Bouw en Uitvoering

Risicomanagement Nederlandse zorginstellingen onvoldoende

Risicomanagement

Brandjes blussen

Nederlandse zorginstellingen hebben hun risicomanagement onvoldoende, inefficiënt en te oppervlakkig georganiseerd. Dit blijkt uit een recent onderzoek. Een analyse.

Door: Ellis Kastelein en Marcel Prinsenberg

In het onderzoek, een gezamenlijk project van de Rijksuniversiteit Groningen, Nyenrode Business Universiteit, het Koninklijke NIVRA en PricewaterhouseCoopers, werden ruim duizend bedrijven en non-profit instellingen met een omzet of budget van meer dan tien miljoen euro onderzocht, waarvan circa honderd zorginstellingen. Amper een vijfde van de bedrijven en instellingen in Nederland heeft haar risicoprofiel herzien naar aanleiding van de huidige financiële crisis. De onderzoekers geven de onderzochte bedrijven en instellingen gemiddeld een rapportcijfer van 4,5. En als de crisis al niet eens een aanleiding is om het risicoprofiel aan te passen, wat dan wel?

Risicoanalyse

In het onderzoek is onder meer gekeken naar de frequentie en diepgang van risicoanalyses, de betrokkenheid van lagere managementlagen, de mate waarin proactief en vooruitziend risico’s worden geïnventariseerd, het gebruik van risicoraamwerken (standaarden) en interne en externe rapportages. Meer dan de helft van de zorginstellingen blijkt slechts een keer per jaar een risicoanalyse uit te voeren, waarvan bovendien het integrale karakter (bedrijfsbrede inventarisatie) vaak ontbreekt. Ook vinden er maar zeer beperkt analyses plaats buiten de Planning & Control cyclus, zoals bij belangrijke investeringen, projecten of incidenten. Slechts circa tien procent van de zorginstellingen geeft aan haar risicotolerantie ook daadwerkelijk te kwantificeren.

Uitkomsten

De risicoanalyse wordt vervolgens bij zestig procent van de zorginstellingen besproken in de vergadering van de Audit Commissie van de Raad van Toezicht; in dit opzicht onderscheidt de zorgsector zich wel ten positieve van het bedrijfsleven, waar ‘slechts’ 45 procent de uitkomsten bespreekt met de toezichthouder. In absolute zin behoeft de rapportage over risico’s nog wel duidelijke verbetering: 35 procent van de instellingen bespreekt de uitkomsten van de risicoanalyse namelijk nog niet binnen de directie of het management team.

Een andere opvallende uitkomst van het onderzoek is dat meer dan de helft van de zorginstellingen géén risicoraamwerk gebruikt bij de risicoanalyse. Zorginstellingen die wél een raamwerk hanteren, maken vooral gebruik van het INK-model en in mindere mate het COSO-model. De coördinatie van risicomanagement ligt bij het gros van de instellingen in de praktijk bij de financiële functie. Bovendien is de kwaliteitsafdeling in opkomst als verantwoordelijke coördinator, terwijl deze in de commerciële sector maar half zo vaak wordt genoemd.

Verder is opvallend dat de respondenten aanzienlijk overtuigder zijn van de kwaliteit van hun risicomanagement dan gerechtvaardigd is op grond van het oordeel van de onderzoekers op basis van de door de onderzoekers opgestelde leidraad. Op de vraag ‘welk schoolcijfer (tussen 1 en 10) geeft u uw risicomanagement?’ was de gemiddelde score van de respondenten van de zorginstellingen een 6, terwijl die voor de totale populatie een 6,5 was; de onderzoekers kwamen uit op een 4,4 voor zorginstellingen, nagenoeg gelijk aan de 4,5 als gemiddelde van de totale populatie volgens de onderzoekers. In de eigen beeldvorming scoorde tweederde van de zorginstellingen een voldoende. Volgens het oordeel van de onderzoekers scoorde tweederde van de zorginstellingen juist een onvoldoende, waarbij bijna een kwart van de instellingen maar liefst een twee of lager scoorde! Kennelijk is aan de perceptie over de kwaliteit van het eigen risicomanagement nog een weg te gaan. Overigens is dit in de zorgsector niet wezenlijk anders dan in andere sectoren.

Kinderschoenen

De uitkomsten van het onderzoek illustreren dat de ontwikkeling van risicomanagement in Nederlandse zorginstellingen (én overigens ook in het bedrijfsleven) nog duidelijk in de kinderschoenen staat. Om risicomanagement succesvol te laten zijn, is het belangrijk dat íedereen in de instelling doordrongen is van het belang daarvan en er een rol in heeft (intrinsieke motivatie). Risicomanagement dat beperkt is tot de leden van het bestuur of de directie die één keer per jaar een lijstje invullen, heeft weinig zin. Risico’s en onzekerheden moeten betrokken worden bij elke (strategische) beslissing en onderwerp van gesprek zijn op elk niveau. Risicomanagement draait niet om het vermijden van risico’s maar om het voorkomen van verrassingen.

Toetsstenen

Belangrijke toetsstenen bij het opzetten van succesvol risicomanagement zijn volgens de onderzoekers de periodiciteit waarmee de risicoanalyse wordt uitgevoerd, het integrale karakter daarvan en een bedrijfsbrede benadering, de mate van proactiviteit om risicoanalyses ook buiten de standaard planning uit te voeren, het expliciete karakter ervan (kwantificeren van risicotolerantie), de mate van gestructureerdheid (gebruik van risicoraamwerken of ondersteunende software) en de rapportage over verbeteracties.

Bedrijven en instellingen hebben ambities, en hun strategie is erop gericht deze te verwezenlijken. Risicomanagement kan gezien worden als een kwaliteitstoets op de organisatie, een toets op de vraag of zij haar ambities succesvol en beheerst kan bereiken. Het grootste risico van risicomanagement is dat een instelling uiteindelijk door alle beheersingsmaatregelen vergeten is wat ook alweer de onderliggende risico’s waren…

De auteurs van dit artikel, Ellis Kastelein en Marcel Prinsenberg, zijn werkzaam als Senior Manager Healthcare respectievelijk Director Governance, Risk & Compliance bij PricewaterhouseCoopers. Dit artikel is ontleend aan het rapport ‘Risicomanagement in tijden van crisis’ dat in november 2009 is gepubliceerd door Leen Paape, Dirk Swagerman, Marcel Prinsenberg, Johan Scheffe, Johan Star en Max Brecher.