035 629 5963

Integriteitsrisico’s zwaar onderschat (sep ’17)

Recent onderzoek door Arteria Consulting toont aan dat de gesignaleerde risico’s bij veel middelgrote zorginstellingen niet overeenkomen met de ervaren risico’s. De focus ligt ten onrechte sterk op potentieel financieel gevaar. In werkelijkheid blijken incidenten vaker voor te komen op het gebied van integriteit en proces. Verbeteringen zijn dus mogelijk, zeker als het gaat om integraal beleid: de samenhang tussen domeinen en de daaraan gerelateerde risico’s.

Daarmee ontstaat een beeld van het verschil tussen hetgeen men verwacht en wat werkelijk heeft plaatsgevonden.

Het onderzoek heeft zich gericht op middelgrote instellingen in de VVT met baten tussen de €50 miljoen en €150 miljoen, en op de regionale ziekenhuizen die zijn aangesloten bij de SAZ (samenwerkende algemene ziekenhuizen). Het ging in totaal om 101 zorgorganisaties.

Het onderzoek is opgebouwd uit interviews, jaarverslaganalyse en een nieuwsanalyse. De interviews hebben plaatsgevonden bij 25 instellingen, verdeeld over het land. Ze zijn afgenomen bij bestuurssecretarissen, omdat zij een breed inzicht hebben in de eigen organisatie en de stand van zaken omtrent risicomanagement.

Door middel van de jaarverslaganalyse is in kaart gebracht welke risico’s zijn benoemd door instellingen. De nieuwsanalyse geeft inzicht in de incidenten die daadwerkelijk hebben plaatsgevonden.

De categorieën waarin het verschil tussen gesignaleerde risico’s en daadwerkelijk incidenten het grootst is, zijn:

• Financieel:
32,6% van de in totaal 319 gesignaleerde risico’s wordt door instellingen gezien als financieel. Dat terwijl slechts 12,7% van de 237 opgetreden incidenten als financieel is gecategoriseerd.
• Integriteit:
Slechts 0,9% van de gesignaleerde risico’s valt hier onder, terwijl 6,3% van de incidenten die zich hebben voorgedaan hierin vallen.
• Proces (waaronder zorginhoudelijke zaken):
9% van de gesignaleerde risico’s behoren hier toe, terwijl 21,9% van de ervaren incidenten onder deze categorie vallen.

Het volledige beeld wordt geschetst in figuur 1. Daarin zijn ook andere categorieën meegenomen, zoals strategie, omgeving en compliance.

Figuur 1: Gesignaleerde risico’s en daadwerkelijke incidenten

Prioriteiten
Aangetoond is verder dat integraal risicomanagement sinds een aantal jaren bij een meerderheid van de bestuurders op de agenda staat, maar dat er sprake is van de nodige hiaten. In het onderzoek is onderscheid gemaakt naar drie niveaus. Niveau 1 houdt in dat risicomanagement slechts zeer beperkt wordt uitgevoerd. Bij niveau 2 heeft risicomanagement wel een plek in de PDCA-cyclus maar wordt er reactief gehandeld. Niveau 3 betekent dat de eerste stappen richting proactief risicomanagementbeleid zijn genomen, maar dat behoefte is aan verbetering. Zie figuur 2.

Figuur 2: Scores van integraal risicomanagement per categorie

Figuur 2 geeft inzicht in de mate waarin het beleid integraal is opgezet. De resultaten laten zien dat bij een meerderheid van de instellingen de communicatie (64%) en risicobeoordeling (56%) op orde is, maar ook dat slechts 32% van de instellingen op niveau 3 zit voor de categorie verantwoording en dat slechts 8% van de instellingen op niveau 3 zit voor de categorie risicocultuur.

Wanneer het, naast de inrichting, gaat om de beleving en verdere toepassing van integraal risicomanagement, wordt het beeld minder positief. In de interviews wordt aangeven dat risicomanagement regelmatig is vervallen tot het bijhouden van lijstjes en dat er alleen gerapporteerd wordt als daar om wordt verzocht. Dit houdt in dat het bijhouden van de risico’s en de voortgang van de beheersmaatregelen het onderspit delven als andere prioriteiten zich voordoen. In figuur 3 wordt dit duidelijk zichtbaar.

Figuur 3: Overzicht van de twee variabelen die de categorie risicocultuur vormen

Hier is te zien welke risicocultuur er binnen een organisatie heerst. Oftewel, in welke mate men zich bewust is van de risico’s die men neemt en welke maatregelen men daartegen kan nemen. Niveau 1 betekent dat men zich totaal niet bewust is en dus ook niet handelt. Op niveau 2 is er wel sprake van bewustwording voor de risico’s op het eigen domein (denk aan zorg, HR, financiën, IT en facilitair), echter er wordt alleen incidentgedreven / reactief gehandeld. Op niveau 3 worden risico’s meer in samenhang bekeken en wordt er in het gedrag ook (pro-actief) op geanticipeerd.

Blinde vlekken
Op grond van het gehele onderzoek kan worden geconcludeerd dat het risicomanagementbeleid bij veel instellingen is opgepakt en systematisch vorm en inhoud krijgt. Niettemin hebben veel instellingen met een meerhoofdige raad van bestuur het risicomanagement niet bij één bestuurder gecentraliseerd.

Om te komen tot succesvol integraal beleid en uitvoering is dit echter van wezenlijk belang, omdat anders verantwoordelijkheden overlappen, dan wel juist leiden tot blinde vlekken. Het grootste struikelblok ligt op dit moment echter bij de vraag hoe een risicocultuur binnen de organisatie te creëren in de zorg- en bedrijfsvoering, die aansluit bij de werkelijk ervaren risico’s zonder in de reflex te vervallen van controles, (afvink)lijstjes en nóg meer administratie.

Het onderzoeksrapport Risicomanagement kunt u opvragen op onze pagina werkveld risicomanagement.

Bovenstaande blog van collega’s Jacco Aantjes en Rob van Erp is ook gepubliceerd op BoardRoom ZORG.nl.

Reageer op dit bericht

Vul uw zoekopdracht in en druk op Enter.