Kwaliteit van Risicomanagement, een casestudy

1

Kwaliteit van Risicomanagement, een casestudy

Door:

Pascal Wolf

Faculteit Bedrijfskunde en Economie, RUG

MscBa 18

2

Voorwoord

Voor u ligt mijn masterthesis ter afronding van mijn masteropleiding bedrijfskunde aan de

Rijksuniversiteit Groningen. Tijdens een oriëntatie op mijn toekomst kreeg ik de

mogelijkheid om bij een VVT-instelling op het gebied van risicomanagement enige tijd

ervaring op te doen. Deze periode heeft mij de inspiratie gegeven om dit tot het onderwerp

van mijn scriptie te verkiezen. Het volgen en afronden van mijn studie was niet mogelijk

geweest zonder de steun van vrienden, familie en docenten. Allereerst wil ik dan ook mijn

begeleider vanuit de universiteit drs. Marcel Bergervoet bedanken voor zijn professionele en

deskundige begeleiding. Mede door zijn deskundigheid, maar vooral ook motiverende

woorden heb ik deze opleiding tot een goed einde kunnen brengen. Ook wil ik mijn partner

Mariska Wolf danken voor de steun die zij me door de jaren heen gedurende mijn opleiding

heeft gegeven. Daarnaast wil ik uiteraard mijn dank uitbrengen aan de VVT-instellingen die

zo gastvrij mee hebben gewerkt aan deze scriptie. Ik ben de mensen van Stichting Warande

en Stichting Beweging 3.0 hiervoor veel dank verschuldigd.

Ik wens u veel plezier met het lezen van deze scriptie.

Pascal Wolf

3

Inhoudsopgave

Voorwoord ... 2 1 Introductie: Onderzoeksvoorstel ... 6 1.1 Inleiding ... 6 1.2 Onderzoeksdoel op hoofdlijnen ... 7 1.3 Theoretisch kader ... 7 1.4 Probleemstelling ... 10 1.4.1 Onderzoeksdoel ... 10 1.4.2 Onderzoeksvraag ... 10 1.4.3 Conceptueel model ... 10 1.4.4 Deelvragen ... 11 1.5 Methode ... 11 1.6 Academische relevantie ... 12 1.7 Maatschappelijke relevantie ... 13 1.8 Leeswijzer ... 13 2 Theoretisch kader ... 14 2.1 Inleiding: ... 14 2.2 Wat is risicomanagement? ... 14

2.3 Deelvraag 1: Wat zijn de kenmerken van de inrichting van een risicomanagementsysteem bij de verschillende VVT’s? ... 14

2.4 Deelvraag 2: Wat zijn de kenmerken van een goed werkend systeem van risicomanagement systeem bij de verschillende VVT’s? ... 16

2.4.1 Risk maturity ... 16

2.5 Wat zijn de kenmerken van de invloedsfactoren bij de verschillende VVT’s op de werking van het systeem van risicomanagement? ... 18

2.5.1 Cultuur ... 18

2.5.2 Leiderschap ... 19

2.5.3 Alignment ... 19

2.5.4 Systems ... 20

2.5.5 Structuur ... 20

2.6 Uitgewerkt conceptueel model ... 21

3 Onderzoeksmethodiek ... 22

4

3.2 Kwalitatief onderzoek ... 22

3.3 Dataverzameling: Onderzoekspopulatie en respons ... 22

3.4 Data-analyse ... 23

4 Analyse van onderzoeksresultaten ... 24

4.1 Kenmerken van de inrichting van het systeem van risicomanagement. ... 24

4.1.1 Governance ... 24 4.1.2 Strategie en doelstellingen ... 24 4.1.3 Performance ... 24 4.1.4 Review en Revisie ... 25 4.1.5 Informatie en communicatie ... 25 4.1.6 Samenvatting... 25

4.2 Kenmerken van de werking van het systeem van risicomanagement... 25

4.2.1 Beweging 3.0 ... 26

4.2.2 Warande... 27

4.3 Wat is de invloed van de wijze van inrichting bij de verschillende VVT’s op de werking van het risicomanagementsysteem? ... 28

4.4 Wat zijn de kenmerken van de invloedsfactoren bij de verschillende VVT’s? ... 29

4.4.1 Cultuur ... 29

4.4.2 Leiderschap ... 30

4.4.3 Alignment ... 30

4.4.4 Systemen ... 30

4.4.5 Structuur ... 30

4.5 Wat is de invloed van de invloedsfactoren op de relatie tussen de inrichting en de werking van een risicomanagementsysteem? ... 30

4.5.1 Cultuur ... 31

4.5.2 Leiderschap ... 31

4.5.3 Alignment ... 31

4.5.4 Systemen en structuren ... 31

4.5.5 Analyse en samenvatting ... 32

4.6 Belangrijkste verschillen en verbeterpunten voor de VVT-instellingen... 32

4.6.1 Kenmerken en verschillen tussen de VVT instellingen. ... 33

4.6.2 Verbeterpunten per organisatie ... 34

5 Conclusies en aanbevelingen ... 35

5.1 Conclusie ... 35

5

5.1.2 Toegevoegde waarde... 35

5.2 Beperkingen aan dit onderzoek ... 36

5.3 Aanbevelingen ... 36

5.3.1 Aanbevelingen voor vervolgonderzoek ... 36

5.3.2 Aanbevelingen aan de praktijk ... 36

Geraadpleegde literatuur ... 38

Bijlage A: Interviewverslagen Stichting Warande ... 40

Bijlage B: Interviewverslagen Beweging 3.0 ... 50

Bijlage C: Vragenlijst bestuurder en manager Finance & Control ... 61

6

1 Introductie: Onderzoeksvoorstel

1.1

Inleiding

Door de aantrekkende wet- en regelgeving wordt de beheersing van de Nederlandse VVT

instellingen (Verzorgings- en verplegingsinstellingen en thuiszorg) alsmaar complexer. In

2016 was 40% van deze instellingen verlieslatend, daar waar dat in 2015 nog 24% was.

Faillissementen van soms grote zorginstellingen komen de afgelopen jaren met regelmaat

voorbij.

Naast de financiële instabiliteit staat ook de kwaliteit van de zorg onder druk, ingegeven

door steeds verder oplopende personeelstekorten en onvoldoende naleving van

kwaliteitsprocedures. VVT-instellingen worden met regelmaat op de vingers getikt door de

toezichthoudende instantie IGJ (Inspectie voor de Gezondheidszorg en Jeugd), hetgeen leidt

tot verscherpt toezicht en/of financiële boetes (Zwarte lijst IGJ, 2016). Ondanks dat

bestuurders en toezichthouders in de zorg al een belangrijke professionaliseringslag hebben

gemaakt, blijkt uit verschillende incidenten dat slecht bestuur en onvoldoende intern

toezicht op een zorgaanbieder gevolgen kunnen hebben voor de kwaliteit, veiligheid en

continuïteit van de zorg (Schippers, Accountant, 2015). Uit onderzoek (Drew, Kelly en

Kendrik, 2006) blijkt dat slecht leiderschap, cultuur, een gebrek aan alignment,

organisatiestructuur en control systemen de werking van risicomanagementsystemen

negatief beïnvloeden. Zo werd VVT-instelling Charim in 2016 onder verscherpt toezicht

geplaatst. Er zou bij deze instelling volgens medewerkers sprake zijn van een angstcultuur

gevoed door het leiderschap van de bestuursvoorzitter (Skipr, 2016). IGJ constateerde in

2016 dat mede hierdoor sprake was van een verhoging van de patiënt onveiligheid.

Daarnaast is er in de sector sprake van schrijnende personeelstekorten (FNV Welzijn & Zorg,

2016) waardoor de kwaliteit van de (ouderen)zorg vaak te wensen over laat. Ouderen

moeten hierdoor vaak lang wachten voordat ze naar het toilet kunnen of een

incontinentieluier krijgen. Ook wordt medicatie door het personeelstekort vaker te laat of

verkeerd gegeven.

Bovenstaande roept de vraag op hoe het is gesteld met de kwaliteit van het

7

Uiteraard verschilt de kwaliteit van het risicomanagementsysteem per VVT-instelling. Op

basis van inspectierapporten is af te leiden dat er, naast slecht preseterende instellingen,

voldoende VVT-instellingen zijn die hun risicomanagementsysteem wel op orde hebben.

Risicomanagement is een iteratief proces waarin bewust wordt gekozen voor het al dan niet

implementeren van beheersingsmaatregelen naar aanleiding van ingeschatte risico’s.

Risico’s zijn ontwikkelingen en gebeurtenissen in de in- en externe omgeving van

organisaties die de realisatie van de doelstellingen van de organisatie kunnen bedreigen

(Doogsma, 2009). Het doel van risicomanagement is om op een zo effectief en efficiënt

mogelijke wijze te komen tot het realiseren van de doelstellingen van een organisatie.

1.2 Onderzoeksdoel op hoofdlijnen

Het doel van dit onderzoek is om op basis van een analyse van de ist-situatie van de werking

van risicomanagement bij VVT-instellingen, te komen tot verbeterpunten die de werking van

het systeem van risicomanagement kunnen aanscherpen. Dit om zowel financiële als

zorggerelateerde risico’s in een vroegtijdig stadium te herkennen en eventueel te kunnen

mitigeren, met als uiteindelijk doel het realiseren van de doelstellingen van de organisatie.

1.3

Theoretisch kader

Risicomanagement heeft in het laatste decennium veel aandacht gekregen in zowel de

private als de publieke sector (Lam, 2006). In toenemende mate wordt risicomanagement

beschouwd als een integraal onderdeel van de corporate governance van organisaties,

gegeven de aandacht die het krijgt in herzieningen in codes en regelgeving als Sarbanes

Oxley en de ‘Combined Code’ in het Verenigd Koninkrijk (Woods, 2009).

Hoewel risicobeheersing in de zorgsector in het verleden vooral ging om het beheersen van

medische risico’s, blijkt uit een casestudy (Van der Steen, 2016) dat de omgeving van

zorginstellingen dusdanig is veranderd, dat er toenemende behoefte is aan de beheersing

van bedrijfsmatige risico’s. Daar de overheid ondernemerschap in de zorg bevordert en de

zorginstellingen een toenemend aantal belanghebbenden kennen, zoals gemeenten,

8

Om de werking van een risicomanagementsysteem te kunnen meten, komen we in de

literatuur de term volwassenheid veelvuldig tegen. Het eerste specifiek op

risicomanagement gerichte volwassenheidsmodel komt van Beasley, Clune en Hermanson

(2005). Zij beschrijven een vijftal stadia van volwassenheid.

• Stadium 1: Geen plannen om risicomanagement te implementeren;

• Stadium 2: Onderzoeken risicomanagement, maar nog geen beslissing genomen; • Stadium 3: Plannen om risicomanagement te implementeren;

• Stadium 4: risicomanagement gedeeltelijk geïmplementeerd; • Stadium 5: risicomanagement volledig geïmplementeerd;

De door Beasley geformuleerde stadia lijken elkaar logisch op te volgen, doch zijn meer

gericht op het in kaart brengen van de implementatiefase dan op de werking van een RMS.

De 5 stadia-indeling van Beasley zijn ook de basis geweest van het in 2009 uitgevoerde

onderzoek van Koninklijke Nivra et al. maar dan in een aangepaste variant:

• Stadium 1: Risico’s worden op basis van incidenten vooral reactief gemanaged en er is nog geen enkele aanzet om te komen tot een integraal risicomanagementsysteem

• Stadium 2: Risico’s worden op deelgebieden (veiligheid, financieel etc.) preventief beheerst en we denken na over een organisatiebreed risicomanagementsysteem

• Stadium 3: Risico’s worden op deelgebieden proactief geïnventariseerd, in kaart gebracht en beheerst. Wij zijn van plan een organisatiebreed risicomanagementsysteem in te voeren • Stadium 4: Alle risico’s (strategisch, financieel, operationeel, compliance) worden proactief

geïnventariseerd, in kaart gebracht en beheerst. Wij zijn bezig een organisatiebreed risicomanagementsysteem in te voeren

9

fouten niet worden getolereerd, kan leiden tot het nemen van excessieve risico’s. Andere

extreme culturen, die een hoge mate van arrogantie met zich meebrengen, geheimhouding

stimuleren en/of leiden tot het niet willen toegeven van fouten, hebben bijvoorbeeld in de

financiële sector al tot desastreuze gevolgen geleid. Ten aanzien van de factor leiderschap

valt op te merken dat charismatische leiders vaak worden bewonderd om hun visie. Maar

hoe meer die leider zich heeft gecommitteerd aan die visie, des te minder zal hij openstaan

voor andere visies. Die eenzijdigheid kan leiden tot niet-realistische ambities en niet

haalbare strategieën. Met betrekking tot de factor alignment citeren Drew, Kelly en Kendrik

de definitie van Labovitz (2005): ‘Alignment is een situatie waarin mensen, key-processen en

strategie optimaal samenwerken als een tandem’. Dit is vaak het probleem bij grote

multinationals en grote overheidsorganisaties waarbij de bureaucratie zover is doorgevoerd

dat medewerkers de relatie tussen de procedures, hun werk en de strategische

doelstellingen van de organisatie niet meer zien. De auteurs stellen dat een goede interne

alignment een passend niveau van risicomanagement ondersteunt. Ten aanzien van de

factor systemen concluderen de auteurs dat goede controlesystemen het management

goede informatie opleveren om vast te stellen of de organisatie de risico’s in voldoende

mate beheerst. Met betrekking tot structuren blijkt op basis van onderzoek van Uzun,

Szewcezyk en Varma (2004) dat als het aantal onafhankelijke externe leden van de board,

het audit committee en de compensation committee toeneemt, de kans op

organisatiemissers afneemt. Hierdoor wordt het toezicht op het functioneren van

risicomanagement objectiever en dus effectiever.

Lee en Widener (2013) gebruiken het Competing Values model (Quinn & Rohrbaugh, 1983)

om de cultuur binnen een organisatie te duiden, en koppelen deze aan het gebruik van

Management Control Systemen (MCS) die gebruikt worden. Uit hun onderzoek blijkt dat de

cultuur van invloed is op de keuze voor een MCS waarvan risicomanagement een onderdeel

is. Verder blijkt dat organisaties met een bureaucratische cultuur niet of nauwelijks gebruik

maken van MCS. Organisaties waarbij sprake is van een resultaatgerichte cultuur leunen

daarentegen zwaar op MCS.

10

grotere bedrijfsgrootte wordt doorgaans geassocieerd met een toenemende reikwijdte en

complexiteit van risico's, waardoor de kans op risicomanagement-implementatie groter

wordt. Bovendien, volgens Beasley et al. (2005) en Golshan en Rasid (2012), hebben grotere

bedrijven ook de neiging om meer middelen te hebben om een risicomanagementsysteem

te implementeren. Bedrijven met een groter aandeel van institutioneel aandelenbezit

worden verondersteld te worden blootgesteld aan een hogere druk om een

risicomanagementsysteem in te voeren en neigen daarom eerder naar de implementatie van

een risicomanagement-raamwerk (zie Liebenberg en Hoyt, 2003; Hoyt en Liebenberg, 2011).

Bij de inrichting van een systeem van risicomanagement kan een keuze worden gemaakt uit

een aantal wereldwijde standaarden. De twee meest gehanteerde standaarden zijn ISO

31000 en het COSO model. Mits juist geïmplementeerd, kunnen beide standaarden leiden

tot een kwalitatief goed werkend risicomanagementsysteem (Gjerdum & Peter, 2011).

1.4 Probleemstelling

1.4.1 Onderzoeksdoel

Uit onderzoek blijkt dat er vijf factoren zijn die de werking van het risicomanagement

beïnvloeden, te weten: organisatiecultuur, leiderschap, alignment, systemen en structuren

Het doel van dit onderzoek is om inzichtelijk te maken welke verschillen er zijn in de werking

van het risicomanagementsysteem bij VVT-instellingen, deze te analyseren en op basis

daarvan aanbevelingen te doen om de werking van het risicomanagementsysteem te

verbeteren.

1.4.2 Onderzoeksvraag

Op basis van bovenstaande kan de volgende onderzoeksvraag worden gedefinieerd:

‘Welke verschillen zijn er in de werking van het risicomanagement bij de VVT-instellingen,

waardoor worden ze veroorzaakt en welke verbeteringen zijn er mogelijk?’

1.4.3 Conceptueel model

11

Figuur 1: Conceptueel model

Hierbij is de inrichting van het risicomanagementsysteem de onafhankelijke variabele. De

kwaliteitsbepalende factoren zijn modererende variabelen, de werking van

risicomanagementsysteem is de afhankelijke variabele.

1.4.4 Deelvragen

Vanuit de het conceptuele model kunnen de navolgende deelvragen worden afgeleid:

1. Wat zijn de kenmerken van de inrichting van een risicomanagementsysteem bij de

verschillende VVT’s?

2. Wat zijn de kenmerken van een goed werkend systeem van risicomanagement

systeem bij de verschillende VVT’s?

3. Wat zijn de kenmerken van de invloedsfactoren bij de verschillende VVT’s ?

4. Wat is de invloed van de wijze van inrichting bij de verschillende VVT’s op de werking

van het risicomanagementsysteem?

5. Wat is de invloed van de invloedsfactoren op de relatie tussen de inrichting en de

werking van een risicomanagementsysteem?

6. Wat zijn de verschillen in werking van een risicomanagementsysteem tussen de twee

organisaties en waardoor worden ze veroorzaakt?

7. Welke verbeteringen zijn er bij de verschillende VVT-instellingen te realiseren?

1.5 Methode

Voorliggend onderzoek betreft een kwalitatief onderzoek waarbij gebruik gemaakt wordt

een casestudy. Een casestudy kan worden gedefinieerd als de studie van een sociaal

fenomeen in één of een paar van haar manifestaties. Een casestudy vindt plaats in haar

natuurlijke omgeving, gedurende een bepaalde periode. De focus tijdens dit onderzoek ligt

12

op het verkrijgen van gedetailleerde interpretaties, beschrijvingen en verklaringen van

participanten betrokken bij het sociale fenomeen. De casestudy vindt plaats bij een tweetal

VVT-instellingen, waarbij dezelfde case wordt onderzocht. Daarom is sprake van een

multiple holistic case-study (R. Yin, 1994) waarbij de data wordt verzameld middels

vragenlijsten die in interviews worden besproken.

Onderstaand wordt per deelvraag toegelicht op welke wijze het onderzoek zal plaatsvinden:

1. Documenten- en literatuur studie en diepte-interviews

2. Literatuurstudie

3. Literatuurstudie

4. Document- en literatuurstudie, diepte-interviews met: het lijnmanagement, de

bestuurders en functionarissen van de afdeling Finance & Control (of een soortgelijke

afdeling met een andere benaming)

5. Diepte-interviews

6. Analyse van deelvragen 1 tot en met 5 en confrontatie van de uitkomsten van het

onderzoek bij de VVT-instellingen

7. Analyse uitkomsten deelvraag 6.

1.6 Academische relevantie

Zoals hierboven is te lezen, is er veel geschreven over de invloedsfactoren op de werking van

een risicomanagementsysteem (Drew, Kelly en Kendrik, 2006). Veel onderzoek is erop

gericht om de kwaliteitsbepalende factoren voor een goed werkend systeem van

risicomanagement te determineren. Daarnaast is veel geschreven over de implementatie

van risicomanagement en de methode waarmee een systeem van risicomanagement kan

worden ingericht (bijvoorbeeld COSO ERM of ISO31000). Wat binnen een sector tussen

organisaties echter de verschillen zijn in de werking van risicomanagementsystemen is nog

geen object van onderzoek geweest. Dit onderzoek beoogt dan ook deze verschillen bij

VVT-instellingen in kaart te brengen. Daarnaast worden de oorzaken van deze verschillen

13

1.7 Maatschappelijke relevantie

Het belang van risicomanagement in de VVT-sector wordt alsmaar groter. Enerzijds lijken

steeds meer instellingen niet goed in staat om hun financiële huishouding en risico’s die

hiermee gepaard gaan adequaat te beheersen, hetgeen ten koste gaat van het

continuïteitsperspectief van de instellingen en de sector. De constatering dat 40% van de

VVT-instellingen in 2016 verlieslatend was, en dat jaarlijks een aantal VVT-instellingen

failleert, geeft aan dat verbetering van de beheersing van financiële risico’s bittere noodzaak

is om onze ouderen in de toekomst voldoende zorg te kunnen bieden. Daarnaast worden

VVT-instellingen meer en meer verrast door externe toezichthouders (Inspectie voor de

Gezondheidszorg en Jeugd), die op basis van onderzoek bij VVT-instellingen constateert dat

de kwaliteit van de zorg niet op orde is. Het is van groot belang dat de gezondheidsrisico’s

die hiermee gepaard gaan voor onze ouderen worden beheerst. Dit onderzoek beoogt dan

ook om, op basis van een casestudy bij twee VVT-instellingen, te analyseren waar de

verschillen zitten ten aanzien van de werking van het systeem van risicomanagement en op

welke wijze de werking kan worden verbeterd.

1.8 Leeswijzer

14

2

Theoretisch kader

2.1 Inleiding:

In dit hoofdstuk wordt nader ingegaan op de eerder geformuleerde deelvragen. De

belangrijkste kenmerken zullen per deelvraag verder worden uitgewerkt. Hieraan

voorafgaande wordt eerst nog kort ingegaan op het begrip risicomanagement.

2.2 Wat is risicomanagement?

Deze paragraaf gaat in op de vraag: Wat is risicomanagement? In de wetenschappelijke

literatuur wordt risicomanagement veelal getypeerd als ERM (Enterprise Risk Management).

Volgens Mikes (2009) wordt ERM verdedigd als een strategisch management control

systeem. ERM is hierbij te vergelijken met management control systemen als value-based

management, activity based management en de balanced scorecard, zo stelt Mikes (2009).

In dit rapport worden ERM en risicomanagement als synoniemen beschouwd.

Om te komen tot een definitie is vanuit de literatuur gekeken hoe risicomanagement wordt

beschouwd. Droogsma (2009, p.263) definieert risicomanagement als volgt:

“Risicomanagement is een iteratief proces waarin bewust wordt gekozen voor het al dan niet

implementeren van beheersmaatregelen naar aanleiding van ingeschatte risico’s.”

Deze definitie impliceert dat risico’s bewust genomen worden. Risicomanagement gaat uit

van een gezond evenwicht tussen het nemen van risico’s en het creëren van waarde. Een

organisatie creëert waarde door het nemen van risico’s, maar riskeert waardevernietiging

wanneer deze risico’s onvoldoende worden beheerst.

2.3 Deelvraag 1: Wat zijn de kenmerken van de inrichting van een

risicomanagementsysteem bij de verschillende VVT’s?

15

zorgen dat een organisatie op de hoogte is van de stand van zaken met betrekking tot

processen, financiële rapportage en de relevante wet- en regelgeving (COSO 1992). In 2004

en in 2017 volgde een update van het oorspronkelijke model tot het COSO ERM 2017 model.

Inmiddels is het ICIF raamwerk wereldwijd uitgegroeid tot het leidende raamwerk voor

risicomanagement (Paape, 2006).

Het COSO ERM model bestaat uit vijf componenten en twintig principes die zijn ingericht

over de vijf componenten, hetgeen in het model als volgt wordt gestructureerd:

16

2.4 Deelvraag 2: Wat zijn de kenmerken van een goed werkend systeem

van risicomanagement systeem bij de verschillende VVT’s?

2.4.1 Risk maturity

Risk maturity is ontstaan vanuit het Process Maturity Framework (PMF), ontwikkeld door

Humphrey c.s. bij IBM (Humphrey, 1989). Hij ontwikkelde in een later stadium het Capability

Maturity Model (CMM) als doorontwikkeling van het PMF. Maturity is in het Nederlands te

vertalen als volwassenheid. In het kader van dit onderzoek spreken we over de

volwassenheid van het risicomanagement binnen een organisatie. Op basis van het CMM

kunnen processen worden ingedeeld in een vijftal niveau’s, waarbij de mate van maturity

per niveau toeneemt: initial, repeatable, defined, managed en optimizing. De ontwikkeling

van het CMM was in eerste instantie gericht op het proces van het ontwikkelen van

software, maar wordt tegenwoordig ook voor andere doeleinden gebruikt, waaronder

risicomanagement. De verschillende niveau’s van Risk Maturity laten zich als volgt

omschrijven:

2.4.1.1 Niveau 1: Initial

De organisatie is zich niet bewust van de noodzaak van risicomanagement. Ze is niet bewust

bezig met het leren van risico-ervaringen of om zich voor te bereiden op risico’s en

onzekerheden in de toekomst.

2.4.1.2 Niveau 2: Repeatable

De organisatie experimenteert met het toepassen van risicomanagement, maar doet dit niet

op een gestructureerde en geformaliseerde wijze. Risicomanagement wordt gedragen door

een of enkele functionarissen.

2.4.1.3 Niveau 3: Defined

De organisatie past geformaliseerd en gestructureerd risicomanagement toe. Algemene

risicoprocessen zijn ingericht en worden op verschillende plekken in de organisatie

toegepast, echter nog niet overal consequent.

2.4.1.4 Niveau 4: Managed

17

2.4.1.5 Niveau 5: Optimizing

De organisatie benadert risicomanagement proactief binnen de gehele organisatie.

Risicomanagement is volledig geïntegreerd in de cultuur van de organisatie en is een vast

onderdeel van besluitvormingsprocessen.

Om een organisatie te kunnen beoordelen op haar risk maturity is het allereerst zaak om

criteria te formuleren op basis waarvan de maturity wordt getoetst. Hierbij is het van belang

om de belangrijkste kenmerken en eigenschappen van effectief ERM te kennen. Op basis van

deze kenmerken kan bij een organisatie worden getoetst in welke mate de organisatie risk

mature is. Naast COSO ERM 2017 is ISO31000 een systeem aan de hand waarvan

risicomanagement kan worden ingericht en geïmplementeerd. ISO31000 komt voort uit een

consensus van risicospecialisten wereldwijd.

Op basis van ISO31000 is de volgende lijst met beoordelingscriteria opgesteld, waarmee de

effectiviteit van ERM kan worden gemeten.

• In het topmanagement is mandaat en toewijding aanwezig om risicomanagement te implementeren en blijvend van de benodigde resources te voorzien;

• Risicomanagement wordt vanuit het topmanagement gecoördineerd;

• Er is een Chief Risk Officer (CRO) of iemand met een vergelijkbare functie, met directe toegang tot de Raad van Bestuur (RvB);

• Er is een separate afdeling voor risicomanagement;

• Er wordt gebruik gemaakt van een risicomanagementraamwerk dat aansluit bij de eigen specifieke situatie van de organisatie;

• Er wordt een volledig en up-to-date risicobestand (riskfile) bijgehouden;

• De risico’s waaraan de organisatie wordt blootgesteld, zijn geïdentificeerd, geanalyseerd en geëvalueerd op basis van de risicocriteria;

• Het bepalen en in kaart brengen van de prestaties van het risicomanagement is een integraal onderdeel van het meten en in kaart brengen van de prestaties van de organisatie;

• De organisatie zet zich in om ervoor te zorgen dat alle leden van de organisatie zich volledig bewust zijn van de risico’s, de beheersmiddelen en de taken waarvoor zij verantwoordelijk zijn;

18 beschikken over de autoriteit, tijd, training, middelen en competenties die nodig zijn om hun verantwoordelijkheden te kunnen nakomen en zij zijn in staat om effectief met interne en externe betrokkenen te communiceren over risico’s en het management daarvan;

• Een gedegen risicoanalyse vormt de basis voor de controleplanning;

• Voorafgaand aan de uitvoering van controles wordt een risicogerichte steekproef getrokken; • Bij geconstateerde tekortkomingen wordt een gedegen oorzaakanalyse uitgevoerd;

• Communicatie met interne en externe belanghebbenden wordt beschouwd als een integraal en essentieel component van risicomanagement;

• Als onderdeel van goede governance is er sprake van uitvoerige rapportage met betrekking tot het functioneren van het risicomanagement;

• Risicomanagement wordt binnen de gehele organisatie algemeen beschouwd als een centraal en integraal onderdeel van het managementproces.

2.5 Wat zijn de kenmerken van de invloedsfactoren bij de verschillende

VVT’s op de werking van het systeem van risicomanagement?

Effectief risicomanagement moet in de volle breedte van de organisatie worden

gedefinieerd om strategische missers te voorkomen. Er worden in de literatuur een vijftal

geïntegreerde elementen onderscheiden die een organisatie helpen om de geïdentificeerde

risico’s te managen en derhalve invloed hebben op de werking van risicomanagement

(Drew, A., Kelley, P.C., Kendrick, T., 2005). Zij onderscheiden de volgende vijf

invloedsfactoren:

• Cultuur; • Leiderschap; • Alignment; • Systemen; • Structuur.

In de navolgende paragrafen zal nader op deze factoren worden ingegaan.

2.5.1 Cultuur

19

sleutelfiguren plaatsvindt. Sleutelfiguren voor een organisatie zijn medewerkers, klanten,

leveranciers en concurrenten.

Volgens Drew, Kelly en Kendrick (2005) zijn onderstaande vragen/elementen van cultuur van

belang om te onderzoeken of de organisatiecultuur een goede corporate governance en

strategisch riskmanagement ondersteunt:

• Tempert de cultuur de drive voor ondernemerschap en succes met een tolerantie voor incidentele fouten? Voelen medewerkers zich vrij om problemen aan de orde te stellen, zonder angst voor negatieve consequenties?

• Streeft de organisatie kortetermijndoelstellingen na, en is hierbij sprake van angst en extreme druk gepaard gaande met het niet realiseren van die doelstellingen?

• Werkt het beloningssysteem onacceptabel, onethisch of illegaal gedrag in de hand? 2.5.2 Leiderschap

Leidt charismatisch leiderschap tot betere resultaten? Tosi, Misngyi, Fanelli, Waldman en

Yammarino (2004) bestudeerden 59 CEO’s uit de Fortune 500 en volgden hen over een

periode van 10 jaar, om te bezien of charismatisch leiderschap een relatie heeft met een

verbeterde performance van de organisatie. Hierbij werd wel een relatie gevonden tussen

CEO-charisma en het beloningspakket, alsmede de aandelenwaarde. Er werd echter geen

relatie gevonden met bredere performance indicatoren van die organisaties. Volgens Drew,

Kelly en Kendrick (2005) zijn onderstaande vragen/elementen van leiderschap van belang

om te onderzoeken of leiderschap een goede corporate governance en strategisch

riskmanagement ondersteunt:

• Is er veel macht belegd bij de leider(s)?

• Is er sprake van voldoende countervailing power in de top?

• Worden de leiders niet uitsluitend afgerekend op korte termijn doelstellingen, maar ook op lange termijn strategische doelstellingen?

2.5.3 Alignment

20

riskmanagement, governance, en rapportagesystemen. Onderstaande vragen kunnen de

organisatie helpen beoordelen op de alignment van deze aspecten:

• Tonen recente acties en performance van de organisatie verschijnselen van het niet op elkaar afgestemd zijn van taken?

• Is er binnen de leiding consensus over corporate governance, risk management en interne rapportage, en hoe deze op elkaar afgestemd dienen te zijn?

• Zijn de verantwoordelijkheden van het senior management en governance, audit en riskmanagement committees goed op elkaar afgestemd om te voldoen aan de regelgeving? 2.5.4 Systems

Om het management van risico’s te verbeteren zijn adequate systemen noodzakelijk om

risico’s te identificeren, analyseren, voorspellen en te managen. De organisatie kan de

onderstaande vragen/elementen hanteren om bestaande systemen en hun toegevoegde

waarde aan beheersing, rapportage en overall risicomanagement te toetsen:

• Beschikt de organisatie over een effectief en gestandaardiseerd systeem van interne controle en financiële rapportage?

• Bekijkt de organisatie regelmatig de veranderingen in de business en in regelgeving die effect hebben op de interne controle?

• Welke systemen worden gebruikt om risico’s binnen de organisatie te identificeren, te beoordelen en te mitigeren?

2.5.5 Structuur

Het afstemmen van de organisatiestructuur ter ondersteuning van risicomanagement is een

uitdaging voor organisaties. Om te beoordelen of de structuur in voldoende mate

risicomanagement ondersteunt kunnen de komen de navolgende vragen/elementen aan de

orde:

• Is de verantwoordelijkheid voor riskmanagement op het hoogste niveau belegd?

• Zijn er belangrijke rollen weggelegd voor interne auditors en riskmanagers, met de juiste structuren voor rapportage aan het senior management en de Raad van Bestuur?

21

2.6 Uitgewerkt conceptueel model

In paragraaf 1.4.3 is het conceptuele model weergegeven. Op basis van de kenmerken die in

dit hoofdstuk zijn behandeld, wordt onderstaand het uitgewerkte conceptuele model

weergegeven (Figuur 2):

Inrichting RM model

1. Inrichting governance;

2. RM in strategisch plan en doelstellingen geformuleerd; 3. Performance: uitvoeren risicoanalyse;

4. Review en revisie: Herijking van risico’s;

5. Informatie en communicatie: integrale rapportage.

Werking RM model

1. Mandaat en toewijding topmanagement; 2. Coördinatie vanuit topmanagement; 3. CRO aanwezig of vergelijkbare funtionaris; 4. Separate afdeling risicomanagement; 5. Risicomanagementraamwerk in gebruik; 6. Er wordt een riskfile bijgehouden;

7. Identificatie, analyse en evaluatie van risico’s o.b.v. criteria; 8. Prestaties RM integraal onderdeel van performance; 9. Organisatieleden volledig bewust van risico’s;

10. Functionarissen verantwoordelijk voor risico’s en analyse; 11. Risicoanalyse basis voor controleplanning;

12. Steekproef risicogericht;

13. Oorzaakanalyse bij tekortkomingen;

14. Communicatie met in- en externe belanghebbenden; 15. Uitvoerige rapportage risicomanagement;

16. RM is integraal onderdeel van managementproces.

Invloedsfactoren:

Cultuur: Leiderschap:

1. Ruimte om fouten te maken; 1. Veel macht bij leiders; 2. Korte termijn doelen en angstcultuur; 2. Countervailing power;

3. Beloningssysteem geeft perverse prikkels. 3. Afgerekend op korte termijn doelstellingen.

Alignment: Systemen:

1. Taken op elkaar afgestemd; 1. Standaard systeem interne controle;

2. Verhouding risk/governance/rapportage helder; 2. Veranderingen in- en extern worden afgewogen; 3. Verantwoordelijkheden op elkaar afgestemd. 3. Systemen voor risicoanalyse.

Structuur:

1. Verantwoordelijkheid op hoogste niveau; 2. Juiste rapportagestructuren;

3. Verantwoordelijkheid binnen hele organisatie belegd.

22

3 Onderzoeksmethodiek

3.1 Inleiding

In dit hoofdstuk zal aandacht worden besteed aan de onderzoeksmethode en de factoren uit

de probleemstelling in hoofdstuk 1. In dit hoofdstuk wordt tevens ingegaan op de

onderzoekspopulatie, de documentenstudie en de gehouden interviews met bestuurders,

managers Finance & Control en controllers van de onderzochte VVT-instellingen.

3.2 Kwalitatief onderzoek

Om de onderzoeksvraag te kunnen beantwoorden is voor een kwalitatief onderzoek

gekozen, omdat deze vorm van onderzoek een beeld geeft van de wensen, ervaringen,

meningen en behoeften van de te interviewen doelgroep. De vorm waarin dit kwalitatieve

onderzoek wordt uitgevoerd is een casestudy bij een tweetal VVT-instellingen. De eisen die

een zogenaamde multiple holistic case study stelt aan het onderzoek, is dat dezelfde

casestudy wordt uitgevoerd bij verschillende organisaties of organisatieonderdelen.

De benodigde informatie om de onderzoeksvraag te kunnen beantwoorden is verkregen uit

opgevraagde documenten en interviews met een viertal functionarissen bij elk van de twee

onderzochte VVT-instellingen. De interviews zijn gebaseerd op de vragen en stellingen die

voortvloeien uit het conceptuele model vanuit de literatuur die in hoofdstuk 2 aan de orde

zijn gekomen. De verslagen van de interviews zijn opgenomen in de bijlagen A en B. In

bijlage C is de vragenlijst opgenomen die tijdens de interviews met de bestuurders en met

de managers Finance & Control is gehanteerd, gebaseerd op het conceptuele model uit

paragraaf 2.6. In tegenstelling tot een kwantitatief onderzoek, is een kwalitatief onderzoek

beperkter van aard. In het kwalitatief onderzoek, wordt vaak een aantal casestudies

behandeld, die leiden tot een conclusie.

3.3 Dataverzameling: Onderzoekspopulatie en respons

23

aangestuurd door een Raad van Bestuur. Onder de Raad van Bestuur zijn enerzijds het

zorgmanagement georganiseerd en anderzijds de ondersteunende diensten (o.a. Finance &

Control). Om de onderzoeksvragen met betrekking tot de inrichting van risicomanagement

te kunnen beantwoorden heb ik een documentenstudie uitgevoerd. Bij beide instellingen

zijn de volgende documenten beoordeeld: Strategisch (meerjaren) plan, risicoanalyse,

controleplanning, managementrapportage en de laatste rapportages omtrent de interne

controles. De uitgevoerde interviews hebben plaatsgevonden met de volgende

functionarissen: Bestuurder met risicomanagement in portefeuille, manager Finance &

Control, AO/IC functionaris en de controller die belast is met de interne controle op de

primaire zorgprocessen.

3.4 Data-analyse

De uit de interviews verkregen data dient te worden geanalyseerd. Dit houdt in dat data

wordt gecodeerd, gecategoriseerd en binnen bepaalde thema’s wordt geplaatst. Boeije

(2014) geeft aan dat het proces van coderen wordt gezien als een belangrijk onderdeel van

het analyseren van interviewuitkomsten. De onderzoeker kan hierdoor de onderwerpen en

thema’s van elkaar onderscheiden en de data onder de betreffende thema’s plaatsen. De

verzamelde data wordt allereerst gelabeld en geordend op bepaalde termen om hieraan een

betekenis te kunnen geven. Op deze manier kan de onderzoeker de data coderen en

kwalificeren en vervolgens clusteren (Galletta, 2012). In bijlage D is het gehanteerde

codeerschema opgenomen dat gebruikt is om tot de interviewverslagen te komen. Als we

kijken naar de achtergrond van de functionarissen, dan blijkt dat de functionarissen bij

Stichting Warande grotendeels een achtergrond hebben vanuit de zorgsector. De

functionarissen bij Stichting Beweging 3.0 hebben veel meer een achtergrond in de zorg,

gecombineerd met een accountancy achtergrond. Dit verschil in achtergrond zou kunnen

uitmonden in meer of minder urgentiebesef ten aanzien van het onderwerp

24

4 Analyse van onderzoeksresultaten

In dit hoofdstuk wordt op basis van de documentenstudie en de interviews antwoord

gegeven op de in hoofdstuk 1 geformuleerde deelvragen.

4.1 Kenmerken van de inrichting van het systeem van risicomanagement.

Vanuit de theorie uit hoofdstuk 2 worden belangrijke kenmerken voor de inrichting van

risicomanagement (ERM COSO) ingedeeld in Governance, strategie en doelstellingen,

performance, review en revisie, en informatie en communicatie. Onderstaand wordt per

onderdeel aangegeven of deze kenmerken bij de VVT-instellingen aanwezig zijn.

4.1.1 Governance

Bij Beweging 3.0 is sprake van een tweehoofdige Raad van Bestuur, bestaande uit een

voorzitter en een lid. De voorzitter is verantwoordelijk voor het primaire zorgbedrijf, het lid

van de RvB is verantwoordelijk voor finance, control en risicomanagement. Bij Warande is

sprake van een éénhoofdige RvB, waarbij de eindverantwoordelijkheid voor

risicomanagement is belegd bij de manager Finance & Control.

4.1.2 Strategie en doelstellingen

In het strategisch plan 2017 – 2021 van Beweging 3.0 wordt geen aandacht besteedt aan

risicomanagement. Daarentegen is er vanuit financiële urgentie in 2017 een herstelplan

opgesteld waarin de problemen op tactisch en strategisch niveau zijn geïnventariseerd.

Hierover wordt periodiek met het management gesproken en de voortgang van de

geformuleerde beheersmaatregelen wordt periodiek besproken met de Raad van Toezicht.

In het strategisch plan 2015 – 2018 van Warande worden de tactische en strategische risico’s

geïnventariseerd. Er worden echter geen beheersmaatregelen geformuleerd.

De mate waarin de organisatie bereid is om risico’s te nemen, de riskappetite, wordt bij

beide organisaties niet vastgesteld. Ook zijn er ten aanzien van risicomanagement geen

doelstellingen opgenomen in de strategische- en jaarplannen van beide organisaties.

4.1.3 Performance

Bij beide organisaties wordt op operationeel niveau deels een risicoanalyse uitgevoerd. Deze

risicoanalyse vormt de basis voor de controleplanning en de onderwerpen die aan controle

onderhevig zijn. Bij Warande wordt tweemaal per jaar een risicoanalyse op

25

urgentie de strategische en tactische risico’s geformuleerd. Er zijn echter geen afspraken

vanuit risicomanagement om deze analyse periodiek uit te voeren. Door Warande worden

risico’s geprioriteerd door een inschatting te maken van de kans dat het risico zich voordoet

en de impact die dat heeft. Bij Beweging 3.0 worden de risico’s niet geprioriteerd.

4.1.4 Review en Revisie

Bij Warande worden de risico’s op tactisch en strategisch niveau periodiek (twee maal per

jaar) geactualiseerd, waarbij tevens aandacht is voor eventuele nieuwe risico’s vanuit

veranderingen in de in- en/of externe omgeving. Beweging 3.0 voert geen periodieke

risicoanalyse uit op tactisch/strategisch niveau, als risico’s zich openbaren wordt hierop ad

hoc gereageerd en worden beheersmaatregelen geïmplementeerd. Op operationeel niveau

voeren beide organisaties periodiek een risicoanalyse uit ten aanzien van de financiële

processen. Ten aanzien van de zorgprocessen wordt door Beweging 3.0 geleund op de

risicoanalyse die door de toezichthoudende instantie (Inspectie voor de Gezondheidszorg en

Jeugd) periodiek wordt uitgevoerd. Bij Warande wordt ten aanzien van deze processen geen

risicoanalyse uitgevoerd.

4.1.5 Informatie en communicatie

Bij beide organisaties ontbreekt het aan een periodieke integrale rapportage waarin tevens

aandacht is voor risicomanagement. Uitkomsten van operationele controles worden

periodiek door de auditor gerapporteerd aan de RvB, deze rapportage wordt niet besproken

met de RvT.

4.1.6 Samenvatting

Afgemeten aan de theorie uit hoofdstuk 2 ten aanzien van de inrichting van een systeem van

risicomanagement, kan worden vastgesteld dat bij beide organisaties geen sprake is van de

inrichting van een organisatie breed systeem van risicomanagement. Elementen van

inrichting zijn wel aanwezig, doch een integrale inrichting van risicomanagement ontbreekt

nog.

4.2 Kenmerken van de werking van het systeem van risicomanagement.

De kenmerken van een goede werking van een systeem van risicomanagement, op basis van

ISO1000, vanuit de theorie zijn opgenomen in paragraaf 2.4. Onderstaand wordt de

26 4.2.1 Beweging 3.0

Binnen de Raad van Bestuur is urgentie voor de goede werking van risicomanagement

aanwezig. De bestuurder geeft het volgende daarover aan: ‘De urgentie van een goed

werkend systeem van risicomanagement is twee jaar geleden extra benadrukt. In die

periode werden we verrast door financiële risico’s die de organisatie niet in beeld had,

waardoor we niet ver van een faillissement af stonden. Vanaf die periode zijn we

nadrukkelijker met risico’s bezig. De volgende stap die we willen zetten is die naar integraal

risicomanagement’. In het gesprek met de manager Finance & Control wordt deze urgentie

bevestigd: ‘Risicomanagement wordt veel meer vanuit de Raad van Bestuur uitgedragen en

gecoördineerd dan voor de financiële crisis waarmee we te maken hebben gehad. Ten

aanzien van het belang van risicomanagement zitten we op dezelfde lijn als de Raad van

Bestuur, en willen we op korte termijn naar een integraal systeem. Risicomanagement is nu

nog niet de integrale verantwoordelijkheid van de gehele organisatie, doch leunt sterk op de

afdeling Finance & Control en de bestuurder met risicomanagement in de portefeuille’.

Er wordt nog op zeer beperkte schaal een risicoanalyse uitgevoerd, waardoor de uitgevoerde

controles op de financiële processen onvoldoende risicogericht zijn. Ook bij het nemen van

een steekproef wordt niet risicogericht gekeken naar de populatie. Ten aanzien van de

zorgprocessen wordt geleund op de risicoanalyse die door de toezichthouder wordt

uitgevoerd. De betreffende controller zegt hierover: ’Door te steunen op de risicoanalyse en

de controleonderwerpen van de toezichthouder, willen we voorkomen dat we door de

controles die de toezichthouder uitvoert worden verrast. We willen zelf kunnen vaststellen

of we die onderdelen op orde hebben’.

Ten aanzien van alle operationele controles is sprake van een aselecte steekproef, waarbij

het risico gelopen wordt dat belangrijke tekortkomingen binnen de organisatie worden

gemist. Op operationeel niveau worden zowel op de primaire zorgprocessen, als ook op de

financiële processen, controles uitgevoerd conform de controleplanningen. Bij

tekortkomingen wordt niet zichtbaar een oorzaakanalyse uitgevoerd, waardoor het risico

wordt gelopen dat bijsturing een vorm van symptoombestrijding wordt in plaats van dat de

oorzaak van de tekortkomingen weggenomen wordt. Omtrent de uitkomsten van

27

Formele vastlegging van taken, rollen en bevoegdheden ontbreekt nog bij Beweging 3.0. De

geïnterviewde functionarissen geven aan in de nabije toekomst ERM verder vorm te willen

geven. In tegenstelling tot de achterblijvende formele vastleggingen blijkt uit documenten

en gesprekken wel dat er impliciet veel aandacht is voor risico’s en risicomanagement, ook al

doordat de organisatie recent te kampen heeft gehad met aanzienlijke vraagstukken op het

gebied van risicomanagement. Ten aanzien van de volwassenheidsfase (Risk maturity) van

risicomanagement bij Beweging 3.0 is deze in te delen in Fase 2 ‘Repeatable’: ‘De organisatie

experimenteert met het toepassen van risicomanagement, maar doet dit niet op een

gestructureerde en geformaliseerde wijze. Risicomanagement wordt gedragen door een of

enkele functionarissen.’

4.2.2 Warande

De Raad van Bestuur bij Warande is éénhoofdig. De verantwoordelijkheid voor

risicomanagement is belegd bij de manager Finance & Control en derhalve niet op het

hoogste niveau. De betreffende manager geeft daarover het volgende aan: ‘Ik ben zelf

eindverantwoordelijk voor dat onderdeel. Vanuit de RvB werd de nadruk de afgelopen jaren

gelegd op reparatie van de dossiers die door de externe toezichthouder als onvoldoende

aangemerkt waren en niet op risicomanagement’. Het gevaar hiervan schuilt erin dat er te

weinig ‘countervailing power’ richting RvB aanwezig is. Zoals gezegd wordt door Warande

periodiek een risicoanalyse op tactisch/strategisch niveau uitgevoerd. De werking van de

geformuleerde beheersmaatregelen wordt echter niet getoetst. Hierdoor lijkt deze

risicoanalyse zijn doel te missen. Op operationeel niveau wordt een risicoanalyse

uitgevoerde op de financiële processen. Deze wordt echter uitgevoerd door de functionaris

die tevens de betreffende controles uitvoert en verder niet gedeeld binnen de organisatie.

Op gesignaleerde tekortkomingen wordt geen oorzaakanalyse toegepast, waardoor

bijsturing het karakter van symptoombestrijding heeft. Op de primaire zorgprocessen is

recentelijk geen eigen controle uitgevoerd door Warande. Wel is door een externe

certificeringspartij een controle uitgevoerd met positieve uitkomsten. Omtrent de

uitkomsten van de financiële controles wordt separaat gerapporteerd aan de RvB. Ook hier

vervult risicomanagement nog geen integrale rol in de managementrapportage.

28

slechts gering aanwezig. Ten aanzien van de volwassenheidsfase (Risk maturity) van

risicomanagement bij Warande is deze in te delen in Fase 1 ‘Initial’: De organisatie is zich

niet bewust van de noodzaak van risicomanagement. Ze is niet bewust bezig met het leren

van risico-ervaringen of om zich voor te bereiden op risico’s en onzekerheden in de

toekomst.

4.3

Wat is de invloed van de wijze van inrichting bij de verschillende VVT’s op

de werking van het risicomanagementsysteem?

In deze paragraaf wordt nader ingegaan op de factoren die vanuit de inrichting van invloed

zijn op de werking van risicomanagement bij de VVT-instellingen.

Ten aanzien van de vijf inrichtingskenmerken geven de managers en de bestuurders aan dat

alle vijf de kenmerken van inrichting van invloed zijn op de juiste werking van

risicomanagement. De relatie tussen deze vijf kenmerken en de werking worden derhalve

bevestigd, en wordt in figuur 3 weergegeven.

Governance

Strategie en doelstellingen

Performance

Werking risicomanagement

Review en revisie

Informatie en communicatie

Ten aanzien van de invloed die deze elementen hebben op de werking zijn er de volgende

verschillen te constateren:

Governance

: Door de geïnterviewden wordt dit element als belangrijkste invloedsfactor

gezien op de werking van risicomanagement. De verantwoordelijkheid voor

risicomanagement is bij Beweging 3.0 belegd op het niveau van de RvB, bij Warande op het

niveau daaronder. Op basis hiervan zouden we kunnen concluderen dat de invloed op de

werking van deze factor bij beweging 3.0 positiever is dan bij Warande.

29

Strategie en doelstellingen

: Geen significante verschillen. Beide partijen hebben in de

strategische- en jaarplanning niet of nauwelijks aandacht voor risicomanagement en er zijn

dan ook geen concrete doelstellingen op dit gebied geformuleerd. Deze factor zal daardoor

een negatieve invloed hebben op de werking.

Performance:

Beide organisaties voeren (deels) risicoanalyses op operationeel niveau uit. Bij

Warande gebeurt dat echter niet aan de primaire zorgkant. Beweging 3.0 leunt ten aanzien

van deze risicoanalyse op de externe toezichthouder. Hierdoor is Beweging 3.0 in staat om

de door de toezichthouder belangrijk gevonden onderdelen eerst zelf te toetsen, waardoor

eventuele tekortkomingen kunnen worden weggenomen. De invloed van dit

inrichtingskenmerk werkt dan ook positief door in de werking bij Beweging 3.0. Bij Warande

weegt deze factor negatief door naar de werking.

Review en revisie:

Bij Warande wordt tweemaal per jaar een risicoanalyse op tactisch en

strategisch niveau uitgevoerd. Er hierop echter geen beheersmaatregelen geformuleerd,

waardoor de werking niet getoetst kan worden. Bij beweging 3.0 is geen sprake van

periodieke analyse van de tactische en strategische risico’s, doch zijn deze eenmalig vanuit

een urgent financieel probleem in kaart gebracht. Bij Warande werkt deze factor positiever

op de werking dan bij Beweging 3.0.

Informatie en communicatie:

Hier zijn er geen significante verschillen waar te nemen. Bij

beide partijen ontbreekt een integrale managementrapportage waarin tevens aandacht is

voor risicomanagement. Dit kenmerkt werkt derhalve negatief door in beide organisaties

4.4 Wat zijn de kenmerken van de invloedsfactoren bij de verschillende VVT’s?

De kenmerken van de invloedsfactoren zijn middels de vragen uit paragraaf 2.5 besproken in

de interviews met beide managers Finance & Control. De uitkomsten hiervan zijn

opgenomen in Bijlagen A en B.

4.4.1 Cultuur

Bij beide organisaties is er ruimte om fouten te maken en hiervan te leren door

30

CAO voor de sector. Hierin zitten geen financiële prikkels die onethisch en/of illegaal gedrag

zouden kunnen aansporen. De beloningen bevatten uitsluitend vaste looncomponenten,

zonder enige vorm van bonusmogelijkheden.

4.4.2 Leiderschap

Ten aanzien van het leiderschap is er een verschil zichtbaar. Bij Beweging 3.0 is sprake van

een tweehoofdige Raad van Bestuur, daar waar de Raad van Bestuur bij Warande

éénhoofdig is. Er is bij Warande derhalve geen ‘countervailing power’ op het hoogste niveau

georganiseerd, waar dat bij Beweging 3.0 wel het geval is.

4.4.3 Alignment

Bij beide organisaties is risicomanagement geen integraal onderdeel van de

managementcyclus. Beide organisaties hebben op onderdelen zaken ingericht waardoor het

niet geheel duidelijk is voor medewerkers hoe deze zaken zich tot elkaar verhouden. Er is

daarnaast ook geen integrale rapportage ingericht waarin tevens gerapporteerd wordt over

de prestaties op het gebied van risicomanagement.

4.4.4 Systemen

Er zijn geen gestandaardiseerde systemen in gebruik waarmee de interne controle wordt

uitgevoerd. Beide organisaties werken met zelfontworpen Excel en/of Word bestanden voor

de uitvoering en de vastlegging van de interne controles.

4.4.5 Structuur

Op onderdelen zijn er afspraken gemaakt omtrent de periodiciteit van rapportage van de

uitkomsten van controles aan de Raad van Bestuur. Tevens zijn er afspraken gemaakt

omtrent de vorm waarin wordt gerapporteerd. Ten aanzien van de organisatiestructuur is

reeds vermeld dat er een verschil is in omvang van de Raad van Bestuur.

4.5 Wat is de invloed van de invloedsfactoren op de relatie tussen de inrichting

en de werking van een risicomanagementsysteem?

Beantwoording van deze deelvraag lijkt op basis van de antwoorden op de deelvragen

hierboven een lastige exercitie. Hieraan ligt ten grondslag dat beide organisaties slechts op

onderdelen risicomanagement hebben ingericht, waardoor de werking van de

31 4.5.1 Cultuur

Ten aanzien van de cultuur kan worden vastgesteld dat er vanuit dat perspectief geen

belemmeringen te verwachten zijn om vanuit een (integrale) inrichting van

risicomanagement te komen tot een goede werking hiervan. Er zijn geen cultuurelementen

aanwezig, zoals vanuit de theorie in hoofdstuk 2 behandeld, die het risicomanagement

negatief lijken te beïnvloeden.

4.5.2 Leiderschap

Ten aanzien van het leiderschap speelt de inrichting van de Raad van Bestuur een rol.

Countervailing power op het hoogste niveau en eindverantwoordelijkheid binnen de RvB

hebben een positieve invloed om van een goede inrichting te komen tot een juiste werking.

Bij Warande ontbreken beide componenten, terwijl deze elementen bij Beweging 3.0 wel

aanwezig zijn. Om vanuit de inrichting naar een goede werking te komen kan het leiderschap

bij Warande dan ook een belemmering vormen, daar waar dit bij Beweging 3.0 een positieve

invloed heeft.

4.5.3 Alignment

Ten aanzien van de componenten alignment, is de invloed op dit moment lastig te

beoordelen. Dit komt doordat er nog stappen moeten worden gezet ten aanzien van de

integrale inrichting van risicomanagement. Wel wordt duidelijk dat beide organisaties ten

aanzien van risicomanagement sterk leunen op de afdeling Finance & Control. Er is weinig

aandacht voor risicomanagement bij het overige management en medewerkers, waardoor

de samenhang tussen de elementen van risicomanagement in ieder geval bij die

doelgroepen niet geheel duidelijk lijkt.

4.5.4 Systemen en structuren

32 4.5.5 Analyse en samenvatting

Zowel Warande als Beweging 3.0 heeft het risicomanagement nog niet integraal ingericht.

Om de invloed van de vijf factoren op de transitie ‘van inrichting naar werking’ te kunnen

bepalen is deze inrichting wel van essentieel belang. Hierdoor is de invloed van deze vijf

factoren in de praktijk lastig te beoordelen. Wel kan worden vastgesteld dat de factor ‘cultuur’

bij beide organisaties geen belemmeringen in zich lijkt te hebben om vanuit de inrichting van

risicomanagement naar een goede werking te komen. Ten aanzien van de factor ‘leiderschap’

kan worden vastgesteld dat de eigenschappen hiervan bij Warande een negatieve invloed

zouden kunnen hebben, waarbij deze eigenschappen ten positieve zouden kunnen werken bij

Beweging 3.0. Ten aanzien van alignment, structuren en systemen is dit op dit moment nog

niet vast te stellen. Hiervoor dient allereerst de integrale inrichting adequaat te worden

neergezet. Bovenstaande kan als volgt worden weergegeven (Figuur 4):

Cultuur

Leiderschap

Inrichting RM

Alignment

Systemen

Werking RM

Structuur

4.6 Belangrijkste verschillen en verbeterpunten voor de VVT-instellingen

In hoofdstuk 2 zijn de belangrijkste kenmerken voor inrichting en werking van

risicomanagement vanuit de theorie geformuleerd. Daarnaast zijn in dat hoofdstuk de

kenmerken van de invloedsfactoren vanuit de theorie benoemd. Vervolgens is de

aanwezigheid van deze kenmerken onderzocht bij de twee VVT-instellingen door middel van

een documentenstudie en interviews met sleutelfunctionarissen, en zijn de bevindingen

hiervan in het eerste deel van dit hoofdstuk vastgelegd. Op basis van confrontatie van de

theorie met de werkelijkheid zijn de verschillen tussen de instellingen vast te stellen. E.e.a.

wordt in de volgende paragraaf weergegeven.

33 4.6.1 Kenmerken en verschillen tussen de VVT instellingen.

In onderstaande tabel worden de kenmerken per in hoofdstuk 4 behandeld onderdeel in kaart

gebracht. Hierbij worden tevens de verschillen tussen beide instellingen zichtbaar.

Onderwerp Warande Beweging 3.0

Inrichting

-Governance Risicomanagement niet binnen RvB georganiseerd. Risicomanagement wel binnen RvB georganiseerd.

-Strategie en doelstellingen

Risicoanalyse opgenomen in

strategisch plan, geen doelstellingen inzake risicomanagement

opgenomen.

Geen risicoanalyse opgenomen in strategisch plan, geen doelstellingen inzake risicomanagement

opgenomen.

- Performance (risicoanalyse)

Risicoanalyse wordt op operationeel en tactisch/strategisch niveau uitgevoerd

Risicoanalyse wordt op operationeel niveau uitgevoerd

- Review en revisie Risico's worden periodiek opnieuw geanalyseerd. Risico's worden periodiek opnieuw geanalyseerd - Informatie en communicatie Geen integrale rapportage. Geen integrale rapportage.

Werking

- Urgentie topmanagement Risicomanagement niet in de top belegd. Urgentie komt niet vanuit top. Urgentie wordt vanuit de RvB gezien en uitgestraald. - Integrale verantwoordelijkheid Nee, belegd bij Finance & Control.

Nee, belegd bij Finance & Control en bestuurder.

-Kwaliteit Controles

Financieel: Onvoldoende, geen risicogerichte steekproef en gen oorzaakanalyse. Controles zorg: Niet zelf uitgevoerd, geen risicoanalyse.

Financieel: Onvoldoende, geen risicogerichte steekproef en geen oorzaakanalyse. Controles zorg: Gebaseerd op risicoanalyse

toezichthouder wel oorzaakanalyse.

-Rapportage

Er wordt middels separate rapportages aan de RvB

gerapporteerd omtrent operationele controles.

Er wordt middels separate rapportages aan de RvB

gerapporteerd omtrent operationele controles.

Invloedsfactoren

34

4.6.2 Verbeterpunten per organisatie

In deze paragraaf worden op basis van bovenstaande tabel per organisatie de

verbeterpunten geformuleerd:

Ten aanzien van Stichting Warande zijn de volgende verbeterpunten vanuit bovenstaande

analyse te onderkennen:

• Organiseer de eindverantwoordelijkheid voor risicomanagement binnen de Raad van Bestuur, van waaruit het belang van risicomanagement wordt uitgedragen. Overweeg hiertoe eventueel een migratie naar een tweehoofdige Raad van Bestuur;

• Neem in het strategisch plan ook doelstellingen op inzake risicomanagement, waarover periodiek wordt gerapporteerd;

• Stel een rapportage op waarin integraal over de performance van de organisatie wordt gerapporteerd, inclusief risicomanagement;

• Betrek het totale management bij het onderwerp risicomanagement, zodat het niet alleen gedragen wordt door de afdeling Finance & Control;

• Draag zorg voor een risicogerichte steekproef ten aanzien van de operationele controles; • Steun voor wat betreft de risicoanalyse op de zorgprocessen op de analyse van de externe

toezichthouder, en voer deze controles zelf uit;

• Draag zorg voor een oorzaakanalyse op gesignaleerde tekortkomingen, zodat bijsturing niet het karakter van symptoombestrijding krijgt;

• Vervaardig een raamwerk (structuur) voor de uitvoering van risicomanagement en draag de samenhang hiervan uit naar het management en betrokken medewerkers (alignment). In dit raamwerk zijn tevens de te hanteren hulpmiddelen en systemen opgenomen.

Ten aanzien van Stichting beweging 3.0 zijn onderstaande verbeterpunten vanuit de analyse te

onderkennen:

• Voer met het management een periodieke risicoanalyse uit op de geformuleerde doelstellingen in het strategisch plan en neem doelstellingen ten aanzien van risicomanagement op in het strategisch plan;

• Stel een rapportage op waarin integraal over de performance van de organisatie wordt gerapporteerd, inclusief risicomanagement;

• Betrek het totale management bij het onderwerp risicomanagement, zodat het niet alleen gedragen wordt door de afdeling Finance & Control;

• Draag zorg voor een risicogerichte steekproef ten aanzien van de operationele controles; • Draag zorg voor een oorzaakanalyse op gesignaleerde tekortkomingen, zodat bijsturing niet

het karakter van symptoombestrijding krijgt;

35

5 Conclusies en aanbevelingen

In dit onderzoek wordt ingegaan op de in hoofdstuk 1 opgenomen doelstelling en

vraagstelling van dit onderzoek. Daarnaast wordt de bijdrage van dit onderzoek besproken,

en zullen de beperkingen van het onderzoek uiteengezet worden. Vervolgens zal dit

hoofdstuk worden afgesloten met een paragraaf waarin de aanbevelingen voor

vervolgonderzoek en de aanbevelingen voor de praktijk worden weergegeven.

5.1 Conclusie

5.1.1 Doelstelling en vraagstelling

Het doel en de bijbehorende vraagstelling (paragraaf 1.4) van dit onderzoek was om

inzichtelijk te maken welke verschillen er zijn in de werking van het

risicomanagementsysteem bij VVT-instellingen, deze te analyseren en op basis daarvan

aanbevelingen te doen om de werking van het risicomanagementsysteem te verbeteren.

Door de oplopende regeldruk vanuit de overheid wordt de beheersing van een VVT-instelling

alsmaar complexer, hetgeen steeds hogere eisen stelt aan het risicomanagement.

Uit de bevindingen uit het onderzoek blijkt dat de vijf inrichtingscomponenten van het

COSO-model een belangrijke invloed hebben op de werking van een systeem van

risicomanagement. Daarnaast blijkt uit dit onderzoek dat de elementen cultuur en

leiderschap van invloed zijn op de transitie om van een inrichting naar een goede werking te

komen. Uit het onderzoek blijkt verder dat de inrichting van het risicomanagement bij beide

instellingen slechts fragmentarisch is uitgevoerd, waardoor hiaten in de werking van het

risicomanagement zichtbaar zijn. Hierdoor ontstaan blinde vlekken bij beide organisaties,

waardoor de organisaties het risico lopen verrast te worden door risico’s die zich

onverwacht manifesteren. Op basis van dit onderzoek zijn in respectievelijk paragraaf 4.6.1

en 4.6.2 de verschillen tussen beide organisaties en de verbeterpunten opgenomen.

5.1.2 Toegevoegde waarde

36

aan de literatuur, omdat deze specifieke onderzoeksvraag niet in de bestaande literatuur

was beschreven. Tenslotte draagt dit onderzoek bij aan de informatievoorziening binnen

deze specifieke sector, die te maken heeft met een oplopende complexiteit en daarmee

oplopende risico’s.

5.2 Beperkingen aan dit onderzoek

Dit onderzoek kent een aantal beperkingen. Ten eerste is het onderzoek verricht bij twee

VVT-instellingen, waardoor de uitkomsten van het onderzoek uitsluitend toepasbaar zijn op

deze twee instellingen en niet generiek op de sector of andere organisaties kunnen worden

betrokken. Daarnaast blijkt uit het onderzoek dat beide organisaties nog relatief beperkt

hebben ingezet op de inrichting van integraal risicomanagement. Hierdoor zijn een aantal

variabelen uit het conceptuele model niet of nauwelijks te meten.

5.3 Aanbevelingen

5.3.1 Aanbevelingen voor vervolgonderzoek

In dit onderzoek is vooral gekeken naar de inrichting en de werking van risicomanagement

en de factoren die hierop van invloed zijn. Een aantal variabelen was niet of nauwelijks te

meten vanwege het feit dat beide instellingen slechts beperkt met de inrichting van

risicomanagement bezig zijn geweest. Het verdient derhalve aanbeveling om dit onderzoek

nogmaals uit te voeren bij instellingen die het volledige inrichtingstraject hebben doorlopen.

Ook zou een breder onderzoek bij VVT-instellingen naar de inbedding van risicomanagement

een aanvulling zijn op dit onderzoek. Dit onderzoek is onder andere gebaseerd op interviews

met enkele sleutelfiguren binnen de organisaties, waardoor het lastig te meten is of

Enterprise Risk Management binnen de hele organisatie wordt ondersteund.

5.3.2 Aanbevelingen aan de praktijk

De belangrijkste praktische aanbeveling voor beide instellingen is het opstarten van een

gestructureerde aanpak van de inrichting van risicomanagement. Hierdoor kunnen de

geconstateerde hiaten worden gedicht, waardoor het risico van blinde vlekken in de

risicobeheersing wordt gemitigeerd. Bij een dergelijke aanpak kan eventueel gebruik worden

gemaakt van bestaande modellen vanuit de theorie, zoals COSO ERM of ISO 31000.

37

om risicomanagement goed en blijvend uit te voeren als een integraal onderdeel van de

performance van de totale organisatie.

38

Geraadpleegde literatuur

Barney, J. B. (1986). Organizational culture: can it be a source of sustained competitive

advantage? Academy of management review, 11(3), 656-665.

Beasley, M., R. Clune, and D. Hermanson, 2005, Enterprise Risk Management: an Empirical

Analysis of Factors Associated With the Extent of Implementation, Journal of Accounting and

Public Policy, 24(6): 521-531.

Boeije, H., 2014, Analyseren in kwalitatief onderzoek.

Doogsma, J., 2009, ‘ Risicomanagementsystemen in de praktijk’, Bestuurlijke

informatieverzorging juli/augustus 2009.

Drew, S.A., Kelley, P.C., Kendrick, T., 2006, ‘CLASS: Five elements of corporate governance to

manage strategic risk’.

Galletta, A., 2012, Mastering the Semi-Structured Interview and Beyond.

Gatzert, N., Martin, M., 2013,‘determinants and value of enterprise risk management:

empirical evidence from the literature’.

Gjerdum, D., Peter, M., 2011, ‘The new international standard on the practice of risk

management – A comparison of ISO 31000: 2009 and the COSO ERM framework’ Risk

Management 2011, issue 21.

Golshan, N. M., and S. A. Rasid, 2012, Determinants of Enterprise Risk Management

Adoption: an Empirical Analysis of Malaysian Public Listed Firms, International Journal of

Social and Human Sciences, 6: 119-126.

Hoyt, R. E., and A. P. Liebenberg, 2008, The Value of Enterprise Risk Management: Evidence

from the U.S. Insurance Industry, Society of Actuaries, ERM Monograph Paper. World Wide

Web: http://www.soa.org (accessed July 1, 2013).

Hoyt, R. E., and A. P. Liebenberg, 2011, The Value of Enterprise Risk Management, Journal of

Risk and Insurance, 78(4): 795-822.

Knechel, W.R. (2007). "The business risk audit: Origins, obstacles and opportunities."

Accounting, Organizations and Society 32(4-5): 383-408.