Integraal risicomanagement Onderzoeksrapport Integraal risicomanagement in 40 Nederlandse ziekenhuizen
Inhoudsopgave Inleiding 3 Leeswijzer 5 Managementsamenvatting 6 1. Onderzoeksvraag 12 1.1. De meerwaarde van integraal risicomanagement: formulering onderzoeksvraag 12 1.2. Theoretische toelichting bij centrale onderzoeksvraag 13 1.2.1. Wat is risicomanagement? 13 1.2.2. Wat is IRM? 14 1.2.3. Wat zijn de belangrijkste elementen van IRM in relatie tot de volwassenheid? 16 2. Onderzoeksmethodiek en opzet 17 2.1 Onderzoeksvraag en doelstelling 17 2.2 Onderzoekstechniek 18 2.3 Datacollectie 18 2.4 Wijze van analyseren 18 2.4.1 Beoordelingscriteria voor IRM 19 2.5 Wegingsfactoren en scoringsmethodiek 21 2.6 Beperkingen 23 3. Onderzoeksresultaten en bevindingen 24 3.1. Totaalbevindingen van de scores per subonderzoeksvraag 1 tot en met 10 aan de hand van de beoordelingscriteria IRM 24 3.2.1. Toelichting per subonderzoeksvraag 25 3.2.2. Samenvattend totaaloverzicht resultaten per subonderzoeksvraag 1 tot en met 10 28 3.3. Totaalbevindingen van de scores per beoordelingscriterium (breedte, systematisch, structuur, meet- en toetsbaarheid) 39 3.4. Samenvattend overzicht van scores en bevindingen van alle onderzochte ziekenhuizen, per subonderzoeksvraag en per beoordelingscriterium 45 3.5. Resultaten per ziekenhuis, per beoordelingscriteria 46 4. Eindconclusie en aanbevelingen 49 4.1.1. Eindconclusie onderzoeksvraag 49 4.1.2. Aanbevelingen op basis van de conclusies bij de subonderzoeksvragen 40 4.2 Aanbevelingen op basis van de beoordelingscriteria 56 5. Over VvAA en ConQuaestor 59 Begrippen- en afkortingenlijst 60 2 Jaarverslagenonderzoek
Inleiding Waardecreatie voor patiënten en de maatschappij is van groot belang voor ziekenhuizen. Risicomanagement is een essentieel onderdeel van de totale besturing en inrichting (hierna: governance) van ziekenhuizen. Sinds de totstandkoming van de Zorgbrede Governance Code in 2005 staat bij steeds meer Nederlandse ziekenhuizen risicomanagement op de agenda van de Raden van Bestuur en Raden van Toezicht. Een goede inrichting van de governance is maar één voorwaarde om de organisatie op koers te houden. Het opzetten van een goed functionerend risicobeheeren controlesysteem is een complex proces, en dat geldt ook voor ziekenhuizen. Een goed risicomanagementproces gaat uit van een lerende organisatie. Het verbetert de transparantie en zorgt voor meer inzicht en verbinding, waardoor de kwaliteit en veiligheid van de zorg worden verhoogd. Daarnaast vragen de publieke opinie en de maatschappelijke verantwoording om steeds meer transparantie over veilige zorg. Dit sluit aan bij de speerpunten van de Onderzoeksraad Voor Veiligheid. De zorgmarkt bevindt zich in een turbulente omgeving. Social media vormen een omgeving waarin steeds sneller moet worden gereageerd. De diversiteit van de risico s neemt toe, maar daarnaast vertonen de risico s die op zorgorganisaties afkomen ook steeds meer onderlinge samenhang. Deze ontwikkelingen versterken de behoefte aan een risicomanagement dat alle risico s en bedreigingen beheersbaarder kan maken. Gezien de geschiedenis van de governancecode, de maatschappelijke ontwikkelingen en de huidige zorgmarkt roept dit anno 2013 de vraag op in hoeverre ziekenhuizen er in geslaagd zijn om risicomanagement te integreren in de dagelijkse bedrijfsvoering. Dit is voor ons de reden om de ziekenhuisjaarverslagen van 2010 en 2011 aan een onderzoek te onderwerpen. Dit onderzoek is een gezamenlijk initiatief van VvAA en ConQuaestor. Integraal risicomanagement komt pas volledig tot zijn recht als de totale zorgorganisatie in al haar facetten wordt meegenomen. De term integraal benadrukt dat het gaat om het management van alle verschillende risicogebieden met betrekking tot de strategie, het zorgproces, de operationele bedrijfsvoering en wet- en regelgeving, in hun onderlinge samenhang. Daarom heeft het onderzoek (deskresearch) zich gericht op de mate waarin de ziekenhuizen hun integraal risicomanagement hebben beschreven in de jaarverslagen van 2010 en 2011. Daarnaast is bij het onderzoek een aantal belangrijke kernelementen van IRM meegenomen die worden gehanteerd in de subonderzoeksvragen en in de onderzoekscriteria. Deze zijn weliswaar indirect opgenomen in de governancecode (de wat-vraag), maar moeten door de ziekenhuizen expliciet gemaakt worden om IRM echt te laten werken (de hoe- vraag). Risicomanagement in het algemeen legt een belangrijke focus op het creëren van samenhang en verbinding tussen alle organisatiedisciplines. Een analyse van de mate waarin deze verbinding tot stand is gekomen, is van belang voor het succesvol creëren van waarde en hiermee de voorspelbaarheid van die waarde voor een ziekenhuis. IRM bestaat uit veel elementen, waaronder belangrijke als risicobereidheid, de strategische beleidsdoelstellingen in relatie tot risicomanagement, compliance, governance, Jaarverslagenonderzoek 3
auditing en de planning- & controlcyclus. De mate waarin deze elementen tot wasdom komen is een aanwijzing voor de volwassenheid van IRM. Die volwassenheid kan op een schaal worden uitgedrukt. In dit onderzoek vormen de kernelementen van IRM, en de mate waarin deze beschreven zijn in de jaarverslagen, een indicatie voor de mate van volwassenheid. We zijn ons ervan bewust dat de jaarverslagen een beperkte kijk kunnen geven op het onderzoeksonderwerp; anderzijds geven ze wel inzicht in het beeld dat ziekenhuizen van zichzelf willen presenteren op het gebied van risicomanagement in het algemeen en IRM in het bijzonder. De meerwaarde van het onderzoek is, dat inzicht verkregen wordt in de mate waarin IRM beschreven is. Dit geeft tevens een indicatie van de volwassenheid van het IRM-proces in de ziekenhuizen. Dit betreft dan de mate waarin een organisatie profiteert van het proces van risicomanagement en met recht tegen de maatschappij, de toezichthouders, de financiers en haar patiënten kan zeggen dat zij in control is. Utrecht, juni 2013 Lilian Knol - Risicomanagement voor de Gezondheidszorg - VvAA Thomas A. Ros - Vakgroep Governance, Audit, Risk & Compliance - ConQuaestor 4 Jaarverslagenonderzoek
Leeswijzer 1. Onderzoeksvraag In dit hoofdstuk wordt toegelicht hoe de onderzoeksvraag tot stand is gekomen. Een aantal elementaire onderwerpen komen aan de orde, zoals: wat is risicomanagement, wat is integraal risicomanagement (IRM), wat is IRM-volwassenheid en wat zijn daarvan de belangrijkste kenmerken? 2. Onderzoeksmethodiek en opzet Het onderzoek is kwalitatief van aard en gedaan op basis van deskresearch. De opzet, de keuze van de populatie en de gehanteerde onderzoeksmethodiek worden in dit hoofdstuk verder uitgewerkt en geëxpliceerd. 3. Onderzoeksresultaten en bevindingen In dit hoofdstuk worden de onderzoeksresultaten en bevindingen weergegeven. In eerste instantie gaan we in op de totaalscore van de tien subonderzoeksvragen, aan de hand van de vier beoordelingscriteria voor IRM. Vervolgens geven we per subonderzoeksvraag een toelichting, resulterend in een totaaloverzicht. Voorts komen de totaalbevindingen van de scores per IRM-beoordelingscriterium aan de orde. Tot slot wordt, aan de hand van een totaaloverzicht, ingegaan op de geanonimiseerde resultaten per ziekenhuis. 4. Conclusies en aanbevelingen In dit hoofdstuk geven we antwoord op de centrale onderzoeksvraag in de vorm van een eindconclusie. Deze eindconclusie betreft een indicatie van de IRM-volwassenheidsfase van de 40 onderzochte ziekenhuizen voor 2010 en 2011. Op basis van deze eindconclusie hebben we algemene aanbevelingen geformuleerd. De tien onderzoeksvragen en de vier beoordelingscriteria leidden tot een aantal conclusies. Op basis van die conclusies doen we een aantal aanbevelingen teneinde IRM, zowel inhoudelijk als voor de weergave in het jaarverslag, kwalitatief beter te beschrijven en te implementeren in de ziekenhuisorganisatie. Jaarverslagenonderzoek 5
Managementsamenvatting Nederlandse ziekenhuizen zijn nog onvoldoende in staat om integraal risicomanagement optimaal toe te passen. Sommige risico s krijgen niet de aandacht die ze verdienen. Risico s die samenhangen met financiën en met de veiligheid van patiënten worden doorgaans wel onderkend, maar ook dan blijft de onderlinge samenhang van die risico s vaak buiten beeld. In 2010 en 2011 heeft vrijwel geen enkel ziekenhuis aangegeven in control te zijn op het gebied van risicomanagement. Bovendien is onvoldoende transparant hoe de Zorgbrede Governance Code in de praktijk wordt toegepast. Dit zijn de voornaamste conclusies van een onderzoek naar het integraal risicomanagement (IRM) van Nederlandse ziekenhuizen. Onderzoekers van ConQuaestor en VvAA analyseerden de jaarverslagen van veertig Nederlandse algemene ziekenhuizen over 2010 en 2011, en bekeken of en in hoeverre IRM in die jaarverslagen wordt behandeld. Op basis van dit onderzoek stellen zij vast dat ziekenhuizen weliswaar voortgang hebben geboekt in hun pogingen om IRM een volwaardige plaats te geven in hun organisaties, maar dat de professionaliteit en transparantie nog verbeterd kunnen worden. Een belangrijke aanbeveling is dat ziekenhuizen zelf vaststellen hoe volwassen hun IRM zou moeten zijn, en hoeveel transparantie nodig is om te voldoen aan de behoeften van hun stakeholders. In plaats van beleid op te stellen voor afzonderlijke risico s, zou het risicomanagementbeleid zodanig moeten worden vormgegeven dat risico s in de hele organisatie in hun samenhang worden bekeken. Meerwaarde onderzoek en centrale onderzoeksvraag Dit onderzoek beschrijft de mate waarin IRM beschreven is in de jaarverslagen van Nederlandse ziekenhuizen. Deze mate is een indicatie van de volwassenheid van IRM en het daaraan ten grondslag liggende proces. Dit onderzoek kan de discussie aanzwengelen over de wijze waarop IRM voor de ziekenhuizen naar een hogere graad van volwassenheid kan worden opgetild, zodat elk ziekenhuis optimaal van IRM kan profiteren en met recht tegen de maatschappij, de toezichthouders, de financiers en de patiënten kan zeggen wij zijn in control. VvAA en ConQuaestor hebben onder 40 ziekenhuizen onderzoek gedaan naar de huidige status van IRM, aan de hand van de volgende centrale vraag: In welke mate wordt integraal risicomanagement kwalitatief beschreven in de jaarverslagen 2010 en 2011 van de Nederlandse algemene ziekenhuizen? Onderzoeksopzet en aanpak Ten behoeve van het onderzoek heeft het onderzoeksteam steekproefsgewijs een veertigtal ziekenhuizen geselecteerd. Er zijn in Nederland 81 algemene ziekenhuizen (NVZ 2011); er is een evenredige keuze gemaakt uit grote, gemiddelde en kleine ziekenhuizen. De academische ziekenhuizen zijn buiten beschouwing gelaten, vanwege hun specifieke positie op gebieden als financiering, universitair onderzoek, internationale scope, omvang en wijze van organisatie. 6 Jaarverslagenonderzoek
De jaarverslagen over de boekjaren 2010 en 2011 zijn in hun totaliteit in de analyse meegenomen. Alle jaardocumenten zijn in digitale vorm publiekelijk vrij beschikbaar. Om de centrale onderzoeksvraag te kunnen beantwoorden heeft het onderzoeksteam een set van subonderzoeksvragen geformuleerd, alsmede een viertal beoordelingscriteria: Subonderzoeksvragen 1. Is er een hoofdstuk risicomanagement aanwezig in het jaarverslag? 2. Is de risicobereidheid benoemd? 3. Is risicomanagement in relatie gebracht met de strategische doelstellingen? 4. Wordt er een risicomanagementbeleid geformuleerd? 5. Is er een governancestructuur aanwezig voor het risicomanagement? 6. Is compliance een onderdeel van het risicomanagementproces? 7. Is operational audit een onderdeel van, of maakt het gebruik van, het risicomanagementproces? 8. Wordt een in-controlverklaring afgegeven? 9. Is risicomanagement een onderdeel van de planning- & controlcyclus? 10. Blijkt uit de jaarcijfers een specifieke risicoreservering? Beoordelingscriteria Breedte Systematisch Structureel Meet- en toetsbaarheid Omschrijving De mate waarin IRM in de gehele organisatie ingevoerd is in alle organisatielagen en in de strategische en operationele processen (het zorgproces en de operationele bedrijfsvoering) De mate waarin specifieke risicomanagementmodellen of -methoden worden toegepast om het IRM-proces in de organisatie te borgen De mate waarin het IRM-proces, of de onderdelen daarvan, met een bepaalde frequentie en in samenhang met de bedrijfsvoering aan de orde komen De mate waarin de input en de uitkomsten van het IRM-proces dusdanig gemeten kunnen worden dat er sprake is van expliciete resultaten Elk ziekenhuis is vervolgens kwalitatief beoordeeld aan de hand van de volgende tabel, waarbij elk ziekenhuis een kwantitatieve score heeft gekregen van 1, 2 of 3. Hieruit volgt een indicatie van de fase van IRM- volwassenheid waarin elk ziekenhuis verkeert. Het meten van de volwassenheid is gedaan op basis van een volwassenheidsmodel: Jaarverslagenonderzoek 7
Constatering en beoordeling Kleur- IRM- Relatie met volwassenheidsfase IRM code Score voldoende, aanwezig, volledig, transparant in ontwikkeling, deels aanwezig, niet volledig, onduidelijk, voor verbetering vatbaar onvoldoende, niet aanwezig, niet transparant 3 Volwassenheidsfase 4 en 5 2 Volwassenheidsfase 2 en 3 1 Volwassenheidsfase 1 Voornaamste uitkomsten onderzoek Het gezamenlijke onderzoek van ConQuaestor en VvAA heeft de volgende voornaamste uitkomsten opgeleverd, als antwoord op de centrale vraag in welke mate de veertig onderzochte Nederlandse algemene ziekenhuizen integraal risicomanagement kwalitatief beschrijven in de jaarverslagen over 2010 en 2011: Constatering en Kleur- IRM- Relatie met vol- Onderzochte Beoordeling code Score wassenheidsfase ziekenhuizen IRM 2010 2011 voldoende, aanwezig, volledig, transparant 3 Volwassenheidsfase 4 en 5 15% 18% in ontwikkeling, deels aanwezig, Volwassen- 28% 27% niet volledig, onduidelijk, voor verbetering vatbaar 2 heidsfase 2 en 3 onvoldoende, niet aanwezig, niet transparant 1 Volwassenheidsfase 1 57% 55% - Op basis van de kwalitatieve uitgangspunten van het onderzoek laat de tabel zien dat, van de onderzochte ziekenhuizen, 85% voor 2010 en 82% voor 2011 nog in volwassenheidsfase 1, 2 of 3 verkeren. - Meer dan de helft van de 40 onderzochte ziekenhuizen heeft IRM nog onvoldoende beschreven in de jaarverslagen over 2010 en 2011. - Het onderzoek laat zien dat een klein percentage van de ziekenhuizen (15% in 2010 en 18% in 2011) zich in volwassenheidsfase 4 bevindt. Geen enkel ziekenhuis haalde de hoogste totaalscore op alle onderzoeksvragen en alle beoordelingscriteria. Dat wil zeggen dat geen enkel onderzocht ziekenhuis zich in volwassenheidfase 5 bevindt. 8 Jaarverslagenonderzoek
- Ziekenhuizen besteden veel aandacht aan de risico s die samenhangen met patiëntveiligheid en financiën. De onderlinge samenhang van deze risico s wordt echter niet of nauwelijks door de ziekenhuizen in beschouwing genomen. - In 82% voor 2010 en 88% voor 2011 van de onderzochte jaarverslagen wordt geen melding gemaakt van risicobereidheid. Het proces van IRM zou idealiter moeten starten met de definitie van risicobereidheid. Alleen door toleranties en risicolimieten expliciet te benoemen en vast te leggen kunnen meetbare en acceptabele risicobeheersmaatregelen worden gekomen. Mede gelet op de antwoorden op de subonderzoeksvragen 3 en 4 kan worden geconcludeerd dat nog niet wordt voldaan aan de randvoorwaarden voor een effectief IRM-proces. Daarbij moeten alle risicogebieden met betrekking tot de strategie, het zorgproces, de operationele bedrijfsvoering en wet- en regelgeving worden gehanteerd en in samenhang worden beschouwd. Het bepalen en specifiek maken van de risicobereidheid, in relatie tot strategische doelstellingen, is noodzakelijk om die samenhang te borgen. - De Zorgbrede Governance Code blijft een punt van aandacht. Ondanks een verbetering van de score met 4% in 2011 ten opzichte van 2010, ontbreekt het aan voldoende transparantie over de wijze waarop de Zorgbrede Governance Code wordt doorvertaald. Vooral het bestuurlijke aspect uit de Zorgbrede Governance Code krijgt de aandacht van de Raden van Bestuur. De focus op inbedding van een governancestructuur voor risicomanagement in de ziekenhuizen is daarentegen onvoldoende. - De Zorgbrede Governance Code schrijft niet expliciet voor hoe het proces van IRM moet worden ingericht. Het is en blijft echter noodzakelijk om hieraan vorm te geven. Ziekenhuizen moeten vaststellen en vastleggen hoe de taken, verantwoordelijkheden en bevoegdheden in de eigen organisatie worden ingezet. Het strekt tot aanbeveling om dit op te nemen in het risicomanagementbeleid. - Met 86% voor 2011 wordt compliance door de ziekenhuizen niet of onvoldoende beschreven als onderdeel van het proces van risicomanagement. Compliance vormt echter een essentieel onderdeel van IRM. Daarnaast is de compliancefunctie veelal niet ingericht. Ziekenhuizen kunnen veel winnen door compliancerisico s efficiënt te beheersen, en zo doublures in activiteiten en maatregelen te voorkomen. - De ziekenhuizen geven in hun jaarverslagen over 2010 en 2011 (95%) zelden of nooit een in-controlverklaring af in het kader van het risicomanagementbeleid. Het expliciet maken van de verantwoording over het gevoerde beleid ten aanzien van de risico s van de organisatie maakt nog geen onderdeel uit van de communicatie door ziekenhuizen. Risicomanagement zou in deze een continu proces moeten zijn, met als eerste aanzet het benoemen en definiëren van de risicobereidheid als onderdeel van het risicomanagementbeleid. De uitgangspunten daarvan zouden moeten worden verankerd in de planning- & controlcyclus. Daarmee kan het management een verantwoording afleggen die past bij de governance, de organisatiecultuur en de behoefte van stakeholders (w.o. Raad van Toezicht, IGZ, Waarborgfonds Zorgsector, NVZ, financiers, et cetera). In het kader Jaarverslagenonderzoek 9
van transparantie en de verantwoording over het gevoerde risicobeleid zou een heldere communicatie over de mate van risicobeheersing gewenst zijn. - Op het beoordelingsscriterium Structureel is voor ziekenhuizen nog veel winst te behalen. - Op onderdelen wordt structureel gerapporteerd over risicomanagement. Het gaat dan echter vooral over de financiële kant van de organisatie, de kwaliteit van de zorg en de patiëntveiligheid. In ongeveer de helft van de gevallen wordt aangegeven dat er een verband bestaat met de planning- & controlcyclus. In andere gevallen kan worden vastgesteld dat deze relatie ontbreekt. Bij de beoordelingscriteria Breedte en Systematisch is geconcludeerd dat ziekenhuizen hun risico s traditioneel benaderen vanuit een silo aanpak en niet in onderlinge samenhang beschouwen. Deze samenhang is echter noodzakelijk om IRM in de organisatie te borgen. De aanbevelingen luiden als volgt: Laat de organisatie, als geheel en per onderdeel, periodiek verantwoording afleggen over het gevoerde risicomanagementbeleid. Verrijk het informatieprotocol met uitgangspunten die betrekking hebben op risicobereidheid, risicobeleid en risicoprofiel per resultaatverantwoordelijke eenheid. Zorg voor borging van IRM in de lijnorganisatie (het zorgproces en de operationele bedrijfsvoering) als de first line of defense (onderdeel van de three lines of defense ). Laat IRM-rapportagelijnen en -frequentie gelijk lopen met de planning - & con trol - cyclus. - Op het beoordelingscriterium Meet- en toetsbaar is voor de ziekenhuizen eveneens nog veel winst te behalen. Ruim de helft van de onderzochte jaarverslagen scoren op dit criterium een onvoldoende. Dit duidt erop dat er geen sprake is van een expliciet geformuleerd normenkader. Dit kader is noodzakelijk om de metingen (input en resultaten) in het IRM- proces op een zinvolle wijze te toetsen, opdat kan worden tegemoetgekomen aan de eisen van de stakeholders (zoals toezichthouders en kapitaalverstrekkers). Hierdoor worden de ziekenhuizen steeds meer getriggerd om het IRM- proces goed neer te zetten in de organisatie, waarbij de volgende punten in acht worden genomen: Maak IRM-uitgangspunten expliciet en meetbaar door gebruik te maken van risicobereidheid. Hieraan gerelateerd worden niet alleen de te kwantificeren doelstellingen (in cijfers), maar ook de kwalitatieve doelstellingen op het vlak van reputatie en bedrijfscultuur meegenomen. Maak de kostenefficiëntie van beheersmaatregelen expliciet in relatie tot de risico s. Baseer risicoreserves op onderbouwde risico- en rendementsafwegingen. Optimaliseer de weergave van IRM in het jaarverslag ten behoeve van transparantie voor alle stakeholders. Ontwikkel risicomanagement verder op een manier die past bij de volwassenheid van de organisatie, en begin met hetgeen er al aanwezig is. 10 Jaarverslagenonderzoek
Uit deze uitkomsten valt af te leiden dat ziekenhuizen een stap hebben gezet op weg naar de volgende volwassenheidsfase van IRM. Het bereiken van een verder geprofessionaliseerde en transparantere organisatie is echter niet vanzelfsprekend. De beste motivatie is een intrinsieke. Zodra er aandacht wordt gevraagd voor risicomanagement door wet- of regelgeving of door toezichthouders, ligt het gevaar van bureaucratie op de loer. Dit resulteert vaak in een fragmentarische aanpak, in plaats van een integrale aanpak. Een ruime meerderheid van de onderzochte groep ziekenhuizen kent op dit moment onvoldoende transparantie over de verantwoording van de risicobeheersing. Belangrijkste aanbevelingen Ziekenhuizen zouden voor zichzelf het ambitieniveau voor IRM moeten vaststellen en dat expliciet maken in IRM-beleid. Met de stakeholders moet worden vastgesteld hoe groot de behoefte is aan transparantie over risicomanagement en hoe het ziekenhuis zich daarmee kan onderscheiden. Daarbij is het van belang vast te stellen welke samenhang met de strategische doelstellingen verwacht wordt, passend bij de huidige integrale bedrijfsvoering en cultuur. Daarnaast moet samenhang worden aangebracht in de toepassing van IRM op de verschillende risicogebieden met betrekking tot de strategie, het zorgproces, de operationele bedrijfsvoering (inclusief IT) en wet- en regelgeving. Dit heeft tot gevolg dat de risico s niet vanuit traditionele silo s worden beschouwd, maar organisatiebreed. Een meerjarig groeimodel zal de meest effectieve aanpak zijn om de diverse fases van IRM-volwassenheid te doorlopen. Een goede start is het in beeld brengen van de huidige IRM-volwassenheid, waarbij optimaal gebruik wordt gemaakt van wat er al aanwezig is. Elk ziekenhuis kan volgens het groeimodel kiezen hoe het IRM wil ontwikkelen. Daarbij is zowel een top-down- als een bottom-upbenadering mogelijk. Een top-downbenadering wordt geïnitieerd door de Raad van Bestuur en de medische staf, op basis van een gemeenschappelijk en strategisch draagvlak. Een bottom-upbenadering maakt daarentegen gebruik van datgene wat er al ligt (meestal op het vlak van patiëntveiligheid) als basis voor een verdere doorontwikkeling. Tot slot Vanuit de visie op de integrale bedrijfsvoering biedt IRM kansen voor de zorgsector. Door afstemming te zoeken tussen intern IRM- beleid en de uitvoering daarvan en de externe toetsing door toezichthouders en zorgautoriteiten, ontstaat een gedeeld normenkader voor IRM. Dit gezamenlijk normenkader zal leiden tot efficiëntere toetsing, een level playing field voor alle marktpartijen en transparantie voor alle stakeholders. Jaarverslagenonderzoek 11
1. Onderzoeksvraag De vraag die dit onderzoek beantwoordt, is de volgende: In welke mate wordt integraal risicomanagement kwalitatief beschreven in de jaarverslagen 2010 en 2011 van de Nederlandse algemene ziekenhuizen? De directe aanleiding om te onderzoeken in welke mate ziekenhuizen IRM in hun jaarverslagen hebben beschreven, zijn diverse maatschappelijke ontwikkelingen, in combinatie met de ontwikkelingen rond de Zorgbrede Governance Code. In dit hoofdstuk zetten we uiteen hoe de onderzoeksvraag tot stand is gekomen en geven we antwoord op een aantal voorafgaande vragen, zoals: wat is risicomanagement, wat is integraal risicomanagement (IRM), wat is IRM- volwassenheid en wat zijn daarvan de belangrijkste kenmerken? 1.1. De meerwaarde van integraal risicomanagement: formulering onderzoeksvraag Dit onderzoek geeft aan in hoeverre algemene ziekenhuizen IRM in hun jaarverslagen hebben beschreven. Dit geeft tevens een indicatie van de volwassenheid van het IRM-proces in de ziekenhuizen, ofwel de mate waarin een organisatie profiteert van het proces van risicomanagement en met recht tegen de maatschappij, toezichthouders, financiers en patiënten kan zeggen dat zij vanuit een intrinsieke motivatie in control is. De Inspectie voor de GezondheidsZorg (IGZ) oefent risicogestuurd toezicht uit, en gebruikt daarvoor veiligheids- en kwaliteitsindicatoren. Deze indicatoren geven aan waar risico s bestaan voor de kwaliteit van de zorg. Ze worden ook gehanteerd in het merendeel van de publiek beschikbare informatie in jaarverslagen, maatschappelijke jaarverslagen, websites en dergelijke (IGZ, 2012). Ziekenhuizen gebruiken die indicatoren om de kwaliteit van hun zorg te meten en te verbeteren, en om zichzelf te profileren. Zorgverzekeraars gebruiken de kwaliteitsindicatoren bij het inkopen van zorg. De veiligheids- en kwaliteitsindicatoren zijn gedefinieerd voor specialistische zorgprocessen. Andere, niet-zorggerelateerde, risico s blijven daardoor onderbelicht, en worden soms zelfs helemaal niet onderkend. Dat kan leiden tot een silobenadering van risicogebieden in ziekenhuisorganisaties. Risico s op het gebied van de strategie, het zorgproces, de operationele bedrijfsvoering en wet- en regelgeving lijken vaak onafhankelijk van elkaar te worden bekeken. Dit levert binnen ziekenhuizen mogelijk inefficiëntie op in het toepassen van de beheersmaatregelen, in zoverre beheersmaatregelen (onbewust) dubbel worden genomen of tegenstrijdig aan elkaar zijn. Maar bovenal worden door de siloaanpak de risico s niet of onvoldoende in beeld gebracht, omdat de onderlinge afhankelijkheid van risico s in de totale zorgketen niet transparant is. Ook de manier waarop risico s de zorgprocessen beïnvloeden is onduidelijk. 12 Jaarverslagenonderzoek
Om in een complexe organisatie als een ziekenhuis te komen tot een goede risicobeheersing in de hele zorgketen is een integrale aanpak nodig. Recent is immers meer dan eens aangetoond dat een kleine trigger genoeg is om het vertrouwen te verliezen. Als dat gebeurt kan een ziekenhuis worden geconfronteerd met onverwachte kosten; dat gebeurde bijvoorbeeld bij het Maasstad Ziekenhuis, het Medisch Spectrum Twente en het Ruwaard van Putten Ziekenhuis. De risico s en de onderlinge afhankelijkheden van functies en processen werden in die gevallen niet tijdig erkend of herkend. Deze incidenten hebben vaak niet alleen de zorg en de betrokken patiënten, specialist(en) en bestuurders geraakt, maar de gehele organisatie en de publieke opinie. Het zelfvertrouwen van een ziekenhuis, én het vertrouwen dat publiek en toezichthouders in een ziekenhuis hebben, wordt voor een groot deel bepaald door de transparantie waarmee het ziekenhuis communiceert over de manier waarop het met risico s omgaat. IRM kan daarbij helpen, omdat het een totaaloverzicht biedt van de risico s die de doelstellingen van het ziekenhuis bedreigen, en van hun onderlinge samenhang. Er zou zelfs gesteld kunnen worden dat zonder IRM geen werkelijk transparante externe communicatie mogelijk is. Voor het onderhavige onderzoek is gebruik gemaakt van jaardocumenten en jaarrekeningen. Dit zijn publiek beschikbare gegevens, waarmee ziekenhuizen verantwoording afleggen over hun risicobeheersing. 1.2. Theoretische toelichting bij centrale onderzoeksvraag De centrale onderzoeksvraag is gebaseerd op een theorie over risicomanagement, die we hieronder uiteenzetten. 1.2.1. Wat is risicomanagement? Over risicomanagement wordt tegenwoordig veel gezegd, geschreven en nagedacht. Het ligt voor de hand dat risicomanagement allereerst draait om het zien of vinden van relevante risico s en het bedenken van de daarbij behorende beheersmaatregelen. Voor een volwaardig risicomanagementproces is echter meer nodig. Goed risicomanagement staat in dienst van de strategische organisatiedoelstellingen, en gaat uit van de risicobereidheid en de cultuur van de organisatie. Dit zijn twee belangrijke elementen van risicomanagement waarmee een organisatie tot meetbare en acceptabele risicobeheersmaatregelen kan komen. Hierbij moet worden opgemerkt dat risicomanagement altijd een middel is om een doel te bereiken, en nooit een doel op zichzelf kan en mag zijn. COSO ERM (Enterprise Risk Management) geeft de volgende definitie van risicomanagement: Ondernemingsrisicomanagement is een proces dat bewerkstelligd wordt door het bestuur van de onderneming, het management en ander personeel en wordt toegepast bij het formuleren van de strategie en binnen de gehele onderneming, ontworpen om potentiële gebeurtenissen die invloed kunnen hebben op de onderneming te identificeren en om risico s te beheersen zodat deze binnen de risico-acceptatiegraad vallen, om een redelijke zekerheid te bieden ten aanzien van het behalen van de ondernemingsdoelstellingen. Jaarverslagenonderzoek 13
De COSO ERM-definitie en de verdieping ervan bevatten een aantal fundamentele elementen en ideeën over risicomanagement: het is een continu proces, uitgevoerd door bestuur, management en alle medewerkers; het is van invloed op de strategiebepaling en raakt alle mensen in alle lagen en op alle niveaus van de organisatie; het wordt daarom door de hele organisatie toegepast; het is gericht op het identificeren van potentiële problemen en risico s; het past bij de volwassenheid en cultuur van de organisatie; als risico s zich voordoen en de organisatie raken, worden ze gemanaged binnen de risicobereidheid van de organisatie. Het gaat hierbij om de beheersing die de organisatie wenselijk vindt, met als einddoel het behalen van de organisatie doelstellingen op een verantwoorde wijze. Hiermee is risicomanagement een manier van managen die organisatiebreed toepasbaar is en de organisatie op koers brengt en houdt. Risicomanagement voegt waarde toe aan de organisatie en de systemen en/of methoden die al gebruikt worden, zoals LEAN, kwaliteitsmanagement, verandermanagement et cetera. Voor de zorgsector is risicomanagement, zoals hiervoor beschreven, doorvertaald in de Zorgbrede Governance Code (BOZ,2011). Deze code verplicht de leden tot het uitvoeren van aantoonbare risicobeheersing en controles. In de code wordt vermeld dat de Raad van Bestuur en de Raad van Toezicht verantwoordelijk zijn voor kwaliteit, veiligheid en risk management. De Code stelt: Risk Management betreft niet alleen financiële risico s van de zorgorganisatie, maar handelt ook over risico s als kwaliteit van de zorg, patiëntveiligheid, imago- en marktrisico s, bouwinvesteringen en fusietrajecten. 1.2.2. Wat is IRM? IRM is geen statisch, maar een dynamisch en interactief proces. Dit proces wordt continu doorlopen, zodat op het gebied van risicomanagement een zelflerende en zelfsturende zorgorganisatie ontstaat, die zich bewust is van de impact van de verschillende risico s en hun onderlinge samenhang, alsook van de opties voor beheersing en de verschillende consequenties hiervan, inclusief de belegging van verantwoordelijkheden in de organisatie. Het integrale karakter van IRM komt tot uiting doordat er een verbinding wordt gelegd tussen strategie en operatie, en doordat de daarmee gepaard gaande processen in onderlinge samenhang worden beschouwd. Zo worden kansen en bedreigingen geïdentificeerd die van invloed kunnen zijn op het uitvoeren van de strategie en het behalen van de daaraan gerelateerde doelstellingen. Bedreigingen worden vertaald in risico s waarvoor beheersmaatregelen worden geïmplementeerd op zodanige wijze, dat deze passen bij de risicobereidheid van het ziekenhuis. 14 Jaarverslagenonderzoek
De term integraal benadrukt dat het gaat om het management van alle verschillende risico gebieden met betrekking tot de strategie, het zorgproces, de operationele bedrijfsvoering en wet- en regelgeving in onderlinge samenhang. Hierbij wordt volledigheid nagestreefd door de organisatie. Voor dit onderzoek is in eerste instantie uitgegaan van de algemene definitie van IRM, afgeleid van COSO ERM, aangevuld met de uitgangspunten die opgenomen zijn in de Zorgbrede Governance Code en de kennis van VvAA en ConQuaestor. Ten behoeve van de analyse moeten de belangrijkste elementen van deze definitie echter verder worden uitgewerkt. Hierdoor wordt de definitie geoperationaliseerd en praktisch hanteerbaar. Op basis van ervaringen in alle bedrijfssectoren met IRM, hebben ConQuaestor en VvAA de volgende aanvullingen (met bijbehorende resultaten) op de definitie vastgesteld: Risicomanagement is een gestructureerde en systematische aanpak om relevante risico s, die het behalen van de organisatiedoelstellingen bedreigen, expliciet te kunnen identificeren, prioriteren analyseren en beheersen. Integraal risicomanagement gaat uit van de samenhang van (cummulatie)risico s, daarbij rekening houdend met de doelstellingen van de organisatie. Aantoonbaar risicomanagement vergroot de transparantie en leidt tot toenemend vertrouwen van financiers en toezichthouders, patiënten en samenwerkingspartners. Integraal risicomanagement geeft inzicht in zichtbare én onzichtbare kosten. De organisatie kan vervolgens concrete, doordachte en samenhangende maatregelen nemen die bijdragen aan kostenbeheersing en de juiste inschatting van mogelijke kansen en bedreigingen (denk ook aan kosten verspilling, herstelkosten, imagoschade, personeelsverloop etc.) Integraal risicomanagement brengt onderwerpen structureel en expliciet onder de aandacht van alle lagen van de organisatie. Integraal risicomanagement creëert draagvlak en wederzijds begrip van elkaars werkvelden; het verbindt organisatieonderdelen. Een organisatie die risico s proactief en continu in kaart brengt is beter voorbereid op de toekomst en kan sneller reageren op veranderingen. Hierdoor wordt de concurrentiepositie versterkt. Jaarverslagenonderzoek 15
1.2.3. Wat zijn de belangrijkste elementen van IRM in relatie tot de volwassenheid? In een volwaardig IRM-proces zijn drie belangrijke elementen uitgeschreven die alle dienen te worden bekrachtigd door de Raad van Bestuur en Raad van Toezicht: De (strategische) doelstellingen van de organisatie. De expliciete risicobereidheid in relatie tot de doelstellingen van de organisatie. Het risicomanagementbeleid en de structuur (risicofunctie, governance, compliance, audit en control) om de doelen te realiseren op basis van de risicobereidheid. Hierbij dient te worden opgemerkt dat de tone at the top onmiskenbaar van invloed is op de kwaliteit van het risicomanagement. De risicocultuur is de som van alle individuele en bedrijfswaarden, houdingen en gedragspatronen die bepalen of en hoe de zorgorganisatie is gecommitteerd aan integraal risicomanagement en het risicomanagementbeleid dat hiertoe is opgesteld. Het bestuur moet in woord en daad het belang van risicomanagement uitdragen. Vervolgens moet dit op alle niveaus geïntegreerd worden in de (dagelijkse) werkzaamheden. Daarnaast is er de vraag hoe de risico s gemanaged worden en of dit in overeenstemming is met de strategie, risicobereidheid en het risicoprofiel van het ziekenhuis. De hiervoor geformuleerde IRM-elementen kunnen vertaald worden naar een volwassenheid die kan worden uitgedrukt in vijf opeenvolgende fasen. Model 1 is een visualisatie hiervan. Het onderzoeksteam hanteert deze schaalverdeling voor zowel de score als de analyse van de mate waarin de algemene ziekenhuizen in de jaarverslagen blijk geven IRM te hebben ingevoerd. Model 1. Volwassenheid IRM Fase 5 Relatie met de strategie Fase 1 Ad hoc en reactief. Externe normen dominant Fase 2 Risico identificatie en classificatie. Externe normen dominant, beperkt in samenhang met interne normen Fase 3 Verankering. Constante identificatie, meeting vastlegging en beheersing van risico s in risico register. Fase 4 Risico/maatregel optimalisatie. Ook kwantificering van risico s en kosten/baten analyses bij beheersing van risico s. Interne norm in balans met externe norm. Risico integratie in de strategische planning: constante afstemming van risico s tussen business model en strategie en doorvertaling van risico s/beheersing naar tactisch en operationeel Fase in ontwikkeling van integraal risicomanagement ConQuaestor 16 Jaarverslagenonderzoek
2. Onderzoeksmethodiek en opzet De opzet van het onderzoek, de keuze van de populatie en de gehanteerde onderzoeksmethodiek worden in dit hoofdstuk verder uitgewerkt en geëxpliceerd. 2.1. Onderzoeksvraag en doelstelling Het onderzoek is gericht op de algemene ziekenhuizen in Nederland, en tracht op basis van de jaardocumenten over 2010 en 2011 inzicht te krijgen in de mate waarin IRM wordt toegepast. Dit levert tevens een indicatie op van de mate van volwassenheid van de toepassing van IRM door de Nederlandse ziekenhuizen. Het verkrijgen van inzicht in de mate van volwassenheid is essentieel voor ziekenhuizen die willen aantonen dat hun gebruik van IRM groei vertoont. Daarnaast is inzicht in de mate van IRM-volwassenheid noodzakelijk om een discussie aan te kunnen gaan over de wijze waarop IRM voor elk ziekenhuis kan toegroeien naar een hogere graad van volwassenheid. Het centrale doel van het onderzoek is dan ook het verkrijgen van inzicht in de mate van volwassenheid van de toepassing IRM door de Nederlandse ziekenhuizen. De onderzoeksvraag is als volgt opgesteld: In welke mate wordt integraal risicomanagement kwalitatief beschreven in de jaarverslagen 2010 en 2011 van de Nederlandse algemene ziekenhuizen? Om een antwoord te krijgen op de onderzoeksvraag, en daarbij deze onderzoekvraag ondersteuning te bieden, heeft het onderzoeksteam een tiental subonderzoeksvragen geformuleerd: Subonderzoeksvragen 1. Is er een hoofdstuk risicomanagement aanwezig in het jaarverslag? 2. Is de risicobereidheid benoemd? 3. Is risicomanagement in relatie gebracht met de strategische doelstellingen? 4. Wordt er een risicomanagementbeleid geformuleerd? 5. Is er een governancestructuur aanwezig voor het risicomanagement? 6. Is compliance een onderdeel van het risicomanagementproces? 7. Is operational audit een onderdeel van, of maakt het gebruik van, het risicomanagementproces? 8. Wordt een in-controlverklaring afgegeven? 9. Is risicomanagement een onderdeel van de planning- & controlcyclus? 10. Blijkt uit de jaarcijfers een specifieke risicoreservering? Jaarverslagenonderzoek 17
2.2. Onderzoekstechniek De toepassing van Risicomanagement is een element dat prominent naar voren komt in de Zorgbrede Governance Code. Volgens deze code dienen de leden van deelnemende brancheorganisaties (waaronder de Nederlandse ziekenhuizen), de principes na te leven die in de code beschreven zijn, en dienen zij hierover verantwoording af te leggen in de jaarverslaglegging. Vandaar dat in het onderzoek gebruik wordt gemaakt van de jaarverslagen van de ziekenhuizen om de onderzoeksvraag te beantwoorden. Voor het onderzoek is een kwalitatieve analyse uitgevoerd van jaarverslagen van Nederlandse ziekenhuizen over 2010 en 2011. Dit zijn publiek beschikbare gegevens, waarmee ziekenhuizen verantwoording afleggen over hun risicobeheersing. De analyse schetst een duidelijk beeld van het volwassenheidsniveau van de toepassing van IRM door Nederlandse ziekenhuizen. 2.3. Datacollectie Het onderzoek is gericht op algemene ziekenhuizen in Nederland. Nederland heeft in totaal 81 van zulke ziekenhuizen (NVZ 2011). De categorie topklinische opleidingsziekenhuizen valt integraal in de onderzoekspopulatie van algemene ziekenhuizen. Daarnaast kent Nederland acht universitaire medische centra. Deze zijn in dit onderzoek buiten beschouwing gelaten vanwege hun specifieke financiering, verantwoordingeisen, toezichtsystemen en complexiteit. Om tot een gedragen conclusie te kunnen komen, is de omvang van de steekproef op 40 gezet; bijna de helft van de totale populatie van algemene ziekenhuizen in Nederland. Op grond van dit relatief grote aantal kan worden aangenomen dat er tot op zekere hoogte uitspraken gedaan kunnen worden over de gehele populatie. De steekproef betreft een niet a-selecte steekproef. Van de 81 ziekenhuizen is namelijk een evenredige keuze gemaakt uit grote, gemiddelde en kleine ziekenhuizen, op basis van de productiegegevens en het aantal specialisten/fte s. Tevens is rekening gehouden met een optimale geografische spreiding van de ziekenhuizen. Op deze manier is een adequate verdeling van de ziekenhuizen op grootte en geografische verspreiding geborgd. 2.4. Wijze van analyseren Twee onderzoekers hebben de jaarverslagen van de ziekenhuizen geanalyseerd. Om tot eenduidige zoekresultaten te kunnen komen, is gebruik gemaakt van vaste zoekcriteria (zie Model 2: beoordelingscriteria IRM, hieronder). Iedere onderzoeker maakte gebruik van dezelfde criteria en onderzocht een vastgesteld aantal jaarverslagen. Daarna wisselden de onderzoekers hun gegevens uit, waarna zij opvallende scores bespraken en de beoordelingen toetsten. Tevens beoordeelden de onderzoekers onafhankelijk van elkaar steekproefsgewijs een identiek tiental jaarverslagen, waarna de verschillen in beoordeling werden onderzocht en bijgesteld. De beoordelings- 18 Jaarverslagenonderzoek
verschillen in deze steekproef waren minimaal en verwaarloosbaar; een aanwijzing dat de beoordeling consistent verliep. De jaarverslagen van de ziekenhuizen zijn in hun totaliteit in de analyse meegenomen, dus inclusief jaarrekeningen en (sociale) jaarverslagen. Alle jaardocumenten zijn in digitale vorm publiekelijk vrij beschikbaar. Uit respect voor de individuele ziekenhuizen is ervoor gekozen om het onderzoeksrapport te anonimiseren. 2.4.1. Beoordelingscriteria voor IRM Aan de hand van vier criteria is vastgesteld in hoeverre algemene ziekenhuizen blijkens hun jaarverslagen IRM hebben ingevoerd, en in welk stadium van volwassenheid hun risicomanagement verkeert. De gehanteerde zoekcriteria zijn uitgewerkt in model 2. Criteria Omschrijving Relatie met volwassenheidsfase IRM Breedte De mate waarin IRM in de gehele organisatie is ingevoerd in alle organisatie lagen en binnen de strategische en operationele processen * Organisatie onderdelen in bereik van IRM * Hiërarchische lagen betrokken bij IRM * Expliciet verantwoordelijken voor IRM * Overige stakeholders (accountant, interne audit, leveranciers, financiers, patiënten etc.) Systematisch De mate waarin specifieke risicomanagement modellen of methoden worden toegepast om het IRM proces in de organisatie te borgen * Gebruik van risicomanagement methoden, technieken * Gebruik van risico categorieën/classificatie * Gehanteerde modellen (COSOII, ISO 31000, M_o_R) * Rapportagevormen * Risk Management tooling/it * Externe databronnen Structureel Meet- en toetsbaar De mate waarin het IRM proces, of de onderdelen daarvan, met een bepaalde frequentie en in samenhang met de bedrijfsvoering aan de orde komen De mate waarin de input en de uitkomsten van het IRM proces dusdanig gemeten kunnen worden dat sprake is van expliciete resultaten * Aantal keer per periode * Gekoppeld aan standaardrapportages * Agenda onderwerp in diverse lagen * Samenhang met planning en control * Gebruik van wegingen, indicatoren * Specifieke onderbouwing van risicobereidheid en reserve * Transparantie over verantwoording (in-control verklaring) Model 2. Beoordelingscriteria IRM Jaarverslagenonderzoek 19
Deze vier criteria zijn gekozen omdat zij multidimensionaal inzicht geven in de mate waarin ziekenhuizen integraal met risicomanagement omgaan. Het integrale karakter betekent in deze context dat een organisatie volledig stuurt op de strategie, doelstellingen, werkprocessen, medewerkers en middelen. Daarnaast stuurt de organisatie in de bedrijfsvoering op de aansluiting tussen afdelingen of bedrijfsonderdelen (resultaatverantwoordelijke eenheden). Door het centrale bestuur worden de standaarden bepaald en beheerd voor die aansluiting. IRM focust op volledigheid wat betreft de risico s die samenhangen met strategie, doelstellingen, werkprocessen, medewerkers en middelen. De organisatiecontext is dus bepalend voor de mate van volledigheid van IRM. Die context kent vier dimensies, die als criteria worden gebruikt in de analyse. De breedte waarmee IRM wordt ingezet in de organisatie is te bepalen aan de hand van de bedrijfsonderdelen waarop het van toepassing is en de relatie met bestuurlijke en operationele processen. Hoe systematisch IRM wordt ingezet in de organisatie is te herleiden uit het gebruik van specifieke risicomanagementmodellen, -methoden (bijvoorbeeld COSO II, ISO 31000, M_o_R ) en IT-tooling. Hoe structureel IRM in de organisatie wordt toegepast is op te maken uit de frequentie waarmee zowel input als output van het risicomanagementproces aan bod komen bij de aansturing van de organisatie. Dat komt tot uiting in de wijze en timing van de aansluiting tussen bedrijfsonderdelen, bijvoorbeeld de samenhang met de planning- & controlcyclus. De meet- en toetsbaarheid van de input, throughput en uitkomsten van het IRM-proces zijn zowel kwantitatief als kwalitatief van aard (of kunnen dat zijn). Meet- en toetsbaar betreft in deze context: expliciet. Kwantitatieve factoren zijn te herleiden uit risicobereidheid, het sturen op risicolimieten en -indicatoren en de uiteindelijk expliciete financiële vertaling naar risicoreserves. Daarnaast kan kwalitatief worden vastgesteld dat IRM leidt tot expliciete verantwoording over het gevoerde beleid en de betrouwbaarheid van de resultaten. De toepassing van deze beoordelingscriteria op de jaarverslagen van de algemene ziekenhuizen geeft inzicht in de mate waarin IRM is toegepast. Aan de hand van dat gegeven kunnen de tien onderzoeksvragen worden beantwoord. De jaarverslagen van de onderzochte ziekenhuizen zijn beoordeeld aan de hand van deze criteria. Aan de im- of expliciete invulling die de ziekenhuizen aan IRM geven is een factor toegekend; aan de hand van deze factor kan de mate waarin verschillende ziekenhuizen IRM toepassen worden vergeleken. 20 Jaarverslagenonderzoek