“Rapporteren over risicomanagement in het jaardocument van Nederlandse ziekenhuizen”

(1)

“Rapporteren over risicomanagement in het

jaardocument van Nederlandse ziekenhuizen”

Annerieke Weijers

(2)

Administratieve gegevens

Administratieve gegevens

Naam: Anna Hendrika Weijers

Studentnummer: 1385720

E-mail: a.h.weijers@student.rug.nl Maand en jaar: April 2008

Plaats: Groningen

Rijksuniversiteit Groningen

Faculteit Economie en Bedrijfskunde Opleiding: MSc Accountancy

Titel afstudeeropdracht: “Rapporteren over risicomanagement in het

jaardocument van Nederlandse ziekenhuizen”

Afstudeerbegeleider Rug: Drs. B. Crom

Medebeoordelaar Rug: Dr. R.B.H. Hooghiemstra

(3)

Samenvatting

Samenvatting

Risicomanagement is het systematisch gebruik van organisatiebrede processen om risico’s te identificeren, waarderen, managen en monitoren, zodat de verzamelde informatie gebruikt kan worden om waarde te beschermen, te creëren en bekend te maken. Het belang van het rapporteren over risicomanagement komt voort uit het agency-probleem. Corporate governance probeert een antwoord te geven op het agency probleem, door het verplichten van meer transparantie en verplichte verantwoording. Door middel van dit onderzoek probeer ik het antwoord te vinden op de vraag:

Wat wordt er door Nederlandse ziekenhuizen in het jaardocument gerapporteerd over risico’s en risicomanagement. Wat is de theoretische achtergrond van nieuws wel of niet rapporteren. Zijn de gerapporteerde risico’s en vormen van risicomanagement bij Nederlandse ziekenhuizen hoofdzakelijk positief, negatief of neutraal van aard?

Wanneer er sprake is van eigenbelang bij het management is er een grote kans dat zij er voor kiest om slecht nieuws niet openbaar te maken Maar in de situatie dat er niet wordt gerapporteerd kan dit komen omdat de manager geen informatie heeft of omdat hij slecht nieuws verzwijgt. Een belanghebbende ervaart hierdoor onzekerheid. Het uitgangspunt voor dit onderzoek wordt gevormd door enkele theorieën over drijfveren waarom het management goed of slecht nieuws wel of niet zou rapporteren. Zo laat Verrecchia (1983) in haar onderzoek zien dat kosten verbonden aan het vrijgeven van bij de manager bekende informatie (disclosure costs), zou kunnen leiden tot het niet vrijgeven van informatie die niet positief genoeg is. Ook Darrough & Stoughton ontwikkelen een vergelijkbaar model als Verreccchia, maar gaan daarbijook nog uit van de potentiële nieuwe concurrent waardoor ‘proprietary costs’ ontstaan, dit geeft de manager de stimulans om juist wel slecht nieuws te rapporteren. Ook Skinner (1994) beargumenteert dat slecht nieuws juist wel wordt gerapporteerd, dit volgens hem doordat het risico op grote rechtszaken en imagoverlies zou kunnen ontstaan als het slechte nieuws niet zou worden gerapporteerd. Tot slot moet er rekening worden gehouden met ‘attribution theory’. Dit houdt in dat slecht nieuws enigszins positief wordt gebracht, waardoor het positief lijkt. Dit kan leiden tot het aanzien van slecht nieuws als goed nieuws. In het licht van deze verschillende theorieën kwam ik tot de verwachting dat overall genomen je bij de ziekenhuissector gaat terugzien dat het aantal goed nieuws uitlatingen over risico’s en risico management daarom dus groter zal zijn dan de slecht nieuws uitingen over risico’s. Aan de hand van een inhoudsanalyse van het maatschappelijk verslag van de 30 grootste ziekenhuizen in Nederland heb ik in kaart gebracht wat er aan risico’s en vormen van risicomanagement wordt gerapporteerd.

Naar aanleiding van het onderzoek heb ik de volgende conclusies getrokken:

Conclusie 1: De diversiteit aan gerapporteerde risico’s en risicomanagement tussen de verschillende

ziekenhuizen is erg groot.

De ziekenhuizen rapporteren zo veel verschillende risico’s en risicomanagement zaken, dat je zou kunnen spreken van een wildgroei in de risico- en risicomanagement rapportage.

(4)

Samenvatting

Conclusie 2: Een groot deel van de ziekenhuizen rapporteert onvoldoende over risico’s en

risicomanagement.

Met grote regelmaat wordt er door de ziekenhuizen niet gerapporteerd over risico’s die een grote invloed op de continuïteit van het ziekenhuis kunnen hebben. Enkele voorbeelden hiervan zijn het niet rapporteren over de wijzigende kapitaallasten (door 10 ziekenhuizen, 1/3 van de steekproef) of het niet rapporteren over de overheidsbudgetkortingen (door 7 ziekenhuizen uit de steekproef).

Conclusie 3: De belangrijkste rapportage categorie in het jaardocument van Nederlandse

ziekenhuizen is de operationele categorie.

Veruit het vaakst wordt er gerapporteerd over risico’s en risicomanagement in de categorie operationeel (26%). Het gaat om risico’s als technische storingen, calamiteiten en menselijke fouten en vormen van risicomanagement als het ontwikkelen van kwaliteitssystemen, verzorgen van trainingen aan werknemers en rampenoefeningen. Dat dit de categorie is waar het vaakst over wordt gerapporteerd, is niet verwonderlijk omdat vanuit het jaardocument op deze categorie de nadruk ligt. Conclusie 4: Nederlandse ziekenhuizen rapporteren te neutraal over risico’s en risicomanagement. Met 46,6% neutrale rapportages over risico’s en risicomanagement zijn de rapportages erg algemeen van aard. Met zoveel algemene vermeldingen wordt de rapportage weinig zeggend en is daarmee van weinig nut voor de belanghebbenden.

Conclusie 5: Nederlandse ziekenhuizen rapporteren relatief weinig over negatieve risico’s en

risicomanagement.

Slechts 15% van alle gerapporteerde risico’s en risicomanagement zaken in de steekproef waren negatief van aard. Ruim twee keer zoveel, bijna 39%, van de gerapporteerde risico’s en vormen van risicomanagement zijn positief. Dit zou er op kunnen duiden dat negatieve risico’s onderbelicht zijn en dat belanghebbenden niet alle relevante informatie hebben om beslissingen te nemen.

Naar aanleiding van het onderzoek ben ik gekomen tot de volgende aanbevelingen:

I. Ten eerste zouden ziekenhuizen vollediger én gestructureerder over de verschillende risico categorieën kunnen rapporteren door in het jaarverslag risico’s goed te beschrijven. Wellicht zou het opstellen van een checklist met categorieën behulpzaam kunnen zijn. Ik denk dan bijvoorbeeld aan de volgende categorieën waarvan ik vind dat die in ieder geval in een risico analyse behoren voor te komen: 1) operationeel 2) markt 3) financiering etc.

II. Ten tweede moet de in het eerste punt genoemde categorisering in het jaardocument te herkennen zijn. Dit zou bereikt kunnen worden door een duidelijke rubricering of categorisering te hanteren in een specifieke risicoparragraaf.

III. Ten derde zouden ziekenhuizen meer specifiek kunnen zijn in het beschrijven van de risico’s en minder algemeen.

(5)

Voorwoord

Voorwoord

Voor u ligt mijn afstudeerscriptie. Deze scriptie is het eindproduct van mijn afstudeeronderzoek voor de afstudeerrichting Accountancy aan de Rijksuniversiteit Groningen.

Na een half jaar studie in China, was het tijd om aan het afstudeeronderzoek te gaan beginnen. Meteen na terugkomst in Nederland mocht ik soliciteren bij PricewaterhouseCoopers (PwC) in Utrecht en kon ik beginnen aan mijn scriptie stage. Alleen moest ik nog ‘even’ een onderwerp verzinnen. Al vrij snel besloot ik dat ik een onderzoek over de gezondheidssector wilde gaan doen. En naar aanleiding van enkele gesprekken met docenten, medestudenten en collega’s kwam ik bij het onderwerp risicomanagement terecht.

Bij het brainstormen over een onderzoeksvraag kwam ik erachter dat het Chinese karakter voor risico uit een combinatie van twee karakters bestaat, het karakter voor gevaar en het karakter voor kans. Daaruit ontstond het idee om te kijken naar het rapportagegedrag van ziekenhuizen met betrekking tot gevaar en kans, ofwel positief of negatief over risico’s en risicomanagement.

Vanaf deze plaats wil ik graag iedereen bedanken die mij heeft geholpen bij het volbrengen van deze scriptie en enkele personen in het bijzonder.

Allereerst mijn begeleiders. De heer Ben Crom van de Rijksuniversiteit Groningen voor de goede begeleiding, duidelijk onderbouwende kritieken en de altijd snelle respons.

De heer Fierman Schreurs van PricewaterhouseCoopers, ondanks de drukke agenda altijd bereid om even van gedachten te wisselen en mij te voorzien van informatie uit de praktijk. Hartelijk dank!

Daarnaast wil ik mijn mede scriptanten en de collega’s bij PwC bedanken voor de gezelligheid, de opbeurende woorden, nuttige discussies en de vele koppen thee waardoor ik gedurende de hele periode met veel plezier aan mijn scriptie heb gewerkt, ook op de momenten dat ik de scriptie even helemaal zat was!

Tot slot wil ik mijn familie en vrienden bedanken voor de steun en de motiverende woorden tijdens het schrijven van deze scriptie.

(6)

Inhoudsopgave

Inhoudsopgave:

Samenvatting ... 3 Voorwoord ... 5 Inhoudsopgave: ... 6 Hoofdstuk 1: Inleiding... 8 Hoofdstuk 2: Onderzoeksopzet ... 10 2.1 Inleiding... 10 2.2 Aanleiding ... 10 2.3 Doelstelling ... 10 2.4 Toelichting... 10 2.5 Hoofdvraag... 11 2.6 Deelvragen... 11 2.7 Theorie... 12 2.8 Onderzoeksaanpak... 13 2.9 Randvoorwaarden... 14

Hoofdstuk 3 Ziekenhuissector in Nederland... 15

3.1 Inleiding... 15

3.2 Algemene ontwikkelingen in de ziekenhuissector ... 15

3.3 Invoering van het Diagnose Behandel Combinatie-systeem... 16

3.4 Wijzigingen in kapitaallasten ... 16

3.5 Governance... 17

3.6 Samenvatting... 18

Hoofdstuk 4: Risicomanagement ... 19

4.1 Inleiding... 19

4.2 Belang van risicomanagement... 19

4.3 Belang van rapporteren over risicomanagement ... 21

4.4 Welke concrete risico’s komen in de literatuur naar voren... 22

4.5 Belanghebbenden van ziekenhuizen ... 23

4.6 Wettelijke vereisten... 24

(7)

Inhoudsopgave

Hoofdstuk 5: Risicorapportage gedrag... 31

5.1 Inleiding: ... 31

5.2 Voor- en nadelen van rapporteren over risicomanagement... 31

5.2 Positief rapporteren ... 32

5.3 Negatief rapporteren... 33

5.5 De Attribution Theory... 34

5.6 Verwachting ten aanzien van de ziekenhuissector ... 34

Hoofdstuk 6: Onderzoek naar risicorapportage... 37

6.1 Inleiding: ... 37

6.2 Analysemethode: ... 37

6.3 Resultaten van het onderzoek... 38

Hoofdstuk 7: Conclusies en aanbevelingen... 44

7.1 Conclusies ... 44

7.2 Aanbevelingen... 46

Hoofdstuk 8: Beperkingen en suggesties voor toekomstig onderzoek... 48

Hoofdstuk 9: Reflectie... 50

Literatuurlijst ... 51

Bijlage 1: Steekproef... 53

Bijlage 2: Overzicht uit het onderzoek van Lajili & Zéghal... 54

Bijlage 3: Overzicht resultaten... 57

(8)

Hoofdstuk 1: Inleiding

Hoofdstuk 1:

Inleiding

Corporate governance staat volop in de picture. Corporate governance staat voor ‘goed bestuur’ (Bossert, van Leeuwen en Smidt, 2006). Naar aanleiding van enkele grote schandalen in o.a. Amerika en Nederland zijn er allerlei corporate governancecodes en wetten ingevoerd. In beginsel waren deze wetten en corporate governancecodes alleen van toepassing voor de beursgenoteerde bedrijven. Maar nu worden ook voor niet beursgenoteerde bedrijven en publieke instellingen allerlei governancecodes van kracht. Zo is er ook een ‘zorgbrede governancecode’ ontwikkeld.

Er is veel veranderd de laatste jaren in de zorgsector in Nederland en ook nu is de sector nog volop in beweging. Niet alleen is er de ontwikkeling van de zorgbrede governancecode die zorgt voor veranderingen, maar er is ook een nieuw zorgstelsel ingevoerd. Er wordt geprobeerd marktwerking te ontwikkelen in de zorgsector en er vinden enorme fusies plaats tussen verschillende, steeds groter wordende zorgaanbieders.

Gezien al deze ontwikkelingen lijkt het mij interessant om te gaan kijken naar een belangrijk deelgebied van governance, het risicomanagement. Dit wil ik nader gaan onderzoeken bij Nederlandse ziekenhuizen. De risicoparagraaf, als onderdeel van de externe rapportage, is een nieuw fenomeen voor de gezondheidszorg die de interne risico’s en de beheersing ervan beschrijft. Het is niet precies voorgeschreven hoe deze paragraaf opgesteld dient te worden (Marsh, 2007).

Risicomanagement kent veel verschillende definities. Door ‘The European Foundation for Quality Management’ (2005) wordt risicomanagement gedefinieerd als: ” Het systematisch gebruik van organisatiebrede processen om risico’s te identificeren, waarderen, managen en monitoren, zodat de verzamelde informatie gebruikt kan worden om waarde te beschermen, te creëren en bekend te maken” (onder dit laatste punt valt ook het rapporteren). Dit is de definitie van risicomanagement die ik ook zal hanteren. Als rapporteren over risicomanagement beschouw ik alle beschrijvingen van het gebruik van organisatiebrede processen om risico’s te identificeren, waarderen, managen en monitoren in het jaarverslag van de onderneming.

Het eerste wat ik ga onderzoeken is: wat is de theoretische achtergrond van nieuws wel of niet rapporteren? En wat rapporteren Nederlandse ziekenhuizen nu eigenlijk op het gebied van risicomanagement in het jaardocument?

(9)

Hoofdstuk 1: Inleiding

De jaarrekening is het enige onderdeel van het jaardocument van een ziekenhuis in Nederland dat wordt gecontroleerd door de accountant.

Het management heeft dus de mogelijkheid om door middel van het jaardocument het imago van een onderneming (en dus ook het ziekenhuis) te beïnvloeden (Hopwood, 1996). Dus zou er sprake kunnen zijn van handelen in eigen belang bij het management, waardoor zij ervoor zouden kunnen kiezen om bepaalde zaken, bijvoorbeeld de negatieve risico’s (slecht nieuws), niet openbaar te maken (Linsley & Shrives, 2006). Hoewel het management slecht nieuws misschien liever niet openbaar wil maken, zal dit volgens Skinner (1994) toch niet altijd resulteren in het achterhouden van dit slechte nieuws. Feiten verzwijgen zou namelijk tot gevolg kunnen hebben dat er extreme kosten ontstaan door reputatieverlies en juridische procedures (Skinner, 1994).

Wat ik verder in mijn onderzoek wil gaan onderzoeken is of bij de rapportage over risicomanagement in het jaardocument van Nederlandse ziekenhuizen ook een patroon valt te ontdekken in het rapportagegedrag met betrekking tot het te positief of te negatief neerzetten van de risico’s.

In het volgende hoofdstuk zal ik de onderzoeksopzet bespreken. Gevolgd door een hoofdstuk over de ontwikkelingen in de zorgsector zodat ik inzicht krijg in de Nederlandse ziekenhuissector en mogelijke sectorspecifieke risicogebieden kan identificeren. In hoofdstuk 4 zal ik aan de hand van literatuur bespreken waarom het rapporteren over risicomanagement van belang is in een jaarverslag. Verder welke risico’s er worden gerapporteerd volgens voorgaand onderzoek en wat de wettelijke vereisten zijn voor ziekenhuizen op het gebied van risicomanagement. Tot slot stel ik een schema samen van risicobronnen en vormen van risicomanagement die mogelijk door ziekenhuizen worden gerapporteerd. In hoofdstuk 5 ga ik in op de theorie achter de vraag wat beweegredenen van het management kunnen zijn om positieve risico’s (kansen) dan wel negatieve risico’s (bedreigingen) wel of niet te rapporteren. In hoofdstuk 6 ga ik onderzoeken wat er wordt gerapporteerd door ziekenhuizen aan risico’s en risicomanagement en wat de aard van die risico’s is, zijn ze positief (gaat het om kansen), negatief (bedreigingen) of neutraal? Tot slot presenteer ik in hoofdstuk 7 mijn conclusies en aanbevelingen en in hoofdstuk 8 geef ik de beperkingen van het onderzoek en de mogelijkheden voor toekomstig onderzoek.

(10)

Hoofdstuk 2: Onderzoeksopzet

Hoofdstuk 2:

Onderzoeksopzet

2.1 Inleiding

In dit hoofdstuk zal ik eerst de aanleiding (2.2) van het onderzoek beschrijven, gevolgd door de doelstelling van het onderzoek (2.3) en een toelichting (2.4). Dan volgen in paragraaf 2.5 en 2.6 de hoofdvraag en de deelvragen. Vervolgens geef ik in paragraaf 2.7 een kleine vooruitblik op de theorie achter het onderzoek en tot slot de onderzoeksaanpak (2.8) en enkele randvoorwaarden (2.9).

2.2 Aanleiding

De zorgbrede governancecode is nog erg nieuw en is pas sinds 1 januari 2006 volledig van kracht. Governance in de zorgsector moet nog volop ontwikkelen. Daarom vind ik het interessant om te kijken naar wat er in het jaarverslag van een ziekenhuis staat en of daar bepaalde patronen in te ontdekken zijn. Doordat ik slechts beperkte tijd heb voor het onderzoek, is het niet mogelijk om het hele jaarverslag onder de loep te nemen. Daarom heb ik ervoor gekozen om mij te richten op risicomanagement, dat ik een belangrijk deelgebied van governance vind.

2.3 Doelstelling

De doelstelling van mijn onderzoek is:

In beeld brengen wat er aan risicomanagement bij Nederlandse ziekenhuizen wordt gerapporteerd in het jaarverslag en of datgene dat wordt gerapporteerd in het jaarverslag bepaalde patronen laat zien ten aanzien van de aard van de gerapporteerde risico’s. Er worden bijvoorbeeld hoofdzakelijk positieve risico’s gerapporteerd (ofwel de kansen) of er wordt juist de nadruk gelegd op de negatieve risico’s (de bedreigingen). Inzicht in deze materie maakt het mogelijk om het jaarverslag eventueel aan te scherpen, zodat stakeholders in de toekomst betere informatie krijgen vanuit het jaarverslag.

2.4 Toelichting

Er wordt steeds meer aandacht geschonken aan risicomanagement. Gedreven door een toegenomen complexiteit in de ondernemingswereld wordt het steeds belangrijker de informatie-asymmetrie te verminderen. Er wordt geprobeerd om transparanter te zijn en de kwaliteit van openbaar te maken stukken te verbeteren. Het openbaar maken van de risico’s

(11)

en het risicomanagement is potentieel nuttig voor analisten, investeerders en andere stakeholders van een organisatie (Lajili & Zéghal, 2005).

Als onderdeel van ‘good governance’ wordt verwacht dat informatie over risicomanagement in toenemende mate van belang wordt gevonden door stakeholders van de organisatie en door de informatiegebruikers in het algemeen. Het doel hiervan is er potentieel relevante informatie uit te halen (Lajili & Zéghal, 2005).

De zorgbrede governancecode schrijft voor dat de Raad van Bestuur het interne risicobeheersings- en controlesysteem bespreekt met de Raad van Toezicht. Dit betreft niet alleen de financiële risico’s, maar ook de risico’s in verband met onder andere kwaliteit en veiligheid. Dit geeft aan dat risicomanagement ook in de zorgsector belangrijk is.

Om te onderzoeken hoe en wat er aan aanpassingen nodig is op risicorapportagegebied, moet eerst in kaart worden gebracht wat er wordt gerapporteerd door de ziekenhuizen. Door het in beeld brengen van wat er wordt gerapporteerd door Nederlandse ziekenhuizen hoop ik met mijn onderzoek een bijdrage te leveren voor mogelijk toekomstig onderzoek. Omdat de zorgbrede governancecode en het jaardocument nog zo nieuw zijn, is het interessant om te kijken wat er na invoering van de nieuwe code in de praktijk daadwerkelijk gerapporteerd wordt. Door in beeld te brengen wat er feitelijk wordt gerapporteerd, kan dit onderzoek hopelijk bijdragen aan de verdere ontwikkeling van het jaardocument.

2.5 Hoofdvraag

Wat wordt er door Nederlandse ziekenhuizen in het jaardocument gerapporteerd over risico’s en risicomanagement. Wat is de theoretische achtergrond van nieuws wel of niet rapporteren. Zijn de gerapporteerde risico’s en vormen van risicomanagement bij Nederlandse ziekenhuizen hoofdzakelijk positief, negatief of neutraal van aard?

2.6 Deelvragen

1. a) Waarom is het rapporteren over risicomanagement van belang in een jaarverslag?

b) Wat is er in de literatuur geschreven over de risico’s waarover wordt gerapporteerd in jaarverslagen? en

c) Wat is wettelijk verplicht om te rapporteren over risico’s en risicomanagement?

(12)

2. Wat is er in de literatuur geschreven over redenen waarom management positieve risico’s (ofwel kansen) / negatieve risico’s (ofwel bedreigingen) wel of niet rapporteert?

3. a) Wat wordt er in het jaardocument van ziekenhuizen in Nederland gerapporteerd met betrekking tot risicomanagement en

b) Wat is de aard van de door Nederlandse ziekenhuizen gerapporteerde risico’s, zijn ze positief, negatief of neutraal?

2.7 Theorie

Ten eerste is het belangrijk om te kijken waarom rapporteren over risicomanagement van belang is, om zo aan te geven waarom juist dit element uit de corporate governance interessant is om nader te bekijken. Eerst zet ik aan de hand van diverse literatuur het belang van risicomanagement uiteen (NIVRA taskforce on internal control, 2005; COSO Enterprise Risk Management; de Groot, 2006; de Ridder, 2007). Vervolgens geef ik aan de hand van de agency theory (Jensen & Meckling, 1976) het belang van rapporteren over risicomanagement aan en over welke risico’s gerapporteerd wordt volgens voorgaand onderzoek. Daarna ga ik achtereenvolgens in op stakeholders van Nederlandse ziekenhuizen en de wettelijke rapportagevereisten op het gebied van risicomanagement van Nederlandse ziekenhuizen. Naast het belang van het rapporteren over risicomanagement ga ik kijken naar mogelijke redenen om bepaalde risico’s wel of niet te vermelden in een jaarverslag of jaardocument en of daardoor bepaalde patronen zichtbaar kunnen worden in de rapportage op het gebied van neutrale risico’s, positieve risico’s (of wel kansen) en negatieve risico’s (ofwel bedrijgingen) in het jaarverslag.

Er kan sprake zijn van eigenbelang bij het management waardoor zij ervoor kiezen om niet de negatieve risico’s (slecht nieuws) openbaar te maken omdat dit het imago zou kunnen schaden. Maar hoewel het management in eerste instantie het slechte nieuws niet openbaar wil maken, zou dit toch niet altijd resulteren in het achterhouden van dit slechte nieuws. Feiten verzwijgen zou namelijk tot gevolg kunnen hebben dat er extreme kosten ontstaan door reputatieverlies en juridische procedures (Skinner, 1994).

Tot slot beschrijft de ‘Attribution theory’ hoe, door het eigenbelang van het management, slecht nieuws zo kan worden omschreven waardoor het klinkt als minder slecht nieuws, en de schuld bij externe partijen ligt en bij niet beïnvloedbare gebeurtenissen (Abrahamson & Park, 1994).

(13)

2.8 Onderzoeksaanpak

Er zijn nagenoeg geen studies gepubliceerd die het rapporteren over risico’s en risicomanagement onderzoeken en geen enkele studie kijkt specifiek naar één sector, daarom heeft dit onderzoek een exploratief karakter.

Deelvraag 1 ga ik beantwoorden aan de hand van literatuurstudie. Deze deelvraag gaat over het belang van risicomanagement, en waarom het interessant is om verder te kijken naar dit onderdeel in het jaardocument. Verder onderzoek ik over welke risico’s er volgens de literatuur gerapporteerd moet worden en wat de wettelijke vereisten zijn met betrekking tot risicorapportage voor ziekenhuizen. Aan de hand van al deze informatie construeer ik een overzicht van risico’s en vormen van risicomanagement die mogelijk door de ziekenhuizen gerapporteerd kunnen worden.

Deelvraag 2 ga ik ook beantwoorden aan de hand van literatuurstudie. Deze deelvraag gaat over de mogelijke neiging van het management om positief of negatief te rapporteren in een jaarverslag/jaardocument. Naar aanleiding hiervan kan de verwachting geschetst worden over het rapporteergedrag van het management ten aanzien van risicomanagement in het jaarverslag van ziekenhuizen.

Op deelvraag 3 wordt antwoord gegeven door met een inhoudsanalyse in kaart te brengen welke risico’s en welke beheersmaatregelen (de vormen van risicomanagement) er door het management worden gerapporteerd in het maatschappelijk verslag van het jaardocument. De steekproef bestaat uit 30 Nederlandse ziekenhuizen. De 30 geselecteerde ziekenhuizen staan allemaal bij de eerste 50 van de gezondheidszorg top 100 van 2005 die PricewaterhouseCoopers heeft samengesteld bestaande uit de zorginstellingen met de grootste omzet op het niveau van de totale economische eenheid. In totaal stonden er 32 ziekenhuizen (academische en algemene ziekenhuizen) in de top 50. Twee ziekenhuizen zijn er niet opgenomen in de steekproef omdat er één gefuseerd is tot een gemengde instelling en de andere is opgehouden te bestaan.

De keuze voor de grootste Nederlandse ziekenhuizen is gebaseerd op de aanname dat grote ondernemingen verder gevorderd zijn op het gebied van risico rapportages dan de kleinere ziekenhuizen. Uit voorgaand onderzoek is bewezen dat grote ondernemingen relatief meer rapporteren dan kleinere ondernemingen (Beretta & Bozzolan, 2004; Linsley& Shrives, 2006). De lijst van ziekenhuizen die opgenomen zijn in de steekproef is terug te vinden in bijlage 1. De jaarverslagen van de ziekenhuizen in de steekproef haal ik van de website www.jaarverslagenzorg.nl. Ik heb ervoor gekozen om de alleen het maatschappelijk verslag

(14)

van de jaardocumenten te onderzoeken omdat ik slechts beperkte tijd en beperkte middelen tot mijn beschikking had.

Daarnaast ga ik onderzoeken of het gerapporteerde overwegend negatief, positief of neutraal is over de risico’s en risicomanagement. Het gaat bij de analyse om wat inhoudelijk in het jaarverslag staat en niet zozeer in hoeveel woorden of zinnen het omschreven staat. Voor het in kaart brengen van de risico’s gebruik ik de volgende definitie van risico: Een risico is een kans of mogelijkheid op een gevaar, gebrek, bedreiging, blootstelling, etc. welke invloed kunnen hebben op de onderneming of het management in het heden of in de toekomst (Linsley & Shrives, 2006).

2.9 Randvoorwaarden

Tijd is een belangrijke beperking in het onderzoek. Ik heb vijf maanden de tijd om het gehele onderzoek uit te voeren en de scriptie te schrijven.

Vanuit de universiteit zijn er ook nog een aantal randvoorwaarden. De scriptie moet voldoen aan “Reglement afstudeerwerkstukken bachelor- en masteropleidingen FEW en FBK” van Rijksuniversiteit Groningen.

Tot slot is het van belang dat het onderzoek wetenschappelijk verantwoord is.

Daarom is het belangrijk om te onderkennen dat bij het gebruik van een inhoudsanalyse er sprake is van een bepaalde mate van subjectiviteit (Linsley & Shrives, 2006).

Door middel van duidelijke afbakening van de term risico en het gebruik van de risicobronnen en risicomanagement uit het onderzoek Lajili en Zéghal (2005) als leidraad zal ik de subjectiviteit proberen te beperken.

(15)

Hoofdstuk 3: Ziekenhuissector in Nederland

Hoofdstuk 3

Ziekenhuissector in Nederland

Voordat ik begin met het zoeken naar een antwoord op de deelvragen geef ik eerst een beknopt overzicht van de ziekenhuissector en de ontwikkelingen in de sector. In paragraaf 3.2 beschrijf ik enkele algemene ontwikkelingen, in paragraaf 3.3 bespreek ik de invoering van het DBC-systeem gevolgd door de wijziging van de kapitaallasten in paragraaf 3.4. Tot slot ga ik in op de ontwikkelingen van governance. Dit om inzicht te geven in de belangrijkste zaken die op dit moment spelen in de ziekenhuissector. Uit deze ontwikkelingen komen ziekenhuisspecifieke risico’s voort, deze verwacht ik terug te zien bij de analyse van de jaarverslagen in hoofdstuk 6.

3.2 Algemene ontwikkelingen in de ziekenhuissector

De Nederlandse ziekenhuissector bestaat in 2007 uit 141 ziekenhuislocaties en 45 buitenpoliklinieken (hier vinden alleen dagbehandelingen plaats en consulten met specialisten). Deze zijn georganiseerd in 93 verschillende organisaties, waarvan 8 academische ziekenhuizen, 22 topklinische ziekenhuizen en 63 algemene ziekenhuizen. Deels als gevolg van fusies zal het aantal instellingen op termijn sterk dalen. Schattingen variëren van 40 tot 70 ziekenhuisinstellingen in 2014. De afname van het aantal instellingen leidt niet tot een even grote afname van het aantal locaties. Om de spreiding te waarborgen, neemt het aantal poliklinische locaties naar verwachting toe (RIVM, 2007).

De gemiddelde opnameduur in een ziekenhuis is afgenomen. Daar staat tegenover dat het aantal dagopnamen toeneemt met een gemiddelde jaarlijkse groei van bijna 20% (dit geldt vooral voor academische ziekenhuizen, bij algemene ziekenhuizen is de groei aanzienlijk lager).

Door de vergrijzing valt te verwachten dat de zorgvraag in de komende jaren zal gaan toenemen.

Een ziekenhuis is een zeer kapitaalintensieve business. Overal staat apparatuur die miljoenen kost (PwC, 2008). Daarnaast wordt er gewerkt aan de landelijke invoering van een Elektronisch Patiënten Dossier (EPD). De eerste stap hiernaartoe is het Elektronisch Medicatie Dossier (EMD) (NICTIZ, 2008).

(16)

3.3 Invoering van het Diagnose Behandel Combinatie-systeem

Per 2005 is er in het kader van het nieuwe zorgstelsel het Diagnose Behandel Combinatie-systeem (DBC-Combinatie-systeem) ingevoerd. Hiermee wordt de financiering van capaciteit ingeruild voor financiering van klantvragen. Dit betekent een nieuw budgetteringsysteem voor het berekenen van kosten van medische handelingen binnen ziekenhuizen (en privéklinieken). Het doel van de DBC is om marktwerking in de ziekenhuissector te stimuleren. Een DBC omvat alle activiteiten van het ziekenhuis en de medisch specialisten die voortkomen uit de zorgvraag van een patiënt. Aan elke DBC is een prijs verbonden van materiaal, afschrijvingen, personeel en een vergoeding voor de medisch-specialistische zorg. Er zijn twee groepen DBC’s, het A-segment waarbij de prijzen door de overheid worden bepaald en het B-segment waarbij over de hoogte van de prijs van een DBC moet worden onderhandeld met de verschillende verzekeraars; er is echter geen contracteerplicht meer bij de verzekeraars. Bij de invoering was eerst slechts 10% van het B-segment vrij verhandelbaar. Dit percentage zal in 2008 worden uitgebreid naar 20% om zo een meer vraag gestuurd zorgstelsel te realiseren.

Binnen dit nieuwe systeem probeert men de administratieve lasten zo veel mogelijk te verminderen en wordt er gewerkt aan het bevorderen van innovaties en ICT die de werkdruk van de werknemers in de zorg kunnen verminderen.

De groei in de algemene ziekenhuizen zit sterk in het B segment (van gemiddeld 6% naar gemiddeld 8% van de totale baten van het ziekenhuizen, afgezien van de overige opbrengsten gaat het om gemiddeld 10% over 2006) (PwC, gezondheidszorg analyse resultaten 2006). De cashflowposities en te voorziene afrekeningen van overschotten in 2007 zullen naar verwachting leiden tot een verhoogd beroep van de zorg op de banken (of bevoorschotting) in de loop van 2007 en 2008.

Voor een soepele overgang naar verdere marktwerking worden maatstafconcurrentie en een prijsplafond gezien als mogelijk overgangsmodel door het ministerie van Volksgezondheid, Welzijn en Sport en de Nederlandse Zorgautoriteit.

3.4 Wijzigingen in kapitaallasten

Met de invoering van de WTZi per 1 januari 2006 kunnen zorgaanbieders zelf bepalen wat en wanneer er wordt gebouwd en hoe het ziekenhuisvastgoed wordt vormgegeven. Hier staat tegenover dat de bekostigingssystematiek verandert van een gegarandeerde vergoeding voor kapitaallasten op basis van een vergunning, naar een normatieve opslag op de integrale

(17)

kostprijs van behandelingen (de kapitaallasten moeten dus verrekend worden in DBC’s). Voor de financiering van het vastgoed worden ziekenhuizen dus afhankelijk van de productie die zij realiseren. Mede door de afschaffing van de contracteerplicht voor zorgverzekeraars betekent dit een flinke toename van het ondernemingsrisico.

3.5 Governance

Ziekenhuizen zijn bestuurlijk complexe instellingen en ze staan volop in de publieke belangstelling. Corporate governance in de zorg is van groot maatschappelijk belang (Ernst & Young). De ontwikkelingen in de corporate governace volgen elkaar in een rap tempo op.

1997 1999 2000 2002 2003 2004 2005 2006 Combined Code (UK) Wettelijke verankering code Tabaksblat Zorgbrede code Ontwikkeling jaardocument NVZ-Governance Code Aanbevelingen Commissie Peters Aanbevelingen Health Care Govenance Regeling Jaarverslag-geving Zorginstellingen Sarbanes-Oxley (USA) Code Commissie Tabaksblat Aanbevelingen VWS bestuurders-beloningen NVZD gedragscode Bestuurs-verklaring productie-registratie & facturering

Figuur 1: overzicht van ontwikkelingen in de Governance (Ernst en Young, 2006)

In 2004 wordt de NVZ Governnace Code gepubliceerd. Hierin staan “Principes met Aanbevelingen voor de leden van de Nederlandse Vereniging van Ziekenhuizen (NVZ) met een Raad van Toezichtmodel”. Daarnaast komt het VWS met aanbevelingen betreffende bestuursbeloningen.

In 2005 word er een gedragscode uitgebracht door de ‘Vereniging van Directeuren van instellingen in de gezondheidszorg’. Ook verschijnt in 2005 de ‘Zorgbrede Governance Code’. Deze code richt zich op de kwaliteit van het bestuur, de kwaliteit van het toezicht daarop en de interactie tussen Raad van Bestuur en Raad van Toezicht.

In 2006 wordt er een voorbeeld jaardocument ontwikkeld voor zorginstellingen. De toepassing is eerst nog op vrijwillige basis, maar wordt vanaf verslagjaar 2007 verplicht. Daarnaast is vanaf 2006 een bestuursverklaring voor productieregistratie en facturering verplicht voor ziekenhuizen, voor AWBZ-instellingen geldt deze verplichting vanaf 2007. De Raad van Bestuur is met betrekking tot risicomanagement eindverantwoordelijk voor de rapportage van het jaarverslag. Uit onderzoek van Marsh (2007) blijkt dat de operationele

(18)

verantwoordelijkheid gedelegeerd wordt naar hetzij directies van units c.q. afdelingen, naar de lijnmanagers organisatiebreed of naar managers van afdelingen zoals financiën, facilitaire zaken en diverse stafdiensten.

3.6 Samenvatting

In de Nederlandse zorgsector verandert er veel en een groot deel van die veranderingen hebben een grote impact. Deze veranderingen zorgen voor diverse (nieuwe) kansen en bedreigingen. De invoering van het DBC-systeem zorgt voor een verschuiving van financiering van capaciteit naar een financiering van klantvragen en moet de marktwerking in de zorgsector stimuleren. De wijziging in kapitaallasten zorgt ervoor dat de financiering van het vastgoed afhankelijk wordt van de productie. De ontwikkeling van technologie staat nooit stil, zo wordt er o.a. hard gewerkt aan de landelijke invoering van het Elektronisch Patiënten Dossier. Ook de ontwikkelingen in de corporate governance volgen elkaar in een zeer snel tempo op. Na principes met aanbevelingen in 2004 volgt in 2005 een gedragscode en een zorgbrede governance code en in 2007 wordt het jaardocument van kracht voor ziekenhuizen. Al met al veel ontwikkelingen in de ziekenhuissector die op veel verschillende terreinen een zeer grote invloed heeft of zal gaan hebben.

(19)

Hoofdstuk 4: Risicomanagement

Hoofdstuk 4:

Risicomanagement

In dit hoofdstuk geef ik aan de hand van literatuuronderzoek antwoord op de eerste deelvraag. Waarom is, volgens de literatuur, het rapporteren over risicomanagement van belang in een jaarverslag? Wat is er in de literatuur geschreven over de risico’s waarover wordt gerapporteerd in jaarverslagen en wat zijn de wettelijke vereisten voor risicorapportage in het jaarverslag? Eerst ga ik in paragraaf 4.2 in op het belang van risicomanagement. Want risicomanagement heeft invloed op het reilen en zeilen van de organisatie en is daarmee bepalend voor de risicorapportage. Risicomanagement levert immers de informatie die nodig is voor de rapportage over risico’s (Dobler, 2005).

Vervolgens ga ik in paragraaf 4.3 na wat er in de literatuur geschreven is over het belang van het rapporteren over risicomanagement en in paragraaf 4.4 bespreek ik welke risico’s er gerapporteerd worden in jaarverslagen volgens voorgaand onderzoek. Daarna volgt in paragraaf 4.5 een uiteenzetting van de belanghebbenden van Nederlandse ziekenhuizen, de rapportage wordt hoofdzakelijk gericht op de belanghebbenden, zij hebben dus indirect invloed op de rapportage. Dan bespreek ik kort de wettelijke vereisten op risicorapportagegebied voor Nederlandse zorginstellingen (4.6) omdat dit een belangrijke invloed heeft op het rapportagegedrag. Tot slot stel ik een overzicht samen van risico’s en vormen van risicomanagement die ik terug verwacht te zien in de rapportage van de ziekenhuizen (4.7).

4.2 Belang van risicomanagement

Risicomanagement is ”het systematisch gebruik van organisatiewijde processen om risico’s te identificeren, waarderen, managen en monitoren, zodat de verzamelde informatie gebruikt kan worden om waarde te beschermen, te creëren en bekend te maken” (The European

Foundation for Quality Management’, 2005)

Het belang van risicomanagement kan het duidelijkst worden geïllustreerd door organisaties die (bijna) ten onder zijn gegaan door ineffectief risicomanagement. Enkele ondernemingen die door ineffectief risicomanagement (bijna) ten onder zijn gegaan zijn de Barings Bank, Parmalat, Arthur Andersen, Enron en Worldcom. Het belang van risicomanagement kan ook duidelijk geïllustreerd worden aan de hand van rampen in de industrie, zoals de explosie op het Piper Alpha Olie Platform, het verliezen van enorme hoeveelheden olie door de Exxon

(20)

Valdez en het vrijkomen van radioactieve straling bij de ontploffing van de kernreactor in Chernobyl.

Al deze rampen lijken te zijn veroorzaakt door een aantal opeenvolgende gebeurtenissen die voorkomen hadden kunnen worden en zeer waarschijnlijk ook voorkomen zouden zijn als er adequaat risicomanagement en corporate governance had plaatsgevonden. (European Foundation for Quality Management, 2005)

Risicomanagement, met als belangrijk deelgebied interne beheersingssystemen, heeft een sleutelpositie in de organisatie, het managen van risico’s is significant voor het volbrengen van de ondernemingsdoelen. Interne beheersing houdt het systeem in dat het management in staat stelt om de risico’s, die het behalen van doelstellingen van de organisatie bedreigen, te identificeren, te prioriteren, te analyseren en te beheersen (Emmanuels, 2005). Het interne beheersingssysteem richt zich op 4 aandachtsgebieden: de betrouwbaarheid van de financiële informatievoorziening, de effectiviteit en efficiency van de bedrijfsprocessen, de naleving van (externe) weten regelgeving en het veilig stellen van de bedrijfseigendommen (COSO). Een goed werkend systeem van interne beheersing draagt daarom bij aan het veilig stellen van de investering van de aandeelhouder en de veiligstelling van de activa van de onderneming (NIVRA taskforce on internal control, 2005).

Goed risicomanagement zorgt ervoor dat het management de risico’s kan identificeren en waarderen en de onzekere factoren managen. Hoe meer het risicomanagementbeleid in het ondernemingsbeleid is geïntegreerd, hoe effectiever het risicomanagement zal zijn (De Ridder, 2007). Hierdoor kan risicomanagement geïntegreerd worden met het behouden van waarde én het creëren van waarde.

De ondernemingsdoelen, de interne organisatie en de omgeving waarin een organisatie opereert, zijn continu in ontwikkeling. Als resultaat van die veranderingen veranderen ook steeds de risico’s waarmee de organisatie geconfronteerd wordt (NIVRA taskforce on internal control, 2005). Daarom is het belangrijk te onderkennen dat risicomanagement een proces is en daarmee een middel in plaats van een doel op zich (De Ridder, 2007).

De toegenomen kennis van de processen en de risico’s daarin, worden gebruikt om fouten en verliezen te beperken, hetgeen leidt tot efficiency verbeteringen en een betere kwaliteit. Risicomanagement kent echter ook beperkingen. Om te beginnen is risicomanagement geen garantie dat de onderneming niet failliet zal gaan. Ook met effectieve risicobeheersing is niet gezegd dat alle doelstellingen altijd worden gerealiseerd (De Ridder, 2007).

(21)

4.3 Belang van rapporteren over risicomanagement

Wanneer er een scheiding plaatsvindt tussen eigendom en management kan het probleem ontstaan. Het probleem ontstaat door belangentegenstellingen in de agency-relatie. De agency-relatie wordt door Jensen en Meckling (1976) omschreven als een contract tussen één of meer personen (de principalen) en een ander persoon (de agent), deze agent verzorgt services in naam van de ander (de principalen), hier valt onder andere het nemen van beslissingen onder. Als beide (principaal en agent) gaan voor maximalisatie van eigen nut, dan is er een grote kans dat de agent niet altijd in het belang van de principaal zal handelen. Hierdoor kunnen agency-kosten ontstaan.

Corporate governance probeert een antwoord te geven op dit agency-probleem door het bestuur en de Raad van Commissarissen te verplichten tot transparantie, het afleggen van verantwoording en het waar mogelijk betrekken van de aandeelhouders bij besluitvorming. Goede corporate governance brengt met zich mee dat een organisatie zich bewust is van de risico’s waaraan zij onderhevig is en daarover moet rapporteren (De Groot, 2006). Hierdoor zouden de agency-kosten kunnen verminderen.

Volgens de Financial Accounting Standards Board (FASB, 1978) is het belangrijkste doel van financiële informatie dat het van nut moet zijn voor gebruikers bij het nemen van beslissingen. Accounting informatie die bekend wordt gemaakt door organisaties wordt gebruikt door een zeer groot aantal verschillende gebruikers, o.a. investeerder, leveranciers, concurrenten en managers. De FASB (1978) noemt de investeerder de hoofdgebruiker, die financiële informatie nodig heeft voor de juiste investeringsbeslissing die wordt genomen aan de hand van de economische en financiële positie van de onderneming en de ingeschatte risico’s. Investeerders nemen de beslissing om wel of niet te investeren niet alleen op basis van de verwachte opbrengsten, maar ook op basis van het risico. Cea (1992) stelt dat het doel van het bekend maken van informatie door organisaties is om gebruikers te helpen bij het beslissingsproces. Verder sluit het goed informeren over risico’s bij het verstrekken van informatie door organisaties beter aan bij beslissingsmodellen die uiteengezet worden in de financiële theorieën (uit Cabedo & Tirado, 2004 p.182).

Naast investeerders hebben, zeker bij organisaties als ziekenhuizen, ook maatschappelijke organisaties, zoals patiënten / cliëntenorganisaties of werknemersorganisaties, groot belang bij inzicht in de risico’s die publieke en private organisaties aangaan. De risico’s kunnen enorme gevolgen hebben voor de belangen van de groepen in de samenleving die door de

(22)

maatschappelijke organisaties worden behartigd. Dit betekent dat van alle organisaties wordt verlangd dat zij inzicht geven in hun risicoprofiel en de wijze van risicobeheersing (PwC onderzoek: Risicomanagement – De praktijk in Nederland).

4.4 Welke concrete risico’s komen in de literatuur naar voren

Als risico’s worden beschreven, wordt er meestal gesproken over een gebeurtenis die wordt bepaald door een kans van optreden en het effect wat eruit voortkomt. Naast de beschrijving in kans en effect varieert de detaillering van de omschrijving vaak enorm (Marsh, 2007). In de Nederlandse Corporate Governancecode wordt gesproken over een risicoanalyse met betrekking tot operationele en financiële doelstellingen (Best Practice - bepaling II.1.3 onder a). Hieruit komt dus een verdeling in financiële risico’s, operationele risico’s en overige risico’s naar voren. Financiële risico’s zijn risico’s die de financiële continuïteit van de vennootschap kunnen bedreigen. Operationele risico’s zijn risico’s die de operationele continuïteit van de vennootschap kunnen bedreigen. Beide soorten risico’s kunnen voortkomen uit interne en externe factoren (de Groot, 2006).

Risico’s moeten niet alleen worden geïdentificeerd, het bestuur moet ook aangeven hoe zij met deze risico’s omgaat. Hierbij moet een toereikende beschrijving van het risicomanagementbeleid en het systeem van interne beheersing worden gegeven (Braam, 2000).

Uit het onderzoek van Marsh (2007) is voor de zorgsector een verdeling in de volgende categorieën een geschikte verdeling: strategische risico’s, operationele risico’s, financiële risico’s en calamiteiten risico’s.

Onder strategische risico’s wordt o.a. verstaan nieuwe wetgeving waaraan moet worden voldaan en risico’s die de reputatie van het ziekenhuis kunnen schaden. Mogelijke operationele risico’s zijn ziekteverzuim of het niet goed werken van IT systemen binnen het ziekenhuis. Onder financiële risico’s vallen bijvoorbeeld claims die tegen het ziekenhuis aangespannen worden of DBC’s die niet goed worden verwerkt waardoor ze bijvoorbeeld niet in rekening worden gebracht. Tot slot calamiteitenrisico’s hieronder valt bijvoorbeeld het risico op brand.

Ook Lajili en Zéghal (2005) doen een onderzoek naar rapportage over risico’s en risicomanagement en ook in dit onderzoek worden verschillende categorieën onderscheiden.

(23)

De risicocategorieën waar het vaakst over gerapporteerd wordt in het onderzoek van Lajili en Zéghal (2005) bij Canadese beursgenoteerde ondernemingen zijn financieel risico’s (deze heeft verschillende subcategorieën), daarnaast wordt er vaak gerapporteerd over markt risico’s, overheidsregelgeving en omgevingsrisico’s. Verder zijn er nog enkele overige risico’s, waaronder technologische risico, operationele risico’s, politieke risico’s, etc. (Lajili & Zéghal, 2005). Binnen deze categorieën worden verschillende risicobronnen en vormen van risicomanagement aangemerkt.

4.5 Belanghebbenden van ziekenhuizen

Als algemene doelstelling van externe verslaggeving kan genoemd worden het verstrekken van informatie ten behoeve van de beslissingen van belanghebbenden bij de organisatie. Het afleggen van verantwoording vormt hier een onderdeel van. Dit geldt zowel voor de op winst gerichte ondernemingen als de niet op winst gerichte ondernemingen. Een belanghebbende is een persoon, of organisatie, die door het doen en laten van de organisatie wordt beïnvloed. De kring van belanghebbenden kan zeer uiteenlopende groepen met uiteenlopende informatiebehoeften bevatten (Aukes 1996).

Om de administratieve lasten in belangrijke mate te verminderen, is er door de belangrijkste belanghebbenden van zorgaanbieders in de curatieve zorg en care een ‘Convenant Maatschappelijke Verantwoording Zorginstellingen’ opgesteld. Het convenant is opgesteld zodat de belanghebbenden kunnen beschikken over nauwkeurige, samenhangende, actuele en toegankelijke verantwoordingsinformatie en dat tegelijkertijd de zorginstellingen weten hoe en waarover zij moeten verantwoorden. De belanghebbenden uit het convenant zijn verschillende overkoepelende organen, cliënten en afnemers, toezichthoudende organen en de overheid.

Een ziekenhuis is een organisatie zonder winstoogmerk (OZW). Herremans en Mentink (2003) definiëren een OZW als een organisatie waarvan de doelstelling gelegen is in het leveren van bepaalde goederen of diensten teneinde een zeker maatschappelijk nut te creëren, waarbij de financiering van de activiteiten en de financiële positie randvoorwaarden vormen. Het is daarmee vooral de doelstelling waarmee OZW’s zich onderscheiden van op winst gerichte organisaties. Bij op winst gerichte organisaties bestaat de doelstelling hoofdzakelijk uit het maken van winst waarbij het leveren van goederen en diensten een randvoorwaarde vormt om deze winst te kunnen maken.

(24)

De volgende belanghebbenden kunnen volgens Herremans en Mentink (2003) als relevant voor ziekenhuizen worden aangemerkt: de subsidiegevers (zowel door overheid als door private organisaties), vreemdvermogenverschaffers, overkoepelende organen, toezichthouders, werknemers en werkgeversorganisaties, afnemers / cliënten en het publiek. Ondanks dat de meeste literatuur betrekking heeft op risicorapportages bij organisaties met een winstoogmerk, kan deze literatuur mijns inziens ook worden toegepast bij organisaties zonder winstoogmerk. Ook bij organisaties zonder winstoogmerk moeten stakeholders beslissingen nemen en zorgt informatie over risico’s ervoor dat er een betere aansluiting is met het beslissingsmodel. En mijns inziens is het jaarverslag ook voor ziekenhuizen de belangrijkste bron van deze risico-informatie.

4.6 Wettelijke vereisten

Ook in de wet wordt er aandacht besteed aan de rapportage over de risico’s en risicomanagement bij zorginstellingen.

In de Voorschriften Jaarverslaggeving WTZi staat het volgende:

De zorginstelling dient informatie te verstrekken over de wijze waarop de instelling haar interne bedrijfsvoering en beheersing heeft ingericht, zodat activiteiten, waaronder die met betrekking tot maatschappelijk verantwoord ondernemen, worden beheerst, bewaakt, verbeterd en gerapporteerd. De op te nemen informatie dient volgens de structuur van de organisatie te worden gepresenteerd. In het jaarverslag geeft de Raad van Bestuur een uiteenzetting omtrent de werking van het in de zorginstelling gebruikte interne risicobeheersing- en controlesysteem in het verslagjaar. De Raad van Bestuur geeft daarbij tevens aan welke eventuele significante wijzigingen zijn aangebracht dan wel zijn gepland en dat deze met de Raad van Toezicht zijn gecommuniceerd. Een effectief middel om informatie over de interne organisatie te verstrekken kan de zogenaamde bedrijfsvoeringsverklaring zijn. Daarmee verklaart het bestuur van de zorginstelling dat de bedrijfsvoering op te benoemen onderdelen aan bepaalde, met specifieke belanghebbenden afgesproken, eisen heeft voldaan. In de bijlage van artikel 8 in de regeling verslaggeving WTZi wordt een overzicht gegeven van prestatievelden waarover de zorginstelling verplicht is te rapporteren, dit overzicht komt overeen met de inrichting van het jaardocument. Één prestatieveld heeft een directe relatie met een risicocategorie, het prestatie veld milieu. Bij de andere prestatievelden worden mogelijkheden aangegeven aan wat voor informatie gedacht zou kunnen worden. Hier staan

(25)

ook enkele risico’s en vormen van risicomanagement tussen, maar ziekenhuizen zijn niet verplicht om hierover te rapporteren.

Daarnaast staat er in BW 2 Titel 9 artikel 391 het volgende over risicorapportage:

In het jaarverslag dient u een beschrijving te geven van de voornaamste risico's en onzekerheden waarmee de rechtspersoon wordt geconfronteerd.

Tot slot is in richtlijn 400 van richtlijnen voor de jaarverslaggeving de verwijzing naar het hiervoor genoemde wetsartikel BW Titel 9 artikel 391 met daarnaast de expliciete vermelding dat bij de bespreking van het jaarverslag door middel van een evenwichtige en volledige analyse ten minste aandacht dient te worden besteed aan de voornaamste risico’s en onzekerheden.

In deze wetten en richtlijnen worden, met uitzondering van het prestatieveld milieu, geen specifieke risico’s of risicocategorieën aangeduid waarover ziekenhuizen verplicht zijn te rapporteren.

4.7 Raamwerk voor ziekenhuizen

Het onderzoek van Lajili en Zéghal (2005) onderscheidt 12 risico vermeldingscategorieën. Financieel, politiek, markt, technologische, milieu, weer, overheidsreguleringen, seizoenen, operationeel, conjunctuur, leverancier en natuurlijke grondstoffen of hulpmiddelen bij het onderzoek naar risico- en risicomanagementrapportages bij beursgenoteerde ondernemingen in Canada.

Wanneer we dat risicobronnen en risicomanagement schema op de ziekenhuissector gaan toepassen zullen er op enkele gebieden grote verschillen zijn ten opzichte van dat schema omdat enkele risico gebieden meer van belang zijn en andere gebieden juist minder of helemaal niet van belang zijn bij Nederlandse ziekenhuizen.

Ten eerste de financiële categorie. Bij Nederlandse ziekenhuizen is er geen sprake van grote hoeveelheden kosten en inkomsten uit het buitenland, daarom zullen zij niet te maken hebben met risico’s omtrent grote buitenlandse geldstromen of valutarisico’s, deze risico’s zullen daarmee waarschijnlijk niet van belang zijn.

(26)

Enkele sectorspecifieke financiële risicobronnen waar ziekenhuizen mee te maken kunnen hebben zijn risico’s omtrent de Diagnose Behandel Combinaties (DBC). Zo kunnen er door de DBC’s risico’s ontstaan als liquiditeitsschommelingen, problemen bij de facturatie van de DBC aan de zorgverzekeraars of uitval van de DBC waardoor deze niet gefactureerd kunnen worden.

Daarnaast is het toenemende ondernemingsrisico door de kapitaallastenwijziging een belangrijk risicoaspect voor ziekenhuizen. Een vorm van risicomanagement waaraan met betrekking tot dit risicoaspect zou kunnen worden gedacht is het opbouwen van een vermogensbuffer.

Op de operationele categorie ligt vanuit het WTZi en het jaardocument de nadruk. Het jaardocument is in 2006 nog niet verplicht voor ziekenhuizen (vanaf 2007 wel), het WTZi wel. Daarom verwacht ik dat veel ziekenhuizen veel in deze categorie gaan melden.

Als we het overzicht van Lajili en Zéghal (2005) naast de “nadere invulling van de prestatievelden met concrete indicatoren” uit de bijlage van artikel 8 in de regeling verslaggeving WTZi leggen blijkt dat voor ziekenhuizen zaken als training van werknemers, goede recruiting, feedback en de ontwikkeling van een kwaliteitscontrole systeem als belangrijke aandachtsgebieden voor ziekenhuizen worden gezien.

Naar aanleiding van de in de bijlage van artikel 8 van de regeling verslaggeving WTZi genoemde “mogelijke nadere invulling van de prestatievelden met concrete indicatoren“ vul ik de operationele categorie van Lajili en Zéghal (2005) aan met arbo-risico’s en verzuimrisico’s omdat deze expliciet als mogelijke gebieden om aandacht aan te besteden worden genoemd.

Technologie categorie: nieuwe technologieën, zoals het Elektronisch Patiënten Dossier en

het Elektronisch Medicatie Dossier, volgen elkaar in snel tempo op. Dit levert nieuwe kansen, maar ook bedreigingen, daarom verwacht ik zeker rapportages te zien over de technologische categorie.

Overheidsregulering categorie: nieuwe weten regelgeving heeft zich in snel tempo

opgevolgd de laatste jaren. Grote veranderingen zijn doorgevoerd om te komen tot een nieuw zorgstelsel, dit heeft o.a. grote gevolgen voor de budgetten van de ziekenhuizen. Dit zou o.a.

(27)

gevolgen kunnen hebben voor de continuïteit, daarom bevat deze categorie voor ziekenhuizen belangrijke risicoaspecten.

Met betrekking tot de markt categorie, de milieu categorie, en de politieke categorie acht ik dat de risico’s en de vormen van risicomanagement die uit het onderzoek van Lajili en Zéghal (2005) naar voren komen ook voor ziekenhuizen van toepassing kunnen zijn.

De ziekenhuismarkt is volop in ontwikkeling, met o.a. ontwikkelingen van (meer) concurrentie, is dit een categorie waarover ik zeker verwacht dat er over gerapporteerd wordt in het jaardocument.

Vanuit het WTZi zijn ziekenhuizen verplicht informatie te verstrekken over het zogenoemde prestatieveld milieu. Er moet inzicht gegeven worden in de getroffen milieumaatregelen en haar beleid in deze.

Ik verwacht dat er gerapporteerd wordt over de politieke categorie in het jaarverslag omdat een belangrijk deel van de zorgtaken door de politiek wordt bepaald door middel van het uitgeven van vergunningen aan degene die de zorgtaken uit mogen voeren. Het in bezit krijgen of het verliezen van vergunningen kan een belangrijke invloed hebben op welke zorgtaken er uitgevoerd mogen worden en daarmee ook op de continuïteit van het ziekenhuis. Nagenoeg iedere onderneming heeft te maken met Leveranciers in hoeverre er sprake is van risico’s omtrent de leveranciers hangt af van de leverancier zelf en de afhankelijkheid van één zo’n leverancier. In hoeverre dit risico en vormen van risicomanagement aanwezig zijn bij ziekenhuizen hangt van de situatie van ieder ziekenhuis individueel af. Wel of niet rapporteren over deze leverancierscategorie hangt dus volledig af van de situatie bij ieder individuele ziekenhuis.

Van seizoenspatronen is bij ziekenhuizen geen sprake. In Nederland is geen sprake van bijvoorbeeld extreme weer conditie’s, deze risico’s acht ik dus niet van toepassing voor mijn onderzoek.

Ik verwacht niet dat ziekenhuizen erg conjunctuurgevoelig zijn en zullen daarom dus ook niet specifiek te maken hebben met risico’s omtrent conjunctuur veranderingen. Mensen worden ziek ongeacht de staat van de economie en zullen dus zowel met hoog als met laag conjunctuur behoefte hebben aan ziekenhuizen.

(28)

Risico’s omtrent de categorie grondstoffen zouden mijn inziens slechts in zeer geringe mate aanwezig kunnen zijn, omdat een ziekenhuis een dienstverlenende organisatie is. Natuurlijk moeten er wel de juiste hulpmiddelen beschikbaar zijn voor de hulpverleners om het werk goed te kunnen uitvoeren, maar de risico’s omtrent deze hulpmiddelen vallen mijn ziens onder operationele risico’s.

Voor ziekenhuizen stel ik het volgende raamwerk op met risicobronnen en risicomanagement:

Categorie Risico bronnen Risico management

Financieel Toename van rente percentage Mix van vaste en variabele leningen

Niet gegarandeerde debiteuren Alleen met vooraf geautoriseerde tegenpartijen werken Failliet gaan van een debiteur of andere belangrijke partij Kredietlimieten opstellen

Kredieten regelmatig monitoren

Liquiditeitsproblemen Vermogensbuffer Claims

Diagnose Behandel Combinaties Kapitaallastenwijziging

Markt Grote concurrentie / meer marktwerking Kosten reductie Grote klant verloren

Komst van concurrentie op lokale markt Leveren van waarde toevoegende service

Nieuwe allianties, samenwerkingsverbanden Verbreden van de klanten basis / uitbreiden capaciteit Klanten loyaliteit, innovatie (nieuwe producten)

Nieuwe markten in gaan

Herpositionering in de markt

Milieu Milieu incidenten Procedures instellen om materiaal te managen Gebruik van milieu gevoelige producten Monitoren en trainen van de werknemers

Recycling

Productie proces veranderen

Milieu wetten en richtlijnen Voldoen aan de nationale standaarden Overheids- Veranderingen in wetten en regelgeving Zorg ervoor om ten alle tijden compliant te zijn regulering Overheidsfinanciering afnamen of toenames

Operationeel Technische gebreken (bijv. in computer systemen)

Calamiteiten Verzekeren

Menselijke fouten Trainen van werknemers, goede recruiting, feedback etc

Controle op het naleven van procedures

Verlies van key-werknemers Ontwikkelen van kwaliteitscontrole systeem Onvoldoende voorraad (bijv arbeidskrapte) Ontwikkelen van operationeel nood plan

Arbo

Verzuim

Leverancier Problemen bij/met belangrijkste leverancier Meerdere leveranciers

Niet veilige/zeker leveranciers Goede relatie opbouwen met leverancier

Zelf een leveranciers netwerk bezitten

(29)

vervolg risico bronnen risico management

Grondstoffen Lage kwaliteit van de resources Zoeken naar hoge kwaliteit

Monitoren van kwaliteit

Lage aanvoer Goede relatie ontwikkelen met strategische verkopers Toenemende grondstofprijzen

Ontoereikende hoeveelheden van resources Goede vooruitzichten mbt hoeveelheden, planning Niet toegestaan om in sommige gebieden te exploiteren Richt op geografische gebieden die je begrijpt Politiek Werken in een internationale omgeving Samenwerken met lokale partners

Onverwachte veranderingen in voorschriften

Complexe locale verkrijgbaarheid en eisen / certificering Strategie op verkrijgbaarheid en eisen aanpassen Geen bescherming bij buitenlandse rechtsposities

Politieke ontwikkelingen Werknemers met internationale ervaring inhuren Technologie Snelle technologische veranderingen Invoeren en profiteren van nieuwe technologieën

Internet Ontwikkelen van e-commerce

Intranet Goed getraind personeel

Vervolg Tabel 1: Risico- en risicomanagementoverzicht voor ziekenhuizen

4.8 Samenvatting

Aan de hand van dit hoofdstuk heb ik het antwoord op mijn eerste deelvraag, waarom het rapporteren over risicomanagement van belang is in een jaarverslag, Wat er in de literatuur is geschreven over de risico’s waarover wordt gerapporteerd in jaarverslagen en wat wettelijk verplicht is om te rapporteren voor ziekenhuizen in Nederland?

Goed risicomanagement zorgt ervoor dat het management de risico’s kan identificeren, waarderen en managen in onzekerheid. De organisatie en zijn omgeving zijn continu aan het veranderen, daarom is het van belang om risicomanagement te zien als een continu proces. Het belang van het rapporteren over het risicomanagement komt voort uit het agency-probleem. Corporate governance probeert een antwoord te geven op het agency-probleem, door het verplichten van meer transparantie en verplichte verantwoording. Met het rapporteren over risicomanagement sluit de gerapporteerde informatie beter aan bij de informatie die nodig zou zijn volgens de beslissingsmodellen die uiteen worden gezet in de financiële theorieën. Hierdoor verminderen de agency-kosten.

Het zijn overigens niet alleen investeerders, maar ook maatschappelijke organisaties, zoals patiënten / cliëntenorganisaties of werknemersorganisaties, die graag inzicht krijgen in de risico’s die publieke en private organisaties aangaan. De risico’s kunnen immers enorme gevolgen hebben voor bepaalde groepen in de samenleving.

Bij het rapporteren over risicomanagement worden de risico’s vaak onderverdeeld in verschillende categorieën. Zoals in de categoriën financiële risico’s, operationele risico’s,

(30)

markt risico’s, overheidsregelgeving, omgevingsrisico’s, technologische risico’s en politieke risico’s. Uit een voorgaand onderzoek over risicomanagement bij ziekenhuizen in Nederland (Marsh, 2007) worden als belangrijke risicocategorieën aangedragen strategische risico’s, operationele risico’s, financiële risico’s en calamiteitenrisico’s.

In tabel 1 heb ik op basis van het overzicht van de risico’s en vormen van risicomanagement uit het onderzoek van Lajili en Zéghal (2005) een overzicht samengesteld van risico’s en vormen van risicomanagement die ik bij Nederlandse ziekenhuizen verwacht terug te zien. Tot slot zijn er enkele wettelijke vereisten ten aanzien van rapporteren over risicomanagement. In de voorschriften voor jaarverslaggeving WTZi staat dat er een beschrijving moet worden gegeven van het functioneren van de belangrijkste besturingssystemen en risicobeheersings- en controlesystemen. Verder staat er in het Burgerlijk Wetboek 2 Titel 9 artikel 391 dat in het jaarverslag een beschrijving gegeven dient te worden van de voornaamste risico's en onzekerheden waarmee de rechtspersoon wordt geconfronteerd. Richtlijn 400 van richtlijnen voor de jaarverslaggeving spreekt over een volledige en evenwichtige analyse van de voornaamste risico’s en onzekerheden.

Deze wetten en richtlijnen geven geen specifieke risico’s of risicocategorieën aan waarover ziekenhuizen verplicht moeten rapporteren.

(31)

Hoofdstuk 5: Risicorapportage gedrag

Hoofdstuk 5:

Risicorapportage gedrag

5.1 Inleiding:

In dit hoofdstuk geef ik een antwoord op de tweede deelvraag ‘wat is er in de literatuur geschreven over redenen waarom management positieve risico’s (ofwel kansen) / negatieve risico’s (ofwel bedreigingen) juist wel of juist niet rapporteert?’.

In dit hoofdstuk komen verschillende theorieën over mogelijk rapportagegedrag van de manager aan bod. Ik begin in paragraaf 5.2 met een opsomming van voor- en nadelen van rapporteren over risicomanagement. In paragraaf 5.3 bespreek ik enkele theorieën die uitgaan van het rapporteren van goed nieuws, in paragraaf 5.4 gevolgd door theorie die uitgaat van het rapporteren van slecht nieuws. Daarna bespreek ik in paragraaf 5.5 een theorie die gaat over slecht nieuws toch minder slecht laten lijken. Aan de hand van deze theorie stel ik in paragraaf 5.6 mijn verwachtingen ten aanzien van de ziekenhuissector op.

5.2 Voor- en nadelen van rapporteren over risicomanagement

Vanuit de onderneming gezien, zitten er zowel voor als nadelen aan het rapporteren over risicomanagement in een jaarverslag. Meijer (2003) onderscheidt in zijn artikel het volgende rijtje voor- en nadelen:

Mogelijke voordelen van rapporteren over risico’s:

• Een positief effect van risicoverslaggeving op de vermogenskosten van ondernemingen. Dit wordt bewezen door onderzoek van Botosan (1997) voor eigen vermogen kosten en Sengupta (1998) voor vreemdvermogenkosten

• Een verhoogde geloofwaardigheid en verbeterde relaties met investeerders.

Onderzoek van Eccles en Mavrinac (1995) wijst uit dat uitgebreidere en verbeterde verslaggeving een positieve werking hebben op het vertrouwen van de investeerders. • De positieve effecten op het interne beheersing systeem. Aangezien risicobeoordeling een

elementair onderdeel vormt van interne beheersing, kan een positieve invloed van risicoverslaggeving op risicobeoordeling worden vermoed (Meijer, 2003).

Mogelijke nadelen van rapporteren over risico’s: • De verhoogde kans op rechtszaken

Er bestaat de angst dat risicoverslaggeving verkeerd zouden kunnen worden geïnterpreteerd, waardoor het aantal rechtszaken zou kunnen stijgen (ICAEW, 1999).

(32)

Hoofdstuk 5: Risicorapportage gedrag

• Een mogelijk concurrentienadeel als gevolg van risicoverslaggeving door het vrijgeven van concurrentiegevoelige informatie.

Door de verschillende voor- en nadelen die zijn verbonden aan het rapporteren over risico’s is het aannemelijk dat het management van een onderneming niet alle informatie die hij heeft zal rapporteren. In de loop der jaren zijn er dan ook verschillende theorieën ontwikkeld over wat een manager wel en niet zal rapporteren.

Over de patronen in het rapportagegedrag van het management op het gebied van risicomanagement is echter nog maar weinig onderzoek gedaan. Wel op het gebied van vooruitzichten is onderzocht of deze goed dan wel slecht nieuws rapporteerden.

Risico’s en risicomanagement rapporteren kan beschouwd worden als een rapportage die signalen geeft en dus toekomstgericht is, afhankelijk van de ondernomen acties op die signalen zullen die risico’s wel of niet werkelijkheid worden. Als we de rapportage over risicomanagement zien als een kans die zou kunnen voorkomen bij bepaalde acties, zou je de rapportage over risicomanagement dus kunnen beschouwen als verwachting, ofwel als een bekendmaking van een vooruitzicht (Dobler, 2005).

Door het ontbreken van een richtlijn voor een duidelijke rubricering of categorisering van risico’s leidt deze situatie tot wildgroei van beschrijvingen over risico’s (Marsh, 2007). Om die reden ben ik uitgegaan van theorieën van vrijwillige rapportages ondanks dat er wel een wettelijke verplichting bestaat met betrekking tot het rapporteren over risico’s en risicomanagement.

5.2 Positief rapporteren

Een manager die niet geïnformeerd is kan niets rapporteren, niet eens het feit dat hij niet geïnformeerd is. Een geïnformeerde manager kan kiezen om de informatie te rapporteren of voor zichzelf te houden. Outsiders kunnen niet zien in welke situatie de manager verkeert. Als er niets wordt gerapporteerd zijn de outsiders er niet zeker van of dat is omdat de manager negatieve informatie voor zichzelf houdt, of dat de manager niet geïnformeerd is en dus niets te rapporteren heeft (Dye, 1985 in Jung & Kwon, 1988). Slecht nieuws zal worden gerapporteerd als de kosten van het rapporteren laag genoeg zijn.