&FINANCE CONTROL

A P R I L 2 0 1 0 | 7 W W W . F I N A N C E - C O N T R O L . N L

Integraal risicomanagementRisicomanagement helpt zorginstellingen bij het veiligstellen van de doelstellingen. Vaak blijkt dat veel gevolgen van di-verse bedreigingen voorkomen hadden kunnen worden als de betrokkenen zich van tevoren hadden verdiept in de risi-co’s. De basis voor het benodigde inzicht in de risico’s en de beheersing daarvan wordt verkregen door een gestructu-reerde en systematische risico-identificatie en -analyse.

Het risicomanagementproces begint met het in kaart bren-gen en beoordelen van risico’s en de bewustwording van de risico’s. Een risicoprofiel is hiervan het resultaat. Om vervol-gens daadwerkelijk de kans van het optreden van risico’s te verkleinen en de gevolgen ervan te beperken, worden er risi-cobeheersingtechnieken geselecteerd.

Het eenmalig inventariseren van de risico’s is niet voldoen-de; risicomanagement heeft een permanente en gecoördi-neerde aanpak nodig. Immers, het risicoprofiel verandert continu door nieuwe ontwikkelingen en wijzigingen in wet-geving. Om hierop adequaat te kunnen inspelen is het van belang dat risicomanagement is ingebed in de organisatie van de zorginstelling. Hiervoor moet aansluiting worden ge-zocht met de reeds bestaande managementsystemen binnen de zorginstelling. Risicomanagement vormt zo een basis voor het kunnen leveren van kwalitatief goede zorg en een gezonde organisatie.

Zoals elke organisatie, moeten ook ziekenhuizen risicoma-nagement bewerkstelligen. Zorginstellingen voelen de maat-schappelijke plicht brede verantwoording af te leggen. Zieken-huis Gelderse Vallei (ZGV) te Ede is bezig om een brug te slaan tussen risico- en performance management. Deze twee gebieden zijn vaak nog te veel gescheiden, maar vormen als het ware hun pendant en zijn zodoende ook goed te verenigen. Hoe dat proces in de praktijk geschiedt, zetten we in dit artikel nader uiteen. Eerst wordt een schets gegeven van de achterliggende theorie, vervolgens wordt ingegaan op de case bij ZGV en ten slotte ge-ven we aanbevelingen voor de praktijk, waar andere ziekenhui-zen hun voordeel mee kunnen doen. Voor meer informatie over het ziekenhuis, zie kader ‘Ziekenhuis Gelderse Vallei’.

De Zorgbrede Governancecode en de Wet toelating zorgin-stellingen (WTZi) vormen de basis voor het beheersen van risico’s. In de governancecode wordt onder meer aangegeven dat het toezichthoudende orgaan betrokken is bij de werking van de interne risicobeheersing- en controlesystemen. Ten aanzien van risicobeheersing dienen zowel de raad van be-stuur als de raad van toezicht zich jaarlijks in het jaarverslag te verantwoorden. Deze regelgeving hanteert het principe ‘pas toe of leg uit’. Dit betekent dat een instelling zich in het jaar-verslag door middel van een risicoparagraaf moet verant-woorden over de risico’s die zij in de breedste zin van het woord loopt. Doet zij dit niet, dan moet zij uitleggen waarom hier door de bestuurders voor is gekozen.

Ziekenhui s Gelderse Val le i maakt vaar t

RISICO- EN PERFORMANCE MANAGEMENT

IN DE ZORGAan de hand van een casestudie laten de auteurs zien hoe het Ziekenhuis Gelderse Vallei risico- en perfor-mance management combineert. Behalve een bespreking van de achterliggende theorie geven ze ook een aantal aanbevelingen waar andere ziekenhuizen hun voordeel mee kunnen doen.

D O O R YA C I N T H A K O O R E VA A R , H A N S VA N D E N B R O E K E N D I R K S WA G E R M A N

Organisatie en processen

FC0210_Koorevaar 7FC0210_Koorevaar 7 31-03-2010 13:52:0731-03-2010 13:52:07

&FINANCE CONTROL

8 | A P R I L 2 0 1 0

Risk appetiteDe Zorgbrede Governancecode en de WTZi vragen ook om een gestructureerde aanpak van risicomanagement en pres-tatiesturing en verantwoording daarover naar de raad van toezicht. De raad van toezicht bewaakt de risk appetite. Hiermee wordt in kwalitatieve termen aangegeven wat het risicoprofiel van de instelling is. Het profiel mag niet worden aangepast zonder dat de raad van toezicht daarmee akkoord gaat. Door prestaties te monitoren en te toetsen, krijgt een organisatie inzicht in de mate waarin de vastgestelde doelen worden bereikt. Om op prestaties te kunnen sturen, worden de succesfactoren onderzocht: welke factoren dragen het meest bij aan het realiseren van de doelstellingen? In het ri-sicobeheersingproces wordt onderzocht welke factoren deze succesfactoren het meest in de weg staan. Inzicht in succes-factoren en risico’s stelt de organisatie in staat te sturen. Hiermee wordt dus de link gelegd tussen de twee genoemde gebieden. Bij ZGV wordt bewust door de gekozen aanpak geprobeerd om die twee gebieden te integreren. Dit is een belangrijke en nieuwe ontwikkeling die ook elders navolging verdient.

COSO-modelEr is dus behoefte aan integraal risicomanagement. Hiermee wordt een kwalitatieve en kwantitatieve beoordeling van de geïnventariseerde risico’s mogelijk. Vaak wordt hiervoor het COSO-model gebruikt, dat de verschillende elementen van

een intern beheersingsysteem aangeeft. In dit model is een directe relatie tussen de volgende componenten:

de doelstellingen van een organisatie; ~de controlecomponenten; ~ de activiteiten/eenheden waarvoor interne controle ~benodigd is.

COSO identificeert de relaties tussen de ondernemingsrisico’s en het interne beheersingsysteem. COSO hanteert hierbij de gedachte dat het proces interne beheersing gericht is op het ver-krijgen van een redelijke mate van zekerheid omtrent het berei-ken van gestelde doelstellingen in de volgende categorieën:

het bereiken van de strategische doelstellingen ( ~ strategic); effectiviteit en efficiëntie van bedrijfsprocessen ( ~ operations); betrouwbaarheid van de financiële informatieverzorging ~(reporting); de naleving van relevante wet- en regelgeving ( ~ compliance).

Naast COSO worden ook andere methoden toegepast, zoals bijvoorbeeld het INK-model (zie o.a. www.ink.nl). Dit model is gebaseerd op vijf fundamentele kenmerken: inspirerend lei-derschap, resultaatgerichtheid, samenwerking, bouwen op vertrouwen en continu verbeteren.

In control-verklaringDe vraag rijst of ziekenhuizen (op termijn) een in control statement moeten afgeven. De adviezen van de Monitoring Commissie Corporate Governance Code, 2006 (de commis-sie-Frijns) inzake de in control-verklaring en de introductie van de Handreiking maatschappelijke verantwoording zijn in dit kader zeker relevant. De Handreiking impliceert dat alle verslagen van zorginstellingen, zoals het financiële jaarver-slag, het klachtenjaarverslag en het sociaal verslag, worden geïntegreerd in één zogenaamd ‘maatschappelijk verslag’. Hoewel niet verplicht volgens de Zorgbrede Governancecode en deze Handreiking, is het opnemen van een in control statement aan te bevelen. Enerzijds past dit binnen de landelijke en internationale ontwikkelingen op het gebied van corporate governance; anderzijds kan deze ‘bestuursver-klaring’ belanghebbenden inzicht geven in de wijze waarop risicomanagement in de instelling is vormgegeven. Uit deze verklaring kan dan ook de diversiteit aan risico’s blijken, wat aansluit bij de opvatting om te komen tot één geïntegreerde – maatschappelijke – verslaggeving. Het opnemen van een in control statement zou daarom ook een positieve impuls kun-nen betekenen voor de toepassing van enterprise risk ma-nagement (ERM) bij gezondheidszorginstellingen. Met ERM bereikt een organisatie haar doelstellingen door de risico’s onderweg te vermijden. Wat nu precies in control voor een ziekenhuis inhoudt, is niet exact gedefinieerd en kan per zie-kenhuis verschillen. Hier ligt dan ook een uitdaging voor de raad van bestuur c.q. raad van toezicht.

Ziekenhuis Gelderse Vallei

Ziekenhuis Gelderse Vallei in Ede is een groot algemeen ziekenhuis

met de christelijke traditie als grondslag. Met ruim zeshonderd er-

kende bedden en een budget van 165 miljoen euro zijn alle medi-

sche specialismen en moderne voorzieningen aanwezig. Het

ziekenhuis vervult een (boven)regionale functie in de ziekenhuis-

zorg. Kwaliteit en patiëntveiligheid staan hoog in het vaandel. Het

ziekenhuis is sinds 2007 NIAZ-geaccrediteerd. Kwaliteit en patiënt-

veiligheid zijn speerpunten in de zorg.

De bedrijfsvoering is gestoeld op het optimaliseren van kwaliteit en

veiligheid in de zorgprocessen. Om de kennis, ervaring en gedreven-

heid van het menselijk kapitaal binnen de instelling nog meer ruim-

te te geven, is er begin 2008 gestart met een meerjarig

organisatieontwikkelingstraject. Het basisprincipe daarbij is om

taken, bevoegdheden en verantwoordelijkheden lager in de organi-

satie neer te leggen. Het toewerken naar resultaatverantwoordelijke

eenheden (RVE’s) is het middel om de externe oriëntatie en de in-

terne bestuurbaarheid te vergroten. Parallel is gestart met risico-

analyse en risicomanagement, omdat ook met betrekking tot de

bedrijfsvoering van het ziekenhuis geldt: voorkomen is beter dan

genezen.

FC0210_Koorevaar 8FC0210_Koorevaar 8 31-03-2010 13:52:0731-03-2010 13:52:07

&FINANCE CONTROL

A P R I L 2 0 1 0 | 9 W W W . F I N A N C E - C O N T R O L . N L

Performance managementRisicomanagement vormt het spiegelbeeld van performance ma-nagement. Wanneer de organisatie de zaken op orde heeft door een goed sluitend systeem van performance management, dan zal de organisatie beter ´in control´ zijn. Vandaar dat bij ZGV beide activiteiten van risicomanagement en performance ma-nagement parallel lopen. Performance management gaat over vragen als: Hoe bereik ik mijn doelen? en: Welke informatie heb ik nodig om te monitoren? Risicomanagement gaat echter over: Wat zijn de barrières voor de realisatie van mijn doelen? Het gaat er nu om het begrip performance management nader in te kaderen. Het managen van prestaties van een zorginstel-ling omvat vele aspecten, bijvoorbeeld het uitzetten van stra-tegie en het definiëren van doelstellingen, het inrichten van de organisatie voor de gekozen strategie en het besturen van een organisatie, zodat doelstellingen ook daadwerkelijk kun-nen worden gerealiseerd. Door de economische en maat-schappelijke ontwikkelingen wordt er in toenemende mate een appèl gedaan op het verandervermogen van organisaties. Het ziekenhuis neemt ook deel aan de NVZ-databank voor de kwaliteit. Deze databank geeft de stand van zaken weer wat betreft de kwaliteit van ziekenhuiszorg, de patiëntveiligheid, de patiëntvriendelijkheid, de personele organisatie, de finan-ciële positie en de kwaliteitssystemen van de instellingen. Deze indicatoren zijn in eerste instantie ontwikkeld om in een oogopslag een beeld te geven van de activiteiten en prestaties van de verschillende ziekenhuizen. De zorginhoudelijke indi-catoren zijn primair bedoeld voor de uitoefening van het toe-zicht door de Inspectie voor de Gezondheidszorg (IGZ) en mogelijk ander gebruik door de overheid, maar ze zijn ook goed bruikbaar voor interne doeleinden.

Case Ziekenhuis Gelderse ValleiHierna volgt een beschrijving van de case bij ZGV. De raad van bestuur heeft opdracht gegeven voor het opstellen van een (gewogen) risicoprofiel voor het ziekenhuis aan de hand van de strategische doelstellingen voor 2009-2012, door het identificeren en analyseren van de risico’s, alsook het registre-ren van incidenten die aan de operationele processen zijn ge-relateerd. De opdracht luidt: geef in dit verband inzicht in be-staande beheersmaatregelen en bepaal ook welke aanvullende beheersmaatregelen noodzakelijk zijn. Geef verder aan op welke wijze de rapportage en inbedding in de organisatie moet worden vormgegeven.

Risicobewustzijn. Het bleek dat leidinggevenden binnen het ziekenhuis zich nog onvoldoende bewust zijn van de risico’s en het treffen van beheersmaatregelen. Risico’s werden door som-mige managers nog te veel vanuit ‘het gevoel’ benaderd. Bij projecten of besluiten werd uitsluitend gekeken naar wat er

zich op dat moment afspeelde en niet wat de eventuele risico’s op langere termijn zouden kunnen zijn. Dit was dan ook mede reden om het onderzoek te starten. Het ziekenhuis kent een geïntegreerd strategisch kader 2009-2012. Daarin staan veer-tien strategische doelstellingen benoemd. Van vier van deze doelstellingen wordt in 2010 het risicoprofiel in kaart gebracht:

het handhaven van een ketennetwerk; ~ het optimaliseren van ICT-toepassingen om tot adequate ~(sturings)informatie te komen; het versterken van de betrokkenheid van leidinggevenden ~en medewerkers bij het ziekenhuis; het samenwerken met andere ziekenhuizen om meerwaarde ~te creëren voor de patiëntenzorg en om de kosten te redu-ceren (ketenpartners en omgeving).

Daarnaast maken alle afdelingen een risicoanalyse van de ei-gen afdeling en afdelingsoverstijgende zorgpaden.

ERM-benadering. Binnen ZGV is ervoor gekozen om de ERM-benadering toe te passen om tot integraal risicomanage-ment te komen. ERM is de verdere verfijning van de COSO-aanpak en legt zich toe op een top-downrisicobenadering, uit-gaande van de strategische doelen van de organisatie. Het begrip ‘integraal risicomanagement’ geeft aan dat risicoma-nagement wordt gecoördineerd vanuit de raad van bestuur en volledig geïntegreerd is in de processen in de organisatie. Con-tinu en proactief: risicomanagement is een activiteit die zich permanent verder zal ontwikkelen. Er vindt een actieve identi-ficatie plaats van nieuwe risico’s. Er is sprake van een breed aan-dachtsgebied: alle organisatierisico’s worden in het proces be-trokken. Ook de medische staf is bij de opzet van het integraal risicomanagement betrokken. Wij onderkennen drie rollen ten aanzien van het risicomanagement: de coördinerende rol, de compliance-rol en de vakinhoudelijke rol. De coördinerende rol valt toe aan de controller. Het gaat dan om het eigenaar-schap voor het totaal van activiteiten betreffende risicomanage-ment aan te geven. De compliance-rol kan worden vervuld door de (nog in te stellen) compliance officer, voor het naleven van de wet- en regelgeving als onderdeel van het bureau van de raad van bestuur. Daarnaast gaat het om de vakinhoudelijke rol. Deze rol kan voor een belangrijk deel worden onderge-bracht bij de afdeling financiën, informatie en control (FIC), binnen de functie Internal Control en rapporterend aan de

Risicomanagement vormt het

spiegelbeeld van performance

management

FC0210_Koorevaar 9FC0210_Koorevaar 9 31-03-2010 13:52:0731-03-2010 13:52:07

&FINANCE CONTROL

Vooruit denkenStrategie voor uw eigen toekomst

Eras

mu

s Sc

ho

ol

of

Acc

ou

nti

ng

& A

ssu

ran

ce

ESAA verzorgt drie controllersopleidingen:

Kenmerkend voor deze controllersopleidingen aan de Erasmus Universiteit Rotterdam zijn de kleinschaligheid, praktische focus op het werkveld van de moderne controller (in brede zin), sterke onderlinge contacten tussen studenten en korte communicatielijnen tussen directie, docenten en studenten.De aan de opleidingen verbonden docenten beschikken over relevante

praktijkervaring en zijn wetenschappelijk actief. Voorlichtingsavond: dinsdag 8 juni 2010.

Denk vooruit en kijk voor meer informatie op www.esaa.nl

controller. Het lijnmanagement, met zijn integrale verantwoor-delijkheid, blijft uiteindelijk verantwoordelijk voor het risico-management binnen de eigen eenheid.

Balanced score card. De aansluiting tussen performance management en risicomanagement wordt gemaakt door middel van de balanced score card. In het algemeen is dit een management-tool die vanuit een aantal gezichtspunten, zoals het financieel perspectief, afnemersperspectief, interne processenperspectief en leer- en groeiperspectief, in een kwadrant wordt bekeken. Deze generieke gezichtspunten kunnen worden aangepast voor elke organisatie. Voor het ziekenhuis zijn deze kwadranten gemodelleerd naar ‘kwali-teit van zorg’, ‘kwaliteit van arbeid’, ‘productie’ en ‘financiën’. De rapportage kan met software worden ondersteund.De ontwikkelingen zijn bij ZGV nog volop gaande, maar de vooruitzichten om tot een goede gecombineerde inpassing van risicomanagement en performance management te ko-men zijn positief.

Aanbevelingen en leerervaringenWe willen afsluiten met een aantal aanbevelingen. Het belang-rijkste is dat de opzet en aanpak door de hoogste leiding wor-den onderkend en toegepast. De raad van bestuur moet zich intensief bemoeien met het risico- en performance manage-ment. Dat is van essentieel belang voor het slagen van deze ontwikkeling in de organisatie. Daarnaast borging via de planning & control-cyclus en het beleggen van eigenaarschap in de organisatie. De integrale verantwoordelijkheid voor risi-comanagement ligt bij het lijnmanagement. Via de interne communicatie moet ruimschoots aandacht worden besteed aan het fenomeen ‘risicomanagement’. Tot slot moet er ook een geformaliseerd trainings- en/of opleidingsprogramma worden opgezet, omdat voor velen in de organisatie het risi-co- en performance management een nog relatief onbekend fenomeen is.

Yacintha Koorevaar is secretaris van de raad van bestuur en be-drijfsjurist. Hans van den Broek is hoofd FIC en docent Be-stuurlijke Informatievoorziening aan Nyenrode BU. Beide zijn werkzaam bij ZGV en zij schrijven dit artikel op persoonlijke titel. Dirk Swagerman is hoogleraar controlling aan de Rijksuni-versiteit Groningen.

Het belangrijkste is dat de opzet en

aanpak door de hoogste leiding

worden onderkend en toegepast

FC0210_Koorevaar 10FC0210_Koorevaar 10 31-03-2010 13:52:0731-03-2010 13:52:07