Risicoverslaglegging
in het jaarverslag van ziekenhuizen
Master Thesis Accountancy
Student : Michelle Visser Studentnummer : 1916742
Begeleider : Dhr. M.M. Bergervoet
Datum : Augustus 2010
2
Voorwoord
Van april tot en met juli 2010 heb ik mij ingezet om mijn afstudeerscriptie te schrijven. Deze scriptie vormt de afsluiting van mijn Masteropleiding Accountancy aan de Rijksuniversiteit Groningen. Het verslag dat voor u ligt, is het resultaat van het onderzoek dat ik heb opgezet, uitgevoerd en uitgewerkt.
Ik ben enthousiast geworden over risicomanagement door de colleges van het vak Internal Control Risk Management. Tijdens deze colleges kwam nadrukkelijk het belang en de waarde van risicomanagement naar voren voor een organisatie. Voor een ziekenhuis moet dit dan zeker ook gelden, gezien de maatschappelijke functie en de veranderende omstandigheden.
Ik wil een aantal mensen bedanken die hebben geholpen bij de totstandkoming van deze scriptie. Allereerst wil ik mijn begeleider vanuit de universiteit, de heer Bergervoet, bedanken voor zijn feedback en begeleiding. Vooral zijn hulp bij de opzet van het onderzoek is van grote waarde geweest. Daarnaast wil ik de risicomanager van het Erasmus MC, de heer Huls, bedanken voor het beantwoorden van mijn vragen. Door het gesprek heb ik een duidelijk beeld gekregen van het risicomanagement binnen een ziekenhuis.
Tot slot wil ik mijn familie en vrienden bedanken voor hun steun tijdens mijn studie.
Groningen, augustus 2010
3
Samenvatting
Risicomanagement is actueel en heeft de laatste jaren aan aandacht gewonnen. Diverse schandalen hebben risicomanagement hoog op de agenda gezet voor ondernemingen, wetgevers en toezichthouders. Ook bij ziekenhuizen zijn er regelmatig berichten over incidenten. Er zou systematisch onderzoek plaats moeten vinden naar risico’s die patiënten en activiteiten bedreigen. De Nederlandse gezondheidszorg heeft te maken met een snel veranderende en complexer wordende omgeving. Dit zorgt ervoor dat de dynamiek en de risico’s toenemen binnen ziekenhuizen.
Voor belanghebbenden is het van belang dat het ziekenhuis risico’s identificeert en beheerst. Vervolgens zou de organisatie hierover moeten rapporteren in het jaarverslag, zodat gebruikers van dat jaarverslag ook daadwerkelijk te weten komen of de onderneming voldoende inzicht heeft in de relevante risico’s. Als dit het geval is, kunnen gebruikers van de jaarrekening de rapportage over risicomanagement meenemen in hun oordeel over de bedrijfsvoering. Bij de wijze waarop een onderneming verslag dient te doen over het toegepaste risicomanagement speelt de van toepassing zijnde wet- en regelgeving ook een belangrijke rol.
Met dit onderzoek richt ik mij op de verslaggeving omtrent risicomanagement in het jaarverslag. De probleemstelling is als volgt geformuleerd:
“Wat is de kwaliteit van de risicoverslaglegging in het jaarverslag van Nederlandse ziekenhuizen en wat is de waarde van deze informatie voor de belanghebbenden?”
Om antwoord te kunnen geven op de centrale vraag zal de kwaliteit beoordeeld worden door te kijken naar de volledigheid, betrouwbaarheid en mate van detail van de informatie in het jaarverslag. Bij de beoordeling van de waarde van de informatie zal een belangrijke rol spelen of de informatie bijdraagt aan de oordeelsvorming over het ziekenhuis. Door de marktwerking kan de informatie in het jaarverslag namelijk gebruikt worden om keuzes tussen ziekenhuizen te maken ten aanzien van zorg.
Opvallend is dat de ziekenhuizen veel algemene informatie omtrent risicomanagement rapporteren en dat er weinig tot niet ingegaan wordt op specifieke risico’s en
beheersingsmaatregelen. Het is duidelijk dat het risicomanagement binnen ziekenhuizen volop in ontwikkeling is. Er kan geconcludeerd worden dat de informatie zoals die verstrekt is in de jaarverslagen van 2009, niet van hoge kwaliteit is. Doordat de meeste ziekenhuizen nog aan het begin staan van integraal risicomanagement en volop in ontwikkeling zijn, zou dit kunnen verklaren dat er nog weinig specifieke informatie wordt verschaft.
De gebruikers van het jaarverslag kunnen nu dus nog geen goed eigen oordeel vormen over
het risicomanagement binnen het ziekenhuis. De informatie in het jaarverslag voegt niet veel
waarde toe voor de beoordeling van zorginstellingen. Ziekenhuizen voldoen in hun
4
jaarverslag voornamelijk aan de wet- en regelgeving. De ziekenhuizen vullen de verplichte onderdelen aan met specifieke punten die spelen in het ziekenhuis. In het algemeen wordt er geen extra inhoudelijke informatie gegeven over het risicomanagement.
Het is echter voor ziekenhuizen van belang dat ze aan kunnen tonen dat risico’s zowel op proactieve wijze als op reactieve wijze beheerst worden. Dan kunnen patiënten,
zorgverzekeraars en huisartsen overtuigd worden en uit deze informatie vertrouwen halen.
5
Inhoudsopgave
VOORWOORD 2
SAMENVATTING 3
HOOFDSTUK 1: INLEIDING 7
1.1 Introductie 7
1.2 Corporate Governance 7
1.3 Risicomanagement 8
HOOFDSTUK 2: ONDERZOEKSOPZET 10
2.1 Introductie 10
2.2 Probleemstelling 10
2.2.1 Doelstelling 10
2.2.2 Centrale vraag 10
2.2.3 Deelvragen 11
2.3 Relevantie 11
2.4 Onderzoeksmethodiek 12
2.4.1 Methodische verantwoording 12
2.4.2 Literatuur 14
2.5 Randvoorwaarden 15
2.6 Opbouw van het rapport 16
HOOFDSTUK 3: RISICOMANAGEMENT IN DE ZORGSECTOR 17
3.1 Introductie 17
3.2 Het proces van risicomanagement 17
3.3 Ontwikkelingen in de zorgsector 19
6
3.4 Wet & regelgeving 21
3.5 Informatiebehoefte van belanghebbenden 23
HOOFDSTUK 4: ONDERZOEK VAN HET JAARVERSLAG 26
4.1 Introductie 26
4.2 Het jaardocument 26
4.3 Vragenlijst 27
4.4 Resultaten 29
4.4.1 Risicoprofiel ziekenhuis 29
4.4.2 Systeem van risicomanagement 30
4.4.3 Doelen stellen 32
4.4.4 Inschatten van risico’s 32
4.4.5 Treffen van beheersingsmaatregelen 34
4.4.6 Bewaken van de effectiviteit en bijsturing 35
HOOFDSTUK 5: VISIE VANUIT HET ZIEKENHUIS 37
5.1 Introductie 37
5.2 Risicomanagement binnen het ziekenhuis 37
5.3 Risicoverslaggeving 38
HOOFDSTUK 6: CONCLUSIE EN AANBEVELINGEN 40
6.1 Introductie 40
6.2 Conclusies en aanbevelingen uit het onderzoek 40
6.3 Conclusies en aanbevelingen over het onderzoek 45
LITERATUURLIJST 48
BIJLAGEN 50
7
HOOFDSTUK 1: INLEIDING
1.1 Introductie
Er is een toenemende aandacht voor risicomanagement. Dit wordt mede veroorzaakt door de economische crisis, waarbij vooral de financiële instellingen aangesproken zijn op hun toegepaste risicobeleid. Maar niet alleen voor deze sector is risicomanagement van belang.
‘Risico groeit te snel voor ziekenhuizen’ (Financieel Dagblad, 3-11-2008)
Bij risicomanagement is het van belang dat een onderneming belangrijke risico’s
identificeert en vervolgens beheersingsmaatregelen neemt. Vervolgens is het van belang dat hier ook over gerapporteerd wordt aan de belanghebbenden, zodat deze kunnen
beoordelen of de onderneming voldoende inzicht heeft in de relevante risico’s.
In regels en codes rond goed ondernemingsbestuur wordt ook meer aandacht besteed aan risicobeheersing. In de volgende paragraven zal het begrip corporate governance
geïntroduceerd worden en zal ingegaan worden op de relatie met risicomanagement.
1.2 Corporate Governance
Binnen organisaties is er sprake van samenwerking tussen diverse betrokken partijen. De belanghebbenden van organisaties zijn de groepen die direct of indirect de doelstellingen van de organisatie beïnvloeden of er door worden beïnvloed (Brancheorganisaties Zorg, 2005). Er zijn verschillende groepen te onderscheiden, met ook verschillende belangen. Te denken valt aan aandeelhouders, kapitaalverschaffers, werknemers, leveranciers, afnemers en de overheid. Het bestuur en de raad van commissarissen (het toezichthoudende orgaan) hebben een verantwoordelijkheid voor de afweging van deze belangen, die doorgaans gericht is op de continuïteit van de onderneming (Brancheorganisaties Zorg, 2005).
Het bestuur en de raad van commissarissen behoren met de belangen van de verschillende belanghebbenden rekening te houden en tot een belangenafweging te komen met
betrekking tot de strategie. Daarnaast moet er rekening gehouden worden met de relevante maatschappelijke aspecten van ondernemen. Vertrouwen is een belangrijke voorwaarde voor belanghebbenden om samen te werken. Corporate governance gaat in op deze aspecten en staat voor goed ondernemerschap. Dit houdt in integer en transparant
handelen door het bestuur en goed toezicht houden hierop met daaronder inbegrepen het afleggen van verantwoording.
In het verleden is gebleken dat er niet altijd sprake was van goed ondernemingsbestuur. Te
denken valt aan de boekhoudschandalen bij Enron en Ahold waarbij de financiële prestaties
8
hoger werden voorgesteld dan in werkelijkheid het geval was. De gebruikers van de
jaarrekening werden als gevolg hiervan misleid met betrekking tot de financiële situatie van de onderneming. Het maatschappelijk vertrouwen in het ondernemingsbestuur van grote ondernemingen kreeg hierdoor een enorme klap.
Om dit vertrouwen weer te herstellen, hebben overheden en toezichthouders maatregelen getroffen om het toezicht op het bestuur te verbeteren. In verschillende landen is
aanvullende wet- en regelgeving tot stand gekomen. Er zijn gedragscodes ontstaan die bedoeld zijn om de aandeelhouders van beursgenoteerde ondernemingen te beschermen tegen wanbeleid. In de Verenigde Staten is de Sarbanes-Oxley Act (SOX) van kracht
geworden. SOX is voornamelijk gericht op de financiële verantwoording. De kern van de SOX-richtlijnen is dat er een adequaat intern controle systeem is voor de financiële verslaglegging. Het bestuur moet dan ook verklaren dat zij verantwoordelijk zijn voor een correct werkende interne controle.
In navolging van de Sarbanes-Oxley Act, kwam ook in overige landen regelgeving voor goed ondernemingsbestuur tot stand. In Nederland ontstond de Nederlandse Corporate
Governance Code, vaak aangeduid als de Code Tabaksblat, welke de nieuwe gedragscode voor beursgenoteerde ondernemingen werd. Bij de code geldt het ‘past toe of leg uit’
principe. Dit betekent dat beursgenoteerde ondernemingen in het jaarverslag aan dienen te geven of ze de codevoorschriften toepassen en zo niet, uitleg moeten geven waarom niet.
Volgens de code moet het bestuur een gemotiveerde verklaring afgeven dat ze “in control”
zijn. Dit volgt uit de volgende passage uit de Nederlandse Corporate Governance Code:
“…het bestuur in het jaarverslag verklaart dat de interne risicobeheersings- en controlesystemen adequaat en effectief zijn”
1.3
Risicomanagement
Een onderwerp van corporate governance is risicomanagement. Mede door de kredietcrisis is gebleken dat economische en maatschappelijke omstandigheden van de ene op de andere dag kunnen veranderen. De vraag is hoe organisaties om kunnen gaan met deze
veranderingen. Voor aandeelhouders en andere belanghebbenden is het van belang om informatie te krijgen over het risicomanagement van organisaties. Is er binnen de organisatie sprake van een doorlopend systeem zodat risico’s onderkend worden en maatregelen
genomen worden om deze risico’s te beheersen?
Risicomanagement is ook van belang voor organisaties die niet op winst zijn georiënteerd.
Tijdens dit onderzoek wil ik mij richten op risicomanagement bij Nederlandse ziekenhuizen.
Er hebben zich grote ontwikkelingen voorgedaan in de ziekenhuissector, waardoor er
toenemende aandacht voor risicomanagement is ontstaan. Deze grote veranderingen in de
9
zorg leiden tot een ander en zwaarder risicoprofiel van het ziekenhuis. Dit veranderende risicoprofiel ontstaat onder andere door de marktwerking, de toenemende complexiteit door fusies en samenwerkingsverbanden en technologische en medische ontwikkelingen.
Ook is er meer aandacht voor risico’s en risicobeheersing door de toezichthouders.
De groeiende belangstelling voor risicomanagement wordt mede veroorzaakt door de ontwikkelingen op het gebied van Corporate Governance. De Zorgbrede Governance Code (2005) heeft bijgedragen aan het toegenomen risicobewustzijn in de zorg.
Het onderwerp dat in dit onderzoek centraal staat, is de verantwoording (verslaglegging) van
risicomanagement in het jaarrapport van ziekenhuizen. Er is meer vraag naar transparantie
over de interne beheersing van financiële, operationele en strategische risico’s. Aan de hand
van mijn afstudeeronderzoek wil ik onderzoeken wat de kwaliteit is van de verslaggeving
omtrent risicomanagement. De ontwikkelingen in de zorgsector en het toenemende belang
van informatieverschaffing over risico’s en risicobeheersing vormen de aanleiding voor dit
onderzoek.
10
HOOFDSTUK 2: ONDERZOEKSOPZET
2.1 Introductie
In dit hoofdstuk zal de onderzoeksopzet besproken worden. Allereerst zal de
probleemstelling aan bod komen. De doelstelling, centrale vraag en deelvragen zullen hierbij besproken worden. Nadat er aandacht wordt besteed aan de relevantie van het onderzoek, zal de onderzoeksmethodiek uitgebreid besproken worden. Hierna zullen de
randvoorwaarden van dit onderzoek naar voren komen en tot slot wordt de opbouw van dit rapport besproken.
2.2 Probleemstelling
2.2.1 Doelstelling
Ten behoeve van gebruikers van het jaarverslag, doet de organisatie verslag van haar
risicomanagement in het jaarverslag. Aan de hand van deze informatie kan de gebruiker van het jaarverslag beoordelen in welke de mate de organisatie inzicht heeft in haar risico’s en of zij hier op adequate wijze mee omgaat.
Het doel van het onderzoek is om een indicatie te krijgen van de kwaliteit van
risicoverslaglegging in het jaarverslag van Nederlandse ziekenhuizen. Ik wil onderzoeken wat de toegevoegde waarde is van de risicoverslaglegging voor de belanghebbenden / gebruikers van de jaarrekening. Uiteindelijk wil ik in kaart brengen of de belanghebbenden aan de hand van de verslaglegging een goed inzicht krijgen in de kwaliteit van het
risicomanagementsysteem binnen de organisatie. Dit wil ik bereiken door onderzoek te doen naar de verschillen in de risicoverslaggeving tussen ziekenhuizen onderling en vervolgens te proberen om de oorzaken van deze verschillen in kaart te brengen. Zo kan beoordeeld worden of ziekenhuizen daadwerkelijk specifieke informatie naar buiten brengen om de belanghebbenden zo goed mogelijk te informeren.
2.2.2 Centrale vraag
Op grond van de bovenstaande doelstelling, kan de centrale vraag van dit onderzoek als volgt worden geformuleerd:
“Wat is de kwaliteit van de risicoverslaglegging in het jaarverslag van Nederlandse
ziekenhuizen en wat is de waarde van deze informatie voor de belanghebbenden?”
11 2.2.3 Deelvragen
Om de centrale vraag te kunnen beantwoorden, is het noodzakelijk om deze op te splitsen in meerdere deelvragen. Hieronder volgt een overzicht van de deelvragen die aan bod komen.
Door de deelvragen afzonderlijk te beantwoorden, probeer ik uiteindelijk tot een antwoord op de centrale vraag te komen.
- Wat houdt risicomanagement in en wat zijn de ontwikkelingen op dit gebied?
- Welke ontwikkelingen zijn er in de zorgsector en wat is de invloed van deze ontwikkelingen op het risicomanagement binnen ziekenhuizen?
- Welke verschillende groepen belanghebbenden zijn gebaat bij de informatie in het jaarverslag? En welk inzicht wensen deze groepen belanghebbenden te krijgen?
- Welke wet & regelgeving is er op het gebied van risicomanagement en wat houdt dit in voor de verslaglegging in het jaarverslag van ziekenhuizen?
- In welke mate wordt er informatie verschaft via de risicoverslaglegging in het jaarverslag van Nederlandse ziekenhuizen?
- Welke oorzaken kunnen genoemd worden voor de mate waarin informatie openbaar wordt gemaakt betreffende risicomanagement?
2.3 Relevantie
In de inleiding is al naar voren gekomen dat risicomanagement een actueel onderwerp is.
Diverse schandalen en de kredietcrisis (2007) hebben risicomanagement hoog op de agenda gezet voor ondernemingen, wetgevers en toezichthouders.
Elke organisatie heeft te maken met risico’s die het behalen van ondernemingsdoelstellingen kunnen bedreigen. Het is daarom van belang voor belanghebbenden dat de organisatie deze risico’s identificeert en beheerst. Vervolgens zou de organisatie hierover moeten
rapporteren in het jaarverslag, zodat gebruikers van dat jaarverslag ook daadwerkelijk te weten komen of de onderneming voldoende inzicht heeft in de relevante risico’s. Als dit het geval is, kunnen gebruikers van de jaarrekening de rapportage over risicomanagement meenemen in hun oordeel over de bedrijfsvoering.
De wijze waarop een onderneming verslag dient te doen over het toegepaste
risicomanagement ligt vast in verschillende wet- en regelgeving. Door de invoering van de
Zorgbrede Governance Code zijn Nederlandse ziekenhuizen verplicht de principes van
risicomanagement na te leven en erover te rapporteren in het jaarverslag. De code moet
meer transparante verslaggeving stimuleren. Ook vanuit organisaties is er groeiend besef dat
risicomanagement bijdraagt aan het succes van de onderneming.
12
Met dit onderzoek wordt onderzocht wat de waarde van de informatie is in het jaarverslag voor belanghebbenden van ziekenhuizen betreffende risicomanagement. De relevantie komt tot uiting in de toegevoegde waarde voor belanghebbenden en de actualiteit.
2.4 Onderzoeksmethodiek
2.4.1 Methodische verantwoording
Het onderzoek dat uitgevoerd is, betreft een beschrijvend onderzoek. Allereerst zullen de deelvragen beantwoord worden, waarna een antwoord geformuleerd kan worden op de centrale vraag.
Voor de beantwoording van de eerste deelvragen zal literatuuronderzoek plaatsvinden. Het literatuuronderzoek is een verkenning en heeft als doel om een goede samenvatting en een duidelijk inzicht te geven in de bestaande literatuur en wet- en regelgeving. Er wordt
aansluiting gezocht tussen bestaande literatuur omtrent risicomanagement en
risicomanagement in de zorgsector. Daarnaast wordt er een overzicht gegeven van de van toepassing zijnde wet- en regelgeving. De eerste deelvragen dienen als introductie en benodigde achtergrondkennis voor het vervolg van het onderzoek. Het literatuuronderzoek maakt duidelijk uit welke onderdelen risicomanagement bestaat en wat de
informatiebehoefte is van belanghebbenden van ziekenhuizen. Er zijn veel artikelen en publicaties omtrent risicomanagement te vinden. Doordat ik mijn onderzoek op de
risicoverslaglegging bij ziekenhuizen richt, zal ik alleen de zaken behandelen die relevant zijn voor ziekenhuizen.
Het empirische deel van dit onderzoek bestaat uit een jaarrekeningonderzoek en het tweede gedeelte bestaat uit het afnemen van een interview. Om antwoord te kunnen geven op de vijfde deelvraag, zal er een onderzoek plaatsvinden naar acht jaarverslagen van Nederlandse ziekenhuizen. Met dit onderzoek wordt bepaald wat de kwaliteit is van de informatie
omtrent risicomanagement in het jaarverslag. Volgens Scott (2009) zijn volledigheid en betrouwbaarheid indicatoren voor de kwaliteit van de informatie. Om de volledigheid vast te stellen zal ik de aanwezigheid van specifieke informatie bepalen. Vastgesteld wordt of alle onderdelen van risicomanagement besproken worden in het jaarverslag. Om dit uit te voeren is een vragenlijst opgesteld op basis van het literatuuronderzoek (met name op basis van COSO, een veel gebruikt raamwerk voor risicomanagement). De vragenlijst is
onderverdeeld in een aantal categorieën, welke allen een deelonderwerp van
risicomanagement zijn. Door middel van het analyseren van de acht jaarverslagen kan
beantwoord worden of een ziekenhuis informatie geeft omtrent het deelonderwerp. Er zal
dus gekeken worden naar de aanwezigheid ervan. Uiteindelijk kan geconcludeerd worden of
er gerapporteerd wordt over alle onderdelen van risicomanagement.
13
Om de betrouwbaarheid vast te kunnen stellen van de informatie (een andere indicator voor kwaliteit volgens Scott, 2009) zal bepaald worden of hier informatie over gegeven wordt in het jaarverslag. Zijn er aanwijzingen in het jaarverslag die erop wijzen dat de informatie betrouwbaar is? Hierbij kan bijvoorbeeld gedacht worden aan een controle door een accountant.
Tot slot benoemt Scott (2009) dat de kwaliteit van informatie verbeterd kan worden door meer detail toe te voegen aan de informatie. Scott geeft dit aan met de term ‘finer
information’. Dit betekent dat ik bij de analyse van de jaarrekeningen niet alleen kijk naar de aanwezigheid van de informatie, maar ook beoordeel of er voornamelijk algemene of ook specifieke informatie gegeven wordt.
Aan de hand van het jaarrekeningonderzoek, zal vastgesteld worden in welke mate er informatie verschaft wordt omtrent risicomanagement en welke verschillen er tussen de ziekenhuizen zijn in de mate van risicoverslaglegging. Zo kan beoordeeld worden wat de kwaliteit is van de risicoverslaggeving.
Om inzicht te krijgen in de motivatie van ziekenhuizen achter de mate van openbaarmaking, is een diepte-interview gehouden. Dit interview is afgenomen bij het ziekenhuis waar de meeste informatie openbaar is gemaakt in het jaarverslag. Zo wil ik de motivatie achter de extra informatie vaststellen. De uitkomsten van het interview kunnen gebruikt worden om de laatste deelvraag te beantwoorden. De keuze voor een interview is ingegeven doordat dit een indicatie geeft van de visie van ziekenhuizen.
Aan de hand van de vragenlijst probeer ik de inhoudelijke kwaliteit van de
risicoverslaggeving te bepalen. Door het interview wil ik een verklaring vinden voor de mate waarin informatie openbaar wordt gemaakt. Hiernaast rijst nog de vraag wat de waarde van de informatie is voor de belanghebbenden. Het literatuuronderzoek geeft uitsluitsel over de informatiebehoefte van drie belangrijke belanghebbenden (patiënten, zorgverzekeraars en huisartsen). Op basis van de informatie die in het jaarverslag gepubliceerd wordt, kan geconcludeerd worden of aan deze behoefte wordt voldaan en wat de waarde is van deze informatie. Door de marktwerking kan de informatie in het jaarverslag gebruikt worden om keuzes tussen ziekenhuizen te maken ten aanzien van zorg. Informatie zou de potentie moeten hebben om de beslissing van een individu te beïnvloeden (Scott, 2009). Bij de beoordeling van de waarde van de informatie zal een belangrijke rol spelen of de informatie bijdraagt aan de oordeelsvorming.
Voor dit onderzoek kies ik als opzet een analyse van de jaarverslagen van de acht
academische ziekenhuizen. Bij het kiezen van de jaarverslagen is het belangrijk dat de
verslagen vergelijkbaar zijn. Door me alleen te richten op academische ziekenhuizen,
probeer ik dit te waarborgen. Academische ziekenhuizen vormen een goed te isoleren en
onderling te vergelijken groep. Het betreft hier de volgende ziekenhuizen:
14
- VU Medisch centrum (VUmc), Amsterdam
- Academisch Medisch Centrum (AMC), Amsterdam
- Universitair Medisch Centrum Groningen (UMCG), Groningen - Leids Universitair Medisch Centrum (LUMC), Leiden
- Academisch ziekenhuis Maastricht (azM), Maastricht - UMC St Radboud, Nijmegen
- Erasmus MC, Rotterdam
- Universitair Medisch Centrum Utrecht (UMC Utrecht), Utrecht
De jaarverslagen die gebruikt zullen worden, zijn jaarverslagen van de verslagperiode 2009.
Deze jaarrapporten zullen gebruikt worden omdat dit de meest recente jaarverslagen zijn, die gepubliceerd zijn. Oudere verslagen zullen eventuele recente veranderingen in
regelgeving niet weer kunnen geven.
Er is gekozen voor jaarverslagen als databron, dankzij de beschikbaarheid. Mede door de haalbaarheid en de beschikbare tijd is gekozen voor de acht academische ziekenhuizen.
2.4.2 Literatuur
Voor de beantwoording van de centrale vraag zal er eerst een literatuuronderzoek plaats moeten vinden. Dit onderzoek is verkennend en inventariserend en zorgt voor de benodigde kennis voor het vervolg van het onderzoek. Allereerst zal er ingegaan worden op
risicomanagement in het algemeen en dit zal steeds verder toegespitst worden op
risicomanagement binnen de zorgsector. Ten slotte zal er aandacht besteed worden aan de informatiebehoefte omtrent risicomanagement van belanghebbenden. Zo wordt er steeds verder op het onderwerp ingezoomd. Gezamenlijk vormt de literatuur de theoretische basis van deze scriptie.
Emanuels & de Munnik (2005) geven een praktische uitwerking van het
risicomanagementproces. Ze gaan in op het doel van risicomanagement en bespreken enkele methoden en technieken met betrekking tot het identificeren en kwantificeren van risico’s. Er wordt een duidelijk beeld gegeven van risicomanagement en de toegevoegde waarde die risicomanagement kan hebben voor een organisatie.
Het COSO raamwerk (2004) onderscheidt een aantal stappen waaruit het
risicomanagementproces bestaat. Deze stappen vormen onder andere de leidraad bij het
opstellen van de vragenlijst van het jaarrekeningonderzoek. Bij risicomanagement spelen
doelstellingen, opzet van het proces en de randvoorwaarden een belangrijke rol. Emanuels
15
& de Munnik (2006) gaan hierop in en beschrijven hoe risicomanagement intern toegepast kan worden.
Door de voorgaande artikelen wordt een algemeen beeld gevormd van risicomanagement.
Duidelijk wordt welke onderdelen er binnen het proces een plaats innemen. Snapper &
Swagerman (2007) gaan specifiek in op de vraag wat risicomanagement voor ziekenhuizen kan betekenen. Ziekenhuizen hebben te maken met grote ontwikkelingen waardoor het interessant is om af te vragen wat de invloed hiervan is op het risicomanagement bij ziekenhuizen. Uit onderzoek blijkt dat er nog een beperkte toepassing van integraal risicomanagement is bij ziekenhuizen (Snapper & Swagerman, 2008). Dit zou dan ook moeten blijken uit de verslaggeving omtrent risicomanagement.
Bij de motivatie achter de openbaarmaking van informatie in het jaarverslag kan de wet- en regelgeving een rol spelen. Er zijn verschillende vereisten waaraan ziekenhuizen moeten voldoen; deze zijn onder andere afkomstig uit de Wet Toelating Zorginstellingen (WTZi) en de Zorgbrede Governance Code (2005). Door te onderzoeken wat er in deze wetten en codes geschreven staat, kan vastgesteld worden wat dit inhoudt voor de verslaglegging in het jaarverslag van ziekenhuizen.
Brans, Giesbers & Meijer (2009) hebben onderzoek gedaan naar de effecten van openbaarheid van prestatiegegevens van ziekenhuizen. Uit dit onderzoek blijkt welke belanghebbenden een belangrijke rol spelen in het externe krachtenveld van ziekenhuizen.
Ook komt in het artikel de informatiebehoefte van de belanghebbenden naar voren. Zo kan vastgesteld worden welk inzicht deze groepen belanghebbenden wensen te verkrijgen.
2.5 Randvoorwaarden
Er zijn een aantal randvoorwaarden waar rekening mee gehouden moet worden bij dit onderzoek. Allereerst moet er een verschil gemaakt worden tussen risicomanagement en risicoverslaggeving. Bij risicomanagement gaat het om de manier waarop een organisatie invulling geeft aan het identificeren, prioriteit geven, analyseren en beheersen van risico’s.
Risicoverslaggeving is de verslaggeving over deze invulling van risicomanagement. Ik richt mij met dit onderzoek op de risicoverslaglegging. De verslaggeving over risicomanagement kan anders zijn dan de realiteit. Dit is een beperking van dit onderzoek.
Een andere beperking betreft het feit dat er acht jaarrekeningen onderzocht zijn. Dit is maar
een beperkt onderdeel van het totaal aantal ziekenhuizen. Door de beperkte tijd van deze
scriptie, heb ik mijn selectie relatief klein gehouden. Dit geldt voornamelijk ook voor het
aantal interviews dat afgenomen is. Door de kleine selectie zouden de uitkomsten van dit
onderzoek niet representatief kunnen zijn voor de gehele populatie.
16
2.6 Opbouw van het rapport
Het rapport is als volgt opgebouwd. In hoofdstuk drie wordt er een uiteenzetting gegeven
over het proces van risicomanagement. Alle stappen van het proces komen aan bod en het
raamwerk van COSO wordt geïntroduceerd. Daarnaast wordt ook de relevante wet- en
regelgeving weergegeven en ga ik in op de ontwikkelingen in de zorgsector. Tevens zal de
informatiebehoefte van een aantal belanghebbenden besproken worden. In hoofdstuk vier
en hoofdstuk vijf worden de resultaten van het jaarrekeningonderzoek en het interview
gepresenteerd. De interpretatie en conclusies van de resultaten zijn weergegeven in
hoofdstuk zes. In dit laatste hoofdstuk wordt tevens een antwoord gegeven op de centrale
vraag.
17
HOOFDSTUK 3: RISICOMANAGEMENT IN DE ZORGSECTOR
3.1 Introductie
In de media zijn er regelmatig berichten over incidenten bij ziekenhuizen.
‘Jaarlijks overlijden tientallen patiënten doordat artsen en verpleegkundigen medische apparatuur en hulpmiddelen verkeerd gebruiken’ (Inspectie voor de Gezondheidszorg, november 2008)
‘Operatiekamers Sophia Kinderziekenhuis dicht vanwege lekkage’ (NOS nieuws, 30-12-2009)
‘Lekkende zuurstofslang oorzaak brand ziekenhuis Almelo’ (Volkskrant, 22-11-2006)
Deze voorbeelden laten het belang zien van risicomanagement bij ziekenhuizen. Regelmatig en systematisch zou in ziekenhuizen onderzoek plaats moeten vinden naar risico’s die patiënten en activiteiten bedreigen. Uit onderzoek blijkt dat er van integraal
risicomanagement binnen zorginstellingen doorgaans geen sprake is (Snapper & Swagerman, 2007). Echter de dynamiek en de risico’s nemen toe binnen ziekenhuizen.
In dit hoofdstuk zal ingegaan worden op de ontwikkelingen in de zorgsector en de invloed hiervan op het risicomanagement bij ziekenhuizen. Tevens zal er een overzicht gegeven worden van de wet- en regelgeving die van toepassing is op het gebied van
risicoverslaglegging. Maar eerst zal er ingegaan worden op het proces van risicomanagement.
3.2 Het proces van risicomanagement
Een onderdeel van corporate governance betreft het identificeren en beheersen van risico’s.
Dit proces wordt risicomanagement genoemd. Het bestuur van een organisatie is
verantwoordelijk voor het behalen van de organisatiedoelstellingen. Door toepassing van risicomanagement wordt getracht de risico’s van het niet behalen van de doelstellingen te beheersen.
Het doel van risicomanagement is volgens Emanuels & De Munnik (2005) om met de gewenste mate van zekerheid vast te kunnen stellen dat de ondernemingsdoelstellingen worden bereikt. Dit betekent niet dat alle doelstellingen daadwerkelijk behaald zullen worden, maar er wordt wel transparant gemaakt aan welke risico’s de doelstellingen onderhevig zijn en welke beheersingsmaatregelen getroffen worden.
Het systeem dat het management van een organisatie in staat stelt om de relevante risico’s
te kunnen identificeren, te prioriteren, te analyseren en te beheersen, wordt het Enterprise
18
Risk Management systeem genoemd (Emanuels & De Munnik, 2005). Een raamwerk voor risicomanagement is het COSO raamwerk, ontwikkeld door The Committee of Sponsoring Organizations of the Treadway Commission. Dit raamwerk is gericht op het organisatiebreed beheersen van risico’s. COSO onderscheidt vier categorieën doelstellingen:
- Strategie: op het allerhoogste niveau en gebaseerd op missie
- Operationeel: effectieve en efficiënte inzet van middelen - Rapportage: betrouwbaarheid van de informatievoorziening
- Compliance: handelend in overeenstemming met wet- en regelgeving.
Figuur 1: De COSO kubus (bron: The Committee of Sponsoring Organizations of the Treadway Commission,2004)
Het risicomanagementproces bestaat uit een aantal stappen. Allereerst moeten de risico’s van de onderneming in kaart gebracht worden. Een risico is de kans op het optreden van een gebeurtenis of omstandigheid die er toe kan leiden dat een doelstelling niet gehaald wordt (Committee of Sponsoring Organizations of the Treadway Commission, 2004). Het
identificeren van risico’s kan aan de hand van events (feitelijke gebeurtenissen) of aan de hand van bedreigingen. Er kan onderscheid gemaakt worden tussen interne en externe gebeurtenissen. Dit onderscheid is belangrijk, omdat dit de mate aangeeft waarin events beïnvloed kunnen worden door interne beheersingsmaatregelen. Als de events per
doelstelling zijn geïnventariseerd, is het van belang om de impact en de likelyhood per event
in te schatten. Impact is de invloed van een gebeurtenis of omstandigheid op de te bereiken
doelstelling en likelyhood is de kans dat de relevante gebeurtenis of omstandigheid feitelijk
optreedt (Emanuels & De Munnik, 2006).
19
Indeling in risicogebieden draagt bij aan het in kaart brengen van risico’s en aan het gericht verzamelen van informatie die nodig is om de risico’s te kunnen inschatten en te kunnen beheersen (Roth & Espersen, 2002). De te onderkennen risicogebieden kunnen verschillen per soort organisatie.
De leiding van een organisatie moet vaststellen in welke mate zij wenst om risico te lopen, de risk appetite moet bepaald worden. Dit hangt af van de mate van risicoafkeer. Aan de hand van de geïdentificeerde risico’s en de risk appetite, wordt een keuze gemaakt in aard en omvang van de te treffen maatregelen om de risico’s te beheersen. Het inherent risico is het risico voordat beheersingsmaatregelen zijn getroffen. Het restrisico is het overblijvend risico na genomen maatregelen.
Als er beheersingsmaatregelen zijn getroffen, is de volgende stap bewaking en bijsturing. Dit houdt in dat periodiek de beheersingsmaatregelen getest worden en dat er een analyse plaatsvindt naar de events die zich voor hebben gedaan en naar de oorzaak en impact. Er kan dan bepaald worden of de beheersingsmaatregelen effectief en efficiënt zijn.
Kenmerkend aan het proces van risicomanagement is dat de verschillende stappen continu doorlopen moeten worden. Dit vereist dat er betrokkenheid is vanuit alle onderdelen van de organisatie. Volgens Emanuels & De Munnik (2005) is het belangrijk dat een organisatie aandacht besteedt aan de verankering van het risicomanagementproces in de organisatie.
Dit komt tot uiting in een cultuur waarin wordt gedacht vanuit kansen en risico’s en waarin men wordt uitgedaagd om risico’s te beheersen. Daarnaast vraagt risicomanagement om specifieke kennis en vaardigheden op het gebied van risico’s. Tot slot draagt de structuur binnen de organisatie en ondersteuning door geavanceerde technieken bij aan de
verankering.
Een organisatie die verschillende risico’s loopt en niet alle risico’s heeft afgedekt met beheersingsmaatregelen, kan toch een “in control” verklaring afgeven. Dit kan als de organisatie een risicoanalyse uit heeft gevoerd en beheersingsmaatregelen heeft ingevoerd om de ongewenste risico’s te beheersen. De gebruiker van de jaarrekening met de “in control” verklaring kan vervolgens zelf oordelen of het huidige risicoprofiel van de
organisatie voor hem aanvaardbaar is. Een risicomanagementsysteem stelt het management in staat om transparant om te gaan met risico’s die het behalen van de
organisatiedoelstellingen bedreigen. Daarnaast laat het zien dat het management op een verantwoorde wijze tracht om te gaan met het beheersen van relevante risico’s.
3.3 Ontwikkelingen in de zorgsector
De Nederlandse gezondheidszorg heeft te maken met een snel veranderende omgeving. De omgeving is complexer geworden door invoering van de marktwerking. Het nieuwe
zorgstelsel dat tot stand kwam in 2006 heeft ervoor gezorgd dat er, onder bepaalde
20
voorwaarden, ruimte is voor competitie. Het doel was om patiënten meer keuze te geven, de kwaliteit van de behandelingen te verhogen en de kostenstijgingen af te remmen. (De gezondheidszorg drie jaar na invoering van de marktwerking, Baltesen & Reerink, 2009). De zorgsector werd altijd sterk door de overheid gestuurd, maar nu mogen ziekenhuizen elkaar beconcurreren op prijs, kwaliteit en service. De rol van de overheid is overgegaan naar kaderstellend en toezichthoudend.
De marktwerking heeft er ook voor gezorgd dat zorginstellingen financieel kwetsbaarder zijn. Ziekenhuizen moeten hun reserves opbouwen en zoeken naar vermogensverschaffers om overeind te kunnen blijven of om te kunnen investeren. (De gezondheidszorg drie jaar na invoering van de marktwerking, Baltesen & Rerink, 2009). Ziekenhuizen moeten beter inzicht hebben in hun baten en lasten, kansen en risico’s. Dit komt ook doordat de ziekenhuizen bekostigd worden op basis van Diagnose Behandel Combinaties (DBC’s).
Ziekenhuizen hebben dus te maken met veel veranderingen, hierdoor worden ze ook blootgesteld aan nieuwe risico’s. Naast invoering van de marktwerking en veranderende financieringssystemen zijn er ook technologische en medische ontwikkelingen waar instellingen mee te maken krijgen.
De dynamiek en de risico’s nemen toe bij zorginstellingen. De continuïteit van de organisatie zal meer dan voorheen afhangen van de wijze waarop het management met alle interne en externe risico’s omgaat (Herman Bellers, directeur WFZ in artikel Risicomanagement:
Waarom zijn we zo hardleers?).
Door de Zorgbrede Governance Code (2005) werd het risicobewustzijn in de zorg groter.
Deze code is afgeleid van de Nederlandse Corporate Governance Code (Commissie
Tabaksblat) en stelt dat het bestuur verantwoordelijk is voor het beheersen van de risico’s die verbonden zijn aan de activiteiten van de organisatie en voor het rapporteren hierover.
Het raamwerk van Enterprise risk management wat oorspronkelijk voor de profit-sector is ontwikkeld, biedt ook een handvat voor de zorgsector. Het COSO-model geeft voldoende mogelijkheden om de specifieke ziekenhuisrisico’s in het ERM-systeem te integreren. Uit onderzoek van Snapper & Swagerman (2007) blijkt dat, hoewel vrijwel alle ziekenhuizen risicomanagement toepassen, slechts enkele ziekenhuizen het concept van ERM toepassen.
Risicomanagement wordt vaak toegepast op slechts enkele facetten van de bedrijfsvoering.
Bij een groot deel van de instellingen ontbreekt een geformaliseerd risicomanagementbeleid en vaak worden taken en verantwoordelijkheden inzake risicomanagement niet vastgelegd.
Snapper & Swagerman (2007) onderkennen vier randvoorwaarden voor een succesvolle toepassing van Enterprise risk management bij ziekenhuizen:
- Duidelijke organisatiedoelstellingen die de basis vormen en die in de organisatie bekend
zijn.
21
- De structuur en cultuur moeten een afweging tussen risico en rendement mogelijk maken - Een open leercultuur, waarbij openheid is en de wil om van fouten te leren.
- Betrokkenheid van de Raad van Bestuur
De rol van toezichthouders in de zorgsector is ook veranderd. Door wijzigingen in
financiering, schandalen in andere sectoren en de aandacht voor Sarbanes Oxley Act (SOX) en code Tabaksblat, moet de Raad van Toezicht zich meer bezig gaan houden met de wijze waarop zorginstellingen risico’s inventariseren, evalueren en beheersen.
3.4 Wet & regelgeving
Volgens onderzoek van Snapper & Swagerman (2007) bestaat er een verband tussen toepassing van risicomanagement en wettelijke regelingen. De verslaglegging omtrent risicomanagement is namelijk onderhevig aan verschillende wet- en regelgeving. Hieronder zal een overzicht gegeven worden van de van toepassing zijnde regelgeving:
Zorgbrede Governance Code (Brancheorganisaties Zorg, 2005)
1:
In artikel 2.1.3 staat: ‘ De Raad van Bestuur is verantwoordelijk voor het beheersen van de risico’s verbonden aan de activiteiten van de zorgorganisatie en voor de financiering van de zorgorganisatie. De Raad van Bestuur rapporteert hierover aan en bespreekt de interne risicobeheersings- en controlesystemen met de Raad van Toezicht’.
In de toelichting op dit artikel staat dat niet alleen de financiële risico’s bedoeld worden, maar ook risico’s in verband met de kwaliteit van zorg, patiëntveiligheid, imago- en marktrisico’s, bouwinvesteringen en fusietrajecten. Hiermee wordt het belang van een integrale benadering van risicomanagement benadrukt.
De toepassing van de regels uit de Zorgbrede Governance code is niet vrijblijvend. Als een organisatie de code niet opvolgt, moet zij aangeven waarom niet en op welke punten er afwijkingen zijn, dit is het “pas toe of leg uit”-beginsel.
1
In 2010 is er een vernieuwde versie van de Zorgbrede Governance Code uitgebracht. Met deze code is de bestaande Zorgbrede Governancecode verhelderd, vernieuwd en op een aantal punten aangescherpt. In de code wordt aangegeven dat de aanleiding om de oude code te herzien niet alleen ligt bij de geleidelijke in- en externe ontwikkelingen, maar ook bij het aantal incidenten dat de sector en de maatschappij opgeschrikt heeft en die het
vertrouwen in het bestuur onder druk hebben gezet.
22
Regeling verslaglegging WTZi:
De regeling verslaggeving WTZi regelt de jaarverslaggeving van zorginstellingen. De regeling is gebaseerd op de Wet toelating Zorginstellingen, welke regels stelt voor toelatingen en over goed bestuur.
In artikel 3.1 staat: “Daarnaast is ook het proces van vaststellen van de bedrijfsstrategie, inclusief de risico’s en kansen, voor de organisatie van belang en de wijze waarop hier toezicht op wordt gehouden.”
In artikel 3.2 staat: “In het jaarverslag geeft de Raad van Bestuur een uiteenzetting omtrent de werking van het in de zorginstelling gebruikte interne risicobeheersing- en
controlesysteem in het verslagjaar. De Raad van Bestuur geeft daarbij tevens aan welke eventuele significante wijzigingen zijn aangebracht, dan wel zijn gepland en dat deze met de Raad van Toezicht zijn gecommuniceerd.”
Burgerlijk Wetboek:
In het Burgerlijk Wetboek boek 2 titel 9 artikel 391 staat: “Het jaarverslag geeft tevens een beschrijving van de voornaamste risico’s en onzekerheden waarmee de rechtspersoon wordt geconfronteerd. “
De vereisten van BW 2 titel 9 en Regeling verslaglegging WTZi liggen geheel in lijn met hetgeen in de Zorgbrede Governance Code staat vermeld.
Volgens de Zorgbrede Governance Code is het opnemen van een ‘in control’ statement niet verplicht, maar wel aan te bevelen. De in control statement is een verklaring van het
management, waarin het verklaart dat het interne beheersingssysteem zowel in opzet als werking toereikend is (Emanuels, 2005).
Snapper & Swagerman (2008) geven aan dat een dergelijke ‘in control’ verklaring wel zou passen bij de risicoverslaggeving. “Het toevoegen van een in control statement sluit aan op de uitgangspunten van de Zorgbrede Governance Code, integraal risicomanagement en op de gestelde vereisten vanuit de Regeling verslaggeving WTZi. De toevoeging van een in control statement zou bovendien een positieve impuls kunnen geven aan de toepassing van integraal risicomanagement.”
Snapper & Swagerman (2008) gaan ook nog in op de invulling van de in control statement.
Zij adviseren de aanbevelingen van de commissie Frijns. De commissie Frijns was de
Monitoring Commissie Corporate Governance Code 2006 en is ingesteld om de actualiteit en
de bruikbaarheid van de Nederlandse Corporate Governance Code te bevorderen en de
naleving ervan te bewaken. De commissie Frijns stelde dat wat betreft de financiële
verslaggevingsrisico’s moet kunnen worden verklaard dat deze risico’s in control zijn. Wat
23
betreft operationele, wet- en regelgeving en strategische risico’s is een beschrijving van de risico- en controlesystemen voldoende. Aanvullend kunnen de sterke en zwakke punten in het systeem en (verbeter) stappen worden beschreven.
3.5 Informatiebehoefte van belanghebbenden
Een ziekenhuis heeft te maken met verschillende belanghebbenden. Een belanghebbende is een groep die invloed heeft op een onderneming, of die door de onderneming wordt
beïnvloed. Een organisatie kan een grote groep belanghebbenden hebben, die andere aandachtsgebieden hebben dan alleen de mogelijkheid van een organisatie om winst te maken (Choi, F.D.S. & Meek, G.K., 2008). Naast financiële informatie die verstrekt wordt aan aandeelhouders, verwachten andere belanghebbenden dat er ook jaarlijks verslag wordt gedaan van bijvoorbeeld prestaties op het gebied van maatschappelijk verantwoord
ondernemen. Het gezegde “Whats get measured, gets managed” zegt eigenlijk dat waarover gerapporteerd wordt, dat datgene ook bestuurd en beheerst wordt door het management.
In de Zorgbrede Corporate Governance Code (2005) komt naar voren dat een
zorgorganisatie een maatschappelijke onderneming is. Zorgorganisaties moeten ervoor zorgen dat belanghebbenden er op kunnen vertrouwen dat hun belangen worden behartigd en dat het maatschappelijke doel wordt gediend. In artikel 2.2 van de code staat dat de Raad van Bestuur vast moet stellen wie de belanghebbenden zijn en daarnaast moet vastgesteld worden wat de aard en inhoud van de informatieverschaffing aan de belanghebbenden is over de gang van zaken en het gevoerde beleid.
Belanghebbenden kunnen worden onderscheiden in externe belanghebbenden en interne belanghebbenden. De Zorgbrede Corporate Governance Code (2005) verstaat onder relevant zijnde belanghebbenden: groepen wier belangen of doelstellingen rechtstreeks geraakt worden bij vraagstukken of beleidsvoornemens van de zorgorganisatie. In de code wordt een opsomming gegeven van de belangrijkste belanghebbenden:
- Interne belanghebbenden: een cliëntenraad, een ouder-/verwantenraad, de Verpleegkundige/Verzorgende Adviesraad (VAR), de ondernemingsraad en de medische staf.
- Externe belanghebbenden: gemeentes, toezichthouders, zelfstandige bestuursorganen, het ministerie van VWS, patiënten- of
cliëntenvertegenwoordigingen of patiëntenverenigingen, andere zorgorganisaties of zorgaanbieders en zorgverzekeraars.
Het ziekenhuis legt jaarlijks aan alle belanghebbenden verantwoording af door middel van
een openbare publicatie over het in het verslagjaar gevoerde beleid en over de in dat jaar
geleverde prestaties. De inhoud van deze verantwoording dient aan te sluiten op de eisen
die in het Raamwerk Maatschappelijke Verantwoording zijn vastgelegd. Een ziekenhuis hoeft
24
maar één jaardocument aan te leveren, waardoor het jaardocument gebruikt kan worden voor de verantwoording aan meerdere belanghebbenden.
In dit onderzoek wil ik uiteindelijk in kaart brengen of de belanghebbenden een goed inzicht krijgen in het proces van risicomanagement van het ziekenhuis. Hierbij is het van belang om vast te stellen wat voor soort informatie van waarde kan zijn voor een specifieke groep belanghebbenden. Brans, Giesbers en Meijer (2008) hebben onderzoek gedaan naar de effecten van openbaarheid van prestatiegegevens van ziekenhuizen. Zij schrijven dat er veel veranderingen plaats hebben gevonden in het externe krachtenveld van een ziekenhuis.
Deze veranderingen zijn met aan te wijzen als gevolg van de invoering van het nieuwe zorgstelsel. Er is sprake van veranderingen in de positie die de ‘stakeholder’ neemt ten opzichte van het ziekenhuis, voornamelijk de mening van de patiënt heeft aan belang gewonnen. Geconcludeerd wordt dat een verantwoorde marktwerking in de zorg alleen mogelijk is wanneer stakeholders beschikken over goede informatie.
In het onderzoek van Brans, Giesbers en Meijer (2008) worden drie partijen uitgelicht, welke een belangrijke rol spelen in het externe krachtenveld van ziekenhuizen. Dit zijn de
patiënten, de zorgverzekeraars en de huisartsen. In dit onderzoek wil ik ook ingaan op deze drie groepen belanghebbenden.
Patiënten hebben belang bij de verbetering van de dienstverlening in de zorg. Er zijn veel belangenbehartigers, zoals patiënten- en cliëntenraden die het opnemen voor de bezoekers van ziekenhuizen. Door de marktwerking is bewerkstelligd dat de patiënt kan kiezen uit verschillende zorgaanbieders. Ziekenhuizen mogen elkaar beconcurreren op prijs, kwaliteit en service. Volgens Scott (2009) heeft informatie de potentie om de beslissing van een individu te beïnvloeden. Dit zou betekenen dat de informatie van waarde is als het de potentie heeft om bij te dragen aan de oordeelsvorming over het ziekenhuis. De informatie kan dan namelijk meegenomen worden in de keuze omtrent zorgaanbieders. Dit betekent ook dat informatie van waarde is als hierdoor onderscheiding mogelijk is tussen
ziekenhuizen. Patiënten hechten bij een ziekenhuis voornamelijk belang aan de kwaliteit en de veiligheid. Brans, Giesbers en Meijer (2008) benoemen dat stakeholders voornamelijk behoefte hebben aan informatie over de resultaten van zorg, en dat informatie over processen door ziekenhuizen zelf gebruikt kan worden om hun kwaliteit te verbeteren. Dit zou betekenen dat patiënten voornamelijk behoefte hebben aan informatie over welke risico’s beheerst worden en welke risico’s er nog gelopen worden. Het zal dan voornamelijk gaan om operationele risico’s op het gebied van kwaliteit en veiligheid. Patiënten kunnen dan beoordelen of de aanwezige risico’s aanvaardbaar zijn of niet.
Zorgverzekeraars dienen sinds de invoering van het nieuwe zorgstelsel met alle individuele ziekenhuizen contracten af te sluiten voor een bepaald gedeelte van de zorg. Een bepaald gedeelte van de zorg is namelijk vrij inkoopbaar. Door de marktwerking krijgen
zorgverzekeraars steeds meer macht. Door te voldoen aan de informatiebehoefte kan de
25
onderhandelingspositie met zorgverzekeraars verbeteren. De zorgverzekeraar vindt het belangrijk dat de kwaliteit van het product zo hoog mogelijk is tegen zo laag mogelijke kosten (Klomps & Blok, 2008). Gegevens over het functioneren van de dienstverlening is daarom van groot belang. Zorgverzekeraars hebben informatie nodig om te kunnen bepalen of het proces zo efficiënt mogelijk is ingericht en er doelmatig wordt gewerkt. Hier hangt de wijze waarop er binnen organisaties met alle interne en externe risico’s wordt omgegaan ook mee samen. Uitgaande van het voorgaande zullen zorgverzekeraars voornamelijk behoefte hebben aan informatie omtrent het risicoprofiel van het ziekenhuis en over het proces. Oftewel of er sprake is van een efficiënt en doelmatig risicomanagement. De informatie zal voornamelijk van waarde zijn als het bijdraagt aan de oordeelsvorming over het ziekenhuis.
De laatste belangrijke belanghebbende is de huisarts. Uit het onderzoek van Brans, Giesbers en Meijer blijkt echter dat zij weinig behoefte hebben aan informatie over het presteren van ziekenhuizen. Zij gaan voor het doorverwijzen van patiënten namelijk vooral af op eigen ervaringen. Huisartsen hebben wel behoefte aan informatie over bijvoorbeeld wachtlijsten.
Tevens zal voor het doorverwijzen van patiënten het voor een huisarts ook van belang zijn
om te weten of de kwaliteit en de veiligheid van de dienstverlening gewaarborgd is. Wat
betreft risicomanagement zal een huisarts dus behoefte kunnen hebben aan informatie
omtrent waarborging van de kwaliteit en veiligheid binnen het ziekenhuis. Dit kan tot uiting
komen in informatie over risico’s die wel beheerst worden en informatie over het restrisico.
26
HOOFDSTUK 4: ONDERZOEK VAN HET JAARVERSLAG
4.1 Introductie
Binnen dit onderzoek is de focus gericht op de kwaliteit van de risicoverslaglegging bij Nederlandse ziekenhuizen. Om te kunnen beoordelen wat de waarde is van de informatie omtrent risicomanagement voor belanghebbenden, moet eerst onderzocht worden welke informatie openbaar wordt gemaakt. Hiervoor moeten de jaarverslagen van Nederlandse ziekenhuizen uitgebreid geanalyseerd worden. In dit onderzoek zijn de jaarverslagen van acht academische ziekenhuisinstellingen bestudeerd. Aan de hand van een aantal vragen is onderzocht welke informatie openbaar is gemaakt. In dit hoofdstuk zal eerst beschreven worden welke onderdelen van het jaarverslag relevant zijn voor het onderzoek. Daarnaast zal ter navolging van hoofdstuk twee verder besproken worden hoe het onderzoek is opgezet. Tot slot worden in de laatste paragraaf de resultaten van het
jaarrekeningonderzoek gepresenteerd. De resultaten zijn mede door middel van enkele tabellen weergegeven, wat zorgt voor een inzichtelijke en duidelijke weergave. De
interpretatie en conclusies van de resultaten zijn weergegeven in de conclusie, hoofdstuk zes. Bij de beschrijving van de resultaten in dit hoofdstuk zal ingegaan worden op de volledigheid van de informatie en de mate van detail.
4.2 Het jaardocument
Elk jaar moeten zorginstellingen verantwoording afleggen over de wijze waarop zij
presteren. Die verantwoording leggen zij af in het jaardocument zorginstellingen. Met het jaardocument zijn vroegere verplichte verantwoordingsdocumenten vervallen, waardoor de administratieve lasten zijn verlicht. Het jaardocument kan gebruikt worden om
verantwoording af te leggen aan meerdere groepen belanghebbenden (Jaarverantwoording zorginstellingen 2009, Minister van Volksgezondheid, Welzijn en Sport). Het uitgangspunt is namelijk dat er één document aangeleverd wordt, die meerdere malen gebruikt kan worden, zodat zoveel mogelijk groepen in hun informatiebehoefte worden voorzien.
Het jaardocument bevat verantwoording over onderwerpen als financiële prestaties, goed bestuur, kwaliteit, productie en personeel. Wat op grond van een wettelijke verplichting moet worden aangeleverd, is terug te vinden in dit verantwoordingsdocument.
Naast de functie van jaarlijkse verantwoordingsverplichtingen, draagt het jaardocument ook bij aan maatschappelijke verantwoording. Er wordt aan de buitenwereld een integraal beeld gegeven van de organisatie. Dit bevordert de transparantie van de zorgsector.
Het jaardocument bestaat uit verschillende onderdelen. In het maatschappelijke verslag
wordt een beschrijving gegeven van beleid en prestaties. De financiële prestaties zijn te
27
vinden in de jaarrekening. Daarnaast is er een onderdeel kwantitatieve gegevens, waar cijfers weergegeven worden over productie, bestuur, personeel en kwaliteit.
Het jaardocument bevat onderwerpen waarover een zorginstelling verplicht is
verantwoording af te leggen. In de wijze waarop de onderwerpen behandeld worden, is de organisatie vrij. Echter moeten de onderwerpen wel herkenbaar blijven, zodat nagegaan kan worden of aan de verantwoordingsverplichtingen is voldaan (Jaarverantwoording
zorginstellingen 2009, Minister van Volksgezondheid, Welzijn en Sport).
Een relevant onderdeel van het jaardocument voor dit onderzoek is paragraaf 3.4 (valt onder hoofdstuk 3: bestuur, toezicht, bedrijfsvoering en medezeggenschap). Hier moet het
volgende verantwoord worden:
“Beschrijf naast deze gegevens voor welke risico’s, kansen en onzekerheden uw concern zich geplaatst ziet en welke maatregelen u hebt genomen om risico’s te beheersen. Beschrijf op welke wijze u uw activiteiten bewaakt en verantwoordt. Beschrijf interne risicobeheersings- en controlesystemen. Beschrijf tenslotte welke belangrijke wijzigingen zich in de
bedrijfsvoering hebben voorgedaan en geef aan hoe u die met het toezichthoudend orgaan hebt gecommuniceerd.” (Jaarverantwoording zorginstellingen 2009, Minister van
Volksgezondheid, Welzijn en Sport).
4.3 Vragenlijst
De jaardocumenten zijn onderzocht met behulp van een vragenlijst. Deze vragenlijst is als hulpmiddel gebruikt bij het analyseren van de inhoud van de jaardocumenten op het gebied van risicomanagement. De vragenlijst is opgesteld aan de hand van de voorgaande
hoofdstukken. Hierin zijn onder andere eerdere onderzoeken op het gebied van
risicomanagement beschreven en de geldende wet- en regelgeving. Voornamelijk het veel gebruikte raamwerk voor risicomanagement , COSO, bepaalt de richting van de vragenlijst.
Naast de gevonden literatuur is de vragenlijst ook ontstaan door eigen inzicht. Hierbij speelt de informatiebehoefte van de belanghebbenden een rol.
De vragenlijst is ingedeeld in een aantal hoofdcategorieën. Dit zorgt voor meer duidelijkheid en het geeft een raamwerk voor het bespreken van de resultaten. De volgende
hoofdcategorieën zijn onderscheiden: (De volledige vragenlijst is te vinden in de bijlage) Risicoprofiel ziekenhuis
Het bestuur van de organisatie bepaalt de houding waarmee er aangekeken wordt tegen
risico’s. Dit is weer van invloed op de manier waarop er door het personeel van het
ziekenhuis aangekeken wordt tegen risico’s. Onderzocht wordt of het risicoprofiel van het
ziekenhuis en de risicohouding behandeld wordt in het jaarverslag. De risicohouding bepaalt
28
namelijk in welke mate het bestuur risico’s af wil dekken door middel van beheersingsmaatregelen.
Systeem van risicomanagement
Er wordt van ziekenhuizen verwacht dat ze hun interne risicobeheersings- en
controlesystemen beschrijven. Maar in welke mate wordt er informatie openbaar gemaakt omtrent deze systemen? Allereerst kan bepaald worden of er verwezen wordt naar een gebruikt raamwerk van risicomanagement. Daarnaast rijst de vraag of veranderingen en verbeteringen in het proces van risicomanagement uitgewerkt worden. Tot slot wil ik kijken naar de informatie omtrent verantwoordelijkheid en toezicht en het integrale karakter van risicomanagement.
Doelen stellen
Een van de eerste stappen in het proces van risicomanagement is het duidelijk vaststellen van de doelen. Het doel van risicomanagement is namelijk om met de gewenste mate van zekerheid vast te kunnen stellen dat ondernemingsdoelstellingen worden bereikt.
Onderzocht wordt of de doelstellingen duidelijk kenbaar worden gemaakt. Ook wordt onderzocht of er een onderscheid gemaakt wordt tussen strategische, operationele,
rapportage en compliance doelstellingen. Daarnaast is het interessant om te onderzoeken of er een aansluiting wordt gemaakt tussen de doelstellingen enerzijds en de risicohouding van het ziekenhuis anderzijds.
Inschatten van risico’s
Risico’s kunnen het behalen van ondernemingsdoelstellingen tegenwerken. Het kan daarom voor belanghebbenden van waarde zijn om informatie te krijgen omtrent de risico’s die een organisatie loopt. Onderzocht wordt of de gebeurtenissen die mogelijk van invloed zijn op het ziekenhuis, besproken worden. Daarnaast is de vraag of de belangrijkste risico’s
beschreven worden en of deze ingeschatte risico’s verbonden worden aan de doelstellingen van het ziekenhuis. Tot slot wil ik onderzoeken of de gevolgen van de risico’s voor de
onderneming beschreven worden.
Treffen van beheersingsmaatregelen
Nadat risico’s zijn geïdentificeerd, moeten deze risico’s gecontroleerd worden door middel van het nemen van beheersingsmaatregelen. In welke mate zijn ziekenhuizen transparant over het bestaan en de werking van de interne beheersingsmaatregelen? Wordt er daarnaast informatie gegeven omtrent de invloed van de getroffen maatregelen op de desbetreffende risico’s? Onderzocht wordt ook of er besproken wordt welk restrisico er over blijft.
Bewaken van de effectiviteit en bijsturing
29
Nadat er beheersingsmaatregelen getroffen worden, is het proces rondom
risicomanagement nog niet afgesloten. Continu moet de effectiviteit van het proces bewaakt worden en moet er bijsturing plaatsvinden. In welke mate zijn ziekenhuizen transparant over dit onderdeel van risicomanagement? Wordt er informatie gegeven omtrent het uitvoeren van toezicht en het beoordelen van het proces? Tot slot wordt onderzocht of er informatie gegeven wordt over de randvoorwaarden, zoals cultuur, structuur, techniek en
competenties.
De vragenlijst is mede opgesteld aan de hand van onderstaand figuur, waarin het ERM systeem weergegeven wordt.
Figuur 2: Het ERM systeem (bron: Emanuels & de Munnik, 2006)
4.4 Resultaten
In deze paragraaf presenteer ik de resultaten van het onderzoek van de jaardocumenten van acht academische ziekenhuizen. De conclusie en de interpretatie van de resultaten zijn weergegeven in hoofdstuk zes. De resultaten zullen per categorie besproken worden.
4.4.1 Risicoprofiel ziekenhuis
In de jaarverslagen is bijna geen informatie te vinden over het risicoprofiel en de
risicohouding van de ziekenhuizen. In ieder geval wordt er niet expliciet ingegaan op deze
onderwerpen.
30
Het Erasmus MC (Rotterdam) vermeldt wel in het voorwoord van de Raad van Bestuur dat er voor de komende jaren de nodige uitdagingen en risico’s liggen. En het Academische
Medisch Centrum (Amsterdam) geeft aan dat er een risicoprofiel is opgesteld dat de basis vormt voor het risicomanagement in de komende jaren. Er wordt echter niet ingegaan op wat dat profiel dan daadwerkelijk inhoudt en in welke mate er een afkeer is tegen risico’s (risk appetite). De meeste ziekenhuizen vermelden wel dat de zorgorganisaties te maken hebben met toenemende risico’s.
Er wordt dus niet specifiek ingegaan op de risicohouding. Wel is bij sommige jaarverslagen uit verschillende passages af te leiden dat er sprake is van een risicomijdende houding. Het Erasmus MC (Rotterdam) schrijft dat de ziekenhuizen op het gebied van veiligheid
samenwerken om de komende jaren risico’s en vermijdbare schade in Nederlandse ziekenhuizen te verminderen. Het uiteindelijke doel is te komen tot vermindering van (potentieel) onveilige situaties in het primaire proces en de patiëntenzorg. Het Leids Universitair Medisch Centrum (Leiden) vermeldt dat risico’s inherent zijn aan
ondernemerschap (ook aan maatschappelijk ondernemerschap) en dus niet geheel uit te sluiten zijn.
In de paragraaf omtrent risicomanagement is bij alle ziekenhuizen niets te vinden omtrent risicoprofiel en risicohouding.
Vumc Amsterdam
AMC Amsterdam
UMCG Groningen
LUMC Leiden
azM Maastricht
UMC St Radboud Nijmegen
Erasmus MC
Rotterdam UMC Utrecht Utrecht
Risicoprofiel Nee Nee Nee Nee Nee Nee Nee Nee
Risicohouding Nee Nee Nee Nee Nee Nee Nee Nee
Tabel 1: Openbaarmaking informatie omtrent risicoprofiel ziekenhuis
4.4.2 Systeem van risicomanagement
De meeste ziekenhuizen geven geen informatie over het raamwerk dat gebruikt wordt.
Alleen het Erasmus MC (Rotterdam) geeft aan dat zij bij de inrichting van het
risicomanagement het COSO Enteprise Risk Management als uitgangspunt heeft genomen.
De meeste ziekenhuizen maken daarnaast wel openbaar welke veranderingen of
verbeteringen in het proces van risicomanagement hebben plaatsgevonden. Het Erasmus
MC (Rotterdam) beschrijft dat per september het nieuwe risicomanagementsysteem in
gebruik is genomen. Het Universitair Medisch Centrum Groningen (Groningen) geeft aan dat
eind 2009 een project is gestart om integraal risicomanagement verder te verankeren. Het
31