van de vijfenveertig zorginstellingen hebben de ambitie om risico’s te bespreken en te documenteren, om beheersingsmaatregelen aan deze risico’s te koppelen en om testwerkzaamheden op de beheersingsmaatregelen uit te voeren om de juiste werking van de beheersingsmaatregelen te testen. Op dit moment passen vier van de vijfenveertig zorginstellingen deze vorm van risicomanagement toe.
Wat mij vooral uit de resultaten van de enquête opvalt, is dat ongeveer de helft van de zorginstellingen een formeel beleid voor het toepassen van risicomanagement heeft.
Ik had verwacht dat dit aantal groter zou zijn. Ik heb de enquête gehouden onder de honderd grootste zorginstellingen in Nederland en mijn verwachting was dat bijna iedere zorginstelling een formeel beleid voor het toepassen van risicomanagement in de zorginstelling zou hebben, aangezien de zorginstellingen van dien omvang zijn dat zij met veel risico’s te maken zullen hebben en dat beheersing hiervan gewenst zou zijn. Daarnaast komt duidelijk naar voren dat het vormen van een formeel beleid voor het toepassen van risicomanagement vooral in de afgelopen drie jaren heeft vorm gekregen. Het blijkt dus dat risicomanagement nog in de kinderschoenen staat bij de zorginstellingen en ik verwacht dat als dit onderzoek over een vijftal jaren herhaald zal worden dat dan de overgrote meerderheid een formeel beleid voor het toepassen van risicomanagement in de zorginstelling heeft. Wat daarnaast opvalt, is dat de zorginstellingen organisatiebreed risico’s willen beheersen.
Ik had verwacht dat de zorginstellingen gebruik zouden maken van het COSO ERM raamwerk. Dit zou tevens ook aansluiten bij dat de resultaten dat de zorginstellingen organisatiebreed risico’s willen beheersen. Toch blijkt dat maar acht zorginstellingen gebruik maken van het COSO ERM raamwerk. Daarnaast zijn twaalf zorginstellingen van plan om het COSO ERM raamwerk in de toekomst toe te gaan passen. Ik had verwacht dat het COSO ERM raamwerk binnen de zorginstellingen het raamwerk zou zijn voor het toepassen van risicomanagement.
INHOUDSOPGAVE
Pag.Voorwoord
1
Managementsamenvatting
2Inhoudsopgave
5Hoofdstuk 1 Introductie
1.1 Inleiding 6 1.2 Probleemstelling 6 1.3 Relevantie 8 1.4 Beperkingen 91.5 Opbouw van de scriptie 9
Hoofdstuk 2 Literatuurbespreking
2.1 Inleiding 10
2.2 COSO ERM raamwerk 11
2.3 Risicomanagement bij zorginstellingen 19
2.4 Conclusie 23
Hoofdstuk 3 Onderzoeksmethode
3.1 Inleiding 25
3.2 Steekproefomvang 25
3.3 Opzet van de enquête 26
3.4 Inhoud van de enquête 27
3.5 Benaderen van de zorginstellingen 28
3.6 Respons 29
Hoofdstuk 4 Resultaten
4.1 Inleiding 31
4.2 Huidige stand van zaken 31
4.3 Belangrijkste risico’s 35
4.4 Ambities voor toepassen risicomanagement 36
4.5 Conclusie 38
Hoofdstuk 5 Samenvatting en Conclusie
5.1 Samenvatting 42 5.2 Conclusie 43
Hoofdstuk 6 Evaluatie
6.1 Terugblik 46 6.2 Aanbevelingen 48Literatuurlijst
49Bijlage
51HOOFDSTUK 1 INTRODUCTIE
1.1 Inleiding
Risicomanagement is ‘hot’. Als je tegenwoordig niet aan een of andere vorm van risicomanagement doet dan hoor je er niet meer bij. De afgelopen jaren is er binnen ondernemingen steeds meer gefocust op het beheersen van risico’s. Dit is niet alleen op vrijwillige basis, maar wordt soms ook verplicht vanuit de wet- en regelgeving en andere geldende normen. Ook in de branche gezondheidszorg speelt risicomanagement een steeds grotere rol. Zorginstellingen hebben de afgelopen jaren te maken gekregen met meer risico’s die eerst niet zo omvangrijk waren. Te denken valt hierbij aan de marktwerking tussen zorginstellingen, de veranderde financieringsomgevingen en de technologische en medische ontwikkelingen (Snapper en Swagerman, 2007). Er is een algemeen raamwerk voor het organiseren van risicomanagement ontwikeld. Dit raamwerk is opgesteld door de ‘Committee of Sponsoring Organizations of the Treadway Commission’ (COSO). COSO heeft in 1994 haar eerste raamwerk voor het beheersen van risico’s gepubliceerd: ‘Internal Control, Integrated Framework’. In 2004 heeft COSO een geactualiseerde versie van het raamwerk uitgebracht: ‘Enterprise Risk Management (ERM) Framework’
Binnen zorginstellingen waren tot een paar jaar geleden de risico’s niet breed georiënteerd. De risico’s waren vooral gerelateerd aan de volgende onderwerpen: het registreren van de productie, het toevoegen van informatie aan het cliëntdossier en het factureerproces.
De afgelopen jaren heeft de branche gezondheidszorg ook steeds meer te maken gekregen met andere risico’s en in het kader daarvan wil ik onderzoeken of het wereldwijd geaccepteerde COSO ERM raamwerk ook geschikt is om risicomanagement te organiseren bij zorginstellingen.
1.2 Probleemstelling
In deze paragraaf zal ik de probleemstelling uiteenzetten van mijn scriptie.
De probleemstelling drukt uit wat je wilt weten en waarom je het wilt weten. De probleemstelling vormt de basis van het onderzoek dat je gaat uitvoeren. De Leeuw (2001) stelt dat een probleemstelling bestaat uit een doelstelling, een vraagstelling en uit randvoorwaarden. Uit de vraagstelling komen dan de deelvragen voort. Op basis hiervan zal ik ook mijn probleemstelling uiteenzetten.
1.2.1 Doelstelling
De doelstelling van het onderzoek legt vast voor wie het onderzoek wordt gedaan, wat er voor hen uitkomt en waarom dat voor hen van belang is. Het gaat vooral om het vastleggen van de relevantie van het onderzoek (De Leeuw, 2001).
De doelstelling van mijn scriptie is:
Ik wil aan de hand van mijn scriptie onderzoeken of het COSO ERM raamwerk gebruikt kan worden voor zorginstellingen om risicomanagement te organiseren.
1.2.2 Vraagstelling
Aan de hand van de opgestelde doelstelling wordt in de vraagstelling de hoofdvraag geformuleerd die aansluit bij de doelstelling en in voor onderzoek relevante termen is geformuleerd (De Leeuw, 2001).
De vraagstelling, de hoofdvraag, van mijn scriptie is:
In hoeverre is het COSO ERM raamwerk geschikt om in de branche gezondheidszorg risicomanagement te organiseren?
1.2.3 Randvoorwaarden
De randvoorwaarden van het onderzoek geven de eisen en de beperkingen weer waaraan het uit te voeren onderzoek onderhevig is (De Leeuw, 2001).
Er zijn een aantal randvoorwaarden aan mijn scriptie verbonden. De eerste randvoorwaarde voor mijn scriptie is de beschikbare tijd. Voor het maken van een scriptie staat 20 EC (European Credits) aan studiepunten. De scriptie zal zo ingericht en uitgevoerd moeten worden dat de tijd die er aan gespendeerd is ongeveer overeenkomt met deze 20 EC.
De tweede randvoorwaarde is dat mijn scriptie aan een aantal eisen moet voldoen die zijn vermeld in de ‘handleiding afstudeerwerkstukken voor masteropleiding Accountancy & Controlling’ van de Faculteit Economie en Bedrijfskunde. Het gaat met name om de eisen met betrekking tot de vormgeving van de scriptie en de keuze van het onderwerp.
Het onderwerp van de scriptie moet aansluiten bij de opleiding en het daarbinnen gekozen traject. En derde randvoorwaarde is de bereidheid van andere mensen om mij te helpen met het verzamelen van informatie. Ik wil aan de hand van een enquête de benodigde informatie verzamelen. Hierdoor ben ik aangewezen op derden die tijd beschikbaar moeten en/of willen maken.
1.2.4 Deelvragen
Op basis van de doestelling en vraagstelling van het onderzoek zijn een vijftal deelvragen geformuleerd die verdere richting geven aan het onderzoek.
Het geheel van behandeling van de deelvragen zal leiden tot een samenvatting en conclusie in het laatste hoofdstuk, waarin een antwoord zal worden gegeven op de hoofdvraag.
Deelvraag 1:
Wat is het COSO ERM raamwerk?
Deelvraag 2:
Hoe is risicomanagement voor zorginstellingen op dit moment verankerd in wet- en regelgeving en/of andere geldende normen?
Deelvraag 3:
Hoe is de stand van zaken ten aanzien van risicomanagement in de branche gezondheidszorg op dit moment?
Deelvraag 4:
Wat zijn de belangrijkste risico’s die een zorginstelling zou moeten managen?
Deelvraag 5:
Wat zijn de ambities van de zorginstellingen voor het toepassen van risicomanagement?
1.3 Relevantie
Het onderwerp van mijn scriptie richt zich op risicomanagement en dan in het bijzonder op het raamwerk dat COSO in 2004 heeft gepresenteerd. Het onderwerp heeft een aantal relevante aspecten voor mij. Ten eerste sluit het onderwerp aan bij de cursussen die aangeboden worden in de Master Accountancy van de Rijksuniversiteit Groningen.
Ten tweede is risicomanagement een onderwerp dat steeds meer aandacht krijgt en dat waarschijnlijk ook nog steeds belangrijker zal worden binnen organisaties. Het COSO ERM raamwerk zal waarschijnlijk veelvuldig als raamwerk voor risicomanagement gebruikt worden door organisaties om het risicomanagement binnen hun onderneming te organiseren. Hierdoor zal ik in mijn toekomstige functie als accountant eveneens in aanraking komen met risicomanagement en met het COSO ERM raamwerk. Daarom is het voor mij interessant om mij nu enigszins te verdiepen in het onderwerp van risicomanagement en het COSO ERM
raamwerk en dan kan ik daar vervolgens wellicht een voordeel mee opdoen in mijn toekomstige loopbaan als accountant.
Over risicomanagement en het COSO ERM raamwerk is al veel geschreven, maar in relatie met de branche gezondheidszorg in Nederland is er nog niet veel literatuur beschikbaar over risicomanagement en het COSO ERM raamwerk. Aan de hand van mijn scriptie hoop ik een relevante bijdrage te kunnen leveren aan de bestaande literatuur.
1.4 Beperkingen
Er is een aantal randwoorden onderhevig aan mijn scriptie, zoals vermeld in paragraaf 1.2.3. De belangrijkste randvoorwaarde is de omvang, qua tijd, van de scriptie.
De gegevensverzameling wil ik uitvoeren aan de hand van een enquête onder zorginstellingen. Omdat ik mijn onderzoek van dien omvang moet zijn dat de tijd die eraan besteed is ongeveer gelijk is aan de tijd die de universiteit er voor geeft heb ik er voor gekozen om alleen de honderd grootste zorginstellingen in Nederland te benaderen voor het invullen van de enquête. Op deze manier hoop ik een goed beeld te krijgen van hoe de honderd grootste zorginstellingen in Nederland aandacht besteden aan risicomanagement. Of het beeld dat verkregen wordt van de honderd grootste zorginstellingen ook representatief is voor alle zorginstellingen in Nederland zal waarschijnlijk niet met dit onderzoek vastgesteld kunnen worden. Hiervoor zal nader onderzoek naar gedaan moeten worden.
1.5 Opbouw van de scriptie
De scriptie is als volgt opgebouwd. In het volgende hoofdstuk worden de eerste twee deelvragen behandeld. In het hoofdstuk daarna zal de onderzoeksmethode aanbod komen. In het hoofdstuk zal uiteengezet worden hoe ik het empirische onderzoek heb aangepakt en vorm heb gegeven aan de hand van een enquête via het internet. In hoofdstuk vier zullen de resultaten van de enquête besproken worden en zal een antwoord worden geformuleerd op de derde, vierde en vijfde deelvraag. Het vijfde hoofdstuk bestaat uit een samenvatting en een conclusie waarin een antwoord wordt gegeven op de hoofdvraag. In het laatste hoofdstuk blik ik terug op het onderzoek en doe ik aanbevelingen voor vervolgonderzoeken.
HOOFDSTUK 2 LITERATUURBESPREKING
2.1 Inleiding
Risicomanagement staat hoog op de agenda bij de managers van de ondernemingen. Dit komt mede doordat de interne beheersing met betrekking tot de financiële informatievoorziening bij sommige ondernemingen de laatste jaren is tekortgeschoten en daardoor een groot aantal boekhoudschandalen zijn opgetreden, zoals bij Enron, Worldcom en Ahold (Emanuels, 2005). Het gevolg van de opgetreden boekhoudschandalen is dat de overheid en andere toezichthouders wereldwijd maatregelen hebben getroffen om het toezicht op het management te kunnen verbeteren (Emanuels en de Munnik, 2006).
In Nederland heeft dit in december 2003 geresulteerd in een Nederlandse Corporate Governance code (ook wel code Tabaksblat genoemd). De code is verplicht voor beursgenoteerde bedrijven.
In de Nederlandse Corporate Governance code staat een bepaling opgenomen dat het bestuur in het jaarverslag moet verklaren dat de interne risicobeheersings- en controlesystemen adequaat en effectief zijn (Commissie Corporate Governance, 2003). Tevens staat in de code vermeldt dat het bestuur in de verklaring aangeeft welk model of raamwerk de organisatie heeft gebruikt om risicomanagement te organiseren. Als voorbeeld wordt het raamwerk van COSO uit 1994 genoemd, genaamd ‘Internal Control – Integrated Framework’.
In 2004 heeft COSO een vernieuwd raamwerk naar buiten gebracht: ‘Enterprise Risk Management – Integrated Framework’. Dit raamwerk is ten opzichte van het eerste raamwerk meer gericht op het organisatiebreed beheersen van risico’s waarmee organisaties te maken hebben (Emanuels en de Munnik, 2006).
In dit hoofdstuk zal eerst het COSO ERM Raamwerk besproken worden. Daarna zal besproken worden hoe risicomanagement op dit moment verankerd is in de wet- en regelgeving en andere geldende normen waaraan een zorginstelling onderhevig is.
In dit hoofdstuk behandel ik de volgende twee deelvragen:
Deelvraag 1:
Wat is het COSO ERM Raamwerk?
Deelvraag 2:
Hoe is risicomanagement voor zorginstellingen op dit moment verankerd in wet- en regelgeving en/of andere geldende normen?
2.2 COSO ERM Raamwerk
2.2.1 Inleiding
In 2004 presenteerde het Committee of Sponsoring Organisations of the Treadway Commission (COSO) een nieuw raamwerk, getiteld: ‘Enterprise Risk Management – Integrated Framework’ (in het vervolg: COSO ERM Raamwerk). Dit raamwerk is tot stand gekomen nadat gebleken was dat er behoefte was aan een model voor risicomanagement waarmee organisaties worden geholpen om effectieve programma’s te bouwen voor het identificeren en beoordelen van risico’s en voor het reageren op deze risico’s (Chapman, 2003).
In deze paragraaf zal ik het COSO ERM Raamwerk introduceren. In de volgende subparagraaf zal de definitie Enterprise Risk Management worden gegeven. Vervolgens zullen de componenten waaruit het raamwerk bestaat kort toegelicht worden en als laatste zal kort de literatuur over het COSO ERM Raamwerk besproken worden.
2.2.2 Definitie van ERM
Enterprise Risk Management houdt zich bezig met risico’s en kansen die kunnen resulteren in waardecreatie en waardeverlies met oog op de gedefinieerde doelstellingen. De definitie van ERM wordt door COSO als volgt omschreven: ‘Enterprise risk management is a process, effected by an entity’s board of directors, management and other personnel, applied in strategy setting and across the enterprise, designed to identify potential events that may affect the entity, and manage risk to be within its risk appetite, to provide reasonable assurance regarding the achievement of entity objectives’ (COSO, 2004).
Het ERM raamwerk is breder opgezet met betrekking tot de te beheersen risico’s dan het ‘Integrated Control’ raamwerk dat COSO in 1994 heeft opgesteld. Andrew Jackson, lid van de Project Advisory Council van COSO, zegt in het artikel van Chapman (2003): ‘As events have transpired in recent years, we’ve come to realize that we can’t consider risk in a silo anymore’. Het komt er op neer dat organisaties zich meer organisatiebreed moeten gaan richten op het beheersen van risico’s (Emanuels en de Munnik, 2006). Shimpi (2005) concludeert in zijn artikel dat het ERM raamwerk zowel de risico’s met betrekking tot de compliance en governance omgeving van de onderneming omarmt, alsmede de risico’s met betrekking tot het financiële management van de onderneming.
Emanuels (2005) definieert een Enterprise Risk Management systeem als volgt: ‘Het systeem dat het management in staat stelt om de relevante risico’s, die het behalen van de
doelstellingen van de organisatie bedreigen, te kunnen identificeren, te prioriteren, te analyseren en te beheersen’. Belangrijk is dat het management van de organisatie verantwoordelijk is voor het behalen van de organisatiedoelstellingen en dat het management met een hoge mate van waarschijnlijkheid deze doelstellingen wil behalen (Emanuels en de Munnik, 2006).
2.2.3 Onderdelen van het COSO ERM Raamwerk
Een ERM systeem is ingericht om met een redelijke mate van zekerheid te kunnen stellen dat de doelstellingen van de ondernemingen behaald zullen worden. COSO onderscheid in het COSO ERM Raamwerk een viertal verschillende doelstellingen, te weten op de volgende gebieden:
• Strategisch (Strategic) • Operationeel (Operations) • Verslaggeving (Reporting) • Compliance (Compliance)
Strategische doelstellingen zijn gerelateerd aan en het ondersteunen van de missie van de organisatie. Bij operationele doelstellingen gaat het over de effectieve en efficiënte inzet van de middelen van de organisatie. Doelstellingen met betrekking tot de verslaggeving hebben betrekking op de betrouwbaarheid van de informatie in de organisatie. En compliance doelstellingen hebben betrekking op het voldoen aan de relevante wet- en regelgeving en andere geldende normen.
De acht componenten
Het COSO ERM Raamwerk is naast de onderscheiding in doelstellingen opgebouwd uit een achttal componenten. Deze componenten zijn onderling aan elkaar gerelateerd. De componenten zijn een afgeleide van de wijze waarop het management een onderneming leidt en zijn verbonden aan het managementproces. De acht componenten van het COSO ERM Raamwerk zijn:
1) Interne omgeving (Internal Environment)
De interne omgeving van een organisatie laat zien hoe er tegen risico’s wordt aangekeken en hoe men er aandacht aan besteed, inclusief de risicomanagement filosofie en ‘risk appetite’, integriteit en ethische waarden en de omgeving waarin de organisatie opereert.
2) Formuleren van doelstellingen (Objective Setting)
Doelstellingen moeten bestaan voordat het management mogelijke gebeurtenissen kan identificeren die het behalen van deze doelstellingen kunnen belemmeren. Een intern risicobeheersingssysteem is er op gericht dat het management een proces in werking heeft om doelstellingen te formuleren en dat de geformuleerde doelstellingen de missie van de organisatie ondersteunen en consistent zijn met de ‘risk appetite’ van de organisatie.
3) Identificeren van gebeurtenissen (Event Identification)
Interne en externe gebeurtenissen die het behalen van organisatiedoelstellingen kunnen belemmeren dienen te worden geïdentificeerd, waarmee een onderscheid wordt gemaakt tussen risico’s en kansen. Kansen worden teruggekoppeld aan de managementprocessen strategie of het formuleren van doelstellingen.
4) Risicobeoordeling (Risk Assessment)
Risico’s worden geanalyseerd, rekening houdend met de kans dat een risico zich voordoet en de impact van een risico, als een basis voor hoe risico’s gemanaged moeten worden.
5) Reactie op risico (Risk Response)
Het management selecteert één van de volgende reacties op een risico: vermijden, accepteren, verminderen of delen van een risico. Vervolgens ontwerpt het management een aantal acties om te zorgen dat risico’s binnen de risicotolerantie en ‘risk appetite’ van de organisatie liggen.
6) Beheersingsactiviteiten (Control Activities)
Maatregelen en procedures worden gerealiseerd en geïmplementeerd om te zorgen dat de reacties op risico’s effectief uitgevoerd worden.
7) Informatie en Communicatie (Information and Communication)
Relevantie informatie moet worden geïdentificeerd, vastgelegd en gecommuniceerd op een manier en binnen een tijdsbestek zodat het mogelijk is voor de mensen om hun verantwoordelijkheden uit te voeren. Effectieve communicatie gebeurt ook op een bredere manier, horizontaal of verticaal door de organisatie.
8) Bewaking (Monitoring)
Het gehele risicobeheersingssysteem moet worden bewaakt en aangepast wanneer dit nodig is. De bewaking vindt plaats door ‘ongoing’ management activiteiten en/of separate evaluaties.
De kubus
Er is een directe relatie tussen de doelstellingen van de organisatie en de componenten van het systeem. De doelstellingen representeren wat de organisatie wil bereiken en de componenten laten zien wat nodig is om deze doelstellingen te kunnen halen. De relatie tussen de doelstellingen en de componenten heeft COSO grafisch weergegeven in de vorm van een kubus, zie figuur 1. In deze kubus wordt naast een onderscheid in doelstellingen en componenten nog een onderscheid gemaakt tussen de verschillende lagen in een organisatie waar men zich op kan richten. Men kan het COSO ERM raamwerk toepassen op organisatieniveau (entity-level), op divisieniveau (division), op een specifiek business onderdeel (business unit) of per deelneming (subsidiary).
Figuur 1 COSO ERM Raamwerk
De bovenstaande acht componenten kunnen worden samengevat in een aantal stappen, zoals Emanuels en de Munnik (2006) eveneens in hun artikel vermelden:
Stap 1: Het definiëren van de te beheersen doelstellingen Stap 2: Het bepalen van de risico’s
Stap 3: Het nemen van risicomitigerende maatregelen Stap 4: Bewaking en bijsturing
Randvoorwaarden
Emanuels en de Munnik (2006) onderscheiden eveneens een viertal randvoorwaarden voor een goede inbedding van het COSO ERM Raamwerk binnen de organisatie:
• Risicobewustzijn (Cultuur)
Er is organisatiecultuur nodig waarin wordt gedacht vanuit kansen en risico’s en waarin men wordt uitgedaagd om risico’s te beheersen wanneer ze nog te beheersen zijn in plaats van wanneer het te laat is.
• Opzet van het systeem en de organisatie van processen (Structuur)
Het ERM systeem wordt verankerd op het hoogste niveau binnen de organisatie en de juiste opzet en werking ervan behoren tot de directe verantwoordelijkheid van de directie of de raad van bestuur.
• Kennis en vaardigheden (Competenties)
Risicodenken en risico-evaluatie vragen om specifieke kennis en vaardigheden. Managers en andere verantwoordelijken zullen aanvullend opgeleid, getraind en beoordeeld moeten worden om goed te worden in het denken in risico’s en om een goede risico-evaluatie uit te kunnen voeren.
• Hulpmiddelen (Techniek)
Afhankelijk van de complexiteit van het COSO ERM Raamwerk en de omvang van het bedrijf kan het noodzakelijk zijn dat processen worden ondersteund door (min of meer) geavanceerde technieken. Investeren in geavanceerde technieken moeten wel in verhouding staan tot de doelstellingen wat betreft actualiteit, transparantie en toegevoegde waarde van het ERM proces.
In bovenstaande beschrijving is in het kort ingegaan op wat het COSO ERM Raamwerk is en uit welke componenten het raamwerk bestaat. In de volgende subparagraaf zal literatuur aan bod komen die verschenen is over het raamwerk.
2.2.3 Literatuur over het COSO ERM Raamwerk
In de literatuur wordt veel gesproken over het COSO ERM raamwerk voor het organiseren van risicomanagement in een organisatie. Doordat bij het ERM raamwerk rekening wordt gehouden met alle risico’s die het behalen van de doelstellingen kunnen beïnvloeden, heeft het raamwerk qua benadering en startpunt een strategisch en integraal karakter (Emanuels en
de Munnik, 2006). Francis en Paladino (2008) concluderen eveneens in hun artikel dat de ‘best-practice’ ondernemingen het COSO ERM raamwerk zien als een strategisch en hoog aangeschreven proces, en het niet aanschouwen als een gebeurtenis op zich. De ‘best-practice’ ondernemingen hebben eveneens ERM geïntegreerd in hun algehele strategische en operationele planningsprocessen, waardoor het COSO ERM raamwerk binnen de onderneming belangrijker en zichtbaarder wordt.
Shimpi (2005) noemt in zijn artikel dat het raamwerk kan worden beschouwd als een nieuwe stap in de evolutie van de pogingen om risico’s te kwantificeren en te managen. Tevens kan het model een waarde hebben voor de onderneming. Door het gezamenlijk managen van risico en kapitaal kan de gecreëerde waarde hiervan geoptimaliseerd worden aan de hand van het raamwerk.
Stroh concludeert in zijn artikel ‘Enterprise Risk Management at Unitedhealth Group (2005) dat het ERM raamwerk snel de nieuwe standaard is geworden en dat het voor vele ondernemingen waarschijnlijk de sleutel tot overleven is. Ten minste, zo concludeert hij, het is een belangrijke bron van concurrentievoordeel voor de ondernemingen die een sterke ERM discipline en capaciteit demonstreren.
In hoeverre organisaties het COSO ERM raamwerk implementeren blijkt onder andere uit een artikel van Beasley et al. (2005). Beasley et al. hebben onderzoek gedaan naar hoe ver organisaties waren in het implementeren van het COSO ERM Raamwerk. Via een elektronische enquête is gevraagd hoe het stond met de ontwikkeling van ERM bij de organisaties. Tweederde van de onderzochte organisaties kwamen uit de Verenigde Staten. Bij iets minder dan de helft van de onderzochte organisaties was het COSO ERM raamwerk (geheel of gedeeltelijk) aanwezig in de organisatie. Ongeveer éénderde van de onderzochte organisaties hadden nog geen COSO ERM raamwerk geïmplementeerd, maar hadden wel plannen om het COSO ERM raamwerk te implementeren of moesten op dit moment een beslissing maken met betrekking of men het COSO ERM raamwerk zou gaan implementeren of niet. Zeventien procent van de onderzochte organisaties hadden geen COSO ERM raamwerk in hun organisatie en hadden ook geen plannen om dit in te gaan voeren. In het onderzoek waren niet veel zorginstellingen meegenomen. Wat blijkt uit het onderzoek is dat veel organisaties, meer dan de helft het COSO ERM raamwerk hebben geïmplementeerd of plannen hebben om het te gaan implementeren. Hieruit blijkt dat het COSO ERM raamwerk binnen de organisaties veel wordt toegepast voor het organiseren van risicomanagement.
Er kleven niet alleen voordelen zoals hierboven zijn beschreven, maar het COSO ERM raamwerk heeft ook een aantal beperkingen. COSO (2004) onderscheid zelf een aantal beperkingen die het behalen van de doelstellingen kunnen belemmeren. Mensen kunnen een verkeerd oordeel vellen bij het maken van beslissingen, het systeem kan niet goed
functioneren doordat er fouten zijn gemaakt, beheersingsmaatregelen kunnen worden omzeild door samenspanning tussen twee of meer mensen, het management heeft de mogelijkheid om het raamwerk te overschrijden. Een andere beperkende factor volgens COSO is de afweging van de relatieve kosten en opbrengsten van een reactie op een risico. Er moet wel worden afgewogen of de kosten die gemaakt moeten worden om een beheersingsmaatregel in te voeren opwegen tegen de opbrengsten die resulteren uit de ingevoerde beheersingsmaatregel. Fraser noemt in zijn artikel ‘Ten common misconceptions about enterprise risk management’(2007) een tiental verkeerde vooroordelen die bestaan over het ERM Raamwerk. Hij constateert dat de meeste verkeerde vooroordelen dezelfde herkomst hebben, namelijk ‘the failure to recognize that ERM is in fact an easier, simpler and more logical undertaking than most people realize’. Er bestaat dus een beeld (een vooroordeel) over het COSO ERM raamwerk dat het raamwerk lastig, moeilijk en tijdrovend is om te implementeren.
Ik denk dat het COSO ERM raamwerk voor een organisatie een toegevoegde waarde kan hebben. De afgelopen jaren en waarschijnlijk ook de komende jaren wordt er door de overheden en andere instanties steeds meer druk uitgeoefend op organisaties om te voldoen aan wet- en regelgeving en andere geldende normen, zoals het voldoen aan een corporate governance code. Organisaties worden dus steeds meer verplicht om aan meer regelgeving te voldoen. Het COSO ERM raamwerk kan voor een organisatie een belangrijke rol hierin spelen. Aan de hand van het COSO ERM raamwerk kunnen risico’s in kaart worden gebracht die het behalen van de doelstellingen met betrekking tot de compliance (naleving van wet- en regelgeving) kunnen belemmeren. Vervolgens kunnen voor deze risico’s beheersingsmaatregelen genomen worden zodat de risico’s die de doelstellingen bedreigen beheerst kunnen worden. Op deze manier kan het COSO ERM raamwerk voor een organisatie in kaart brengen met welke risico’s een organisatie te maken heeft die het behalen van doelstellingen met betrekking tot het voldoen aan wet- en regelgeving kunnen belemmeren. Naast het punt van toenemende wet- en regelgeving voor organisaties hebben organisaties de laatste jaren te maken met een samenleving die meer openheid over risico’s ‘verlangt’ van organisaties. Doordat de afgelopen jaren er een aantal boekhoudschandalen hebben plaatsgevonden is het vertrouwen van organisaties in de maatschappij gedaald.
De maatschappij verlangt dat organisaties meer openheid (disclosure) doen over de risico’s zodat de maatschappij een betere inschatting kan maken over welke risico’s een organisatie loopt. Het risicomanagement in organisaties wordt steeds belangrijker. Het COSO ERM raamwerk kan hier voor een organisatie van belang zijn. Met het COSO ERM raamwerk is het mogelijk om risico’s organisatiebreed in kaart te brengen en te beheersen (Emanuels en de Munnik, 2006). De organisatie kan door het invoeren van het raamwerk in de gehele organisatie de risico’s in kaart brengen gerelateerd aan de vier doelstellingen (strategic,
operational, compliance, reporting). Zodoende heeft een organisatie goed in beeld welke risico’s een organisatie loopt en daarop kan de organisaties vervolgens ook actie op ondernemen. Als voor elke in kaart gebrachte risico een beheersingsmaatregel wordt benoemd dan is het voor de organisatie mogelijk om de risico’s waarmee een organisatie tijdens het uitvoeren van zijn activiteiten mee te maken heeft te kunnen beheersen. Als een organisatie naar de maatschappij communiceert via bijvoorbeeld het jaarverslag dat gebruik wordt gemaakt van het COSO ERM raamwerk om risico’s in kaart te brengen en te beheersen dan is het voor de maatschappij makkelijker om te beoordelen of een organisatie zorgvuldig risicomanagement toepast of niet.
Naast bovengenoemde aspecten kan het COSO ERM raamwerk eveneens helpen om de ambities van de organisaties te verwezenlijken. Een organisatie formuleert concrete doelstellingen van wat men wil bereiken. Vervolgens kan aan de hand van het COSO ERM raamwerk een risicoanalyse plaats vinden die alle risico’s identificeert en in kaart brengt die het behalen van de doelstellingen kunnen belemmeren. Op deze risico’s kunnen dan vervolgens beheersingsmaatregelen genomen om te zorgen dat de risico’s beheerst worden en dat de organisatie zijn doelstellingen kan realiseren. Daarnaast kan er vanuit de risicoanalyse ook kansen voor de organisatie geïdentificeerd worden en deze kansen kunnen vervolgens worden teruggekoppeld naar de doelstellingen. Het COSO ERM raamwerk kan zodoende organisaties helpen met het behalen van de doelstellingen en dus ook met het realiseren van de ambities.
Ik denk dat het COSO ERM raamwerk voor een organisatie van toegevoegde waarde kan zijn. Het zal wel een investering in tijd en geld vergen om uiteindelijk te komen tot een volledige implementatie van het COSO ERM raamwerk, maar ik denk dat voor de organisaties de voordelen opwegen tegen de nadelen.
Als de organisaties geen gebruik maken van het COSO ERM raamwerk dan denk ik dat deze organisaties het moeilijk krijgen om de gestelde doelstellingen te behalen. In de steeds veranderde omgeving waarin organisaties opereren is het belangrijk dat er een goed zicht plaats vindt op de risico’s die de organisatie loopt als gevolg van het uitvoeren van haar bedrijfsactiviteiten. Wanneer een organisatie geen risicomanagement toepast dan is niet in kaart gebracht aan welke risico’s de organisatie onderhevig is. Hierdoor is het ook niet mogelijk om van te voren te bepalen welke risico’s het behalen van de gestelde doelstellingen kunnen belemmeren. En zodoende kunnen de risico’s niet beheerst worden zodat de organisatie met een redelijke mate van zekerheid zijn gestelde doelstellingen kan behalen. Ik denk dat in de huidige samenleving een organisatie niet meer zonder een vorm van risicomanagement kan functioneren, aangezien er vanuit de samenleving, vanuit de stakeholders van de organisatie, in toenemende verlangd wordt van de organisatie dat men
risico’s in kaart brengt en risico’s probeert te beheersen. Het COSO ERM raamwerk is hiervoor een goed middel.
In het eerste deel van het hoofdstuk heb ik in het kort aangegeven wat het COSO ERM Raamwerk is, uit welke componenten het bestaat en kort de literatuur die erover geschreven is besproken. De volgende paragraaf gaat over risicomanagement bij zorginstellingen.
2.3 Risicomanagement bij zorginstellingen
In deze paragraaf zal het risicomanagement bij zorgorganisaties aan bod komen. Als eerste zal de corporate governance code voor de zorg, de Zorgbrede Governance code, en de regelingen administratieve organisatie en interne controle (ao/ic). Vervolgens zal ik de literatuur verschenen over risicomanagement in de zorg besproken worden.
2.3.1 Zorgbrede Governancecode en Regelingen AO/IC
In het jaar 1999 verscheen het rapport Health Care Governance, waarin aandacht werd besteed aan corporate goverance in de branche gezondheidszorg. De aanleiding voor het schrijven van een rapport over corporate governance in de gezondheidszorg is dat steeds meer zorginstellingen zich zijn gaan presenteren als maatschappelijke ondernemingen en dat er een toenemende behoefte ontstond om inzicht te krijgen in de wijze waarop de zorginstelling functioneert en hoe zij haar maatschappelijke functie vervult. Voor de branche gezondheidszorg bestond nog geen wettelijke regeling of gedragscode voor het functioneren van de raad van bestuur en de raad van toezicht in een zorginstelling. Om aan de behoefte voor aanbevelingen voor goed bestuur, adequaat toezicht en het afleggen van verantwoording te voldoen heeft de commissie Meurs (1999) het rapport Health Care Governance geschreven.
Zorgbrede Governance code
Als antwoord op de aanbevelingen van het rapport Health Care Governance hebben de brancheverenigingen NVZ vereniging voor ziekenhuizen, GGZ-Nederland, Arcares, VGN, Z-org en NFU een gezamelijke opgestelde nieuwe Zorgbrede Governance code opgesteld (Aanen, 2006). De Zorgbrede Governance code is in werking getreden op 1 januari 2006 en vervangt de eventuele door de brancheverenigingen eigen opgestelde governancecodes. Aanen (2006) benoemt twee redenen voor het ontstaan van de nieuwe Zorgbrede Governance code. De eerste reden is dat de branche gezondheidszorg nog geen zorgbrede code had met daarin concrete governancenormen. De tweede reden is gelegen in het feit dat de brancheverenigingen een gezamenlijke wens hadden om tot een vermindering van het externe
toezicht te komen. De nieuwe code draagt in belangrijke mate bij aan het noodzakelijk goed regelen van intern toezicht, waardoor het externe toezicht verminderd kan worden.
Voor de definitie van governance in de zorg wordt nog steeds uitgegaan zoals is vermeld in het rapport van Health Care Governance: ‘Governance is een stelsel van spelregels en omgangsvormen voor goed bestuur en goed toezicht op zorginstellingen, en van adequate verantwoording aan en beïnvloeding door belanghebbenden van de wijze waarop de zorginstelling haar doel realiseert en kwalitatief verantwoorde en doelmatige zorg levert.’ (rapport Health Care Governance, 1999)
In de Zorgbrede Governance code zijn bepalingen opgenomen die te maken hebben met risicomanagement. In de taak- en werkomschrijving van de raad van bestuur wordt gesteld dat de raad van bestuur eindverantwoordelijk is voor en belast is met het besturen van de zorginstelling. En dat de raad van bestuur verantwoordelijk is voor het beheersen van de risico’s verbonden aan de activiteiten van de zorginstelling en voor de financiering van de zorginstelling. De risico’s moeten breder worden getrokken dan alleen financiële risico’s . De raad van bestuur moet eveneens verslag uit brengen over het interne risicobeheersings- en controlesysteem aan de raad van toezicht. In de taak- en werkomschrijving van de raad van toezicht staat onder andere vermeld dat de raad van toezicht tenminste op een aantal punten toezicht moet houden, waaronder de opzet en werking van het interne beheersings- en controlesysteem. Het interne beheersings- en controlesysteem moet voornamelijk worden ingericht met betrekking tot de registratie en facturatie van de productie. Er wordt in de code geen voorbeeld of advies gegeven welk raamwerk of model de zorginstelling zou kunnen gebruiken om het risicomanagement te organiseren.
Regelingen AO / IC
De Nederlandse Zorgautoritieit (NZa) heeft een drietal regelingen uitgebracht met betrekking tot de Administratie Organisatie en de Interne Controle. In deze regelingen staan minimale eisen vermeldt voor de inrichting en werking van het interne beheersings- en controlesysteem ten aanzien van de registratie en de facturatie van de productie. In deze regelingen wordt alleen aandacht besteed aan het inrichten en opzetten van risicomanagement met betrekking tot de registratie van de productie en de facturatie van de productie. In de regelingen wordt geen aandacht besteedt hoe aan andere risico’s de interne beheersings- en controlesystemen opgezet kunnen worden.
Met betrekking tot de vier verschillende doelstellingen van het COSO ERM raamwerk richten de drietal regelingen zich alleen op reporting (betrouwbaarheid van informatie) doelstellingen. Vanuit de regelingen wordt niet aangegeven dat de zorginstelling eveneens
een interne beheersings- en controlesysteem moet inrichten voor risico’s met betrekking tot de andere doelstellingen (strategisch, operationeel en voldoen aan wet- en regelgeving). Hierdoor is de focus vanuit de regelingen voor het opzetten van risicomanagement smal georiënteerd.
In de regelingen wordt eveneens net als in de Zorgbrede Governance code geen voorbeeld gegeven voor welk model of raamwerk de zorginstelling zou kunnen gebruiken om het risicomanagement te organiseren.
2.3.2 Literatuur over risicomanagement bij zorginstellingen
Over risicomanagement is veel geschreven. Ook over risicomanagement in de branche gezondheidszorg is al het één en ander geschreven. Risicomanagement krijgt steeds meer aandacht in de branche gezondheidszorg omdat het risicobewustzijn in de zorg toeneemt door een aantal ontwikkelingen die hebben plaatsgevonden in de laatste jaren. Hierbij valt te denken aan de Zorgbrede Governancecode, de marktwerking, de veranderde financieringsomgevingen en de technologische en medische ontwikkelingen (Snapper en Swagerman, 2007). De kijk op risicomanagement is breder geworden doordat zorginstellingen met steeds meer risico’s te maken hebben. De risico’s waaraan aandacht moeten worden besteed moeten organisatiebreed gezocht worden, en er dient niet alleen aan de risico’s, maar ook aan de kansen gedacht worden (Voetelink, 2007).
Om alert te blijven op de kansen en bedreigingen die de ontwikkelingen in de omgeving van de zorginstelling met zich meebrengen is het implementeren van risicomanagement een goede methode (Wilders, 2007).
Het COSO ERM raamwerk zou hier goed op in kunnen spelen. De gedachtegang vanuit het COSO ERM raamwerk is dat men vanuit de doelstellingen van een organisatie in kaart gaat brengen welke risico’s het behalen van deze doelstellingen zouden kunnen belemmeren. Als een zorginstelling al zijn doelstellingen concreet formuleert dan kan de zorginstelling in kaart brengen aan welke risico’s de doelstellingen onderhevig zijn en zodoende kan men beheersingsmaatregelen nemen op deze risico’s. Als de zorginstelling alle doelstelling meeneemt in het proces van risicomanagement dan wordt ook organisatiebreed de risico’s en kansen gerelateerd aan de doelstellingen in kaart gebracht.
In het artikel van Snapper en Swagerman (2007) is onderzoek gedaan naar Enterprise Risk Management bij ziekenhuizen. De conclusie die zij trokken naar aanleiding van hun onderzoek is dat alle ziekenhuizen risicomanagement toepassen, maar dat slechts enkele ziekenhuizen het concept van ERM toepassen. Tevens concluderen zij dat, hoewel ze er geen specifiek onderzoek naar hebben gedaan dat het COSO ERM raamwerk goed toepasbaar is binnen ziekenhuizen.
Doordat zorginstellingen de laatste jaren steeds met meer risico’s te maken hebben is het voor de zorginstelling belangrijk dat men de mogelijkheid heeft om risico’s te begrijpen en om er mee om te gaan. Voor de gezondheidszorg representeert het ERM raamwerk zich als een operationeel en cultureel raamwerk waarmee de zorginstelling de corporate strategie kan aanpassen en waarmee verbeterde financiële en operationele resultaten kunnen worden behaald (Ching, 2003).
Ching (2003) geeft eveneens aan in het artikel dat het voor organisaties van zeer groot belang is dat men de risico’s waar men mee te maken heeft goed begrijpt en er op de juiste manier mee omgaat. De zorginstelling die dat niet kunnen zullen gestraft worden door een dalend marktaandeel, stijgende operationele kosten en eventueel zou het de ondergang van de onderneming kunnen betekenen. Voetelink (2007) geeft in zijn artikel eveneens aan zorgondernemers duurzaam voordelen kunnen behalen wanneer aandacht wordt geschonken aan de risico’s verbonden aan de veranderde omgeving waarin de zorginstelling opereert. Voetlink stelt dat voor de zorgsector in Nederland had voor lange tijd gold dat de primaire aandacht uitging naar de interne omgeving van een zorginstelling. In de komende jaren zullen de veranderingen in de externe omgeving substantieel zijn, waardoor expliciete aandacht voor de externe omgeving duurzaam voordeel kan opleveren voor zorgondernemers.
Vanuit de wet- en regelgeving en de Zorgbrede Governance code wordt geen raamwerk of model genoemd voor de zorginstelling waarmee de zorgorganisatie het risicomanagement kan organiseren. Vanuit de regelingen AO/IC wordt alleen de nadruk gelegd dat de zorginstelling een risicobeheersings- en controlesysteem moet inrichten met betrekking tot de registratie en de facturatie van de productie. In de Zorgbrede Governance code wordt in de taak- en werkomschrijving voor de raad van bestuur van de zorginstelling vermeldt dat de raad van bestuur verslag moet uitbrengen aan de raad van toezicht over het interne risicobeheersings- en controlesysteem. Tevens dient de raad van toezicht de opzet en werking van het interne risicobeheersings- en controlesysteem te toetsen. De zorginstelling is vrij om te bepalen hoe de zorginstelling invulling geeft aan het opzetten van het interne risicobeheersings- en controlesysteem. In de Zorgbrede Governance code staat dat de risico’s breder moeten worden getrokken dan alleen de financiële risico’s. Maar de zorginstelling kan zelf bepalen hoe breed men het interne beheersings- en controlesysteem opstelt.
Ik denk dat een breed opgezet interne risicobeheersings- en controlesysteem van groot belang kan zijn voor een zorginstelling. Doordat de externe en de interne omgeving van de zorgorganisatie de laatste jaren aan veranderingen onderhevig zijn, kan de zorginstelling wanneer het risicomanagement breed opgezet is hier rekening mee houden. Risico’s die het behalen van de doelstellingen kunnen belemmeren kunnen op deze manier in kaart worden gebracht. En beheersingsmaatregelen kunnen worden opgezet om de risico’s te kunnen
beheersen. Zodoende heeft een zorginstelling meer grip op de ontwikkelingen die plaatsvinden in de omgeving van de zorgorganisatie. En de zorginstelling kan vervolgens anticiperen op de ontwikkelingen die plaatsvinden. Ik denk dat een zorginstelling die een breed opgezet risicomanagement heeft geïmplementeerd een voordeel heeft op een zorginstelling die geen breed opzet risicomanagement heeft geïmplementeerd.
2.4 Conclusie
In dit hoofdstuk heb ik het COSO ERM raamwerk behandeld. Daarnaast heb ik besproken hoe risicomanagement op dit moment is verankerd in de wet- en regelgeving en andere geldende normen voor een zorginstelling. Daarnaast heb ik van beide onderwerpen enkele relevante verschenen literatuur besproken.
Deelvraag 1: Wat is het COSO ERM raamwerk?
Concluderend kan gesteld worden dat het COSO ERM raamwerk als wereldwijd geaccepteerd raamwerk voor het organiseren van risicomanagement kan worden beschouwd. Het raamwerk is ontwikkeld om aan de behoefte te voldoen om een model voor risicomanagement op te stellen waarmee organisaties geholpen worden om effectieve programma’s te bouwen voor het identificeren en beoordelen van risico’s en voor het reageren op deze risico’s (Chapman, 2003). Een belangrijk aspect van het COSO ERM raamwerk is dat het voor organisaties mogelijk is om organisatiebreed risico’s te in kaart te brengen en te beheersen. Risico’s die de doelstellingen belemmeren worden in kaart gebracht en op deze risico’s worden vervolgens beheersingsmaatregelen getroffen om de risico’s te kunnen beheersen. De doelstellingen worden onderscheiden in een viertal gebieden (strategisch, operationeel, betrouwbaarheid van informatie, voldoen aan wet- en regelgeving). Het COSO ERM raamwerk heeft een toegevoegde waarde voor een organisatie. Doordat risico’s op verschillende gebieden in kaart worden gebracht kan hierop vervolgens worden geanticipeerd. Dit biedt voor een organisatie die op deze manier risicomanagement toepast, de mogelijkheid om alle risico’s waarmee de organisatie te maken heeft of krijgt in kaart te brengen en vervolgens actie hierop ondernemen.
Deelvraag 2: Hoe is risicomanagement voor zorginstellingen op dit moment verankerd in wet- en regelgeving en/of andere geldende normen?
Beursgenoteerde bedrijven in Nederland moeten voldoen aan de Nederlandse corporate governance code. Deze code geeft aan dat het beursgenoteerde bedrijf aan moet geven welk
raamwerk of model is gebruikt voor het organiseren van risicomanagement. Als voorbeeld wordt het raamwerk van COSO uit 1994 gegeven. Zorginstelling in Nederland moeten voldoen aan de Zorgbrede Governance code. In deze code staat niet vermeld dat de zorginstelling aan moet geven welk raamwerk of model de instelling gebruikt en tevens wordt er in de code geen voorbeeld gegeven welk raamwerk of model de zorginstelling kan gebruiken om risicomanagement te organiseren. In de Zorgbrede Governance code wordt aangegeven dat de raad van bestuur aan de raad van toezicht rapporteert over het interne risicobeheersings- en contolesysteem. En de raad van toezicht toetst de opzet en werking van het het interne risicobeheersings- en controlesysteem.
In een drietal regelingen Administratieve Organisatie en Interne Controle van de Nederlandse Zorgautoriteit staan minimale eisen vermeldt over de inrichting en werking van de interne risicobeheersings- en controlesystemen ten aanzien van de registratie en de facturatie van de productie. Voor andere risico’s wordt in de drie regelingen geen aandacht besteed aan hoe het interne risicobeheersings- en controlesysteem voor die risico’s moet worden ingericht.
Aangezien er vanuit de wettelijke regelgeving voor de branche gezondheidszorg en vanuit de Zorgbrede governancecode geen model of raamwerk wordt genoemd welke de zorginstelling zou kunnen toepassen is de zorgorganisatie vrij om een eigen keuze te maken in hoe men invulling wil geven aan risicomanagement. Aangezien het COSO ERM raamwerk als wereldwijd risicomanagement raamwerk wordt geaccepteerd is het interessant om te onderzoeken of het COSO ERM raamwerk ook op dit moment in de branche gezondheidszorg wordt toegepast of dat de zorginstellingen van plan zijn om het raamwerk in de toekomst toe te gaan passen.
HOOFDSTUK 3 ONDERZOEKSMETHODE
3.1 Inleiding
In het vorige hoofdstuk is het COSO ERM raamwerk aanbod gekomen. Tevens is behandeld hoe risicomanagement op dit moment voor zorginstellingen verankerd is in de wet- en regelgeving en andere geldende normen als de Zorgbrede Governance code. Ik heb onderzoek gedaan onder de zorginstellingen aan de hand van een enquête. In dit hoofdstuk zal ik behandelen hoe de enquête is vormgegeven en welke zorginstellingen benaderd zijn voor het meedoen aan het onderzoek.
3.2 Steekproefomvang
Mijn afstudeerscriptie is aan een aantal randvoorwaarden onderhevig, zoals besproken is in het eerste hoofdstuk. Dit levert eveneens een aantal beperkingen op voor het opstellen en uitvoeren van het onderzoek. Eén van de belangrijkste randvoorwaarde en eveneens een beperking is de beschikbare tijd die staat voor het maken van de afstudeerscriptie. Om aan de randvoorwaarde van beschikbare tijd te voldoen heb ik een aantal keuzes gemaakt voor het verzamelen van de benodigde data om de deelvragen en uiteindelijk de centrale vraag te kunnen beantwoorden op een wetenschappelijk onderbouwde manier.
In Nederland is op 1 januari 2006 de Wet Toelating Zorginstellingen (WTZi) van kracht geworden. Zorginstellingen die zorg willen aanbieden die op grond van de Zorgverzekeringswet of Algemene Wet Bijzondere Ziektekosten (AWBZ) voor vergoeding in aanmerking komt, hebben een toelating nodig. In juni 2008 zijn er 3.469 instellingen toegelaten op basis van de WTZi (http://www.minvws.nl, geraadpleegd op 26 juni 2008). Uit deze gegevens blijkt dat er in Nederland een groot aantal zorginstellingen aanwezig zijn. Het is voor mij onmogelijk om alle zorginstellingen in Nederland te betrekken in mijn onderzoek. Ik heb ervoor gekozen om een deelwaarneming uit te voeren. De deelwaarneming van mijn onderzoek bestaat uit de honderd grootste zorginstellingen in Nederland, gebaseerd op de top-100 grootste zorgaanbieders opgesteld door PriceWaterhouseCoopers en Zorgvisie (PriceWaterhouseCoopers en Zorgvisie, 2007). In deze top-100 worden de zorgaanbieders gerangschikt naar de totale baten van het jaar 2006. Een lijst met de in het onderzoek betrokken zorginstellingen is te vinden in bijlage 1.
Door het uitvoeren van een deelwaarneming, in plaats van alle zorginstellingen betrekken in het onderzoek, hoop ik het onderzoek behapbaar te maken en het onderzoek niet van dien
omvang te maken dat de beschikbare tijd te kort is voor het goed kunnen uitvoeren van het onderzoek.
Door mijn onderzoek op deze manier in te richten hoop ik een goed beeld te krijgen van hoe de honderd grootste zorginstellingen in Nederland aandacht besteden aan risicomanagement. Of het beeld dat verkregen wordt van de honderd grootste zorginstellingen ook representatief is voor alle zorginstellingen in Nederland zal waarschijnlijk niet met dit onderzoek vastgesteld kunnen worden. Hiervoor zal nader onderzoek gedaan moeten worden.
3.3 Opzet van de enquête
Om een antwoord te kunnen formuleren op de derde en vierde deelvraag heb ik ervoor gekozen om de honderd grootste zorginstellingen te benaderen met een enquête. Onder een enquête kan worden verstaan een vragenlijst die volledig is gestructureerd en waarbij geen andere persoon aanwezig moet zijn om de vragen te beantwoorden (Van der Zee, 2007). Daarnaast geeft Van der Zee (2007) aan dat er twee manieren zijn om enquêtes af te nemen. De eerste manier is de traditionele manier, namelijk enquêtes in de vorm van papieren documenten. Deze manier wordt gezien als erg statisch, de mogelijkheden om de vragenlijst af te stemmen op de persoonlijke omstandigheden van de geënquêteerde zijn gering en het afdrukken van de enquêtes is een kostbare aangelegenheid. De tweede manier is om enquêtes af te nemen via het internet. Een select groepje mensen krijgt per email een uitnodiging om mee te doen aan de enquête en men kan vervolgens via een link in de email op de website van de enquête komen. Het voordeel van het afnemen van een enquête via internet is dat het afstemmen op de persoonlijke omstandigheden van de geënquêteerde soepeler verloopt en daarnaast verloopt het proces van het afnemen sneller dan wanneer er gebruik wordt gemaakt van papieren enquêtes.
Voor het afnemen van de enquête heb ik gekozen om de enquête af te nemen via het internet. Ik heb voor deze manier gekozen omdat het mogelijk is om routing toe te passen in de enquête. Dit houdt in dat er bij het opstellen van de enquête op de website er aangegeven kan worden dat als een geënquêteerde een bepaald antwoord geeft, de geënquêteerde automatisch alleen de voor hem relevante vragen krijgt te zien. Hiermee voorkom je dat geënquêteerden vragen beantwoorden die ze niet hoeven beantwoorden. Daarnaast is het mogelijk om de functie ‘verplichte vraag’ in te stellen. De geënquêteerde kan niet verder met de enquête wanneer een vraag niet is beantwoord. Hierdoor kun je voorkomen dat vragen onbeantwoord blijven na het invullen. Een andere reden voor mijn keuze om de enquête via internet af te laten nemen heeft betrekking met het tijdsaspect. Het versturen van email gaat in een fractie van een seconde. Terwijl het versturen van een enquête via de post toch enkele dagen duurt. Daarnaast is voor de geënquêteerde eenvoudiger om de enquête in te vullen en af te ronden.
De geënquêteerde kan via een link in de email de enquête invullen op de website. Aan het einde van de enquête kan de geënquêteerde de enquete opslaan en vervolgens zijn de gegevens opgeslagen in een database. De geënquêteerde hoeft vervolgens niet de enquête zelf met de post te retourneren. Een simpele druk op de knop is voldoende om zijn gegevens op te slaan. Hierdoor wordt het voor de geënquêteerde eenvoudiger om de enquête in te vullen en af te ronden.
Door de enquête via het internet af te nemen hoop ik dat de drempel voor het meedoen aan de enquête lager is dan wanneer ik een enquête zou hebben afgenomen op de traditionele manier.
3.4 Inhoud van de enquête
De enquête is opgebouwd uit twee delen en voorafgaand daaraan een korte inleiding. De enquête kunt u vinden in bijlage 3. Het eerste gedeelte van de enquête gaat over de toepassing van risicomanagement. In dit gedeelte zijn de vragen erop gericht om inzicht te verkrijgen of de zorginstellingen een formeel beleid van risicomanagement toepassen, hoe lang de zorginstelling risicomanagement toepast, op welke onderdelen van de organisatie risicomanagement wordt toegepast, aan welke doelstellingen aandacht is besteed aan de inrichting van het risicomanagement en op welke wijze het risicomanagement wordt toegepast. Tevens wordt in dit gedeelte onderzoek gedaan naar welke thema’s zorginstellingen van toegevoegde waarde achten voor de inrichting van het risicomanagement en wat de ambitie is binnen de zorginstelling voor het toepassen van risicomanagement. Het tweede gedeelte van de enquête gaat over het COSO ERM raamwerk. In dit gedeelte wordt gevraagd of de geënquêteerde bekend is met het COSO ERM raamwerk, of de zorginstelling het COSO ERM raamwerk toepast, welk ander model, normenkader of raamwerk wordt gehanteerd voor het organiseren van risicomanagement wanneer niet het COSO ERM raamwerk wordt gebruikt en of zorginstellingen van plan zijn om het COSO ERM raamwerk in de toekomst toe te gaan passen.
De enquête wordt vervolgens afgesloten met een slotvraag waarin de geënquêteerde zijn of haar opmerkingen kwijt kan naar aanleiding van de enquête en vervolgens een kort dankwoord als einde van de enquête.
De enquête is opgesteld op een website op het internet. Op de website van Enqueteviainternet.nl (http://www.enqueteviainternet.nl) heb ik de enquête opgebouwd. Ik heb gebruik gemaakt van routing. Niet alle opgenomen vragen in de enquête zijn voor elke geënquêteerde relevant. Op basis van de antwoorden is het mogelijk om automatisch door te schakelen naar de volgende relevante vraag. Hierdoor krijgt de geënquêteerde alleen de voor hem of haar relevante vragen te zien op basis van de antwoorden die hij of zij geeft. Daarnaast is ingesteld dat elke te beantwoorden vraag een ‘verplichte vraag’ is. Hierdoor is
het onmogelijk dat de geënquêteerde vragen niet beantwoord en vervolgens verder gaat met de enquête.
3.5 Benaderen van de zorginstellingen
Ik heb de honderd zorginstellingen uitgenodigd via een uitnodigingsemail om deel te nemen aan de enquête. Ik heb telefonisch contact gezocht met de instellingen en vervolgens geïnformeerd of ik de controller van de organisatie, of als dat niet mogelijk was het hoofd van de afdeling financiën, planning en control of soortgelijke afdelingen die in de zorginstelling betrokken zijn bij en iets kunnen vertellen over het risicomanagement van de zorginstelling, een uitnodigingsemail mag sturen. Op één zorginstelling na, heb ik van alle zorginstellingen emailadressen gekregen. Vervolgens heb ik de personen benaderd via de email. Een voorbeeld van de uitnodigingsemail is opgenomen in bijlage 2.
In de uitnodigingsemail is gevraagd of de personen binnen twee weken de enquête in willen vullen. Aan ieder emailadres is een unieke code gekoppeld. Deze code moet bij het begin van de enquête ingevuld worden om de enquête te kunnen starten. Aan de hand van de codes is het mogelijk om te zien wie heeft gereageerd en wie niet. De personen die niet hebben gereageerd binnen de termijn heb ik een éénmalige herinnering via de email gestuurd met het verzoek om alsnog deel te nemen aan het onderzoek.
Van der Zee (2004) geeft aan dat er twee categorieën zijn waarin de redenen kunnen vallen waarom personen niet mee willen doen aan een onderzoek. De eerste categorie is dat men niet in staat is om mee te doen en de tweede categorie is dat men niet voldoende gemotiveerd is om mee te doen aan het onderzoek. Van der Zee (2004) noemt een viertal factoren die de motivatie bepalen van personen om mee te doen aan het onderzoek. De eerste factor is de motivatie, welke vervolgens onderverdeeld kan worden in interne en externe motivatie. Interne motivatie is als iemand betrokken is bij het onderwerp van het onderzoek dan is deze persoon eerder gemotiveerd om zijn of haar medewerking aan het onderzoek te verlenen. Daarnaast kan de onderzoeker om een persoon te motiveren een presentje, een kleinigheidje als dank voor de medewerking, aanbieden. Dit laatste heeft te maken met de externe motivatie.
De tweede factor die bepalend is voor de motivatie om mee te doen is de tijdsduur die de potentiële geënquêteerde moet investeren om mee te doen aan het onderzoek. Als deze tijdsduur beperkt is dan is de potentiële geënquêteerde eerder geneigd om zijn of haar medewerking te verlenen.
Een derde factor is dat er een beroep wordt gedaan op het sociale gedrag van de potentiële geënquêteerde. Het kan bijvoorbeeld zijn dat de persoon in kwestie vanuit sociale druk het
Respondenten per sector 5 13 7 2 3 15 7 40 19 2 8 24
AcZ AZ GGZ TZ VenV Gemengd
Ontvangen enquêtes Verstuurde enquêtes
niet kan maken dat hij of zij niet meedoet aan de enquête omdat dit dan slechte gevolgen voor zijn of haar motivatie zou kunnen hebben.
Als vierde en laatste factor geeft Van der Zee aan dat een goede introductie van belang is. Bij de opzet van de enquête en het benaderen van de potentiële geënquêteerden heb ik met bovenstaande factoren rekening gehouden om zodoende een goede respons te verkrijgen. Met betrekking tot de factor motivatie heb ik in de uitnodigingsmail aangeven dat de personen die meedoen aan het onderzoek als dank een factsheet ontvangen van de resultaten van de enquête. Deze factsheet kunnen zij vervolgens gebruiken als benchmark. Met betrekking tot de tijdsduur heb ik een korte enquête opgesteld. De enquête bestaat uit maximaal twaalf vragen. Het invullen van de enquête kost ongeveer vijf minuten. Als laatste heb ik rekening gehouden met de factor van een goede introductie. Bij het benaderen van de potentiële geënquêteerden heb ik in de uitnodigingsemail in het kort aangegeven waar ik onderzoek naar doe, wat mijn doel is en waarom ik het onderzoek uitvoer.
3.6 Respons
Van de honderd benaderde zorginstellingen hebben uiteindelijk vijfenveertig zorginstellingen de enquête ingevuld. Elf zorginstellingen hebben aangegeven dat ze niet mee wouden doen aan het onderzoek. Vierenveertig zorginstellingen hebben niet gereageerd op het verzoek om mee te doen aan de enquête.
Figuur 2 Respondenten per sector
(AcZ=Academisch Ziekenhuis, AZ=Algemeen Ziekenhuis, GGZ=Geestelijke Gezondheidszorg, TZ=Thuiszorg, VenV=Verpleging en Verzorging, Gemengd=combinatie van voorgaande)
Het responspercentage bedraagt 45%. Op basis van het hoge responspercentage ben ik van mening dat de uitkomsten van de enquête een relatief goed beeld weerspiegeld van de gehele deelwaarneming, de honderd grootste zorginstellingen in Nederland. In figuur 2 is aangegeven per sector hoeveel respondenten er gereageerd hebben.
Ik ben tevreden met het responspercentage 45%. Bijna de helft van de benaderde zorginstellingen heeft gereageerd op mijn verzoek tot deelname aan het onderzoek door de enquête op het internet in te vullen. De voornaamste reden voor het afnemen van de enquête via het internet is dat ik van mening ben de drempel voor het meedoen aan het onderzoek lager is bij een online enquête dan wanneer de enquête op de traditionele manier wordt afgenomen. Een reden dat bijna de helft van de benaderde zorginstellingen mee hebben gedaan met het onderzoek kan zijn dat de drempel voor het meedoen aan de enquête via het internet inderdaad ‘laag’ was. Daarnaast geeft het denk ik ook aan dat het onderwerp risicomanagement leeft bij de zorginstellingen.
HOOFDSTUK 4 RESULTATEN
4.1 Inleiding
In dit hoofdstuk zal ik de resultaten behandelen naar aanleiding van de enquête. De enquête is afgenomen onder de honderd grootste zorginstellingen in Nederland. Op basis van de respons van de enquête zal ik een antwoord formuleren op de onderstaande drie deelvragen.
Elke deelvraag zal in een aparte paragraaf behandeld worden. Het hoofdstuk wordt afgesloten met een conclusie. Een volledige uitwerking van de resultaten van de enquête is te vinden in bijlage 4.
Deelvraag 3:
Hoe is de stand van zaken ten aanzien van risicomanagement in de branche gezondheidszorg op dit moment?
Deelvraag 4:
Wat zijn de belangrijkste risico’s die een zorginstelling zou moeten managen?
Deelvraag 5:
Wat zijn de ambities van de zorginstellingen met betrekking tot het toepassen van risicomanagement?
4.2 Huidige stand van zaken
In deze paragraaf wordt de derde deelvraag behandelt:
Hoe is de stand van zaken ten aanzien van risicomanagement in de branche gezondheidszorg op dit moment?
Als eerste wordt besproken of zorginstellingen een formeel beleid van risicomanagement hebben voor het toepassen van risicomanagement en als tweede wordt besproken of de zorginstellingen bekend zijn met het COSO ERM raamwerk en of ze dit raamwerk ook gebruiken voor het organiseren van risicomanagement.
Risicomanagement in het algemeen
In de eerste vraag van enquête is gevraagd of er binnen de zorginstelling een formeel beleid is met betrekking tot het toepassen van risicomanagement. Van de totale respons van vijfenveertig antwoordden drieëntwintig (51%) positief op deze vraag. De overige