Zicht op interne risico’s cruciaal voor goed bestuur

Ook al wijdt de Zorgbrede Governancecode er effectief slechts één artikellid aan, het belang van risicomanagement mag niet worden onderschat. De implicaties van het niet hebben van een goed werkend risicobeheersingssysteem zijn groot. Uiteraard voor de patiënt of cliënt, maar ook voor de zorgorganisatie, haar bestuurders én interne toezichthouders.

De Zorgbrede Governancecode en risicobeheersing

Bij risicobeheersing in de zorg, denk je in eerste instantie direct aan patiëntveiligheid en aan het borgen van kwaliteit. Diverse wetten en regels stellen eisen aan de kwaliteit van de zorg, zoals bijvoorbeeld de Kwaliteitswet Zorginstellingen. Ook in de Zorgbrede Governancecode 2010 (“ZbGc”) komt de verplichting om verantwoorde zorg te leveren op diverse manieren terug:

• De raad van bestuur is verantwoordelijk voor de kwaliteit en de veiligheid van de zorg (art. 3.1 lid 1);
• De zorg moet voldoen aan eigentijdse kwaliteitseisen (art. 2.1 lid 2c); en
• De belanghebbenden worden geïnformeerd over de systematische bewaking, beheersing of verbetering van de kwaliteit van de zorg (art. 2.2 lid 2).

In artikel 3.1 lid 3 van de ZbGc staat ook dat de raad van bestuur verantwoordelijk is voor het beheersen van de risico’s verbonden aan de activiteiten van de zorgorganisatie. Hierover rapporteert de raad van bestuur aan de raad van toezicht. Met de raad van toezicht bespreekt de raad van bestuur de interne risicobeheersings- en controlesystemen. In de ZbGc wordt expliciet benoemt dat de raad van toezicht, toezicht houdt op de kwaliteit en veiligheid van zorg én op de opzet en werking van de systemen (art 4.1 lid 1). Die interne systemen moeten zijn toegesneden op de specifieke omstandigheden van de zorgorganisatie. Het is belangrijk om te onderkennen dat binnen het kader van de ZbGc die risicobeheersings- en controlesystemen betrekking hebben op meer dan de kwaliteit van de zorg alleen. Bovendien kunnen de gevolgen van het niet hebben van een goed werkend systeem voor bestuurders én interne toezichthouders groot zijn. Waarover hierna meer.

Wat is een risicobeheersings- en controlesysteem?

Er worden in de zorg (maar ook daarbuiten) diverse termen gebruikt om risicobeheersings- en controlesystemen aan te duiden. Eén daarvan is risicomanagement. Ook deze term kent diverse definities zoals: het identificeren en kwantificeren van risico’s en het bepalen van activiteiten die de kans van optreden en/of de gevolgen van risico’s beheersbaar houdt/maakt (Deloitte – Risicomanagement: meer dan de som der delen 2009). Risicomanagement gaat niet alleen over de kwaliteit van zorg die de zorgorganisatie levert, maar ook over: Financiële risico’s;

• Patiëntveiligheid;
• Imago- en marktrisico’s;
• Naleving van wet- en regelgeving (denk bijvoorbeeld aan privacy regelgeving);
• Bouwinvesteringen/vastgoed;
• Fusietrajecten;
• Personeel;
• ICT.

Het is niet mogelijk om door risicomanagement alle risico’s te voorkomen. Risicomanagement geeft echter wel de mogelijkheid om risico’s – bij voorkeur in hun onderlinge samenhang – in kaart te brengen. Vervolgens worden ze geanalyseerd en gewogen (naar ernst, hoe groot de kans is dat het voorkomt, oplosbaar of niet etc.). Op grond hiervan kan je prioriteiten stellen: wat pakken we het eerste aan. Ook is het belangrijk om een zorgvuldige afweging te maken van bedrijfsmatige en zorginhoudelijke belangen bij het beheersen van risico’s. Er moeten mogelijk (financiële) middelen worden vrijgemaakt en gealloceerd. En niet onbelangrijk: verantwoordelijke personen binnen de organisatie moeten worden aangewezen. De raad van bestuur is altijd eindverantwoordelijk. Door het toepassen van risicomanagement kan een zorginstelling maatregelen treffen om de ongewenste gebeurtenissen te voorkomen en – als een risico zich tóch verwezenlijkt – de gevolgen te beperken. Het is van belang dat er een risicomanagement-cyclus wordt toegepast. Na het implementeren van maatregelen is het monitoren vanzelfsprekend belangrijk. Zodat je kan leren van de gebeurtenissen en kan beoordelen of de genomen maatregelen effectief blijken te zijn. Alleen dan kan je zo nodig bijsturen.

Risicomanagement: verschillende vormen van implementatie

Sinds eind 2012 behoren alle ziekenhuizen over een veiligheidsmanagementsysteem (VMS) op certificeerbaar of accrediteerbaar niveau te beschikken. Dit systeem richt zich met name op de risico’s met betrekking tot patiëntveiligheid. Lees hier meer over op www.vms-zorg.nl. Over de rol van de raad van bestuur bij het VMS staat op deze website: “De raad van bestuur is eindverantwoordelijk voor de implementatie van een veiligheidsmanagementsysteem (VMS). Een open veiligheidscultuur is hierbij een voorwaarde. Voor het versterken van de veiligheidscultuur, is het belangrijk dat de raad van bestuur commitment toont ten aanzien van patiëntveiligheid richting management en medewerkers. Door sturing en het tonen van betrokkenheid en interesse laat de raad van bestuur zien belang te hechten aan openheid en transparantie. Dit versterkt de veiligheidscultuur en vergroot de mogelijkheid voor medewerkers om open over incidenten en verbeteringen te praten.” Het is duidelijk dat een dergelijke houding van de raad van bestuur niet alleen binnen ziekenhuizen gewenst is. Ook binnen de GGZ is risicomanagement een belangrijk thema. In 2013 is de “Handreiking Risicomanagement in de ggz ” (PDF) opgesteld in opdracht van de Stuurgroep Veilige Zorg, ieders zorg – patiëntveiligheidsprogramma GGZ. In deze handreiking staat: “De Raad van Bestuur is verantwoordelijk voor:

• Formuleren van beleid en visie aangaande risicomanagement;
• Toedelen van verantwoordelijkheden en bevoegdheden aan medewerkers;
• Creëren van een multidisciplinaire denktank waarbij met patiënten wordt nagedacht over risico’s;
• Vaststellen van de risico’s (strategisch, tactisch en operationeel);
• Vaststellen van risicotoleranties;
• Vaststellen van een risicoprofiel gekoppeld aan de doelstellingen;
• Beheersen van strategische risico’s;
• Faciliteren van het risicomanagementproces;
• Inrichten van de risico-organisatie.”

Een dergelijke takenlijst is natuurlijk ook binnen andere sectoren denkbaar.

Zicht op risico’s is rol van de raad van bestuur én de raad van toezicht

Duidelijk is dat het opzetten, vormgeven en continue toepassen van een passend risicomanagementsysteem binnen een zorgorganisatie geen eenvoudige taak is. Ook al wijdt de ZbGc er effectief slechts één artikellid aan, het belang van risicomanagement mag niet worden onderschat. De implicaties van het niet hebben van een goed werkend systeem zijn groot. Niet alleen op het gebied van reputatieschade van de zorgorganisatie, ook kan het gevolgen hebben voor leden van de raad van bestuur én van de leden van de raad van toezicht. Bestuurders- en toezichthoudersaansprakelijkheid is voorstelbaar als er door de bestuurders en interne toezichthouders (bewezen) onvoldoende aandacht is voor de kwaliteit van zorg, de patiëntveiligheid en voor de overige risico’s die hiervoor zijn genoemd. Waarbij in deze tijden van transities en bezuinigingen, beperktere financiering door banken en toegenomen druk vanuit de zorgverzekeraars de financiële risico’s hoog op de agenda van bestuur en toezicht zouden moeten staan. Het risicomanagement moet leiden tot een strategisch beleid. Het zicht op risico’s is dus cruciaal voor goed bestuur én toezicht. In het Werkplan van de Inspectie voor de Gezondheidszorg 2015 (lees meer hierover in het artikel ‘Toezicht op goed bestuur in de zorg door Inspectie in 2015’), heeft de inspectie aangegeven de resultaten van het interne toezicht én de wijze waarop de instelling aan risicomanagement doet in haar toezicht te gaan betrekken. IGZ zal bij haar bezoeken duidelijk maken dat alleen een keurmerk, certificering of accreditering geen of onvoldoende garantie biedt voor verantwoorde zorg. Kortom: ook vanuit de Inspectie zal er de komende periode meer aandacht zijn voor het risicomanagement binnen zorginstellingen en de wijze waarop dit binnen bestuur en toezicht is geborgd.

Check uw risicomanagementsysteem

Genoeg redenen om het risicomanagementsysteem binnen uw zorgorganisatie nog eens onder de loep te nemen en te bespreken binnen uw bestuur en raad van toezicht. Voldoet het? Waar schort het aan? Hoe is het met de veiligheidscultuur binnen uw organisatie gesteld? Zijn wij betrokken genoeg bij de kwaliteit en veiligheid van de door onze organisatie geleverde zorg?

Meer lezen over de aansprakelijkheid van bestuurders en toezichthouders? Download het eBook: ‘Bestuurdersaansprakelijkheid in de zorg’.