Sectorverkenning gezondheidszorg

Analyse van het volwassenheidsniveau van het integraal risicomanagement van 21 organisaties binnen de sector Verpleging,
Verzorging en Thuiszorg en de sector Gehandicaptenzorg.

Uitgave voor de zorgsector Leestijd 5 minuten

De gezondheidszorg is een essentiële sector binnen onze samenleving. Een primaire levensbehoefte waaraan maatschappelijk zeer veel waarde wordt gehecht. In dit onderzoeksrapport geven wij, vanuit onze liefde voor maatschappelijk relevante organisaties én het vak risicomanagement, inzichten voor en een handreiking om de relevantie en doelmatigheid van risicomanagement binnen de sector Verzorging, Verpleging en Thuiszorg (VVT) en de sector Gehandicaptenzorg (GHZ) te versterken.

Relevantie van dit onderzoek

Er is binnen de gezondheidszorg in toenemende mate aandacht voor het belang van integraal risicomanagement (IRM). Zowel de sector zelf als de toezichthouders stellen steeds scherpere kaders, verwachtingen en eisen vast richting zorgorganisaties. In de Governancecode Zorg [bron 1]De Governancecode Zorg, Brancheorganisaties Zorg, 2017 is vastgelegd dat de Raad van Bestuur van zorgorganisaties verantwoordelijk is voor goed risicobeheer. In het Kader Goed Bestuur [bron 2]Kader Goed Bestuur. IGJ & NZa, juli 2020. wordt van zorgbesturen en Raden van Toezicht verwacht dat zij zorgen voor een adequate interne risicobeheersing. In onze praktijk zien wij dat zorgorganisaties zoekende zijn naar een passende en relevante invulling van deze kaders.

 

Doel van dit onderzoek

Vanuit onze liefde voor de sector en het vak risicomanagement bieden wij de sector een handreiking voor de inrichting en verantwoording van het integraal risicomanagement (IRM). Deze handreiking biedt concrete aanbevelingen die helpen om het risicomanagement in zorgorganisaties te versterken. Deze handreiking is tot stand gekomen op basis van een bureauonderzoek van openbare documenten van 21 zorginstellingen over 2019 en 2020.

 

Verschillende drijfveren voor adequate risicobeheersing voor de gezondheidszorg

Wij onderkennen drie belangrijke drijfveren om risicomanagement in te richten:

Performance
Om te zorgen voor onder andere een hoge cliënttevredenheid over de kwaliteit van de geleverde zorg en de dienstverlening daaromheen, stellen zorginstellingen een eigen missie, visie, strategie en set van doelstellingen vast. Dit geeft een intrinsieke motivatie om risicomanagement te laten bijdragen aan het realiseren van de doelstellingen. Hiermee is de eigen visie bepalend.

Socialformance
Zorginstellingen voorzien in een eerste levensbehoefte van mensen. Zorginstellingen hebben (samen met andere stakeholders) een maatschappelijke verantwoordelijkheid om de beschikbaarheid en kwaliteit van zorg te borgen. Dit is een sociale drijfveer om risicomanagement te laten bijdragen aan het invullen van deze maatschappelijke verantwoordelijkheid. Het maatschappelijk belang is leidend.

Conformance
Vanwege de maatschappelijke verantwoordelijkheid is het logisch dat er kaders zijn en wet- en regelgeving bestaat waar zorginstellingen aan moeten voldoen. Concrete voorbeelden zijn de Wet langdurige zorg, de Zorgverzekeringswet, de Wet maatschappelijke ondersteuning, de Wet zorg en dwang en de Wet toelating zorginstellingen. De manier waarop zorginstellingen in het risicomanagement rekening houden met en voldoen aan wettelijke verplichtingen en eisen van toezichthouders noemen wij het conformance perspectief. In deze context zijn juist ook de kaders voor goed bestuur zoals het Kader Goed Bestuur en de Governancecode Zorg van belang.

 

Vraagstelling van dit onderzoek

Volgend uit de doelstelling hebben wij onszelf de volgende vragen gesteld:

  1. Welk volwassenheidsniveau voor IRM blijkt uit de jaarverslagen 2019 en 2020 van de geïncludeerde zorginstellingen?
  2. Welke verbeterpunten zijn er op basis van onze verkenning voor het IRM binnen zorginstellingen, kijkend naar de vier RAVC-risicokwadranten (Risicogovernance, Risicostrategie, Risicoprocessen en Risicobewustzijn), binnen de door ons gehanteerde onderzoeksopzet?
  3. Welke verbeterpunten zijn er op basis van onze verkenning voor het transparant verantwoorden over de integrale risicobeheersing in het jaar- of kwaliteitsverslag?

De onderzoeksopzet voor het beantwoorden van de onderzoeksvragen

Om tot een beantwoording van bovenstaande vraagstelling te komen hebben wij een bureauonderzoek uitgevoerd. Hierin zijn de openbaar beschikbare documenten van 21 zorginstellingen over 2019 en 2020 beoordeeld aan de hand van de Risk Appetite Value Chain (RAVC)-methodiek. Met de RAVC-methodiek zijn de relevante elementen (risicokwadranten) van risicomanagement geïdentificeerd. Deze RAVC-risicokwadranten zijn vervolgens beoordeeld op basis van een cross-sectoraal volwassenheidsmodel. De uitkomst is een gemiddeld volwassenheidsniveau van het risicomanagement per zorginstelling, per RAVC-risicokwadrant.

In onze visie dient risicomanagement door een holistische lens te worden bekeken, waarbij integraal management van alle relevante aspecten de doelstelling is. Die relevante aspecten van risicomanagement in een organisatie zijn:

  • de governance-structuur, de besluitvorming die daarbinnen plaatsvindt en het bijbehorende beleid;
  • de strategie en de vertaling daarvan naar een risicoprofiel;
  • de processen waarmee risicomanagement wordt geïmplementeerd;
  • het bewustzijn, het gedrag, de cultuur en het lerend vermogen van de organisatie.

Bovenstaande aspecten komen terug in de vier kwadranten die in de Risk Appetite Value Chain (RAVC)-methodiek [bron 3] worden gehanteerd om het risicomanagementsysteem (zowel de systeem- als de menskant) inzichtelijk en bestuurbaar te maken. De vier kwadranten dienen op een doelmatige manier te worden ingericht zodat zij bijdragen aan het realiseren van (strategische) doelstellingen, binnen het gewenste risicoprofiel. Hieronder beschrijven wij de essentie en relevantie van de vier kwadranten.

Risicogovernance
Risicogovernance is het inrichtingsvraagstuk volgens het principe: structuur volgt strategie. Hoe mandateert en delegeert een organisatie de rollen zodanig dat iedereen verantwoordelijkheid neemt voor risicomanagement en er tegelijkertijd sprake is van samenhang tussen de verschillende rollen in de gehele keten van assurance? Zodat er geen zaken dubbel worden gedaan of juist worden gemist? En is in de governance geborgd dat er een onafhankelijke beoordeling van de bedrijfsvoering plaatsvindt zodat het risicoprofiel binnen de vastgestelde grenzen blijft?

Risicostrategie
Risicostrategie is het methodologische vraagstuk. Heeft de organisatie een methodologie (een zogenaamde blauwdruk) voor risicomanagement die het verbindt met de mensen en strategie van de organisatie? Zodat risicomanagement ook waarde kan toevoegen. Zonder verbinding met de mensen binnen de organisatie, het primaire proces en strategische doelstellingen mist risicomanagement relevantie voor de organisatie.

Risicoprocessen
Risicoprocessen raken het implementatievraagstuk. Welke processen zijn nodig om zodanig comfort rondom en control te krijgen op de bedrijfsvoering en risico’s dat de organisatie haar strategische doelen blijft realiseren? Zijn de processen van zodanige kwaliteit dat zij die managementinformatie opleveren waaraan behoefte is om de besluitvorming te versterken?

Risicobewustzijn
Risicobewustzijn is het gedragsvraagstuk. Welk leiderschap en gedrag is nodig én gewenst om consistent te werken aan gemeenschappelijke doelen? Daarbij continu lerend van de dynamiek die men in de praktijk tegenkomt. Is er een risicocultuur die wordt gevoed door het uitdragen van doelstellingen en kernwaarden door de leiding van de organisatie? Het gaat om het creëren van een zelfreflecterende en zelflerende organisatie vanuit risicomanagement bezien.

Wij hebben op basis van de jaar- en kwaliteitsverslagen van de geïncludeerde zorginstellingen bovenstaande risicokwadranten gescoord aan de hand van een cross-sectoraal gehanteerd model voor bepaling van het volwassenheidsniveau van het IRM. In de volgende paragraaf lichten wij dit model nader toe.

Cross-sectorale toepassing van volwassenheidsmodel

De RAVC-methodiek wordt toegepast door verschillende bedrijven in diverse sectoren, waaronder de financiële sector, de drinkwatersector en de mediasector. In de financiële sector houdt De Nederlandsche Bank (DNB) toezicht op de volwassenheid van risicomanagement en heeft hiervoor een onderbouwd en transparant volwassenheidsmodel ontwikkeld.
Wij hebben dit volwassenheidsmodel als uitgangspunt genomen, gerelateerd aan de RAVCmethodiek en aangepast aan de sector. Zo hebben wij het verwerkt tot een normenkader voor risicomanagement in de gezondheidszorg.
Per risicokwadrant zijn er uitgangspunten en vragen opgesteld aan de hand waarvan de jaar- en kwaliteitsverslagen zijn beoordeeld. Per vraag kan een minimale score van 1 en een maximale score van 4 worden toegekend. De toelichting bij deze scores zijn hieronder weergegeven.
Omdat voor een maximale score van 4 ook de ‘werking’ moet kunnen worden vastgesteld kan er op basis van een bureauonderzoek een maximale score van 3 worden gegeven.

 

Figuur 1. Beschrijving van de verschillende IRM-volwassenheidsniveaus.

De score per risicokwadrant is de gemiddelde score van alle individuele vragen bij het betreffende kwadrant. De overall score is de gemiddelde score van de vier risicokwadranten. Hierbij wegen alle individuele vragen en alle risicokwadranten even zwaar mee. Passend bij de holistische uitgangspunten en relevantie van alle vier de kwadranten.

Cross-sectorale benchmark
Binnen de eerdergenoemde sectoren wordt verondersteld dat een volwassenheidsniveau van 3 een minimale vereiste is voor een adequate risicobeheersing. Wij bevelen aan om ook binnen de gezondheidszorg het volwassenheidsniveau van 3 als minimaal ambitieniveau te hanteren. Uiteraard dient hierbij rekening te worden gehouden met proportionaliteit.

 

Disclaimer

Wij realiseren ons terdege dat de gehanteerde onderzoeksopzet niet op basis van een volledig en uitputtend onderzoek naar het bestaan en de werking van het IRM binnen de gehele sector tot stand is gekomen. Jaar- en kwaliteitsverslagen zijn retrospectief en doen niet altijd recht aan de feitelijke situatie. Wij pretenderen dan ook niet volledig te zijn, wij beschrijven in onze rapportages een ‘verkenning’ van de sector. Evenwel zijn wij ervan overtuigd dat de in dit rapport beschreven bevindingen en aanbevelingen een relevante handreiking bieden om het volwassenheidsniveau van het IRM binnen de VVT- en GHZ-sector naar een hoger niveau te brengen. In de volgende paragraaf beschrijven wij de bevindingen en conclusies op hoofdlijnen.

Onze bevindingen en aanbevelingen op hoofdlijnen

Welk volwassenheidsniveau voor IRM blijkt uit de jaarverslagen 2019 en 2020 van de geïncludeerde zorginstellingen?

De onderzochte zorginstellingen scoren gemiddeld een 1,3 op een schaal van 4. Het hoogst gescoorde volwassenheidsniveau voor een zorginstelling binnen het onderzoek is een 2. Het laagst gescoorde volwassenheidsniveau voor een zorginstelling binnen het onderzoek is een 1.

Geen van de instellingen voldoet aan de cross-sectorale benchmark.
Op basis van onze visie en onderzoeksopzet verbinden wij hieraan de volgende conclusies:

  1. Er is voor VVT- en GHZ-instellingen relatief veel ruimte voor het verbeteren van het IRM en daarmee van de socialformance van de organisatie als het gaat om het behalen van de maatschappelijke doelstellingen. Denk hierbij aan de sectorale thema’s, zoals beschreven in paragraaf 1.1, die concrete risico’s vormen voor het behalen van de maatschappelijke doelstellingen.

  2. VVT- en GHZ-instellingen tonen onvoldoende aan te voldoen aan de eisen en verwachtingen in het Kader Goed Bestuur van de Inspectie Gezondheidszorg en Jeugd (IGJ) en de Governancecode Zorg. Er is daarmee voor VVT- en GHZ-instellingen relatief veel ruimte voor het verbeteren van het IRM vanuit het conformance perspectief.

  3. Er is voor VVT- en GHZ-instellingen relatief veel ruimte voor het verbeteren van het IRM en daarmee voor de performance van de organisatie als het gaat om het behalen van de organisatiedoelstellingen. Denk hierbij aan de sectorale thema’s, zoals beschreven in paragraaf 1.3, die concrete risico’s vormen voor het behalen van de organisatiedoelstellingen.

  4. Vanuit het holistische perspectief zien wij dat zowel de systeemkant als de menskant onvoldoende zijn ontwikkeld. De systeemkant (Risicogovernance 1,5 en Risicoprocessen 1,2) scoort licht beter dan de menskant (Risicostrategie 1,2 en Risicobewustzijn 1,2).

 

Welke verbeterpunten zijn er op basis van onze verkenning voor het IRM binnen zorginstellingen, kijkend naar de vier RAVC-risicokwadranten (Risicogovernance, Risicostrategie, Risicoprocessen en Risicobewustzijn), binnen de door ons gehanteerde onderzoeksopzet?

Voor Risicogovernance

  • Expliciete toetsing van de Risicogovernance aan het Kader Goed Bestuur van de IGJ en de Governancecode Zorg.
  • Explicitering dat er een risicomanagementbeleid is uitgewerkt en dat dit beleid is goedgekeurd door de Raad van Bestuur.
  • Expliciete toelichting op hoe de taken en activiteiten binnen risicomanagement zijn verdeeld binnen de organisatie.
  • Expliciet benoemen dat er een functionaris is die vanuit een onafhankelijke positie, op integrale wijze, de risicobeheersing uitdaagt (challenged) en faciliteert. In essentie is het hierbij van belang dat iemand in de organisatie: i. het bestuur, management en andere medewerkers (risico-eigenaren) ondersteunt en faciliteert om hun risicomanagement activiteiten (identificatie, beoordeling, beheersing, monitoring, rapportage en evaluatie) uit te voeren, ii. risico-eigenaren inhoudelijk uitdaagt en hun input integraal beoordeelt vanuit het risicoprofiel van de organisatie en iii. toeziet dat de risicoeigenaren hun activiteiten conform het risicomanagementbeleid (processen) uitvoeren.

Voor Risicostrategie

  • Expliciete en uitgewerkte koppeling van risicomanagement aan de algemene strategie van de instelling, met ambities en doelen, zodat duidelijk wordt hoe risicomanagement bijdraagt aan de verwezenlijking van deze strategie.

  • Expliciete uitwerking van risico’s in de primaire processen, dus zorginhoudelijke risico’s. Juist deze risico’s zijn relevant voor (de cliënten van) een zorginstelling.

  • Explicitering van de risicohouding, risicobereidheid en risicotolerantie. Door vooraf te bepalen welke uitgangspunten en stoepranden [bron 4] Zie definitielijst voor nadere uitleg hierover.relevant zijn om risico’s wel of niet te accepteren (strategisch kader), ontstaat voor de gehele organisatie een heldere prioritering en daarmee focus op de meest relevante risico’s.

Voor Risicoprocessen

  • Explicitering van methodieken en processen en een toelichting op hoe deze bijdragen aan een focus op relevantie in het risicomanagement.
  • Explicitering van de manier waarop risicomanagementinformatie een rol speelt bij de besluitvormingsprocessen (met name van de Raad van Bestuur).
  • Explicitering dat de instelling periodiek het risicomanagement evalueert om te borgen dat het risicomanagement relevant en doelmatig is.
  • Expliciet oordeel over de relevantie en doelmatigheid van risicomanagement: werkt het risicomanagement zodanig dat het op effectieve en efficiënte wijze bijdraagt aan het realiseren van ambities en doelen?

Voor Risicobewustzijn

  • Explicitering van de kernwaarden die de risicocultuur vormen.
  • Explicitering van gedragsgerichte, zachte maatregelen (‘soft controls’) waarmee sturing wordt gegeven aan de risicobeheersing en risicocultuur.
  • Explicitering van de voorbeeldfunctie van de Raad van Bestuur en de rol van de Raad van Toezicht als het gaat om het uitdragen van de gewenste risicocultuur en naleving van het risicomanagementbeleid, conform de (risico)strategie.
  • Explicitering van hoe de Raad van Bestuur in besluitvormingsprocessen het risicomanagement laat doorwerken en daarbij de risicostrategie consequent toepast.
Welke verbeterpunten zijn er op basis van onze verkenning voor het transparant verantwoorden over de integrale risicobeheersing in het jaar- of kwaliteitsverslag?

Zorginstellingen hebben geen wettelijke plicht tot het publiceren van een jaarverslag, de meeste zorginstellingen publiceren daarom alleen een kwaliteitsverslag en de jaarrekening. Ongeacht de wijze van verantwoording achten wij het van belang op een transparante wijze verantwoording af te leggen over de wijze waarop de gezondheidszorg – en daarbinnen de individuele zorginstellingen – haar risicobeheersing heeft ingericht. Op basis van de onderzochte jaar- en kwaliteitsverslagen concluderen wij dat de sectoren er nog onvoldoende in slagen om op een transparante wijze verantwoording af te leggen richting haar stakeholders. In hoofdstuk 5 van de sectorverkenning doen wij een handreiking aan de sectoren waarmee de individuele zorginstellingen hun voordeel kunnen doen bij de totstandkoming van toekomstige verantwoording. De essentie is om niet alleen te beschrijven wat er aan risicomanagement wordt gedaan, maar juist te focussen op de vraag waarom risicomanagement van belang is vanuit de verschillende perspectieven en hoe de individuele instelling hier een relevante invulling aan geeft voor haar stakeholders.

Desgewenst hanteert iedere zorginstelling bij het implementeren van deze handreiking haar eigen snelheid op basis van de ambitie en het absorptieniveau van de organisatie, waarbij rekening dient te worden gehouden met proportionaliteit. Tegelijkertijd zien wij vanuit onze kennis en ervaring een deels generiek stappenplan, dat wij graag delen.

 

Ons stappenplan voor de implementatie van onze aanbevelingen voor een individuele zorginstelling binnen de VVT- of GHZ-sector

Uiteraard bepaalt iedere zorginstelling zelf welk volwassenheidsniveau zij nastreeft. De IGJ en de Nederlandse Zorgautoriteit (NZa) hebben immers – nog – geen norm gesteld. In onze visie zou het voor iedere zorginstelling, gelet op de aard, omvang en maatschappelijke relevantie, passend zijn de eerder beschreven cross-sectorale benchmark – een IRM-volwassenheidsniveau 3 – als streefwaarde te hanteren.

Op basis van het reeds aanwezige volwassenheidsniveau en onze ervaring verwachten wij dat iedere zorginstelling binnen één jaar een volwassenheidsniveau van 2 kan realiseren. Daarmee zouden zowel de individuele zorginstellingen als de sector in zijn geheel een grote stap zetten in de adequate risicobeheersing. Het tijdspad voor de vervolgstappen naar een volwassenheidsniveau van 3 en/ of 4 zijn sterk afhankelijk van de ambitie, de omvang en het absorptieniveau van de individuele zorginstelling, waarbij rekening dient te worden gehouden met proportionaliteit.

De eerste belangrijke stappen om tot het volwassenheidsniveau te geraken hebben wij hieronder schematisch weergegeven. Hierbij hebben wij het sectorgemiddelde van 1,3 als startpunt gesteld en onze sectorbrede aanbevelingen als uitgangspunt genomen. In paragraaf 4.2 van de sectorverkenning hebben wij deze stappen nader uitgeschreven. Iedere zorginstelling kan hiermee, op basis het ambitieniveau en passend bij het absorptieniveau van de organisatie, op haar eigen wijze invulling geven aan het stappenplan.

Figuur 2. ‘Het stappenplan naar een volwassenheidsniveau van 2 vanuit het huidige sectorgemiddelde volwassenheidsniveau van 1,3 op een schaal van 4.

Wilt u na het lezen van deze managementsamenvatting meer verdieping op het onderwerp? Vraag dan hieronder het volledige onderzoeksrapport aan. Indien u een studie of inspiratiemiddag wenst te organiseren over het vak risicomanagement en hoe het bijdraagt uw doelstelling, dan luisteren wij graag naar uw verhaal. Vertel het ons.

 

 

Ja! Ik ontvang graag het onderzoeksrapport.

 

Wilt u meer lezen of beluisteren over de zorgsector? Bekijk onze kennisuitgave in de kennisbibliotheek of via onze Podcast en AethiQs TV.

Disclaimer
Hoewel deze publicatie met grote zorgvuldigheid is samengesteld, aanvaarden AethiQs B.V. en Verstegen accountants en adviseurs B.V. en alle andere entiteiten, samenwerkingsverbanden, personen en praktijken die handelen onder de naam ‘AethiQs’ en ‘Verstegen accountants en adviseurs’ geen enkele aansprakelijkheid voor de gevolgen van het gebruik van de informatie uit deze uitgave zonder hun medewerking. De aangeboden informatie is bedoeld ter algemene informatie en kan niet worden beschouwd als advies. Niets uit dit artikel mag zonder akkoord van de schrijvers worden gebruikt, gedeeld of gekopieerd voor andere doeleinden. Alle rechten voorbehouden aan de schrijvers en AethiQs©. Juli 2021