1
Kwaliteit van Risicomanagement, een casestudy
Door:
Pascal Wolf
Faculteit Bedrijfskunde en Economie, RUG
MscBa 18
2
Voorwoord
Voor u ligt mijn masterthesis ter afronding van mijn masteropleiding bedrijfskunde aan de
Rijksuniversiteit Groningen. Tijdens een oriëntatie op mijn toekomst kreeg ik de
mogelijkheid om bij een VVT-instelling op het gebied van risicomanagement enige tijd
ervaring op te doen. Deze periode heeft mij de inspiratie gegeven om dit tot het onderwerp
van mijn scriptie te verkiezen. Het volgen en afronden van mijn studie was niet mogelijk
geweest zonder de steun van vrienden, familie en docenten. Allereerst wil ik dan ook mijn
begeleider vanuit de universiteit drs. Marcel Bergervoet bedanken voor zijn professionele en
deskundige begeleiding. Mede door zijn deskundigheid, maar vooral ook motiverende
woorden heb ik deze opleiding tot een goed einde kunnen brengen. Ook wil ik mijn partner
Mariska Wolf danken voor de steun die zij me door de jaren heen gedurende mijn opleiding
heeft gegeven. Daarnaast wil ik uiteraard mijn dank uitbrengen aan de VVT-instellingen die
zo gastvrij mee hebben gewerkt aan deze scriptie. Ik ben de mensen van Stichting Warande
en Stichting Beweging 3.0 hiervoor veel dank verschuldigd.
Ik wens u veel plezier met het lezen van deze scriptie.
Pascal Wolf
3
Inhoudsopgave
Voorwoord ... 2 1 Introductie: Onderzoeksvoorstel ... 6 1.1 Inleiding ... 6 1.2 Onderzoeksdoel op hoofdlijnen ... 7 1.3 Theoretisch kader ... 7 1.4 Probleemstelling ... 10 1.4.1 Onderzoeksdoel ... 10 1.4.2 Onderzoeksvraag ... 10 1.4.3 Conceptueel model ... 10 1.4.4 Deelvragen ... 11 1.5 Methode ... 11 1.6 Academische relevantie ... 12 1.7 Maatschappelijke relevantie ... 13 1.8 Leeswijzer ... 13 2 Theoretisch kader ... 14 2.1 Inleiding: ... 14 2.2 Wat is risicomanagement? ... 142.3 Deelvraag 1: Wat zijn de kenmerken van de inrichting van een risicomanagementsysteem bij de verschillende VVT’s? ... 14
2.4 Deelvraag 2: Wat zijn de kenmerken van een goed werkend systeem van risicomanagement systeem bij de verschillende VVT’s? ... 16
2.4.1 Risk maturity ... 16
2.5 Wat zijn de kenmerken van de invloedsfactoren bij de verschillende VVT’s op de werking van het systeem van risicomanagement? ... 18
2.5.1 Cultuur ... 18
2.5.2 Leiderschap ... 19
2.5.3 Alignment ... 19
2.5.4 Systems ... 20
2.5.5 Structuur ... 20
2.6 Uitgewerkt conceptueel model ... 21
3 Onderzoeksmethodiek ... 22
4
3.2 Kwalitatief onderzoek ... 22
3.3 Dataverzameling: Onderzoekspopulatie en respons ... 22
3.4 Data-analyse ... 23
4 Analyse van onderzoeksresultaten ... 24
4.1 Kenmerken van de inrichting van het systeem van risicomanagement. ... 24
4.1.1 Governance ... 24 4.1.2 Strategie en doelstellingen ... 24 4.1.3 Performance ... 24 4.1.4 Review en Revisie ... 25 4.1.5 Informatie en communicatie ... 25 4.1.6 Samenvatting... 25
4.2 Kenmerken van de werking van het systeem van risicomanagement... 25
4.2.1 Beweging 3.0 ... 26
4.2.2 Warande... 27
4.3 Wat is de invloed van de wijze van inrichting bij de verschillende VVT’s op de werking van het risicomanagementsysteem? ... 28
4.4 Wat zijn de kenmerken van de invloedsfactoren bij de verschillende VVT’s? ... 29
4.4.1 Cultuur ... 29
4.4.2 Leiderschap ... 30
4.4.3 Alignment ... 30
4.4.4 Systemen ... 30
4.4.5 Structuur ... 30
4.5 Wat is de invloed van de invloedsfactoren op de relatie tussen de inrichting en de werking van een risicomanagementsysteem? ... 30
4.5.1 Cultuur ... 31
4.5.2 Leiderschap ... 31
4.5.3 Alignment ... 31
4.5.4 Systemen en structuren ... 31
4.5.5 Analyse en samenvatting ... 32
4.6 Belangrijkste verschillen en verbeterpunten voor de VVT-instellingen... 32
4.6.1 Kenmerken en verschillen tussen de VVT instellingen. ... 33
4.6.2 Verbeterpunten per organisatie ... 34
5 Conclusies en aanbevelingen ... 35
5.1 Conclusie ... 35
5
5.1.2 Toegevoegde waarde... 35
5.2 Beperkingen aan dit onderzoek ... 36
5.3 Aanbevelingen ... 36
5.3.1 Aanbevelingen voor vervolgonderzoek ... 36
5.3.2 Aanbevelingen aan de praktijk ... 36
Geraadpleegde literatuur ... 38
Bijlage A: Interviewverslagen Stichting Warande ... 40
Bijlage B: Interviewverslagen Beweging 3.0 ... 50
Bijlage C: Vragenlijst bestuurder en manager Finance & Control ... 61
6
1 Introductie: Onderzoeksvoorstel
1.1
Inleiding
Door de aantrekkende wet- en regelgeving wordt de beheersing van de Nederlandse VVT
instellingen (Verzorgings- en verplegingsinstellingen en thuiszorg) alsmaar complexer. In
2016 was 40% van deze instellingen verlieslatend, daar waar dat in 2015 nog 24% was.
Faillissementen van soms grote zorginstellingen komen de afgelopen jaren met regelmaat
voorbij.
Naast de financiële instabiliteit staat ook de kwaliteit van de zorg onder druk, ingegeven
door steeds verder oplopende personeelstekorten en onvoldoende naleving van
kwaliteitsprocedures. VVT-instellingen worden met regelmaat op de vingers getikt door de
toezichthoudende instantie IGJ (Inspectie voor de Gezondheidszorg en Jeugd), hetgeen leidt
tot verscherpt toezicht en/of financiële boetes (Zwarte lijst IGJ, 2016). Ondanks dat
bestuurders en toezichthouders in de zorg al een belangrijke professionaliseringslag hebben
gemaakt, blijkt uit verschillende incidenten dat slecht bestuur en onvoldoende intern
toezicht op een zorgaanbieder gevolgen kunnen hebben voor de kwaliteit, veiligheid en
continuïteit van de zorg (Schippers, Accountant, 2015). Uit onderzoek (Drew, Kelly en
Kendrik, 2006) blijkt dat slecht leiderschap, cultuur, een gebrek aan alignment,
organisatiestructuur en control systemen de werking van risicomanagementsystemen
negatief beïnvloeden. Zo werd VVT-instelling Charim in 2016 onder verscherpt toezicht
geplaatst. Er zou bij deze instelling volgens medewerkers sprake zijn van een angstcultuur
gevoed door het leiderschap van de bestuursvoorzitter (Skipr, 2016). IGJ constateerde in
2016 dat mede hierdoor sprake was van een verhoging van de patiënt onveiligheid.
Daarnaast is er in de sector sprake van schrijnende personeelstekorten (FNV Welzijn & Zorg,
2016) waardoor de kwaliteit van de (ouderen)zorg vaak te wensen over laat. Ouderen
moeten hierdoor vaak lang wachten voordat ze naar het toilet kunnen of een
incontinentieluier krijgen. Ook wordt medicatie door het personeelstekort vaker te laat of
verkeerd gegeven.
Bovenstaande roept de vraag op hoe het is gesteld met de kwaliteit van het
7
Uiteraard verschilt de kwaliteit van het risicomanagementsysteem per VVT-instelling. Op
basis van inspectierapporten is af te leiden dat er, naast slecht preseterende instellingen,
voldoende VVT-instellingen zijn die hun risicomanagementsysteem wel op orde hebben.
Risicomanagement is een iteratief proces waarin bewust wordt gekozen voor het al dan niet
implementeren van beheersingsmaatregelen naar aanleiding van ingeschatte risico’s.
Risico’s zijn ontwikkelingen en gebeurtenissen in de in- en externe omgeving van
organisaties die de realisatie van de doelstellingen van de organisatie kunnen bedreigen
(Doogsma, 2009). Het doel van risicomanagement is om op een zo effectief en efficiënt
mogelijke wijze te komen tot het realiseren van de doelstellingen van een organisatie.
1.2 Onderzoeksdoel op hoofdlijnen
Het doel van dit onderzoek is om op basis van een analyse van de ist-situatie van de werking
van risicomanagement bij VVT-instellingen, te komen tot verbeterpunten die de werking van
het systeem van risicomanagement kunnen aanscherpen. Dit om zowel financiële als
zorggerelateerde risico’s in een vroegtijdig stadium te herkennen en eventueel te kunnen
mitigeren, met als uiteindelijk doel het realiseren van de doelstellingen van de organisatie.
1.3
Theoretisch kader
Risicomanagement heeft in het laatste decennium veel aandacht gekregen in zowel de
private als de publieke sector (Lam, 2006). In toenemende mate wordt risicomanagement
beschouwd als een integraal onderdeel van de corporate governance van organisaties,
gegeven de aandacht die het krijgt in herzieningen in codes en regelgeving als Sarbanes
Oxley en de ‘Combined Code’ in het Verenigd Koninkrijk (Woods, 2009).
Hoewel risicobeheersing in de zorgsector in het verleden vooral ging om het beheersen van
medische risico’s, blijkt uit een casestudy (Van der Steen, 2016) dat de omgeving van
zorginstellingen dusdanig is veranderd, dat er toenemende behoefte is aan de beheersing
van bedrijfsmatige risico’s. Daar de overheid ondernemerschap in de zorg bevordert en de
zorginstellingen een toenemend aantal belanghebbenden kennen, zoals gemeenten,
8
Om de werking van een risicomanagementsysteem te kunnen meten, komen we in de
literatuur de term volwassenheid veelvuldig tegen. Het eerste specifiek op
risicomanagement gerichte volwassenheidsmodel komt van Beasley, Clune en Hermanson
(2005). Zij beschrijven een vijftal stadia van volwassenheid.
• Stadium 1: Geen plannen om risicomanagement te implementeren;
• Stadium 2: Onderzoeken risicomanagement, maar nog geen beslissing genomen; • Stadium 3: Plannen om risicomanagement te implementeren;
• Stadium 4: risicomanagement gedeeltelijk geïmplementeerd; • Stadium 5: risicomanagement volledig geïmplementeerd;
De door Beasley geformuleerde stadia lijken elkaar logisch op te volgen, doch zijn meer
gericht op het in kaart brengen van de implementatiefase dan op de werking van een RMS.
De 5 stadia-indeling van Beasley zijn ook de basis geweest van het in 2009 uitgevoerde
onderzoek van Koninklijke Nivra et al. maar dan in een aangepaste variant:
• Stadium 1: Risico’s worden op basis van incidenten vooral reactief gemanaged en er is nog geen enkele aanzet om te komen tot een integraal risicomanagementsysteem
• Stadium 2: Risico’s worden op deelgebieden (veiligheid, financieel etc.) preventief beheerst en we denken na over een organisatiebreed risicomanagementsysteem
• Stadium 3: Risico’s worden op deelgebieden proactief geïnventariseerd, in kaart gebracht en beheerst. Wij zijn van plan een organisatiebreed risicomanagementsysteem in te voeren • Stadium 4: Alle risico’s (strategisch, financieel, operationeel, compliance) worden proactief
geïnventariseerd, in kaart gebracht en beheerst. Wij zijn bezig een organisatiebreed risicomanagementsysteem in te voeren
9
fouten niet worden getolereerd, kan leiden tot het nemen van excessieve risico’s. Andere
extreme culturen, die een hoge mate van arrogantie met zich meebrengen, geheimhouding
stimuleren en/of leiden tot het niet willen toegeven van fouten, hebben bijvoorbeeld in de
financiële sector al tot desastreuze gevolgen geleid. Ten aanzien van de factor leiderschap
valt op te merken dat charismatische leiders vaak worden bewonderd om hun visie. Maar
hoe meer die leider zich heeft gecommitteerd aan die visie, des te minder zal hij openstaan
voor andere visies. Die eenzijdigheid kan leiden tot niet-realistische ambities en niet
haalbare strategieën. Met betrekking tot de factor alignment citeren Drew, Kelly en Kendrik
de definitie van Labovitz (2005): ‘Alignment is een situatie waarin mensen, key-processen en
strategie optimaal samenwerken als een tandem’. Dit is vaak het probleem bij grote
multinationals en grote overheidsorganisaties waarbij de bureaucratie zover is doorgevoerd
dat medewerkers de relatie tussen de procedures, hun werk en de strategische
doelstellingen van de organisatie niet meer zien. De auteurs stellen dat een goede interne
alignment een passend niveau van risicomanagement ondersteunt. Ten aanzien van de
factor systemen concluderen de auteurs dat goede controlesystemen het management
goede informatie opleveren om vast te stellen of de organisatie de risico’s in voldoende
mate beheerst. Met betrekking tot structuren blijkt op basis van onderzoek van Uzun,
Szewcezyk en Varma (2004) dat als het aantal onafhankelijke externe leden van de board,
het audit committee en de compensation committee toeneemt, de kans op
organisatiemissers afneemt. Hierdoor wordt het toezicht op het functioneren van
risicomanagement objectiever en dus effectiever.
Lee en Widener (2013) gebruiken het Competing Values model (Quinn & Rohrbaugh, 1983)
om de cultuur binnen een organisatie te duiden, en koppelen deze aan het gebruik van
Management Control Systemen (MCS) die gebruikt worden. Uit hun onderzoek blijkt dat de
cultuur van invloed is op de keuze voor een MCS waarvan risicomanagement een onderdeel
is. Verder blijkt dat organisaties met een bureaucratische cultuur niet of nauwelijks gebruik
maken van MCS. Organisaties waarbij sprake is van een resultaatgerichte cultuur leunen
daarentegen zwaar op MCS.
10
grotere bedrijfsgrootte wordt doorgaans geassocieerd met een toenemende reikwijdte en
complexiteit van risico's, waardoor de kans op risicomanagement-implementatie groter
wordt. Bovendien, volgens Beasley et al. (2005) en Golshan en Rasid (2012), hebben grotere
bedrijven ook de neiging om meer middelen te hebben om een risicomanagementsysteem
te implementeren. Bedrijven met een groter aandeel van institutioneel aandelenbezit
worden verondersteld te worden blootgesteld aan een hogere druk om een
risicomanagementsysteem in te voeren en neigen daarom eerder naar de implementatie van
een risicomanagement-raamwerk (zie Liebenberg en Hoyt, 2003; Hoyt en Liebenberg, 2011).
Bij de inrichting van een systeem van risicomanagement kan een keuze worden gemaakt uit
een aantal wereldwijde standaarden. De twee meest gehanteerde standaarden zijn ISO
31000 en het COSO model. Mits juist geïmplementeerd, kunnen beide standaarden leiden
tot een kwalitatief goed werkend risicomanagementsysteem (Gjerdum & Peter, 2011).
1.4 Probleemstelling
1.4.1 Onderzoeksdoel
Uit onderzoek blijkt dat er vijf factoren zijn die de werking van het risicomanagement
beïnvloeden, te weten: organisatiecultuur, leiderschap, alignment, systemen en structuren
Het doel van dit onderzoek is om inzichtelijk te maken welke verschillen er zijn in de werking
van het risicomanagementsysteem bij VVT-instellingen, deze te analyseren en op basis
daarvan aanbevelingen te doen om de werking van het risicomanagementsysteem te
verbeteren.
1.4.2 Onderzoeksvraag
Op basis van bovenstaande kan de volgende onderzoeksvraag worden gedefinieerd:
‘Welke verschillen zijn er in de werking van het risicomanagement bij de VVT-instellingen,
waardoor worden ze veroorzaakt en welke verbeteringen zijn er mogelijk?’
1.4.3 Conceptueel model
11
Figuur 1: Conceptueel model
Hierbij is de inrichting van het risicomanagementsysteem de onafhankelijke variabele. De
kwaliteitsbepalende factoren zijn modererende variabelen, de werking van
risicomanagementsysteem is de afhankelijke variabele.
1.4.4 DeelvragenVanuit de het conceptuele model kunnen de navolgende deelvragen worden afgeleid:
1. Wat zijn de kenmerken van de inrichting van een risicomanagementsysteem bij de
verschillende VVT’s?
2. Wat zijn de kenmerken van een goed werkend systeem van risicomanagement
systeem bij de verschillende VVT’s?
3. Wat zijn de kenmerken van de invloedsfactoren bij de verschillende VVT’s ?
4. Wat is de invloed van de wijze van inrichting bij de verschillende VVT’s op de werking
van het risicomanagementsysteem?
5. Wat is de invloed van de invloedsfactoren op de relatie tussen de inrichting en de
werking van een risicomanagementsysteem?
6. Wat zijn de verschillen in werking van een risicomanagementsysteem tussen de twee
organisaties en waardoor worden ze veroorzaakt?
7. Welke verbeteringen zijn er bij de verschillende VVT-instellingen te realiseren?
1.5 Methode
Voorliggend onderzoek betreft een kwalitatief onderzoek waarbij gebruik gemaakt wordt
een casestudy. Een casestudy kan worden gedefinieerd als de studie van een sociaal
fenomeen in één of een paar van haar manifestaties. Een casestudy vindt plaats in haar
natuurlijke omgeving, gedurende een bepaalde periode. De focus tijdens dit onderzoek ligt
12
op het verkrijgen van gedetailleerde interpretaties, beschrijvingen en verklaringen van
participanten betrokken bij het sociale fenomeen. De casestudy vindt plaats bij een tweetal
VVT-instellingen, waarbij dezelfde case wordt onderzocht. Daarom is sprake van een
multiple holistic case-study (R. Yin, 1994) waarbij de data wordt verzameld middels
vragenlijsten die in interviews worden besproken.
Onderstaand wordt per deelvraag toegelicht op welke wijze het onderzoek zal plaatsvinden:
1. Documenten- en literatuur studie en diepte-interviews
2. Literatuurstudie
3. Literatuurstudie
4. Document- en literatuurstudie, diepte-interviews met: het lijnmanagement, de
bestuurders en functionarissen van de afdeling Finance & Control (of een soortgelijke
afdeling met een andere benaming)
5. Diepte-interviews
6. Analyse van deelvragen 1 tot en met 5 en confrontatie van de uitkomsten van het
onderzoek bij de VVT-instellingen
7. Analyse uitkomsten deelvraag 6.
1.6 Academische relevantie
Zoals hierboven is te lezen, is er veel geschreven over de invloedsfactoren op de werking van
een risicomanagementsysteem (Drew, Kelly en Kendrik, 2006). Veel onderzoek is erop
gericht om de kwaliteitsbepalende factoren voor een goed werkend systeem van
risicomanagement te determineren. Daarnaast is veel geschreven over de implementatie
van risicomanagement en de methode waarmee een systeem van risicomanagement kan
worden ingericht (bijvoorbeeld COSO ERM of ISO31000). Wat binnen een sector tussen
organisaties echter de verschillen zijn in de werking van risicomanagementsystemen is nog
geen object van onderzoek geweest. Dit onderzoek beoogt dan ook deze verschillen bij
VVT-instellingen in kaart te brengen. Daarnaast worden de oorzaken van deze verschillen
13
1.7 Maatschappelijke relevantie
Het belang van risicomanagement in de VVT-sector wordt alsmaar groter. Enerzijds lijken
steeds meer instellingen niet goed in staat om hun financiële huishouding en risico’s die
hiermee gepaard gaan adequaat te beheersen, hetgeen ten koste gaat van het
continuïteitsperspectief van de instellingen en de sector. De constatering dat 40% van de
VVT-instellingen in 2016 verlieslatend was, en dat jaarlijks een aantal VVT-instellingen
failleert, geeft aan dat verbetering van de beheersing van financiële risico’s bittere noodzaak
is om onze ouderen in de toekomst voldoende zorg te kunnen bieden. Daarnaast worden
VVT-instellingen meer en meer verrast door externe toezichthouders (Inspectie voor de
Gezondheidszorg en Jeugd), die op basis van onderzoek bij VVT-instellingen constateert dat
de kwaliteit van de zorg niet op orde is. Het is van groot belang dat de gezondheidsrisico’s
die hiermee gepaard gaan voor onze ouderen worden beheerst. Dit onderzoek beoogt dan
ook om, op basis van een casestudy bij twee VVT-instellingen, te analyseren waar de
verschillen zitten ten aanzien van de werking van het systeem van risicomanagement en op
welke wijze de werking kan worden verbeterd.
1.8 Leeswijzer
14
2
Theoretisch kader
2.1 Inleiding:
In dit hoofdstuk wordt nader ingegaan op de eerder geformuleerde deelvragen. De
belangrijkste kenmerken zullen per deelvraag verder worden uitgewerkt. Hieraan
voorafgaande wordt eerst nog kort ingegaan op het begrip risicomanagement.
2.2 Wat is risicomanagement?
Deze paragraaf gaat in op de vraag: Wat is risicomanagement? In de wetenschappelijke
literatuur wordt risicomanagement veelal getypeerd als ERM (Enterprise Risk Management).
Volgens Mikes (2009) wordt ERM verdedigd als een strategisch management control
systeem. ERM is hierbij te vergelijken met management control systemen als value-based
management, activity based management en de balanced scorecard, zo stelt Mikes (2009).
In dit rapport worden ERM en risicomanagement als synoniemen beschouwd.
Om te komen tot een definitie is vanuit de literatuur gekeken hoe risicomanagement wordt
beschouwd. Droogsma (2009, p.263) definieert risicomanagement als volgt:
“Risicomanagement is een iteratief proces waarin bewust wordt gekozen voor het al dan niet
implementeren van beheersmaatregelen naar aanleiding van ingeschatte risico’s.”
Deze definitie impliceert dat risico’s bewust genomen worden. Risicomanagement gaat uit
van een gezond evenwicht tussen het nemen van risico’s en het creëren van waarde. Een
organisatie creëert waarde door het nemen van risico’s, maar riskeert waardevernietiging
wanneer deze risico’s onvoldoende worden beheerst.
2.3 Deelvraag 1: Wat zijn de kenmerken van de inrichting van een
risicomanagementsysteem bij de verschillende VVT’s?
15
zorgen dat een organisatie op de hoogte is van de stand van zaken met betrekking tot
processen, financiële rapportage en de relevante wet- en regelgeving (COSO 1992). In 2004
en in 2017 volgde een update van het oorspronkelijke model tot het COSO ERM 2017 model.
Inmiddels is het ICIF raamwerk wereldwijd uitgegroeid tot het leidende raamwerk voor
risicomanagement (Paape, 2006).
Het COSO ERM model bestaat uit vijf componenten en twintig principes die zijn ingericht
over de vijf componenten, hetgeen in het model als volgt wordt gestructureerd:
16
2.4 Deelvraag 2: Wat zijn de kenmerken van een goed werkend systeem
van risicomanagement systeem bij de verschillende VVT’s?
2.4.1 Risk maturity
Risk maturity is ontstaan vanuit het Process Maturity Framework (PMF), ontwikkeld door
Humphrey c.s. bij IBM (Humphrey, 1989). Hij ontwikkelde in een later stadium het Capability
Maturity Model (CMM) als doorontwikkeling van het PMF. Maturity is in het Nederlands te
vertalen als volwassenheid. In het kader van dit onderzoek spreken we over de
volwassenheid van het risicomanagement binnen een organisatie. Op basis van het CMM
kunnen processen worden ingedeeld in een vijftal niveau’s, waarbij de mate van maturity
per niveau toeneemt: initial, repeatable, defined, managed en optimizing. De ontwikkeling
van het CMM was in eerste instantie gericht op het proces van het ontwikkelen van
software, maar wordt tegenwoordig ook voor andere doeleinden gebruikt, waaronder
risicomanagement. De verschillende niveau’s van Risk Maturity laten zich als volgt
omschrijven:
2.4.1.1 Niveau 1: Initial
De organisatie is zich niet bewust van de noodzaak van risicomanagement. Ze is niet bewust
bezig met het leren van risico-ervaringen of om zich voor te bereiden op risico’s en
onzekerheden in de toekomst.
2.4.1.2 Niveau 2: Repeatable
De organisatie experimenteert met het toepassen van risicomanagement, maar doet dit niet
op een gestructureerde en geformaliseerde wijze. Risicomanagement wordt gedragen door
een of enkele functionarissen.
2.4.1.3 Niveau 3: Defined
De organisatie past geformaliseerd en gestructureerd risicomanagement toe. Algemene
risicoprocessen zijn ingericht en worden op verschillende plekken in de organisatie
toegepast, echter nog niet overal consequent.
2.4.1.4 Niveau 4: Managed
17
2.4.1.5 Niveau 5: Optimizing
De organisatie benadert risicomanagement proactief binnen de gehele organisatie.
Risicomanagement is volledig geïntegreerd in de cultuur van de organisatie en is een vast
onderdeel van besluitvormingsprocessen.
Om een organisatie te kunnen beoordelen op haar risk maturity is het allereerst zaak om
criteria te formuleren op basis waarvan de maturity wordt getoetst. Hierbij is het van belang
om de belangrijkste kenmerken en eigenschappen van effectief ERM te kennen. Op basis van
deze kenmerken kan bij een organisatie worden getoetst in welke mate de organisatie risk
mature is. Naast COSO ERM 2017 is ISO31000 een systeem aan de hand waarvan
risicomanagement kan worden ingericht en geïmplementeerd. ISO31000 komt voort uit een
consensus van risicospecialisten wereldwijd.
Op basis van ISO31000 is de volgende lijst met beoordelingscriteria opgesteld, waarmee de
effectiviteit van ERM kan worden gemeten.
• In het topmanagement is mandaat en toewijding aanwezig om risicomanagement te implementeren en blijvend van de benodigde resources te voorzien;
• Risicomanagement wordt vanuit het topmanagement gecoördineerd;
• Er is een Chief Risk Officer (CRO) of iemand met een vergelijkbare functie, met directe toegang tot de Raad van Bestuur (RvB);
• Er is een separate afdeling voor risicomanagement;
• Er wordt gebruik gemaakt van een risicomanagementraamwerk dat aansluit bij de eigen specifieke situatie van de organisatie;
• Er wordt een volledig en up-to-date risicobestand (riskfile) bijgehouden;
• De risico’s waaraan de organisatie wordt blootgesteld, zijn geïdentificeerd, geanalyseerd en geëvalueerd op basis van de risicocriteria;
• Het bepalen en in kaart brengen van de prestaties van het risicomanagement is een integraal onderdeel van het meten en in kaart brengen van de prestaties van de organisatie;
• De organisatie zet zich in om ervoor te zorgen dat alle leden van de organisatie zich volledig bewust zijn van de risico’s, de beheersmiddelen en de taken waarvoor zij verantwoordelijk zijn;
18 beschikken over de autoriteit, tijd, training, middelen en competenties die nodig zijn om hun verantwoordelijkheden te kunnen nakomen en zij zijn in staat om effectief met interne en externe betrokkenen te communiceren over risico’s en het management daarvan;
• Een gedegen risicoanalyse vormt de basis voor de controleplanning;
• Voorafgaand aan de uitvoering van controles wordt een risicogerichte steekproef getrokken; • Bij geconstateerde tekortkomingen wordt een gedegen oorzaakanalyse uitgevoerd;
• Communicatie met interne en externe belanghebbenden wordt beschouwd als een integraal en essentieel component van risicomanagement;
• Als onderdeel van goede governance is er sprake van uitvoerige rapportage met betrekking tot het functioneren van het risicomanagement;
• Risicomanagement wordt binnen de gehele organisatie algemeen beschouwd als een centraal en integraal onderdeel van het managementproces.
2.5 Wat zijn de kenmerken van de invloedsfactoren bij de verschillende
VVT’s op de werking van het systeem van risicomanagement?
Effectief risicomanagement moet in de volle breedte van de organisatie worden
gedefinieerd om strategische missers te voorkomen. Er worden in de literatuur een vijftal
geïntegreerde elementen onderscheiden die een organisatie helpen om de geïdentificeerde
risico’s te managen en derhalve invloed hebben op de werking van risicomanagement
(Drew, A., Kelley, P.C., Kendrick, T., 2005). Zij onderscheiden de volgende vijf
invloedsfactoren:
• Cultuur; • Leiderschap; • Alignment; • Systemen; • Structuur.In de navolgende paragrafen zal nader op deze factoren worden ingegaan.
2.5.1 Cultuur
19
sleutelfiguren plaatsvindt. Sleutelfiguren voor een organisatie zijn medewerkers, klanten,
leveranciers en concurrenten.
Volgens Drew, Kelly en Kendrick (2005) zijn onderstaande vragen/elementen van cultuur van
belang om te onderzoeken of de organisatiecultuur een goede corporate governance en
strategisch riskmanagement ondersteunt:
• Tempert de cultuur de drive voor ondernemerschap en succes met een tolerantie voor incidentele fouten? Voelen medewerkers zich vrij om problemen aan de orde te stellen, zonder angst voor negatieve consequenties?
• Streeft de organisatie kortetermijndoelstellingen na, en is hierbij sprake van angst en extreme druk gepaard gaande met het niet realiseren van die doelstellingen?
• Werkt het beloningssysteem onacceptabel, onethisch of illegaal gedrag in de hand? 2.5.2 Leiderschap
Leidt charismatisch leiderschap tot betere resultaten? Tosi, Misngyi, Fanelli, Waldman en
Yammarino (2004) bestudeerden 59 CEO’s uit de Fortune 500 en volgden hen over een
periode van 10 jaar, om te bezien of charismatisch leiderschap een relatie heeft met een
verbeterde performance van de organisatie. Hierbij werd wel een relatie gevonden tussen
CEO-charisma en het beloningspakket, alsmede de aandelenwaarde. Er werd echter geen
relatie gevonden met bredere performance indicatoren van die organisaties. Volgens Drew,
Kelly en Kendrick (2005) zijn onderstaande vragen/elementen van leiderschap van belang
om te onderzoeken of leiderschap een goede corporate governance en strategisch
riskmanagement ondersteunt:
• Is er veel macht belegd bij de leider(s)?
• Is er sprake van voldoende countervailing power in de top?
• Worden de leiders niet uitsluitend afgerekend op korte termijn doelstellingen, maar ook op lange termijn strategische doelstellingen?
2.5.3 Alignment
20
riskmanagement, governance, en rapportagesystemen. Onderstaande vragen kunnen de
organisatie helpen beoordelen op de alignment van deze aspecten:
• Tonen recente acties en performance van de organisatie verschijnselen van het niet op elkaar afgestemd zijn van taken?
• Is er binnen de leiding consensus over corporate governance, risk management en interne rapportage, en hoe deze op elkaar afgestemd dienen te zijn?
• Zijn de verantwoordelijkheden van het senior management en governance, audit en riskmanagement committees goed op elkaar afgestemd om te voldoen aan de regelgeving? 2.5.4 Systems
Om het management van risico’s te verbeteren zijn adequate systemen noodzakelijk om
risico’s te identificeren, analyseren, voorspellen en te managen. De organisatie kan de
onderstaande vragen/elementen hanteren om bestaande systemen en hun toegevoegde
waarde aan beheersing, rapportage en overall risicomanagement te toetsen:
• Beschikt de organisatie over een effectief en gestandaardiseerd systeem van interne controle en financiële rapportage?
• Bekijkt de organisatie regelmatig de veranderingen in de business en in regelgeving die effect hebben op de interne controle?
• Welke systemen worden gebruikt om risico’s binnen de organisatie te identificeren, te beoordelen en te mitigeren?
2.5.5 Structuur
Het afstemmen van de organisatiestructuur ter ondersteuning van risicomanagement is een
uitdaging voor organisaties. Om te beoordelen of de structuur in voldoende mate
risicomanagement ondersteunt kunnen de komen de navolgende vragen/elementen aan de
orde:
• Is de verantwoordelijkheid voor riskmanagement op het hoogste niveau belegd?
• Zijn er belangrijke rollen weggelegd voor interne auditors en riskmanagers, met de juiste structuren voor rapportage aan het senior management en de Raad van Bestuur?
21
2.6 Uitgewerkt conceptueel model
In paragraaf 1.4.3 is het conceptuele model weergegeven. Op basis van de kenmerken die in
dit hoofdstuk zijn behandeld, wordt onderstaand het uitgewerkte conceptuele model
weergegeven (Figuur 2):
Inrichting RM model
1. Inrichting governance;
2. RM in strategisch plan en doelstellingen geformuleerd; 3. Performance: uitvoeren risicoanalyse;
4. Review en revisie: Herijking van risico’s;
5. Informatie en communicatie: integrale rapportage.
Werking RM model
1. Mandaat en toewijding topmanagement; 2. Coördinatie vanuit topmanagement; 3. CRO aanwezig of vergelijkbare funtionaris; 4. Separate afdeling risicomanagement; 5. Risicomanagementraamwerk in gebruik; 6. Er wordt een riskfile bijgehouden;
7. Identificatie, analyse en evaluatie van risico’s o.b.v. criteria; 8. Prestaties RM integraal onderdeel van performance; 9. Organisatieleden volledig bewust van risico’s;
10. Functionarissen verantwoordelijk voor risico’s en analyse; 11. Risicoanalyse basis voor controleplanning;
12. Steekproef risicogericht;
13. Oorzaakanalyse bij tekortkomingen;
14. Communicatie met in- en externe belanghebbenden; 15. Uitvoerige rapportage risicomanagement;
16. RM is integraal onderdeel van managementproces.
Invloedsfactoren:
Cultuur: Leiderschap:
1. Ruimte om fouten te maken; 1. Veel macht bij leiders; 2. Korte termijn doelen en angstcultuur; 2. Countervailing power;
3. Beloningssysteem geeft perverse prikkels. 3. Afgerekend op korte termijn doelstellingen.
Alignment: Systemen:
1. Taken op elkaar afgestemd; 1. Standaard systeem interne controle;
2. Verhouding risk/governance/rapportage helder; 2. Veranderingen in- en extern worden afgewogen; 3. Verantwoordelijkheden op elkaar afgestemd. 3. Systemen voor risicoanalyse.
Structuur:
1. Verantwoordelijkheid op hoogste niveau; 2. Juiste rapportagestructuren;
3. Verantwoordelijkheid binnen hele organisatie belegd.
22
3 Onderzoeksmethodiek
3.1 Inleiding
In dit hoofdstuk zal aandacht worden besteed aan de onderzoeksmethode en de factoren uit
de probleemstelling in hoofdstuk 1. In dit hoofdstuk wordt tevens ingegaan op de
onderzoekspopulatie, de documentenstudie en de gehouden interviews met bestuurders,
managers Finance & Control en controllers van de onderzochte VVT-instellingen.
3.2 Kwalitatief onderzoek
Om de onderzoeksvraag te kunnen beantwoorden is voor een kwalitatief onderzoek
gekozen, omdat deze vorm van onderzoek een beeld geeft van de wensen, ervaringen,
meningen en behoeften van de te interviewen doelgroep. De vorm waarin dit kwalitatieve
onderzoek wordt uitgevoerd is een casestudy bij een tweetal VVT-instellingen. De eisen die
een zogenaamde multiple holistic case study stelt aan het onderzoek, is dat dezelfde
casestudy wordt uitgevoerd bij verschillende organisaties of organisatieonderdelen.
De benodigde informatie om de onderzoeksvraag te kunnen beantwoorden is verkregen uit
opgevraagde documenten en interviews met een viertal functionarissen bij elk van de twee
onderzochte VVT-instellingen. De interviews zijn gebaseerd op de vragen en stellingen die
voortvloeien uit het conceptuele model vanuit de literatuur die in hoofdstuk 2 aan de orde
zijn gekomen. De verslagen van de interviews zijn opgenomen in de bijlagen A en B. In
bijlage C is de vragenlijst opgenomen die tijdens de interviews met de bestuurders en met
de managers Finance & Control is gehanteerd, gebaseerd op het conceptuele model uit
paragraaf 2.6. In tegenstelling tot een kwantitatief onderzoek, is een kwalitatief onderzoek
beperkter van aard. In het kwalitatief onderzoek, wordt vaak een aantal casestudies
behandeld, die leiden tot een conclusie.
3.3 Dataverzameling: Onderzoekspopulatie en respons
23
aangestuurd door een Raad van Bestuur. Onder de Raad van Bestuur zijn enerzijds het
zorgmanagement georganiseerd en anderzijds de ondersteunende diensten (o.a. Finance &
Control). Om de onderzoeksvragen met betrekking tot de inrichting van risicomanagement
te kunnen beantwoorden heb ik een documentenstudie uitgevoerd. Bij beide instellingen
zijn de volgende documenten beoordeeld: Strategisch (meerjaren) plan, risicoanalyse,
controleplanning, managementrapportage en de laatste rapportages omtrent de interne
controles. De uitgevoerde interviews hebben plaatsgevonden met de volgende
functionarissen: Bestuurder met risicomanagement in portefeuille, manager Finance &
Control, AO/IC functionaris en de controller die belast is met de interne controle op de
primaire zorgprocessen.
3.4 Data-analyse
De uit de interviews verkregen data dient te worden geanalyseerd. Dit houdt in dat data
wordt gecodeerd, gecategoriseerd en binnen bepaalde thema’s wordt geplaatst. Boeije
(2014) geeft aan dat het proces van coderen wordt gezien als een belangrijk onderdeel van
het analyseren van interviewuitkomsten. De onderzoeker kan hierdoor de onderwerpen en
thema’s van elkaar onderscheiden en de data onder de betreffende thema’s plaatsen. De
verzamelde data wordt allereerst gelabeld en geordend op bepaalde termen om hieraan een
betekenis te kunnen geven. Op deze manier kan de onderzoeker de data coderen en
kwalificeren en vervolgens clusteren (Galletta, 2012). In bijlage D is het gehanteerde
codeerschema opgenomen dat gebruikt is om tot de interviewverslagen te komen. Als we
kijken naar de achtergrond van de functionarissen, dan blijkt dat de functionarissen bij
Stichting Warande grotendeels een achtergrond hebben vanuit de zorgsector. De
functionarissen bij Stichting Beweging 3.0 hebben veel meer een achtergrond in de zorg,
gecombineerd met een accountancy achtergrond. Dit verschil in achtergrond zou kunnen
uitmonden in meer of minder urgentiebesef ten aanzien van het onderwerp
24
4 Analyse van onderzoeksresultaten
In dit hoofdstuk wordt op basis van de documentenstudie en de interviews antwoord
gegeven op de in hoofdstuk 1 geformuleerde deelvragen.
4.1 Kenmerken van de inrichting van het systeem van risicomanagement.
Vanuit de theorie uit hoofdstuk 2 worden belangrijke kenmerken voor de inrichting van
risicomanagement (ERM COSO) ingedeeld in Governance, strategie en doelstellingen,
performance, review en revisie, en informatie en communicatie. Onderstaand wordt per
onderdeel aangegeven of deze kenmerken bij de VVT-instellingen aanwezig zijn.
4.1.1 Governance
Bij Beweging 3.0 is sprake van een tweehoofdige Raad van Bestuur, bestaande uit een
voorzitter en een lid. De voorzitter is verantwoordelijk voor het primaire zorgbedrijf, het lid
van de RvB is verantwoordelijk voor finance, control en risicomanagement. Bij Warande is
sprake van een éénhoofdige RvB, waarbij de eindverantwoordelijkheid voor
risicomanagement is belegd bij de manager Finance & Control.
4.1.2 Strategie en doelstellingenIn het strategisch plan 2017 – 2021 van Beweging 3.0 wordt geen aandacht besteedt aan
risicomanagement. Daarentegen is er vanuit financiële urgentie in 2017 een herstelplan
opgesteld waarin de problemen op tactisch en strategisch niveau zijn geïnventariseerd.
Hierover wordt periodiek met het management gesproken en de voortgang van de
geformuleerde beheersmaatregelen wordt periodiek besproken met de Raad van Toezicht.
In het strategisch plan 2015 – 2018 van Warande worden de tactische en strategische risico’s
geïnventariseerd. Er worden echter geen beheersmaatregelen geformuleerd.
De mate waarin de organisatie bereid is om risico’s te nemen, de riskappetite, wordt bij
beide organisaties niet vastgesteld. Ook zijn er ten aanzien van risicomanagement geen
doelstellingen opgenomen in de strategische- en jaarplannen van beide organisaties.
4.1.3 PerformanceBij beide organisaties wordt op operationeel niveau deels een risicoanalyse uitgevoerd. Deze
risicoanalyse vormt de basis voor de controleplanning en de onderwerpen die aan controle
onderhevig zijn. Bij Warande wordt tweemaal per jaar een risicoanalyse op
25
urgentie de strategische en tactische risico’s geformuleerd. Er zijn echter geen afspraken
vanuit risicomanagement om deze analyse periodiek uit te voeren. Door Warande worden
risico’s geprioriteerd door een inschatting te maken van de kans dat het risico zich voordoet
en de impact die dat heeft. Bij Beweging 3.0 worden de risico’s niet geprioriteerd.
4.1.4 Review en Revisie
Bij Warande worden de risico’s op tactisch en strategisch niveau periodiek (twee maal per
jaar) geactualiseerd, waarbij tevens aandacht is voor eventuele nieuwe risico’s vanuit
veranderingen in de in- en/of externe omgeving. Beweging 3.0 voert geen periodieke
risicoanalyse uit op tactisch/strategisch niveau, als risico’s zich openbaren wordt hierop ad
hoc gereageerd en worden beheersmaatregelen geïmplementeerd. Op operationeel niveau
voeren beide organisaties periodiek een risicoanalyse uit ten aanzien van de financiële
processen. Ten aanzien van de zorgprocessen wordt door Beweging 3.0 geleund op de
risicoanalyse die door de toezichthoudende instantie (Inspectie voor de Gezondheidszorg en
Jeugd) periodiek wordt uitgevoerd. Bij Warande wordt ten aanzien van deze processen geen
risicoanalyse uitgevoerd.
4.1.5 Informatie en communicatie
Bij beide organisaties ontbreekt het aan een periodieke integrale rapportage waarin tevens
aandacht is voor risicomanagement. Uitkomsten van operationele controles worden
periodiek door de auditor gerapporteerd aan de RvB, deze rapportage wordt niet besproken
met de RvT.
4.1.6 Samenvatting
Afgemeten aan de theorie uit hoofdstuk 2 ten aanzien van de inrichting van een systeem van
risicomanagement, kan worden vastgesteld dat bij beide organisaties geen sprake is van de
inrichting van een organisatie breed systeem van risicomanagement. Elementen van
inrichting zijn wel aanwezig, doch een integrale inrichting van risicomanagement ontbreekt
nog.
4.2 Kenmerken van de werking van het systeem van risicomanagement.
De kenmerken van een goede werking van een systeem van risicomanagement, op basis van
ISO1000, vanuit de theorie zijn opgenomen in paragraaf 2.4. Onderstaand wordt de
26 4.2.1 Beweging 3.0
Binnen de Raad van Bestuur is urgentie voor de goede werking van risicomanagement
aanwezig. De bestuurder geeft het volgende daarover aan: ‘De urgentie van een goed
werkend systeem van risicomanagement is twee jaar geleden extra benadrukt. In die
periode werden we verrast door financiële risico’s die de organisatie niet in beeld had,
waardoor we niet ver van een faillissement af stonden. Vanaf die periode zijn we
nadrukkelijker met risico’s bezig. De volgende stap die we willen zetten is die naar integraal
risicomanagement’. In het gesprek met de manager Finance & Control wordt deze urgentie
bevestigd: ‘Risicomanagement wordt veel meer vanuit de Raad van Bestuur uitgedragen en
gecoördineerd dan voor de financiële crisis waarmee we te maken hebben gehad. Ten
aanzien van het belang van risicomanagement zitten we op dezelfde lijn als de Raad van
Bestuur, en willen we op korte termijn naar een integraal systeem. Risicomanagement is nu
nog niet de integrale verantwoordelijkheid van de gehele organisatie, doch leunt sterk op de
afdeling Finance & Control en de bestuurder met risicomanagement in de portefeuille’.
Er wordt nog op zeer beperkte schaal een risicoanalyse uitgevoerd, waardoor de uitgevoerde
controles op de financiële processen onvoldoende risicogericht zijn. Ook bij het nemen van
een steekproef wordt niet risicogericht gekeken naar de populatie. Ten aanzien van de
zorgprocessen wordt geleund op de risicoanalyse die door de toezichthouder wordt
uitgevoerd. De betreffende controller zegt hierover: ’Door te steunen op de risicoanalyse en
de controleonderwerpen van de toezichthouder, willen we voorkomen dat we door de
controles die de toezichthouder uitvoert worden verrast. We willen zelf kunnen vaststellen
of we die onderdelen op orde hebben’.
Ten aanzien van alle operationele controles is sprake van een aselecte steekproef, waarbij
het risico gelopen wordt dat belangrijke tekortkomingen binnen de organisatie worden
gemist. Op operationeel niveau worden zowel op de primaire zorgprocessen, als ook op de
financiële processen, controles uitgevoerd conform de controleplanningen. Bij
tekortkomingen wordt niet zichtbaar een oorzaakanalyse uitgevoerd, waardoor het risico
wordt gelopen dat bijsturing een vorm van symptoombestrijding wordt in plaats van dat de
oorzaak van de tekortkomingen weggenomen wordt. Omtrent de uitkomsten van
27
Formele vastlegging van taken, rollen en bevoegdheden ontbreekt nog bij Beweging 3.0. De
geïnterviewde functionarissen geven aan in de nabije toekomst ERM verder vorm te willen
geven. In tegenstelling tot de achterblijvende formele vastleggingen blijkt uit documenten
en gesprekken wel dat er impliciet veel aandacht is voor risico’s en risicomanagement, ook al
doordat de organisatie recent te kampen heeft gehad met aanzienlijke vraagstukken op het
gebied van risicomanagement. Ten aanzien van de volwassenheidsfase (Risk maturity) van
risicomanagement bij Beweging 3.0 is deze in te delen in Fase 2 ‘Repeatable’: ‘De organisatie
experimenteert met het toepassen van risicomanagement, maar doet dit niet op een
gestructureerde en geformaliseerde wijze. Risicomanagement wordt gedragen door een of
enkele functionarissen.’
4.2.2 Warande
De Raad van Bestuur bij Warande is éénhoofdig. De verantwoordelijkheid voor
risicomanagement is belegd bij de manager Finance & Control en derhalve niet op het
hoogste niveau. De betreffende manager geeft daarover het volgende aan: ‘Ik ben zelf
eindverantwoordelijk voor dat onderdeel. Vanuit de RvB werd de nadruk de afgelopen jaren
gelegd op reparatie van de dossiers die door de externe toezichthouder als onvoldoende
aangemerkt waren en niet op risicomanagement’. Het gevaar hiervan schuilt erin dat er te
weinig ‘countervailing power’ richting RvB aanwezig is. Zoals gezegd wordt door Warande
periodiek een risicoanalyse op tactisch/strategisch niveau uitgevoerd. De werking van de
geformuleerde beheersmaatregelen wordt echter niet getoetst. Hierdoor lijkt deze
risicoanalyse zijn doel te missen. Op operationeel niveau wordt een risicoanalyse
uitgevoerde op de financiële processen. Deze wordt echter uitgevoerd door de functionaris
die tevens de betreffende controles uitvoert en verder niet gedeeld binnen de organisatie.
Op gesignaleerde tekortkomingen wordt geen oorzaakanalyse toegepast, waardoor
bijsturing het karakter van symptoombestrijding heeft. Op de primaire zorgprocessen is
recentelijk geen eigen controle uitgevoerd door Warande. Wel is door een externe
certificeringspartij een controle uitgevoerd met positieve uitkomsten. Omtrent de
uitkomsten van de financiële controles wordt separaat gerapporteerd aan de RvB. Ook hier
vervult risicomanagement nog geen integrale rol in de managementrapportage.
28
slechts gering aanwezig. Ten aanzien van de volwassenheidsfase (Risk maturity) van
risicomanagement bij Warande is deze in te delen in Fase 1 ‘Initial’: De organisatie is zich
niet bewust van de noodzaak van risicomanagement. Ze is niet bewust bezig met het leren
van risico-ervaringen of om zich voor te bereiden op risico’s en onzekerheden in de
toekomst.
4.3
Wat is de invloed van de wijze van inrichting bij de verschillende VVT’s op
de werking van het risicomanagementsysteem?
In deze paragraaf wordt nader ingegaan op de factoren die vanuit de inrichting van invloed
zijn op de werking van risicomanagement bij de VVT-instellingen.
Ten aanzien van de vijf inrichtingskenmerken geven de managers en de bestuurders aan dat
alle vijf de kenmerken van inrichting van invloed zijn op de juiste werking van
risicomanagement. De relatie tussen deze vijf kenmerken en de werking worden derhalve
bevestigd, en wordt in figuur 3 weergegeven.
Governance
Strategie en doelstellingen
Performance
Werking risicomanagement
Review en revisie
Informatie en communicatie
Ten aanzien van de invloed die deze elementen hebben op de werking zijn er de volgende
verschillen te constateren:
Governance
: Door de geïnterviewden wordt dit element als belangrijkste invloedsfactor
gezien op de werking van risicomanagement. De verantwoordelijkheid voor
risicomanagement is bij Beweging 3.0 belegd op het niveau van de RvB, bij Warande op het
niveau daaronder. Op basis hiervan zouden we kunnen concluderen dat de invloed op de
werking van deze factor bij beweging 3.0 positiever is dan bij Warande.
29
Strategie en doelstellingen
: Geen significante verschillen. Beide partijen hebben in de
strategische- en jaarplanning niet of nauwelijks aandacht voor risicomanagement en er zijn
dan ook geen concrete doelstellingen op dit gebied geformuleerd. Deze factor zal daardoor
een negatieve invloed hebben op de werking.
Performance:
Beide organisaties voeren (deels) risicoanalyses op operationeel niveau uit. Bij
Warande gebeurt dat echter niet aan de primaire zorgkant. Beweging 3.0 leunt ten aanzien
van deze risicoanalyse op de externe toezichthouder. Hierdoor is Beweging 3.0 in staat om
de door de toezichthouder belangrijk gevonden onderdelen eerst zelf te toetsen, waardoor
eventuele tekortkomingen kunnen worden weggenomen. De invloed van dit
inrichtingskenmerk werkt dan ook positief door in de werking bij Beweging 3.0. Bij Warande
weegt deze factor negatief door naar de werking.
Review en revisie:
Bij Warande wordt tweemaal per jaar een risicoanalyse op tactisch en
strategisch niveau uitgevoerd. Er hierop echter geen beheersmaatregelen geformuleerd,
waardoor de werking niet getoetst kan worden. Bij beweging 3.0 is geen sprake van
periodieke analyse van de tactische en strategische risico’s, doch zijn deze eenmalig vanuit
een urgent financieel probleem in kaart gebracht. Bij Warande werkt deze factor positiever
op de werking dan bij Beweging 3.0.
Informatie en communicatie:
Hier zijn er geen significante verschillen waar te nemen. Bij
beide partijen ontbreekt een integrale managementrapportage waarin tevens aandacht is
voor risicomanagement. Dit kenmerkt werkt derhalve negatief door in beide organisaties
4.4 Wat zijn de kenmerken van de invloedsfactoren bij de verschillende VVT’s?
De kenmerken van de invloedsfactoren zijn middels de vragen uit paragraaf 2.5 besproken in
de interviews met beide managers Finance & Control. De uitkomsten hiervan zijn
opgenomen in Bijlagen A en B.
4.4.1 CultuurBij beide organisaties is er ruimte om fouten te maken en hiervan te leren door
30
CAO voor de sector. Hierin zitten geen financiële prikkels die onethisch en/of illegaal gedrag
zouden kunnen aansporen. De beloningen bevatten uitsluitend vaste looncomponenten,
zonder enige vorm van bonusmogelijkheden.
4.4.2 Leiderschap
Ten aanzien van het leiderschap is er een verschil zichtbaar. Bij Beweging 3.0 is sprake van
een tweehoofdige Raad van Bestuur, daar waar de Raad van Bestuur bij Warande
éénhoofdig is. Er is bij Warande derhalve geen ‘countervailing power’ op het hoogste niveau
georganiseerd, waar dat bij Beweging 3.0 wel het geval is.
4.4.3 Alignment
Bij beide organisaties is risicomanagement geen integraal onderdeel van de
managementcyclus. Beide organisaties hebben op onderdelen zaken ingericht waardoor het
niet geheel duidelijk is voor medewerkers hoe deze zaken zich tot elkaar verhouden. Er is
daarnaast ook geen integrale rapportage ingericht waarin tevens gerapporteerd wordt over
de prestaties op het gebied van risicomanagement.
4.4.4 Systemen
Er zijn geen gestandaardiseerde systemen in gebruik waarmee de interne controle wordt
uitgevoerd. Beide organisaties werken met zelfontworpen Excel en/of Word bestanden voor
de uitvoering en de vastlegging van de interne controles.
4.4.5 Structuur
Op onderdelen zijn er afspraken gemaakt omtrent de periodiciteit van rapportage van de
uitkomsten van controles aan de Raad van Bestuur. Tevens zijn er afspraken gemaakt
omtrent de vorm waarin wordt gerapporteerd. Ten aanzien van de organisatiestructuur is
reeds vermeld dat er een verschil is in omvang van de Raad van Bestuur.
4.5 Wat is de invloed van de invloedsfactoren op de relatie tussen de inrichting
en de werking van een risicomanagementsysteem?
Beantwoording van deze deelvraag lijkt op basis van de antwoorden op de deelvragen
hierboven een lastige exercitie. Hieraan ligt ten grondslag dat beide organisaties slechts op
onderdelen risicomanagement hebben ingericht, waardoor de werking van de
31 4.5.1 Cultuur
Ten aanzien van de cultuur kan worden vastgesteld dat er vanuit dat perspectief geen
belemmeringen te verwachten zijn om vanuit een (integrale) inrichting van
risicomanagement te komen tot een goede werking hiervan. Er zijn geen cultuurelementen
aanwezig, zoals vanuit de theorie in hoofdstuk 2 behandeld, die het risicomanagement
negatief lijken te beïnvloeden.
4.5.2 Leiderschap
Ten aanzien van het leiderschap speelt de inrichting van de Raad van Bestuur een rol.
Countervailing power op het hoogste niveau en eindverantwoordelijkheid binnen de RvB
hebben een positieve invloed om van een goede inrichting te komen tot een juiste werking.
Bij Warande ontbreken beide componenten, terwijl deze elementen bij Beweging 3.0 wel
aanwezig zijn. Om vanuit de inrichting naar een goede werking te komen kan het leiderschap
bij Warande dan ook een belemmering vormen, daar waar dit bij Beweging 3.0 een positieve
invloed heeft.
4.5.3 Alignment
Ten aanzien van de componenten alignment, is de invloed op dit moment lastig te
beoordelen. Dit komt doordat er nog stappen moeten worden gezet ten aanzien van de
integrale inrichting van risicomanagement. Wel wordt duidelijk dat beide organisaties ten
aanzien van risicomanagement sterk leunen op de afdeling Finance & Control. Er is weinig
aandacht voor risicomanagement bij het overige management en medewerkers, waardoor
de samenhang tussen de elementen van risicomanagement in ieder geval bij die
doelgroepen niet geheel duidelijk lijkt.
4.5.4 Systemen en structuren32 4.5.5 Analyse en samenvatting
Zowel Warande als Beweging 3.0 heeft het risicomanagement nog niet integraal ingericht.
Om de invloed van de vijf factoren op de transitie ‘van inrichting naar werking’ te kunnen
bepalen is deze inrichting wel van essentieel belang. Hierdoor is de invloed van deze vijf
factoren in de praktijk lastig te beoordelen. Wel kan worden vastgesteld dat de factor ‘cultuur’
bij beide organisaties geen belemmeringen in zich lijkt te hebben om vanuit de inrichting van
risicomanagement naar een goede werking te komen. Ten aanzien van de factor ‘leiderschap’
kan worden vastgesteld dat de eigenschappen hiervan bij Warande een negatieve invloed
zouden kunnen hebben, waarbij deze eigenschappen ten positieve zouden kunnen werken bij
Beweging 3.0. Ten aanzien van alignment, structuren en systemen is dit op dit moment nog
niet vast te stellen. Hiervoor dient allereerst de integrale inrichting adequaat te worden
neergezet. Bovenstaande kan als volgt worden weergegeven (Figuur 4):
Cultuur
Leiderschap
Inrichting RM
Alignment
Systemen
Werking RM
Structuur
4.6 Belangrijkste verschillen en verbeterpunten voor de VVT-instellingen
In hoofdstuk 2 zijn de belangrijkste kenmerken voor inrichting en werking van
risicomanagement vanuit de theorie geformuleerd. Daarnaast zijn in dat hoofdstuk de
kenmerken van de invloedsfactoren vanuit de theorie benoemd. Vervolgens is de
aanwezigheid van deze kenmerken onderzocht bij de twee VVT-instellingen door middel van
een documentenstudie en interviews met sleutelfunctionarissen, en zijn de bevindingen
hiervan in het eerste deel van dit hoofdstuk vastgelegd. Op basis van confrontatie van de
theorie met de werkelijkheid zijn de verschillen tussen de instellingen vast te stellen. E.e.a.
wordt in de volgende paragraaf weergegeven.
33 4.6.1 Kenmerken en verschillen tussen de VVT instellingen.
In onderstaande tabel worden de kenmerken per in hoofdstuk 4 behandeld onderdeel in kaart
gebracht. Hierbij worden tevens de verschillen tussen beide instellingen zichtbaar.
Onderwerp Warande Beweging 3.0
Inrichting
-Governance Risicomanagement niet binnen RvB georganiseerd. Risicomanagement wel binnen RvB georganiseerd.
-Strategie en doelstellingen
Risicoanalyse opgenomen in
strategisch plan, geen doelstellingen inzake risicomanagement
opgenomen.
Geen risicoanalyse opgenomen in strategisch plan, geen doelstellingen inzake risicomanagement
opgenomen.
- Performance (risicoanalyse)
Risicoanalyse wordt op operationeel en tactisch/strategisch niveau uitgevoerd
Risicoanalyse wordt op operationeel niveau uitgevoerd
- Review en revisie Risico's worden periodiek opnieuw geanalyseerd. Risico's worden periodiek opnieuw geanalyseerd - Informatie en communicatie Geen integrale rapportage. Geen integrale rapportage.
Werking
- Urgentie topmanagement Risicomanagement niet in de top belegd. Urgentie komt niet vanuit top. Urgentie wordt vanuit de RvB gezien en uitgestraald. - Integrale verantwoordelijkheid Nee, belegd bij Finance & Control.
Nee, belegd bij Finance & Control en bestuurder.
-Kwaliteit Controles
Financieel: Onvoldoende, geen risicogerichte steekproef en gen oorzaakanalyse. Controles zorg: Niet zelf uitgevoerd, geen risicoanalyse.
Financieel: Onvoldoende, geen risicogerichte steekproef en geen oorzaakanalyse. Controles zorg: Gebaseerd op risicoanalyse
toezichthouder wel oorzaakanalyse.
-Rapportage
Er wordt middels separate rapportages aan de RvB
gerapporteerd omtrent operationele controles.
Er wordt middels separate rapportages aan de RvB
gerapporteerd omtrent operationele controles.
Invloedsfactoren
34
4.6.2 Verbeterpunten per organisatie
In deze paragraaf worden op basis van bovenstaande tabel per organisatie de
verbeterpunten geformuleerd:
Ten aanzien van Stichting Warande zijn de volgende verbeterpunten vanuit bovenstaande
analyse te onderkennen:
• Organiseer de eindverantwoordelijkheid voor risicomanagement binnen de Raad van Bestuur, van waaruit het belang van risicomanagement wordt uitgedragen. Overweeg hiertoe eventueel een migratie naar een tweehoofdige Raad van Bestuur;
• Neem in het strategisch plan ook doelstellingen op inzake risicomanagement, waarover periodiek wordt gerapporteerd;
• Stel een rapportage op waarin integraal over de performance van de organisatie wordt gerapporteerd, inclusief risicomanagement;
• Betrek het totale management bij het onderwerp risicomanagement, zodat het niet alleen gedragen wordt door de afdeling Finance & Control;
• Draag zorg voor een risicogerichte steekproef ten aanzien van de operationele controles; • Steun voor wat betreft de risicoanalyse op de zorgprocessen op de analyse van de externe
toezichthouder, en voer deze controles zelf uit;
• Draag zorg voor een oorzaakanalyse op gesignaleerde tekortkomingen, zodat bijsturing niet het karakter van symptoombestrijding krijgt;
• Vervaardig een raamwerk (structuur) voor de uitvoering van risicomanagement en draag de samenhang hiervan uit naar het management en betrokken medewerkers (alignment). In dit raamwerk zijn tevens de te hanteren hulpmiddelen en systemen opgenomen.
Ten aanzien van Stichting beweging 3.0 zijn onderstaande verbeterpunten vanuit de analyse te
onderkennen:
• Voer met het management een periodieke risicoanalyse uit op de geformuleerde doelstellingen in het strategisch plan en neem doelstellingen ten aanzien van risicomanagement op in het strategisch plan;
• Stel een rapportage op waarin integraal over de performance van de organisatie wordt gerapporteerd, inclusief risicomanagement;
• Betrek het totale management bij het onderwerp risicomanagement, zodat het niet alleen gedragen wordt door de afdeling Finance & Control;
• Draag zorg voor een risicogerichte steekproef ten aanzien van de operationele controles; • Draag zorg voor een oorzaakanalyse op gesignaleerde tekortkomingen, zodat bijsturing niet
het karakter van symptoombestrijding krijgt;
35
5 Conclusies en aanbevelingen
In dit onderzoek wordt ingegaan op de in hoofdstuk 1 opgenomen doelstelling en
vraagstelling van dit onderzoek. Daarnaast wordt de bijdrage van dit onderzoek besproken,
en zullen de beperkingen van het onderzoek uiteengezet worden. Vervolgens zal dit
hoofdstuk worden afgesloten met een paragraaf waarin de aanbevelingen voor
vervolgonderzoek en de aanbevelingen voor de praktijk worden weergegeven.
5.1 Conclusie
5.1.1 Doelstelling en vraagstelling
Het doel en de bijbehorende vraagstelling (paragraaf 1.4) van dit onderzoek was om
inzichtelijk te maken welke verschillen er zijn in de werking van het
risicomanagementsysteem bij VVT-instellingen, deze te analyseren en op basis daarvan
aanbevelingen te doen om de werking van het risicomanagementsysteem te verbeteren.
Door de oplopende regeldruk vanuit de overheid wordt de beheersing van een VVT-instelling
alsmaar complexer, hetgeen steeds hogere eisen stelt aan het risicomanagement.
Uit de bevindingen uit het onderzoek blijkt dat de vijf inrichtingscomponenten van het
COSO-model een belangrijke invloed hebben op de werking van een systeem van
risicomanagement. Daarnaast blijkt uit dit onderzoek dat de elementen cultuur en
leiderschap van invloed zijn op de transitie om van een inrichting naar een goede werking te
komen. Uit het onderzoek blijkt verder dat de inrichting van het risicomanagement bij beide
instellingen slechts fragmentarisch is uitgevoerd, waardoor hiaten in de werking van het
risicomanagement zichtbaar zijn. Hierdoor ontstaan blinde vlekken bij beide organisaties,
waardoor de organisaties het risico lopen verrast te worden door risico’s die zich
onverwacht manifesteren. Op basis van dit onderzoek zijn in respectievelijk paragraaf 4.6.1
en 4.6.2 de verschillen tussen beide organisaties en de verbeterpunten opgenomen.
5.1.2 Toegevoegde waarde36
aan de literatuur, omdat deze specifieke onderzoeksvraag niet in de bestaande literatuur
was beschreven. Tenslotte draagt dit onderzoek bij aan de informatievoorziening binnen
deze specifieke sector, die te maken heeft met een oplopende complexiteit en daarmee
oplopende risico’s.
5.2 Beperkingen aan dit onderzoek
Dit onderzoek kent een aantal beperkingen. Ten eerste is het onderzoek verricht bij twee
VVT-instellingen, waardoor de uitkomsten van het onderzoek uitsluitend toepasbaar zijn op
deze twee instellingen en niet generiek op de sector of andere organisaties kunnen worden
betrokken. Daarnaast blijkt uit het onderzoek dat beide organisaties nog relatief beperkt
hebben ingezet op de inrichting van integraal risicomanagement. Hierdoor zijn een aantal
variabelen uit het conceptuele model niet of nauwelijks te meten.
5.3 Aanbevelingen
5.3.1 Aanbevelingen voor vervolgonderzoek
In dit onderzoek is vooral gekeken naar de inrichting en de werking van risicomanagement
en de factoren die hierop van invloed zijn. Een aantal variabelen was niet of nauwelijks te
meten vanwege het feit dat beide instellingen slechts beperkt met de inrichting van
risicomanagement bezig zijn geweest. Het verdient derhalve aanbeveling om dit onderzoek
nogmaals uit te voeren bij instellingen die het volledige inrichtingstraject hebben doorlopen.
Ook zou een breder onderzoek bij VVT-instellingen naar de inbedding van risicomanagement
een aanvulling zijn op dit onderzoek. Dit onderzoek is onder andere gebaseerd op interviews
met enkele sleutelfiguren binnen de organisaties, waardoor het lastig te meten is of
Enterprise Risk Management binnen de hele organisatie wordt ondersteund.
5.3.2 Aanbevelingen aan de praktijkDe belangrijkste praktische aanbeveling voor beide instellingen is het opstarten van een
gestructureerde aanpak van de inrichting van risicomanagement. Hierdoor kunnen de
geconstateerde hiaten worden gedicht, waardoor het risico van blinde vlekken in de
risicobeheersing wordt gemitigeerd. Bij een dergelijke aanpak kan eventueel gebruik worden
gemaakt van bestaande modellen vanuit de theorie, zoals COSO ERM of ISO 31000.
37
om risicomanagement goed en blijvend uit te voeren als een integraal onderdeel van de
performance van de totale organisatie.
38