Integraal risicomanagement - VvAA

Integraal risicomanagement 

Onderzoeksrapport 

Integraal risicomanagement 

in 40 Nederlandse ziekenhuizen

Inhoudsopgave 

Inleiding 3 

Leeswijzer 5 

Managementsamenvatting 6 

1. Onderzoeksvraag 12 

1.1. De meerwaarde van integraal risicomanagement: formulering 

onderzoeksvraag 12 

1.2. Theoretische toelichting bij centrale onderzoeksvraag 13 

1.2.1. Wat is risicomanagement? 13 

1.2.2. Wat is IRM? 14 

1.2.3. Wat zijn de belangrijkste elementen van IRM in 

2 | Jaarverslagenonderzoek 

relatie tot de volwassenheid? 16 

2. Onderzoeksmethodiek en opzet 17 

2.1 Onderzoeksvraag en doelstelling 17 

2.2 Onderzoekstechniek 18 

2.3 Datacollectie 18 

2.4 Wijze van analyseren 18 

2.4.1 Beoordelingscriteria voor IRM 19 

2.5 Wegingsfactoren en scoringsmethodiek 21 

2.6 Beperkingen 23 

3. Onderzoeksresultaten en bevindingen 24 

3.1. Totaalbevindingen van de scores per subonderzoeksvraag 1 tot en 

met 10 aan de hand van de beoordelingscriteria IRM 24 

3.2.1. Toelichting per subonderzoeksvraag 25 

3.2.2. Samenvattend totaaloverzicht resultaten per 

subonderzoeksvraag 1 tot en met 10 28 

3.3. Totaalbevindingen van de scores per beoordelingscriterium 

(breedte, systematisch, structuur, meet- en toetsbaarheid) 39 

3.4. Samenvattend overzicht van scores en bevindingen van alle onderzochte 

ziekenhuizen, per subonderzoeksvraag en per beoordelingscriterium 45 

3.5. Resultaten per ziekenhuis, per beoordelingscriteria 46 

4. Eindconclusie en aanbevelingen 49 

4.1.1. Eindconclusie onderzoeksvraag 49 

4.1.2. Aanbevelingen op basis van de conclusies bij de 

subonderzoeksvragen 40 

4.2 Aanbevelingen op basis van de beoordelingscriteria 56 

5. Over VvAA en ConQuaestor 59 

Begrippen- en afkortingenlijst 60

Inleiding 

Waardecreatie voor patiënten en de maatschappij is van groot belang voor ziekenhuizen. 

Risicomanagement is een essentieel onderdeel van de totale besturing en inrichting (hierna: 

governance) van ziekenhuizen. 

Sinds de totstandkoming van de Zorgbrede Governance Code in 2005 staat bij steeds meer 

Nederlandse ziekenhuizen risicomanagement op de agenda van de Raden van Bestuur en 

Raden van Toezicht. Een goede inrichting van de governance is maar één voorwaarde om 

de organisatie op koers te houden. Het opzetten van een goed functionerend risicobeheer- 

en controlesysteem is een complex proces, en dat geldt ook voor ziekenhuizen. Een goed 

risicomanagementproces gaat uit van een lerende organisatie. Het verbetert de transparantie 

en zorgt voor meer inzicht en verbinding, waardoor de kwaliteit en veiligheid van de 

zorg worden verhoogd. Daarnaast vragen de publieke opinie en de maatschappelijke 

verantwoording om steeds meer transparantie over veilige zorg. Dit sluit aan bij de speerpunten 

van de Onderzoeksraad Voor Veiligheid. 

De zorgmarkt bevindt zich in een turbulente omgeving. Social media vormen een omgeving 

waarin steeds sneller moet worden gereageerd. De diversiteit van de risico’s neemt toe, 

maar daarnaast vertonen de risico’s die op zorgorganisaties afkomen ook steeds meer 

onderlinge samenhang. Deze ontwikkelingen versterken de behoefte aan een risicomanagement 

dat alle risico’s en bedreigingen beheersbaarder kan maken. Gezien de geschiedenis 

van de governancecode, de maatschappelijke ontwikkelingen en de huidige zorgmarkt 

roept dit anno 2013 de vraag op in hoeverre ziekenhuizen er in geslaagd zijn om risicomanagement 

te integreren in de dagelijkse bedrijfsvoering. Dit is voor ons de reden om de 

ziekenhuisjaarverslagen van 2010 en 2011 aan een onderzoek te onderwerpen. 

Dit onderzoek is een gezamenlijk initiatief van VvAA en ConQuaestor. Integraal risicomanagement 

komt pas volledig tot zijn recht als de totale zorgorganisatie in al haar facetten 

wordt meegenomen. De term ‘integraal’ benadrukt dat het gaat om het management van 

alle verschillende risicogebieden met betrekking tot de strategie, het zorgproces, de operationele 

bedrijfsvoering en weten regelgeving, in hun onderlinge samenhang. Daarom heeft 

het onderzoek (deskresearch) zich gericht op de mate waarin de ziekenhuizen hun integraal 

risicomanagement hebben beschreven in de jaarverslagen van 2010 en 2011. Daarnaast is 

bij het onderzoek een aantal belangrijke kernelementen van IRM meegenomen die worden 

gehanteerd in de subonderzoeksvragen en in de onderzoekscriteria. Deze zijn weliswaar 

indirect opgenomen in de governancecode (de wat-vraag), maar moeten door de ziekenhuizen 

expliciet gemaakt worden om IRM echt te laten werken (de hoe- vraag). 

Risicomanagement in het algemeen legt een belangrijke focus op het creëren van samenhang 

en verbinding tussen alle organisatiedisciplines. Een analyse van de mate waarin deze 

verbinding tot stand is gekomen, is van belang voor het succesvol creëren van waarde en 

hiermee de voorspelbaarheid van die waarde voor een ziekenhuis. 

IRM bestaat uit veel elementen, waaronder belangrijke als risicobereidheid, de strategische 

beleidsdoelstellingen in relatie tot risicomanagement, compliance, governance, 

Jaarverslagenonderzoek | 3

auditing en de planning- & controlcyclus. De mate waarin deze elementen tot wasdom 

komen is een aanwijzing voor de ‘volwassenheid’ van IRM. Die volwassenheid kan op een 

schaal worden uitgedrukt. In dit onderzoek vormen de kernelementen van IRM, en de 

mate waarin deze beschreven zijn in de jaarverslagen, een indicatie voor de mate van 

volwassenheid. 

We zijn ons ervan bewust dat de jaarverslagen een beperkte kijk kunnen geven op het 

onderzoeksonderwerp; anderzijds geven ze wel inzicht in het beeld dat ziekenhuizen van 

zichzelf willen presenteren op het gebied van risicomanagement in het algemeen en IRM in 

het bijzonder. De meerwaarde van het onderzoek is, dat inzicht verkregen wordt in de mate 

waarin IRM beschreven is. Dit geeft tevens een indicatie van de volwassenheid van het 

IRM-proces in de ziekenhuizen. Dit betreft dan de mate waarin een organisatie profiteert 

van het proces van risicomanagement en met recht tegen de maatschappij, de toezichthouders, 

de financiers en haar patiënten kan zeggen dat zij ‘in control’ is. 

Utrecht, juni 2013 

Lilian Knol - Risicomanagement voor de Gezondheidszorg - VvAA 

Thomas A. Ros - Vakgroep Governance, Audit, Risk & Compliance - ConQuaestor 

4 | Jaarverslagenonderzoek

Leeswijzer 

1. Onderzoeksvraag 

In dit hoofdstuk wordt toegelicht hoe de onderzoeksvraag tot stand is gekomen. Een aantal 

elementaire onderwerpen komen aan de orde, zoals: wat is risicomanagement, wat is 

integraal risicomanagement (IRM), wat is IRM-volwassenheid en wat zijn daarvan de 

belangrijkste kenmerken? 

2. Onderzoeksmethodiek en opzet 

Het onderzoek is kwalitatief van aard en gedaan op basis van deskresearch. De opzet, de 

keuze van de populatie en de gehanteerde onderzoeksmethodiek worden in dit hoofdstuk 

verder uitgewerkt en geëxpliceerd. 

3. Onderzoeksresultaten en bevindingen 

In dit hoofdstuk worden de onderzoeksresultaten en bevindingen weergegeven. In eerste 

instantie gaan we in op de totaalscore van de tien subonderzoeksvragen, aan de hand van 

de vier beoordelingscriteria voor IRM. Vervolgens geven we per subonderzoeksvraag een 

toelichting , resulterend in een totaaloverzicht. Voorts komen de totaalbevindingen van de 

scores per IRM-beoordelingscriterium aan de orde. Tot slot wordt, aan de hand van een 

totaaloverzicht, ingegaan op de geanonimiseerde resultaten per ziekenhuis. 

4. Conclusies en aanbevelingen 

In dit hoofdstuk geven we antwoord op de centrale onderzoeksvraag in de vorm van een 

eindconclusie. Deze eindconclusie betreft een indicatie van de IRM-volwassenheidsfase van 

de 40 onderzochte ziekenhuizen voor 2010 en 2011. Op basis van deze eindconclusie hebben 

we algemene aanbevelingen geformuleerd. De tien onderzoeksvragen en de vier beoordelingscriteria 

leidden tot een aantal conclusies. Op basis van die conclusies doen we een aantal 

aanbevelingen teneinde IRM, zowel inhoudelijk als voor de weergave in het jaarverslag, 

kwalitatief beter te beschrijven en te implementeren in de ziekenhuisorganisatie. 


Managementsamenvatting 

Nederlandse ziekenhuizen zijn nog onvoldoende in staat om integraal risicomanagement 

optimaal toe te passen. Sommige risico’s krijgen niet de aandacht die ze verdienen. Risico’s 

die samenhangen met financiën en met de veiligheid van patiënten worden doorgaans wel 

onderkend, maar ook dan blijft de onderlinge samenhang van die risico’s vaak buiten beeld. 

In 2010 en 2011 heeft vrijwel geen enkel ziekenhuis aangegeven in control te zijn op het 

gebied van risicomanagement. Bovendien is onvoldoende transparant hoe de Zorgbrede 

Governance Code in de praktijk wordt toegepast. 

Dit zijn de voornaamste conclusies van een onderzoek naar het integraal risicomanagement 

(IRM) van Nederlandse ziekenhuizen. Onderzoekers van ConQuaestor en VvAA analyseerden 

de jaarverslagen van veertig Nederlandse algemene ziekenhuizen over 2010 en 2011, 

en bekeken of en in hoeverre IRM in die jaarverslagen wordt behandeld. Op basis van dit 

onderzoek stellen zij vast dat ziekenhuizen weliswaar voortgang hebben geboekt in hun 

pogingen om IRM een volwaardige plaats te geven in hun organisaties, maar dat de professionaliteit 

en transparantie nog verbeterd kunnen worden. 

Een belangrijke aanbeveling is dat ziekenhuizen zelf vaststellen hoe volwassen hun IRM 

zou moeten zijn, en hoeveel transparantie nodig is om te voldoen aan de behoeften van hun 

stakeholders. In plaats van beleid op te stellen voor afzonderlijke risico’s, zou het risicomanagementbeleid 

zodanig moeten worden vormgegeven dat risico’s in de hele organisatie in 

hun samenhang worden bekeken. 

Meerwaarde onderzoek en centrale onderzoeksvraag 

Dit onderzoek beschrijft de mate waarin IRM beschreven is in de jaarverslagen van Nederlandse 

ziekenhuizen. Deze mate is een indicatie van de volwassenheid van IRM en het daaraan 

ten grondslag liggende proces. Dit onderzoek kan de discussie aanzwengelen over de wijze 

waarop IRM voor de ziekenhuizen naar een hogere graad van volwassenheid kan worden opgetild, 

zodat elk ziekenhuis optimaal van IRM kan profiteren en met recht tegen de maatschappij, 

de toezichthouders, de financiers en de patiënten kan zeggen ‘wij zijn in control’. 

VvAA en ConQuaestor hebben onder 40 ziekenhuizen onderzoek gedaan naar de huidige 

status van IRM, aan de hand van de volgende centrale vraag: 

In welke mate wordt integraal risicomanagement kwalitatief beschreven in de jaarverslagen 

2010 en 2011 van de Nederlandse algemene ziekenhuizen? 

Onderzoeksopzet en aanpak 

Ten behoeve van het onderzoek heeft het onderzoeksteam steekproefsgewijs een veertigtal 

ziekenhuizen geselecteerd. Er zijn in Nederland 81 algemene ziekenhuizen (NVZ 2011); er 

is een evenredige keuze gemaakt uit grote, gemiddelde en kleine ziekenhuizen. De academische 

ziekenhuizen zijn buiten beschouwing gelaten, vanwege hun specifieke positie op 

gebieden als financiering, universitair onderzoek, internationale scope, omvang en wijze 

van organisatie. 


De jaarverslagen over de boekjaren 2010 en 2011 zijn in hun totaliteit in de analyse meegenomen. 

Alle jaardocumenten zijn in digitale vorm publiekelijk vrij beschikbaar. 

Om de centrale onderzoeksvraag te kunnen beantwoorden heeft het onderzoeksteam een 

set van subonderzoeksvragen geformuleerd, alsmede een viertal beoordelingscriteria: 

Subonderzoeksvragen 

1. Is er een hoofdstuk risicomanagement aanwezig in het jaarverslag? 

2. Is de risicobereidheid benoemd? 

3. Is risicomanagement in relatie gebracht met de strategische doelstellingen? 

4. Wordt er een risicomanagementbeleid geformuleerd? 

5. Is er een governancestructuur aanwezig voor het risicomanagement? 

6. Is compliance een onderdeel van het risicomanagementproces? 

7. Is operational audit een onderdeel van, of maakt het gebruik van, het 

risicomanagementproces? 

8. Wordt een in-controlverklaring afgegeven? 

9. Is risicomanagement een onderdeel van de planning- & controlcyclus? 

10. Blijkt uit de jaarcijfers een specifieke risicoreservering? 

Beoordelingscriteria Omschrijving 

Breedte De mate waarin IRM in de gehele organisatie ingevoerd is 

in alle organisatielagen en in de strategische en operationele 

processen (het zorgproces en de operationele bedrijfsvoering) 

Systematisch De mate waarin specifieke risicomanagementmodellen of 

-methoden worden toegepast om het IRM-proces in de organisatie 

te borgen 

Structureel De mate waarin het IRM-proces, of de onderdelen daarvan, 

met een bepaalde frequentie en in samenhang met de 

bedrijfsvoering aan de orde komen 

Meet- en toetsbaarheid De mate waarin de input en de uitkomsten van het IRM-proces 

dusdanig gemeten kunnen worden dat er sprake is van 

expliciete resultaten 

Elk ziekenhuis is vervolgens kwalitatief beoordeeld aan de hand van de volgende tabel, 

waarbij elk ziekenhuis een kwantitatieve score heeft gekregen van 1, 2 of 3. Hieruit volgt 

een indicatie van de fase van IRM- volwassenheid waarin elk ziekenhuis verkeert. Het 

meten van de volwassenheid is gedaan op basis van een volwassenheidsmodel: 


Constatering en beoordeling 

voldoende, aanwezig, volledig, transparant 

in ontwikkeling, deels aanwezig, niet 

volledig, onduidelijk, voor verbetering 

vatbaar 

onvoldoende, niet aanwezig, niet 

transparant 


Kleurcode 

IRM- 

Score 

Relatie met volwassenheidsfase IRM 

3 Volwassenheidsfase 4 en 5 


1 Volwassenheidsfase 1 

Voornaamste uitkomsten onderzoek 

Het gezamenlijke onderzoek van ConQuaestor en VvAA heeft de volgende voornaamste 

uitkomsten opgeleverd, als antwoord op de centrale vraag in welke mate de veertig 

onderzochte Nederlandse algemene ziekenhuizen integraal risicomanagement kwalitatief 

beschrijven in de jaarverslagen over 2010 en 2011: 

Constatering en 

Beoordeling 

voldoende, aanwezig, volledig, 

transparant 

in ontwikkeling, deels aanwezig, 

niet volledig, onduidelijk, voor 

verbetering vatbaar 


transparant 

Kleurcode 

IRM- 

Score 

3 

2 

1 

Relatie met volwassenheidsfase 

IRM 

Volwassenheidsfase 

4 en 5 


2 en 3 


1 

Onderzochte 

ziekenhuizen 

2010 2011 

15% 18% 

28% 27% 

57% 55% 

- Op basis van de kwalitatieve uitgangspunten van het onderzoek laat de tabel zien dat, van 

de onderzochte ziekenhuizen, 85% voor 2010 en 82% voor 2011 nog in volwassenheidsfase 

1, 2 of 3 verkeren. 

- Meer dan de helft van de 40 onderzochte ziekenhuizen heeft IRM nog onvoldoende 

beschreven in de jaarverslagen over 2010 en 2011. 

- Het onderzoek laat zien dat een klein percentage van de ziekenhuizen (15% in 2010 en 

18% in 2011) zich in volwassenheidsfase 4 bevindt. Geen enkel ziekenhuis haalde de hoogste 

totaalscore op alle onderzoeksvragen en alle beoordelingscriteria. Dat wil zeggen dat 

geen enkel onderzocht ziekenhuis zich in volwassenheidfase 5 bevindt.

- Ziekenhuizen besteden veel aandacht aan de risico’s die samenhangen met patiëntveiligheid 

en financiën. De onderlinge samenhang van deze risico’s wordt echter niet of 

nauwelijks door de ziekenhuizen in beschouwing genomen. 

- In 82% voor 2010 en 88% voor 2011 van de onderzochte jaarverslagen wordt geen melding 

gemaakt van risicobereidheid. Het proces van IRM zou idealiter moeten starten met 

de definitie van risicobereidheid. Alleen door toleranties en risicolimieten expliciet te 

benoemen en vast te leggen kunnen meetbare en acceptabele risicobeheersmaatregelen 

worden gekomen. Mede gelet op de antwoorden op de subonderzoeksvragen 3 en 4 kan 

worden geconcludeerd dat nog niet wordt voldaan aan de randvoorwaarden voor een 

effectief IRM-proces. Daarbij moeten alle risicogebieden met betrekking tot de strategie, 

het zorgproces, de operationele bedrijfsvoering en weten regelgeving worden 

gehanteerd en in samenhang worden beschouwd. Het bepalen en specifiek maken van de 

risicobereidheid, in relatie tot strategische doelstellingen, is noodzakelijk om die samenhang 

te borgen. 

- De Zorgbrede Governance Code blijft een punt van aandacht. Ondanks een verbetering 

van de score met 4% in 2011 ten opzichte van 2010, ontbreekt het aan voldoende transparantie 

over de wijze waarop de Zorgbrede Governance Code wordt doorvertaald. Vooral 

het bestuurlijke aspect uit de Zorgbrede Governance Code krijgt de aandacht van de 

Raden van Bestuur. De focus op inbedding van een governancestructuur voor risicomanagement 

in de ziekenhuizen is daarentegen onvoldoende. 

- De Zorgbrede Governance Code schrijft niet expliciet voor hoe het proces van IRM moet 

worden ingericht. Het is en blijft echter noodzakelijk om hieraan vorm te geven. 

Ziekenhuizen moeten vaststellen en vastleggen hoe de taken, verantwoordelijkheden en 

bevoegdheden in de eigen organisatie worden ingezet. Het strekt tot aanbeveling om dit 

op te nemen in het risicomanagementbeleid. 

- Met 86% voor 2011 wordt compliance door de ziekenhuizen niet of onvoldoende beschreven 

als onderdeel van het proces van risicomanagement. Compliance vormt echter een 

essentieel onderdeel van IRM. Daarnaast is de compliancefunctie veelal niet ingericht. 

Ziekenhuizen kunnen veel winnen door compliancerisico’s efficiënt te beheersen, en zo 

doublures in activiteiten en maatregelen te voorkomen. 

- De ziekenhuizen geven in hun jaarverslagen over 2010 en 2011 (95%) zelden of nooit 

een in-controlverklaring af in het kader van het risicomanagementbeleid. Het expliciet 

maken van de verantwoording over het gevoerde beleid ten aanzien van de risico’s van 

de organisatie maakt nog geen onderdeel uit van de communicatie door ziekenhuizen. 

Risicomanagement zou in deze een continu proces moeten zijn, met als eerste aanzet het 

benoemen en definiëren van de risicobereidheid als onderdeel van het risicomanagementbeleid. 

De uitgangspunten daarvan zouden moeten worden verankerd in de planning- 

& controlcyclus. Daarmee kan het management een verantwoording afleggen die 

past bij de governance, de organisatiecultuur en de behoefte van stakeholders (w.o. Raad 

van Toezicht, IGZ, Waarborgfonds Zorgsector, NVZ, financiers, et cetera). In het kader 


van transparantie en de verantwoording over het gevoerde risicobeleid zou een heldere 

communicatie over de mate van risicobeheersing gewenst zijn. 

- Op het beoordelingsscriterium Structureel is voor ziekenhuizen nog veel winst te behalen. 

- Op onderdelen wordt structureel gerapporteerd over risicomanagement. Het gaat dan 

echter vooral over de financiële kant van de organisatie, de kwaliteit van de zorg en de 

patiëntveiligheid. In ongeveer de helft van de gevallen wordt aangegeven dat er een 

verband bestaat met de planning- & controlcyclus. In andere gevallen kan worden 

vastgesteld dat deze relatie ontbreekt. Bij de beoordelingscriteria Breedte en 

Systematisch is geconcludeerd dat ziekenhuizen hun risico’s traditioneel benaderen 

vanuit een silo aanpak en niet in onderlinge samenhang beschouwen. Deze samenhang is 

echter noodzakelijk om IRM in de organisatie te borgen. De aanbevelingen luiden als 

volgt: 

• Laat de organisatie, als geheel en per onderdeel, periodiek verantwoording afleggen 

over het gevoerde risicomanagementbeleid. 

• Verrijk het informatieprotocol met uitgangspunten die betrekking hebben op risicobereidheid, 

risicobeleid en risicoprofiel per resultaatverantwoordelijke eenheid. 

• Zorg voor borging van IRM in de lijnorganisatie (het zorgproces en de operationele 

bedrijfsvoering) als de ‘first line of defense’ (onderdeel van de ‘three lines of defense’). 

• Laat IRM-rapportagelijnen en -frequentie gelijk lopen met de planning - & con trol - 

cyclus. 

- Op het beoordelingscriterium Meet- en toetsbaar is voor de ziekenhuizen eveneens nog 

veel winst te behalen. Ruim de helft van de onderzochte jaarverslagen scoren op dit 

criterium een onvoldoende. Dit duidt erop dat er geen sprake is van een expliciet geformuleerd 

normenkader. Dit kader is noodzakelijk om de metingen (input en resultaten) in 

het IRM- proces op een zinvolle wijze te toetsen, opdat kan worden tegemoetgekomen 

aan de eisen van de stakeholders (zoals toezichthouders en kapitaalverstrekkers). 

Hierdoor worden de ziekenhuizen steeds meer getriggerd om het IRM- proces goed neer 

te zetten in de organisatie, waarbij de volgende punten in acht worden genomen: 

• Maak IRM-uitgangspunten expliciet en meetbaar door gebruik te maken van risicobereidheid. 

Hieraan gerelateerd worden niet alleen de te kwantificeren doelstellingen 

(in cijfers), maar ook de kwalitatieve doelstellingen op het vlak van reputatie en 

bedrijfscultuur meegenomen. 

• Maak de kostenefficiëntie van beheersmaatregelen expliciet in relatie tot de risico’s. 

• Baseer risicoreserves op onderbouwde risico- en rendementsafwegingen. 

• Optimaliseer de weergave van IRM in het jaarverslag ten behoeve van transparantie 

voor alle stakeholders. 

• Ontwikkel risicomanagement verder op een manier die past bij de volwassenheid van 

de organisatie, en begin met hetgeen er al aanwezig is. 


Uit deze uitkomsten valt af te leiden dat ziekenhuizen een stap hebben gezet op weg naar 

de volgende volwassenheidsfase van IRM. Het bereiken van een verder geprofessionaliseerde 

en transparantere organisatie is echter niet vanzelfsprekend. De beste motivatie is 

een intrinsieke. Zodra er aandacht wordt gevraagd voor risicomanagement door wet- of 

regelgeving of door toezichthouders, ligt het gevaar van bureaucratie op de loer. Dit resulteert 

vaak in een fragmentarische aanpak, in plaats van een integrale aanpak. Een ruime 

meerderheid van de onderzochte groep ziekenhuizen kent op dit moment onvoldoende 

transparantie over de verantwoording van de risicobeheersing. 

Belangrijkste aanbevelingen 

Ziekenhuizen zouden voor zichzelf het ambitieniveau voor IRM moeten vaststellen en dat 

expliciet maken in IRM-beleid. Met de stakeholders moet worden vastgesteld hoe groot de 

behoefte is aan transparantie over risicomanagement en hoe het ziekenhuis zich daarmee 

kan onderscheiden. Daarbij is het van belang vast te stellen welke samenhang met de strategische 

doelstellingen verwacht wordt, passend bij de huidige integrale bedrijfsvoering en 

cultuur. Daarnaast moet samenhang worden aangebracht in de toepassing van IRM op de 

verschillende risicogebieden met betrekking tot de strategie, het zorgproces, de operationele 

bedrijfsvoering (inclusief IT) en weten regelgeving. Dit heeft tot gevolg dat de risico’s 

niet vanuit traditionele silo’s worden beschouwd, maar organisatiebreed. 

Een meerjarig groeimodel zal de meest effectieve aanpak zijn om de diverse fases van 

IRM-volwassenheid te doorlopen. Een goede start is het in beeld brengen van de huidige 

IRM-volwassenheid, waarbij optimaal gebruik wordt gemaakt van wat er al aanwezig is. 

Elk ziekenhuis kan volgens het groeimodel kiezen hoe het IRM wil ontwikkelen. Daarbij is 

zowel een top-down- als een bottom-upbenadering mogelijk. Een top-downbenadering 

wordt geïnitieerd door de Raad van Bestuur en de medische staf, op basis van een gemeenschappelijk 

en strategisch draagvlak. Een bottom-upbenadering maakt daarentegen 

gebruik van datgene wat er al ligt (meestal op het vlak van patiëntveiligheid) als basis voor 

een verdere doorontwikkeling. 

Tot slot 

Vanuit de visie op de integrale bedrijfsvoering biedt IRM kansen voor de zorgsector. Door 

afstemming te zoeken tussen intern IRM- beleid en de uitvoering daarvan en de externe 

toetsing door toezichthouders en zorgautoriteiten, ontstaat een gedeeld normenkader voor 

IRM. Dit gezamenlijk normenkader zal leiden tot efficiëntere toetsing, een ‘level playing 

field’ voor alle marktpartijen en transparantie voor alle stakeholders. 


1. Onderzoeksvraag 

De vraag die dit onderzoek beantwoordt, is de volgende: 


2010 en 2011 van de Nederlandse algemene ziekenhuizen? 

De directe aanleiding om te onderzoeken in welke mate ziekenhuizen IRM in hun 

jaarverslagen hebben beschreven, zijn diverse maatschappelijke ontwikkelingen, in 

combinatie met de ontwikkelingen rond de Zorgbrede Governance Code. In dit hoofdstuk 

zetten we uiteen hoe de onderzoeksvraag tot stand is gekomen en geven we antwoord op 

een aantal voorafgaande vragen, zoals: wat is risicomanagement, wat is integraal risicomanagement 

(IRM), wat is IRM volwassenheid en wat zijn daarvan de belangrijkste 

kenmerken? 

1.1. De meerwaarde van integraal risicomanagement: 

formulering onderzoeksvraag 

Dit onderzoek geeft aan in hoeverre algemene ziekenhuizen IRM in hun jaarverslagen hebben 

beschreven. Dit geeft tevens een indicatie van de volwassenheid van het IRM-proces in 

de ziekenhuizen, ofwel de mate waarin een organisatie profiteert van het proces van risicomanagement 

en met recht tegen de maatschappij, toezichthouders, financiers en patiënten 

kan zeggen dat zij vanuit een intrinsieke motivatie ‘in control’ is. 

De Inspectie voor de GezondheidsZorg (IGZ) oefent risicogestuurd toezicht uit, en gebruikt 

daarvoor veiligheids- en kwaliteitsindicatoren. Deze indicatoren geven aan waar risico’s 

bestaan voor de kwaliteit van de zorg. Ze worden ook gehanteerd in het merendeel van de 

publiek beschikbare informatie in jaarverslagen, maatschappelijke jaarverslagen, websites 

en dergelijke (IGZ, 2012). Ziekenhuizen gebruiken die indicatoren om de kwaliteit van hun 

zorg te meten en te verbeteren, en om zichzelf te profileren. Zorgverzekeraars gebruiken 

de kwaliteitsindicatoren bij het inkopen van zorg. 

De veiligheids- en kwaliteitsindicatoren zijn gedefinieerd voor specialistische zorgprocessen. 

Andere, niet-zorggerelateerde, risico’s blijven daardoor onderbelicht, en worden soms 

zelfs helemaal niet onderkend. Dat kan leiden tot een silobenadering van risicogebieden in 

ziekenhuisorganisaties. Risico’s op het gebied van de strategie, het zorgproces, de operationele 

bedrijfsvoering en weten regelgeving lijken vaak onafhankelijk van elkaar te worden 

bekeken. Dit levert binnen ziekenhuizen mogelijk inefficiëntie op in het toepassen van de 

beheersmaatregelen, in zoverre beheersmaatregelen (onbewust) dubbel worden genomen 

of tegenstrijdig aan elkaar zijn. Maar bovenal worden door de siloaanpak de risico’s niet of 

onvoldoende in beeld gebracht, omdat de onderlinge afhankelijkheid van risico’s in de totale 

zorgketen niet transparant is. Ook de manier waarop risico’s de zorgprocessen beïnvloeden 

is onduidelijk. 


Om in een complexe organisatie als een ziekenhuis te komen tot een goede risicobeheersing 

in de hele zorgketen is een integrale aanpak nodig. Recent is immers meer dan eens aangetoond 

dat een kleine trigger genoeg is om het vertrouwen te verliezen. Als dat gebeurt kan 

een ziekenhuis worden geconfronteerd met onverwachte kosten; dat gebeurde bijvoorbeeld 

bij het Maasstad Ziekenhuis, het Medisch Spectrum Twente en het Ruwaard van Putten 

Ziekenhuis. De risico’s en de onderlinge afhankelijkheden van functies en processen werden 

in die gevallen niet tijdig erkend of herkend. Deze incidenten hebben vaak niet alleen de 

zorg en de betrokken patiënten, specialist(en) en bestuurders geraakt, maar de gehele 

organisatie en de publieke opinie. 

Het zelfvertrouwen van een ziekenhuis, én het vertrouwen dat publiek en toezichthouders 

in een ziekenhuis hebben, wordt voor een groot deel bepaald door de transparantie waarmee 

het ziekenhuis communiceert over de manier waarop het met risico’s omgaat. IRM kan 

daarbij helpen, omdat het een totaaloverzicht biedt van de risico’s die de doelstellingen van 

het ziekenhuis bedreigen, en van hun onderlinge samenhang. Er zou zelfs gesteld kunnen 

worden dat zonder IRM geen werkelijk transparante externe communicatie mogelijk is. 

Voor het onderhavige onderzoek is gebruik gemaakt van jaardocumenten en jaarrekeningen. 

Dit zijn publiek beschikbare gegevens, waarmee ziekenhuizen verantwoording 

afleggen over hun risicobeheersing. 

1.2. Theoretische toelichting bij centrale onderzoeksvraag 

De centrale onderzoeksvraag is gebaseerd op een theorie over risicomanagement, die we 

hieronder uiteenzetten. 

1.2.1. Wat is risicomanagement? 

Over risicomanagement wordt tegenwoordig veel gezegd, geschreven en nagedacht. Het 

ligt voor de hand dat risicomanagement allereerst draait om het zien of vinden van relevante 

risico’s en het bedenken van de daarbij behorende beheersmaatregelen. Voor een volwaardig 

risicomanagementproces is echter meer nodig. Goed risicomanagement staat in dienst 

van de strategische organisatiedoelstellingen, en gaat uit van de risicobereidheid en de 

cultuur van de organisatie. Dit zijn twee belangrijke elementen van risicomanagement 

waarmee een organisatie tot meetbare en acceptabele risicobeheersmaatregelen kan 

komen. Hierbij moet worden opgemerkt dat risicomanagement altijd een middel is om een 

doel te bereiken, en nooit een doel op zichzelf kan en mag zijn. COSO ERM (Enterprise Risk 

Management) geeft de volgende definitie van risicomanagement: 

Ondernemingsrisicomanagement is een proces dat bewerkstelligd wordt door 

het bestuur van de onderneming, het management en ander personeel en wordt 

toegepast bij het formuleren van de strategie en binnen de gehele onderneming, ontworpen 

om potentiële gebeurtenissen die invloed kunnen hebben op de onderneming 

te identificeren en om risico’s te beheersen zodat deze binnen de risico-acceptatiegraad 

vallen, om een redelijke zekerheid te bieden ten aanzien van het behalen van 

de ondernemingsdoelstellingen. 


De COSO ERM-definitie en de verdieping ervan bevatten een aantal fundamentele elementen 

en ideeën over risicomanagement: 

• het is een continu proces, uitgevoerd door bestuur, management en alle medewerkers; 

• het is van invloed op de strategiebepaling en raakt alle mensen in alle lagen en op alle 

niveaus van de organisatie; 

• het wordt daarom door de hele organisatie toegepast; 

• het is gericht op het identificeren van potentiële problemen en risico’s; 

• het past bij de volwassenheid en cultuur van de organisatie; 

• als risico’s zich voordoen en de organisatie raken, worden ze gemanaged binnen de risicobereidheid 

van de organisatie. Het gaat hierbij om de beheersing die de organisatie 

wenselijk vindt, met als einddoel het behalen van de organisatie doelstellingen op een 

verantwoorde wijze. 

Hiermee is risicomanagement een manier van managen die organisatiebreed toepasbaar is 

en de organisatie op koers brengt en houdt. Risicomanagement voegt waarde toe aan de 

organisatie en de systemen en/of methoden die al gebruikt worden, zoals LEAN, kwaliteitsmanagement, 

verandermanagement et cetera. 

Voor de zorgsector is risicomanagement, zoals hiervoor beschreven, doorvertaald in de 

Zorgbrede Governance Code (BOZ,2011). Deze code verplicht de leden tot het uitvoeren 

van aantoonbare risicobeheersing en controles. In de code wordt vermeld dat de Raad van 

Bestuur en de Raad van Toezicht verantwoordelijk zijn voor kwaliteit, veiligheid en risk 

management. 

De Code stelt: “Risk Management betreft niet alleen financiële risico’s van de 

zorgorganisatie, maar handelt ook over risico’s als kwaliteit van de zorg, patiëntveiligheid, 

imago- en marktrisico’s, bouwinvesteringen en fusietrajecten.” 

1.2.2. Wat is IRM? 

IRM is geen statisch, maar een dynamisch en interactief proces. Dit proces wordt continu 

doorlopen, zodat op het gebied van risicomanagement een zelflerende en zelfsturende 

zorgorganisatie ontstaat, die zich bewust is van de impact van de verschillende risico’s en 

hun onderlinge samenhang, alsook van de opties voor beheersing en de verschillende consequenties 

hiervan, inclusief de belegging van verantwoordelijkheden in de organisatie. 

Het integrale karakter van IRM komt tot uiting doordat er een verbinding wordt gelegd 

tussen strategie en operatie, en doordat de daarmee gepaard gaande processen in onderlinge 

samenhang worden beschouwd. Zo worden kansen en bedreigingen geïdentificeerd 

die van invloed kunnen zijn op het uitvoeren van de strategie en het behalen van de daaraan 

gerelateerde doelstellingen. Bedreigingen worden vertaald in risico’s waarvoor beheersmaatregelen 

worden geïmplementeerd op zodanige wijze, dat deze passen bij de risicobereidheid 

van het ziekenhuis. 


De term ‘integraal’ benadrukt dat het gaat om het management van alle verschillende 

risico gebieden met betrekking tot de strategie, het zorgproces, de operationele bedrijfsvoering 

en weten regelgeving in onderlinge samenhang. Hierbij wordt volledigheid 

nagestreefd door de organisatie. 

Voor dit onderzoek is in eerste instantie uitgegaan van de algemene definitie van IRM, 

afgeleid van COSO ERM, aangevuld met de uitgangspunten die opgenomen zijn in de 

Zorgbrede Governance Code en de kennis van VvAA en ConQuaestor. Ten behoeve van 

de analyse moeten de belangrijkste elementen van deze definitie echter verder worden 

uitgewerkt. Hierdoor wordt de definitie geoperationaliseerd en praktisch hanteerbaar. 

Op basis van ervaringen in alle bedrijfssectoren met IRM, hebben ConQuaestor en VvAA 

de volgende aanvullingen (met bijbehorende resultaten) op de definitie vastgesteld: 

• Risicomanagement is een gestructureerde en systematische aanpak om relevante 

risico’s, die het behalen van de organisatiedoelstellingen bedreigen, expliciet te kunnen 

identificeren, prioriteren analyseren en beheersen. 

• Integraal risicomanagement gaat uit van de samenhang van (cummulatie)risico’s, daarbij 

rekening houdend met de doelstellingen van de organisatie. 

• Aantoonbaar risicomanagement vergroot de transparantie en leidt tot toenemend 

vertrouwen van financiers en toezichthouders, patiënten en samenwerkingspartners. 

• Integraal risicomanagement geeft inzicht in zichtbare én onzichtbare kosten. De organisatie 

kan vervolgens concrete, doordachte en samenhangende maatregelen nemen die 

bijdragen aan kostenbeheersing en de juiste inschatting van mogelijke kansen en bedreigingen 

(denk ook aan kosten verspilling, herstelkosten, imagoschade, personeelsverloop 

etc.) 

• Integraal risicomanagement brengt onderwerpen structureel en expliciet onder de 

aandacht van alle lagen van de organisatie. 

• Integraal risicomanagement creëert draagvlak en wederzijds begrip van elkaars werkvelden; 

het verbindt organisatieonderdelen. 

• Een organisatie die risico’s proactief en continu in kaart brengt is beter voorbereid op de 

toekomst en kan sneller reageren op veranderingen. Hierdoor wordt de concurrentiepositie 

versterkt. 


1.2.3. Wat zijn de belangrijkste elementen van IRM in relatie tot de volwassenheid? 

In een volwaardig IRM-proces zijn drie belangrijke elementen uitgeschreven die alle dienen 

te worden bekrachtigd door de Raad van Bestuur en Raad van Toezicht: 

• De (strategische) doelstellingen van de organisatie. 

• De expliciete risicobereidheid in relatie tot de doelstellingen van de organisatie. 

• Het risicomanagementbeleid en de structuur (risicofunctie, governance, compliance, 

audit en control) om de doelen te realiseren op basis van de risicobereidheid. 

Hierbij dient te worden opgemerkt dat de ‘tone at the top’ onmiskenbaar van invloed is op 

de kwaliteit van het risicomanagement. De risicocultuur is de som van alle individuele en 

bedrijfswaarden, houdingen en gedragspatronen die bepalen of en hoe de zorgorganisatie 

is gecommitteerd aan integraal risicomanagement en het risicomanagementbeleid dat 

hiertoe is opgesteld. Het bestuur moet in woord en daad het belang van risicomanagement 

uitdragen. Vervolgens moet dit op alle niveaus geïntegreerd worden in de (dagelijkse) werkzaamheden. 

Daarnaast is er de vraag hoe de risico’s gemanaged worden en of dit in overeenstemming 

is met de strategie, risicobereidheid en het risicoprofiel van het ziekenhuis. 

De hiervoor geformuleerde IRM-elementen kunnen vertaald worden naar een volwassenheid 

die kan worden uitgedrukt in vijf opeenvolgende fasen. Model 1 is een visualisatie 

hiervan. Het onderzoeksteam hanteert deze schaalverdeling voor zowel de score als de 

analyse van de mate waarin de algemene ziekenhuizen in de jaarverslagen blijk geven IRM 

te hebben ingevoerd. 

Model 1. Volwassenheid IRM 

Relatie met de strategie 

Fase 1 

Ad hoc en 

reactief. Externe 

normen dominant 

Fase in ontwikkeling van integraal risicomanagement 

© ConQuaestor 


Fase 2 

Risico identificatie 

en classificatie. 

Externe normen 

dominant, beperkt 

in samenhang met 

interne normen 

Fase 3 

Verankering. 

Constante 

identificatie, 

meeting 

vastlegging en 

beheersing van 

risico’s in risico 

register. 

Fase 4 

Risico/maatregel 

optimalisatie. 

Ook kwantificering 

van risico’s en 

kosten/baten 

analyses bij 

beheersing van 

risico’s. Interne 

norm in balans met 

externe norm. 

Fase 5 

Risico integratie in 

de strategische 

planning: constante 

afstemming 

van risico’s tussen 

business model 

en strategie en 

doorvertaling van 

risico’s/beheersing 

naar tactisch en 

operationeel

2. Onderzoeksmethodiek en opzet 

De opzet van het onderzoek, de keuze van de populatie en de gehanteerde onderzoeksmethodiek 

worden in dit hoofdstuk verder uitgewerkt en geëxpliceerd. 

2.1. Onderzoeksvraag en doelstelling 

Het onderzoek is gericht op de algemene ziekenhuizen in Nederland, en tracht op basis van 

de jaardocumenten over 2010 en 2011 inzicht te krijgen in de mate waarin IRM wordt toegepast. 

Dit levert tevens een indicatie op van de mate van volwassenheid van de toepassing 

van IRM door de Nederlandse ziekenhuizen. Het verkrijgen van inzicht in de mate van 

volwassenheid is essentieel voor ziekenhuizen die willen aantonen dat hun gebruik van IRM 

groei vertoont. Daarnaast is inzicht in de mate van IRM-volwassenheid noodzakelijk om een 

discussie aan te kunnen gaan over de wijze waarop IRM voor elk ziekenhuis kan toegroeien 

naar een hogere graad van volwassenheid. Het centrale doel van het onderzoek is dan ook 

het verkrijgen van inzicht in de mate van volwassenheid van de toepassing IRM door de 

Nederlandse ziekenhuizen. De onderzoeksvraag is als volgt opgesteld: 


2010 en 2011 van de Nederlandse algemene ziekenhuizen?’ 

Om een antwoord te krijgen op de onderzoeksvraag, en daarbij deze onderzoekvraag 

ondersteuning te bieden, heeft het onderzoeksteam een tiental subonderzoeksvragen 

geformuleerd: 




3. Is risicomanagement in relatie gebracht met de strategische doelstellingen? 

4. Wordt er een risicomanagementbeleid geformuleerd? 

5. Is er een governancestructuur aanwezig voor het risicomanagement? 

6. Is compliance een onderdeel van het risicomanagementproces? 

7. Is operational audit een onderdeel van, of maakt het gebruik van, het 






2.2. Onderzoekstechniek 

De toepassing van Risicomanagement is een element dat prominent naar voren komt in 

de Zorgbrede Governance Code. Volgens deze code dienen de leden van deelnemende 

brancheorganisaties (waaronder de Nederlandse ziekenhuizen), de principes na te leven die 

in de code beschreven zijn, en dienen zij hierover verantwoording af te leggen in de jaarverslaglegging. 

Vandaar dat in het onderzoek gebruik wordt gemaakt van de jaarverslagen 

van de ziekenhuizen om de onderzoeksvraag te beantwoorden. 

Voor het onderzoek is een kwalitatieve analyse uitgevoerd van jaarverslagen van 

Nederlandse ziekenhuizen over 2010 en 2011. Dit zijn publiek beschikbare gegevens, 

waarmee ziekenhuizen verantwoording afleggen over hun risicobeheersing. De analyse 

schetst een duidelijk beeld van het volwassenheidsniveau van de toepassing van IRM door 

Nederlandse ziekenhuizen. 

2.3. Datacollectie 

Het onderzoek is gericht op algemene ziekenhuizen in Nederland. Nederland heeft in totaal 

81 van zulke ziekenhuizen (NVZ 2011). De categorie topklinische opleidingsziekenhuizen 

valt integraal in de onderzoekspopulatie van algemene ziekenhuizen. 

Daarnaast kent Nederland acht universitaire medische centra. Deze zijn in dit onderzoek 

buiten beschouwing gelaten vanwege hun specifieke financiering, verantwoordingeisen, 

toezichtsystemen en complexiteit. 

Om tot een gedragen conclusie te kunnen komen, is de omvang van de steekproef op 40 

gezet; bijna de helft van de totale populatie van algemene ziekenhuizen in Nederland. 

Op grond van dit relatief grote aantal kan worden aangenomen dat er tot op zekere hoogte 

uitspraken gedaan kunnen worden over de gehele populatie. 

De steekproef betreft een niet a-selecte steekproef. Van de 81 ziekenhuizen is namelijk een 

evenredige keuze gemaakt uit grote, gemiddelde en kleine ziekenhuizen, op basis van de 

productiegegevens en het aantal specialisten/FTE’s . Tevens is rekening gehouden met een 

optimale geografische spreiding van de ziekenhuizen. Op deze manier is een adequate 

verdeling van de ziekenhuizen op grootte en geografische verspreiding geborgd. 

2.4. Wijze van analyseren 

Twee onderzoekers hebben de jaarverslagen van de ziekenhuizen geanalyseerd. Om tot 

eenduidige zoekresultaten te kunnen komen, is gebruik gemaakt van vaste zoekcriteria (zie 

Model 2: beoordelingscriteria IRM, hieronder). 

Iedere onderzoeker maakte gebruik van dezelfde criteria en onderzocht een vastgesteld 

aantal jaarverslagen. Daarna wisselden de onderzoekers hun gegevens uit, waarna zij 

opvallende scores bespraken en de beoordelingen toetsten. Tevens beoordeelden de onderzoekers 

onafhankelijk van elkaar steekproefsgewijs een identiek tiental jaarverslagen, 

waarna de verschillen in beoordeling werden onderzocht en bijgesteld. De beoordelings- 


verschillen in deze steekproef waren minimaal en verwaarloosbaar; een aanwijzing dat de 

beoordeling consistent verliep. 

De jaarverslagen van de ziekenhuizen zijn in hun totaliteit in de analyse meegenomen, dus 

inclusief jaarrekeningen en (sociale) jaarverslagen. Alle jaardocumenten zijn in digitale 

vorm publiekelijk vrij beschikbaar. Uit respect voor de individuele ziekenhuizen is ervoor 

gekozen om het onderzoeksrapport te anonimiseren. 

2.4.1. Beoordelingscriteria voor IRM 

Aan de hand van vier criteria is vastgesteld in hoeverre algemene ziekenhuizen blijkens hun 

jaarverslagen IRM hebben ingevoerd, en in welk stadium van volwassenheid hun risicomanagement 

verkeert. De gehanteerde zoekcriteria zijn uitgewerkt in model 2. 

Criteria Omschrijving Relatie met volwassenheidsfase IRM 

Breedte De mate waarin IRM in 

de gehele organisatie is 

ingevoerd in alle organisatie 

lagen en binnen de 

strategische en operationele 

processen 

Systematisch De mate waarin specifieke 

risicomanagement modellen 

of methoden worden 

toegepast om het IRM 

proces in de organisatie te 

borgen 

Structureel De mate waarin het IRM 

proces, of de onderdelen 

daarvan, met een 

bepaalde frequentie en in 

samenhang met de 

bedrijfsvoering aan de 

orde komen 

Meet- en 

toetsbaar 

Model 2. Beoordelingscriteria IRM 

De mate waarin de input 

en de uitkomsten van het 

IRM proces dusdanig 

gemeten kunnen worden 

dat sprake is van expliciete 

resultaten 

* Organisatie onderdelen in bereik van IRM 

* Hiërarchische lagen betrokken bij IRM 

* Expliciet verantwoordelijken voor IRM 

* Overige stakeholders 

(accountant, interne audit, leveranciers, 

financiers, patiënten etc.) 

* Gebruik van risicomanagement methoden, 

technieken 

* Gebruik van risico categorieën/classificatie 

* Gehanteerde modellen 

(COSOII, ISO 31000, M_o_R) 

* Rapportagevormen 

* Risk Management tooling/IT 

* Externe databronnen 

* Aantal keer per periode 

* Gekoppeld aan standaardrapportages 

* Agenda onderwerp in diverse lagen 

* Samenhang met planning en control 

* Gebruik van wegingen, indicatoren 

* Specifieke onderbouwing van risicobereidheid 

en reserve 

* Transparantie over verantwoording 

(in-control verklaring) 


Deze vier criteria zijn gekozen omdat zij multidimensionaal inzicht geven in de mate waarin 

ziekenhuizen integraal met risicomanagement omgaan. Het integrale karakter betekent in 

deze context dat een organisatie volledig stuurt op de strategie, doelstellingen, werkprocessen, 

medewerkers en middelen. Daarnaast stuurt de organisatie in de bedrijfsvoering op 

de aansluiting tussen afdelingen of bedrijfsonderdelen (resultaatverantwoordelijke eenheden). 

Door het centrale bestuur worden de standaarden bepaald en beheerd voor die 

aansluiting. 

IRM focust op volledigheid wat betreft de risico’s die samenhangen met strategie, doelstellingen, 

werkprocessen, medewerkers en middelen. De organisatiecontext is dus bepalend 

voor de mate van volledigheid van IRM. Die context kent vier dimensies, die als criteria 

worden gebruikt in de analyse. 

De breedte waarmee IRM wordt ingezet in de organisatie is te bepalen aan de hand van de 

bedrijfsonderdelen waarop het van toepassing is en de relatie met bestuurlijke en operationele 

processen. 

Hoe systematisch IRM wordt ingezet in de organisatie is te herleiden uit het gebruik van 

specifieke risicomanagementmodellen, -methoden (bijvoorbeeld COSO II, ISO 31000, 

M_o_R ) en IT-tooling. 

Hoe structureel IRM in de organisatie wordt toegepast is op te maken uit de frequentie 

waarmee zowel input als output van het risicomanagementproces aan bod komen bij de 

aansturing van de organisatie. Dat komt tot uiting in de wijze en timing van de aansluiting 

tussen bedrijfsonderdelen, bijvoorbeeld de samenhang met de planning- & controlcyclus. 

De meet- en toetsbaarheid van de input, throughput en uitkomsten van het IRM-proces 

zijn zowel kwantitatief als kwalitatief van aard (of kunnen dat zijn). Meet- en toetsbaar 

betreft in deze context: expliciet. Kwantitatieve factoren zijn te herleiden uit risicobereidheid, 

het sturen op risicolimieten en -indicatoren en de uiteindelijk expliciete financiële 

vertaling naar risicoreserves. Daarnaast kan kwalitatief worden vastgesteld dat IRM leidt 

tot expliciete verantwoording over het gevoerde beleid en de betrouwbaarheid van de 

resultaten. 

De toepassing van deze beoordelingscriteria op de jaarverslagen van de algemene ziekenhuizen 

geeft inzicht in de mate waarin IRM is toegepast. Aan de hand van dat gegeven kunnen 

de tien onderzoeksvragen worden beantwoord. De jaarverslagen van de onderzochte 

ziekenhuizen zijn beoordeeld aan de hand van deze criteria. Aan de im- of expliciete invulling 

die de ziekenhuizen aan IRM geven is een factor toegekend; aan de hand van deze factor 

kan de mate waarin verschillende ziekenhuizen IRM toepassen worden vergeleken. 


2.5. Wegingsfactoren en scoringsmethodiek 

De analyse van de jaarverslagen bestaat uit het doorlopen van de beschrijvingen die direct 

of indirect aan IRM-activiteiten kunnen worden toegekend op basis van de subonderzoeksvragen. 

De beoordeling vindt plaats aan de hand van model 3. Hierbij is een directe vertaling 

gemaakt naar de volwassenheidsfase van IRM. 

Constatering en Beoordeling 




vatbaar 


transparant 

Model 3. Beoordelingscriteria IRM 

Kleurcode 

IRM- 

Score 





Om de analyse niet onnodig complex te maken, heeft het onderzoeksteam ervoor gekozen 

om geen wegingsfactoren toe te kennen per criteria of per subonderzoeksvraag. Daardoor 

is de feitelijke uitkomst van de analyse: een score van 1, 2 of 3 per criterium, per subonderzoeksvraag 

en per ziekenhuis. Daaruit volgt een totale score op basis van kwalitatieve en 

kwantitatieve oordelen te herleiden voor de onderzoeksvraag voor elk ziekenhuis, voor de 

steekproef en voor de populatie van de algemene ziekenhuizen in Nederland. Deze score 

geeft inzicht in de mate waarin IRM in de jaarverslagen over 2010 en 2011 tot uitdrukking 

komt. Al deze gegevens werden samengebracht in een totaaltabel, waaruit alle bevindingen 

en conclusies werden afgeleid. Tezamen vormden deze gegevens tevens een indicatie voor 

het volwassenheidsfase van IRM in de onderzochte ziekenhuizen. Dit kan geïllustreerd 

worden aan de hand van model 4. 



per ZKH 

1. Is een hoofdstuk 

risicomanagement 

aanwezig? 

2. Is de risicobereidheid 

benoemd? 

3. Is risicomanagement 

in relatie gebracht 

met strategische 

doelstellingen? 

4. Wordt risicomanagementbeleidgeformuleerd? 

5. Is een risicomanagement 

Governance Structuur 

aanwezig? 

6. Is compliance een onderdeel 

van het risicomanagementproces? 

7. Is audit een onderdeel 

van het risicomanagementproces? 

8. Wordt een In Control 

verklaring afgegeven? 

9. Is risicomanagement 

een onderdeel van 

P&C- cyclus? 

10. Blijkt uit de jaarcijfers 

een specifieke risicoreservering? 


Mate waarin Risicomanagement als Integraal wordt 

beschreven in het jaarverslag 

Breedte Systematisch 

Model 4. Totaaloverzicht subonderzoeksvragen en beoordelingscriteria 

Structureel Meet- en 

toetsbaarheid 

1 2 3 Kwalitatief 

oordeel 

Kwalitatief oordeel en kwantitatief oordeel 

TOTAAL 

Score 

IRM

De volgende stappen zijn doorlopen in de scoringsmethodiek: 

1. Alle 40 ziekenhuizen hebben over 2010 en 2011 een eigen score gekregen voor alle tien 

de subonderzoeksvragen (zie 3.2) en alle vier de beoordelingscriteria (zie 3.3). 

2. Vervolgens zijn de scores van de ziekenhuizen bij elkaar gebracht in een totaaltabel (zie 

tabel 16 3.4) 

3. De totalen van alle rode, oranje en groene scores werden opgeteld. 

4. Vervolgens werden deze scores omgezet naar gewogen percentages in grafieken 

2.6. Beperkingen 

De analyse is kwalitatief van aard. Dit heeft als consequentie dat de score onderhevig is aan 

de kwalitatieve beoordeling van de individuele teamleden. Om hun individuele beoordelingen 

meer te objectiveren, hebben de onderzoekers hun analyses onafhankelijk van elkaar 

uitgevoerd. Vervolgens zijn de scores van de individuele onderzoekers vergeleken. De afwijkingen 

werden nogmaals bekeken en besproken, om te komen tot een gezamenlijke consensus. 

Hiermee is de subjectieve oordeelsvorming ingeperkt. Daarnaast is gebruik gemaakt 

van eenduidige zoekcriteria; dit vermindert de kans op verschillen in de codering. De onderzoekers 

hebben met dit kwalitatieve onderzoek niet als doel om causale verbanden te leggen 

of om waarheden bloot te leggen voor de gehele populatie. Hun doel is om inzicht te ver krijgen 

in de mate van volwassenheid van het risicomanagement van Nederlandse zieken huizen. 

Door de analyse van de jaarverslagen van 40 ziekenhuizen kunnen uitspraken gedaan 

worden over de mate van volwassenheid van risicomanagement van deze ziekenhuizen. Er 

is een waarschijnlijkheid dat deze uitkomsten ook van toepassing zijn op de gehele sector, 

al valt dit op grond van dit onderzoek niet te concluderen. 


3. Onderzoeksresultaten en bevindingen 

In dit hoofdstuk worden de onderzoeksresultaten en bevindingen weergegeven. In eerste 

instantie zal, aan de hand van de vier beoordelingscriteria voor IRM, worden ingegaan 

op de totaalscore van de tien subonderzoeksvragen. Vervolgens zal per subonderzoeksvraag 

een toelichting worden gegeven, resulterend in een totaaloverzicht. Voorts komen 

de totaalbevindingen van de scores per beoordelingscriterium voor IRM aan de orde. Tot 

slot gaan we, op geanonimiseerde basis, in op de resultaten per ziekenhuis. 

3.1. Totaalbevindingen van de scores per subonderzoeksvraag 1 tot en met 10 

aan de hand van de beoordelingscriteria IRM 

Zoals weergegeven in hoofdstuk 2 ‘Onderzoeksmethodiek en opzet’ leidt de kwalitatieve 

en kwantitatieve beoordeling van de tien subonderzoeksvragen aan de hand van de vier 

beoordelingscriteria tot een totaaloordeel, uitgedrukt in de totale IRMscore. De scores 

zijn omgezet in percentages per kleurcode per jaar. 

Scoretabellen 

Totaaltabel 1. Subonderzoeksvragen 1 t/m 10 aan de hand van de 4 beoordelingscriteria 

IRM: Breedte, Systematiek, Structureel, Meet- en toetsbaar: 

Totaalscore Beoordelingscriteria 

Jaar Breedte Systematisch Structureel Meet- en toetsbaar 

2010 20% 27% 53% 16% 27% 57% 20% 25% 55% 5% 33% 62% 

2011 26% 25% 49% 19% 25% 56% 23% 24% 53% 4% 33% 63% 

Totaalscores totaaltabel 1 in %: 

Totaalscore 2010 

10 subonderzoeksvragen 

en 

4 beoordelingscriteria 

15% 


28% 

57% 


10 subonderzoeksvragen 

en 

4 beoordelingscriteria 

18% 

27% 

55%

Bevindingen 

Rood: In meer dan de helft van de onderzochte jaarverslagen voor zowel 2010 als 2011 wordt 

er in totaliteit een onvoldoende gescoord op de mate waarin IRM is beschreven. Indicatief 

kan derhalve gesteld worden dat uit deze jaarverslagen blijkt dat men nog in volwassenheidsfase 

1 verkeert. Dit betekent dat er nog te vaak IRM-elementen ontbreken in de 

verslaglegging, met opvallend lage scores voor Meet- en toetsbaar. 

Oranje: Van de onderzochte jaarverslagen heeft 28% in 2010 en 27% in 2011 een oranje score 

gekregen. Enerzijds is sprake van een toename van 1% (van de rode naar oranje score). 

Anderzijds is sprake van een afname van 3% (van de rode naar de oranje naar de groene 

score) Kortom, er is een zeer lichte ontwikkeling in risicomanagement vastgesteld. 

Groen: Van de onderzochte jaarverslagen heeft 15% in 2010 en 18% in 2011 een groene score 

gekregen. Daarbij moet worden opgemerkt dat de daadwerkelijke IRM-volwassenheidsfase 

nog relatief laag is, omdat de score per criterium per ziekenhuis nergens de hoogste is, zoals 

de tabellen 17 en 18 laten zien (3.5. Resultaten per ziekenhuis). De meeste ziekenhuizen 

voeren hun IRM-activiteiten nu uit in de IRM-volwassenheidsfasen 1, 2 of 3. 

Conclusies 

Gelet op bovenstaande bevindingen kan gesteld worden dat het overgrote gedeelte van de 

ziekenhuizen qua IRM nog een weg te gaan heeft in het groeien naar een hogere volwassenheidsfase. 

Met name op het gebied van verslaggeving omtrent risicobeheersing zijn er 

over vrijwel heel de linie nog verbeteringsslagen te maken. 

Er zijn slechts relatief kleine verschillen waarneembaar tussen de jaren 2010 en 2011. Rood 

en oranje nemen af ten gunste van de groene score in 2011. Hierbij zien we een toename van 

de groene score met 3%. 

Een toelichting op de resultaten per subonderzoeksvraag aan de hand van de vier beoordelingscriteria 

wordt gegeven in paragraaf 3.2.1. 

3.2.1. Toelichting per subonderzoeksvraag 

De onderstaande toelichtingen per subonderzoeksvraag zijn opgebouwd uit de totaalscore 

van alle ziekenhuizen per vraag. De totaalscore is vertaald in percentages. Voor de scoringsmethodiek 

verwijzen we naar paragraaf 2.2.3. Daarnaast zijn de bevindingen per subonderzoeksvraag 

weergegeven. 


Subonderzoeksvraag 1: Is een hoofdstuk risicomanagement aanwezig? 

Scoretabellen 

Tabel 2. Subonderzoeksvraag 1, uitgesplitst per criterium 

Vraag 1 Beoordelingscriteria 


2010 50% 10% 40% 33% 20% 47% 45% 13% 42% 5% 25% 70% 

2011 55% 13% 32% 45% 12% 43% 50% 20% 30% 5% 23% 72% 

Totaalscores tabel 2. in %: 


Subonderzoeksvraag 1: 

Is een hoofdstuk 


aanwezig? 

33% 


17% 

50% 





aanwezig? 

Bevindingen 

Rood: Hoewel de Zorgbrede Governance Code de ziekenhuizen motiveert om een hoofdstuk 

risicomanagement op te nemen in hun jaarverslagen, kan in 2010 voor 50% en in 2011 voor 

45% van de gevallen het hoofdstuk risicomanagement niet achterhaald worden in het jaarverslag. 

Met name de meet- en toetsbaarheid hebben hierin een belangrijk aandeel. 

Oranje: Bij 17% van de onderzochte jaarverslagen voor 2010 en 2011 is het hoofdstuk 

risicomanagement in ontwikkeling, deels aanwezig, niet volledig, onduidelijk en voor 

verbetering vatbaar. Elementen van IRM zijn fragmentarisch terug te vinden in de 

jaar verslagen. 

Groen: In 2010 en 2011 is in respectievelijk 33% en 38% van de onderzochte jaarverslagen 

expliciet een risicomanagementhoofdstuk opgenomen. Afgezien van het onderzoekscriterium 

Meet- en toetsbaar is er duidelijk waarneembare vooruitgang geboekt. 

Conclusie 

Het ontbreken van het hoofdstuk risicomanagement leidt ertoe dat de overige subonderzoeksvragen 

moeilijker te scoren zijn, voor zover aanwezig, versnipperd aanwezig is in heel 

het jaarverslag. Toch blijkt uit een vergelijking van de jaren 2010 en 2011 een zichtbare 

38% 

17% 

45%

vooruitgang van 5%, hoewel nog steeds in ongeveer de helft van de gevallen in 2011 het 

hoofdstuk risicomanagement geheel ontbreekt. 

Subonderzoeksvraag 2: Is de risicobereidheid benoemd? 

Scoretabellen 




2010 3% 22% 75% 7% 8% 85% 10% 8% 82% 3% 12% 85% 

2011 5% 10% 85% 5% 5% 90% 10% 3% 87% 0% 10% 90% 


Totaalscores tabel 3 in %: 



Is de risicobereidheid 

benoemd ? 

6% 

12% 

82% 




benoemd ? 

Bevindingen 

Rood: In 2010 wordt in 82% van de onderzochte jaarverslagen geen melding gemaakt van 

risicobereidheid; in 2011 geldt dit voor 88% van de jaarverslagen. Opvallend is dat met 

betrekking tot alle onderzoekscriteria er weinig verschuiving waar te nemen is. Wel valt 

over heel de linie van rode scores een verslechtering waar te nemen van 6% in 2011 ten 

opzichte van 2010. 

Oranje: In 2010 wordt in 12% en in 2011 wordt in 7% van de onderzochte jaarverslagen in 

enige mate iets gemeld over risicobereidheid. Voor zover de risicobereidheid expliciet wordt 

benoemd, vertoont deze bereidheid meestal een raakvlak met de financiële doelstellingen 

en is het kwalitatieve aspect onderbelicht. 

Groen: Een zeer klein deel van de ziekenhuizen, 6% in 2010 en 5% in 2011, heeft de risicobereidheid 

duidelijk herkenbaar vastgelegd en gerapporteerd. 

5% 

7% 

88% 


Conclusie 

Gesteld kan worden dat het vertrekpunt voor IRM, de risicobereidheid, in meer dan 80% 

van de ziekenhuizen van dit onderzoek ontbreekt of niet formeel is beschreven en bevestigd 

door de Raad van Bestuur en de Raad van Toezicht. Daarmee ontbreekt de doorvertaling 

van de risicobereidheid in risicolimieten voor de operationele afdelingen of resultaatverantwoordelijke 

eenheden. Ook is de meetbaarheid van de mate van risicobeheersing moeilijker 

aantoonbaar te maken. Er valt over de hele linie een verslechtering waar te nemen van 6% 

in 2011 ten opzichte van 2010. De scores op oranje zijn met name verschoven richting 

rode scores. Daarmee is er sprake van een algehele verslechtering op het onderdeel 

risicobereidheid. 

Subonderzoeksvraag 3: Is risicomanagement in relatie gebracht met strategische 


Scoretabellen 




2010 30% 32% 38% 23% 32% 45% 35% 25% 40% 10% 43% 47% 

2011 33% 37% 30% 28% 32% 40% 35% 32% 33% 3% 42% 55% 




Is risicomanagement 




24% 


33% 

43% 







Bevindingen 

Rood: Het totaalbeeld laat zien dat in 2010 43% en in 2011 40% van de ziekenhuizen onvoldoende 

transparant maken wat de relatie is tussen de strategische doelstellingen en het 

toepassen van risicomanagement bij het realiseren van de organisatiedoelstellingen. De 

verbetering van 3% in 2011 ten opzichte van 2010 kan als niet noemenswaardig worden 

gekenschetst. 

24% 

36% 

40%

Oranje: In een aantal gevallen, 33% in 2010 en 36% in 2011, werd geconstateerd dat de 

relatie tussen strategische doelstellingen en risicomanagement aanwezig is, maar nog niet 

vanuit een integraal perspectief wordt weergegeven. Er heeft een lichte verschuiving 

plaatsgevonden van de rode scores ten gunste van de oranje scores. Dit betekent dat de 

ziekenhuizen dit onderdeel iets beter zijn gaan weergeven in hun jaarverslagen, hoewel ook 

dit niet als een grote sprong voorwaarts kan worden beschouwd. 

Groen: Slechts 24% van de onderzochte jaarverslagen behaalde in 2010 en 2011 een voldoende 

score. Over de gehele linie blijft het beeld bestaan dat ziekenhuizen er in beperkte 

mate in slagen om in hun jaarverslag een transparante koppeling te leggen tussen risicomanagement 

en de strategische doelstellingen. 

Conclusie 

De relatie tussen een integrale aanpak van de risicobeheersing en de strategische doelstellingen 

is onvoldoende om van IRM te spreken. Dit geldt voor beide jaren. Indien risicomanagement 

niet over de gehele breedte van de organisatie wordt toegepast, zal de integraliteit 

van de risicobeheersing minimaal zijn. Dit heeft als consequentie dat de onderdelen kwaliteit 

en (patiënt)veiligheid (door de ziekenhuizen vaak in relatie gebracht met risicomanagement) 

eigenlijk een minimaal raakvlak hebben met het integrale risicomanagementproces. 

Hiermee wordt het silodenken ten aanzien van risicobeheersing van de onderzochte ziekenhuizen 

bevestigd. 

Subonderzoeksvraag 4: Wordt risicomanagementbeleid geformuleerd? 

Scoretabellen 




2010 30% 38% 32% 25% 38% 37% 27% 33% 40% 5% 50% 45% 

2011 48% 30% 22% 35% 35% 30% 45% 30% 25% 10% 50% 40% 





Wordt risicomanagement 

beleid 

geformuleerd? 

22% 


39% 

39% 



Wordt risicomanagement 

beleid 

geformuleerd? 

Bevindingen 

Rood: Voor beide jaren kan geconstateerd worden dat bij ongeveer een derde van de 

ziekenhuizen het risicomanagementbeleid ontbreekt of niet valt te herleiden uit het 

jaarverslag. 

Oranje: Met een score van 39% in 2010 en 36% in 2011 lijkt risicomanagementbeleid in 

ontwikkeling te zijn, waarbij het beleid op IRM op onderdelen is terug te vinden. Het 

risicomanagementbeleid dat op onderdelen aanwezig is, is vooral gericht op de risico’s die 

samenhangen met patiëntveiligheid en kwaliteit. Het beleid is niet zozeer gericht op de 

organisatie als geheel en op de onderlinge samenhang van de risico’s. 

Groen: Ten opzichte van 2010 kan een verbetering van 12% in 2011 worden vastgesteld, 

waarbij in ca. een derde van de onderzochte ziekenhuisjaarverslagen het geformuleerde 

risicomanagementbeleid duidelijk is neergezet. 

Conclusie 

Risicomanagementbeleid is randvoorwaardelijk voor een goede implementatie van IRM. 

Dit beleid zou minimaal elementen moeten bevatten als systematiek, structuur en het meetbaar 

maken van de effecten van de risicobeheersing. Hoewel een duidelijke sprong voorwaarts 

is gemaakt, is het merendeel (oranje + rood = 66% in 2011) van de ziekenhuizen 

hierover niet of niet voldoende transparant. Daarbij wordt er geen of een minimale toelichting 

gegeven over hoe het beleid concreet is vertaald naar de operationele eenheden. 

34% 

36% 

30%

Subonderzoeksvraag 5: Is een governancestructuur aanwezig voor risicomanagement? 

Scoretabellen 

Tabel 6: Subonderzoeksvraag 5, uitgesplitst per criterium 



2010 25% 60% 15% 30% 50% 20% 25% 58% 17% 8% 65% 27% 

2011 40% 45% 15% 28% 52% 20% 25% 58% 17% 13% 65% 22% 




Is een risicomanagement 

Governance 

Structuur aanwezig? 

22% 

58% 

20% 



Is een risicomanagement 

Governance 

Structuur aanwezig? 

Bevindingen 

Rood: Met uitzondering van het beoordelingscriterium Meet- en toetsbaarheid zijn de 

scores bij de beoordelingscriteria in de jaren 2010 en 2011 gelijk gebleven. In 2010 wordt in 

20%, en in 2011 wordt in 19% van de onderzochte jaarverslagen geen melding gemaakt van 

de aanwezigheid van een governancestructuur voor risicomanagement. 

Oranje: De hoge oranje scores, 58% in 2010 en 55% in 2011, kunnen verklaard worden uit 

het feit dat veel ziekenhuizen op bestuurlijk niveau een slag aan het maken zijn om de 

Zorgbrede Governance Code in te voeren. 

De daling van het percentage tussen 2010 en 2011 met 3% heeft twee oorzaken. Enerzijds 

kan worden vastgesteld dat in 2010 een aantal ziekenhuizen eenmalig melding hebben 

gemaakt van de governancestructuur voor risicomanagement, maar dit in 2011 achterwege 

hebben gelaten. Anderzijds scoren 4% van de ziekenhuizen in 2011 een groene score, waar 

zij in 2010 een oranje score haalden. 

Groen: Met een groei van 4% in 2011 ten opzichte van 2010 is een zichtbare verbetering 

te constateren. Deze verbetering wordt met name getriggerd op de beoordelingscriteria 

Breedte en Meet- en toetsbaar. 

26% 

55% 

19% 


Conclusie 

De Zorgbrede Governance Code blijft een punt van aandacht. Ondanks een verbetering van 

de score met 4% in 2011 ten opzichte van 2010, ontbreekt het aan voldoende transparantie 

over de wijze waarop de Zorgbrede Governance Code wordt toegepast. Vooral het bestuurlijke 

aspect uit de Zorgbrede Governance Code krijgt de aandacht van de Raden van 

Bestuur. De focus op inbedding van een governancestructuur voor risicomanagement in de 

ziekenhuizen is daarentegen onvoldoende. 

Subonderzoeksvraag 6: Is compliance een onderdeel van het risicomanagementproces? 

Scoretabellen 




2010 10% 10% 80% 5% 15% 80% 8% 12% 80% 3% 15% 82% 

2011 3% 15% 82% 3% 12% 85% 3% 12% 85% 0% 10% 90% 




Is compliance een 

onderdeel van het 


proces? 

6% 


13% 

81% 






proces? 

Bevindingen 

Rood: Compliance, het voldoen aan weten regelgeving, scoort opvallend veel rood met 81% 

in 2010 en 86% in 2011, terwijl het op een goede manier voldoen aan weten regelgeving 

voor ziekenhuizen juist een belangrijk speerpunt zou moeten zijn. Over de hele linie valt 

tussen 2010 en 2011 een verslechtering waar te nemen van in totaal 5%. 

Oranje: De scores met betrekking tot compliance laten een zeer lichte afname zien van 1% 

in 2011. Desondanks kan compliance, als onderdeel van het risicomanagementproces, 

slechts bij enkele ziekenhuizen op onderdelen in het jaarverslag worden teruggevonden. 

2% 

12% 

86%

Groen: Met 6% in 2010 en 2% in 2011 is het aantal ziekenhuizen dat het onderwerp compliance 

in relatie tot het proces van risicomanagement goed heeft kunnen weergeven in de 

jaarverslagen afgenomen met 4%. 

Conclusie 

Met 86% voor 2011 wordt compliance door de ziekenhuizen niet of in onvoldoende mate 

beschreven als onderdeel van het proces van risicomanagement. Compliance is echter een 


Ziekenhuizen hebben veel te winnen als zij compliancerisico’s op een efficiënte manier 

beheersen, en zo doublures in activiteiten en maatregelen voorkomen. 

Subonderzoeksvraag 7: Is operational audit een onderdeel van, of maakt het gebruik 

van, het risicomanagementproces? 

Scoretabellen 




2010 20% 40% 40% 10% 50% 40% 15% 45% 40% 3% 52% 45% 

2011 25% 40% 35% 10% 50% 40% 25% 35% 40% 3% 52% 45% 




Is operational audit 

een onderdeel van het 


proces? 

12% 

47% 

41% 



Is operational audit 

een onderdeel van het 


proces? 

16% 

44% 

40% 


Bevindingen 

Rood: Uit de onderzochte jaarverslagen blijkt dat operational audit in 2010 voor 41% en in 

2011 voor 40% van de ziekenhuizen geen onderdeel uitmaakt van het risicomanagementproces. 

Opvallend is dat niet in alle gevallen getoetst wordt op eigen afspraken of op meetbaarheid 

van het risicomanagementproces. 

Oranje: In 2010 kan bij 47% van de ziekenhuizen worden vastgesteld dat op onderdelen 

auditprocessen of functies aanwezig zijn. In 2011 geldt dit voor 44%. Een financiële reden 

om auditprocessen geheel of gedeeltelijk op hun plaats te hebben wordt allereerst gegeven 

door de huisaccountant. Daarnaast is audit sterk zorgspecifiek georganiseerd, enerzijds om 

te voldoen aan de eisen van de IGZ, NIAZ en VMS, en anderzijds om de kwaliteit en veiligheid 

van het zorgproces in beeld te brengen. 

Groen: In 2010 is audit bij 12% van de ziekenhuizen in voldoende mate aanwezig als duidelijk 

onderdeel van het risicomanagementproces, met een brede inzet binnen de organisatie; 

in 2011 geldt dit voor 16% van de ziekenhuizen. 

Conclusie 

Weliswaar worden bij de meeste ziekenhuizen kwaliteitsaudits uitgevoerd in het kader van 

de NIAZ-accreditatie, maar die worden voor het grootste deel niet gezien als een onlosmakelijk 

onderdeel van het integraal risicomanagementproces. Een duidelijke positionering 

van de rol en functie van audit, als onderdeel van de Three Lines of Defense, is absoluut 

noodzakelijk om te komen tot een volwaardig IRM. Een volwassen audit kijkt ook naar de 

operationele bedrijfsvoering, de financiën en IT. 

Subonderzoeksvraag 8: Wordt een in-controlverklaring afgegeven? 

Scoretabellen 




2010 5% 10% 85% 3% 10% 87% 7% 8% 85% 3% 10% 87% 

2011 8% 20% 72% 3% 12% 85% 8% 10% 82% 3% 12% 85% 





Wordt een In Control 


4% 

10% 

86% 



Wordt een In Control 


Bevindingen 

Rood: In de onderzochte jaarverslagen voor 2010 en 2011 is in respectievelijk 86% en 81% 

geen in-controlverklaring terug te vinden. 

Oranje: In 2010 kan in 10% en in 2011 kan in 14% van de onderzochte jaarverslagen iets 

worden gevonden wat lijkt op een in-controlverklaring, zij het fractioneel. 

Groen: In 4% van de onderzochte jaarverslagen over 2010 is een in-controlverklaring 

aangetroffen; voor 2011 geldt dit voor 5% van de jaarverslagen. 

Conclusie 

Buiten een accountantsverklaring die standaard is opgenomen in alle jaarverslagen, geven 

ziekenhuizen in hun jaarverslagen van 2010 en 2011 zelden of nooit een eigen in-controlverklaring 

af in het kader van het risicomanagementbeleid. In samenhang met het vrijwel 

overal ontbreken van een expliciet gemaakte risicobereidheid geeft dit aan dat het expliciet 

maken van het gevoerde risicobeleid nog geen deel uitmaakt van de communicatie met 

externe stakeholders. 

Gezien alle overige scores en de ontwikkeling die de ziekenhuizen doormaken of nog moeten 

doormaken op weg naar volwassenheid van IRM is een in-controluitspraak mogelijk een 

brug te ver voor veel Raden van Bestuur en Raden van Toezicht. Indien wel tot een in- 

controluitspraak gekomen kan worden op basis van een gedegen risicomanagementbeleid 

en een goed geïmplementeerd risicomanagementproces, maakt het de communicatie met 

externe stakeholders, waaronder de accountant, makkelijker vanuit een sterkere positie. 

5% 

14% 

81% 


Subonderzoeksvraag 9: Is risicomanagement een onderdeel van de planning- & 

controlcyclus? 

Scoretabellen 




2010 28% 25% 47% 20% 27% 53% 30% 25% 45% 8% 37% 55% 

2011 43% 15% 42% 30% 25% 45% 35% 22% 43% 3% 52% 45% 





een onderdeel van de 

Planning & Control 

cyclus? 

21% 


29% 

50% 




een onderdeel van de 

Planning & Control 

cyclus? 

Bevindingen 

Rood: Uit de onderzochte jaarverslagen blijkt dat 50% van de ziekenhuizen in 2010 en 44% 

van de ziekenhuizen in 2011 geen beschrijving hebben opgenomen van risicomanagement 

in relatie tot de planning- & control cyclus. 

Oranje: Voor beide jaren kan gesteld worden dat iets minder dan een derde van de ziekenhuizen 

in de planning- & controlcyclus werkt met scorecards. Een expliciete benoeming van 

risico-elementen ontbreekt echter. 

Groen: Uit de onderzochte jaarverslagen blijkt een toename van 6% in 2011 ten opzichte 

van 2010, waarbij sprake is van een voldoende beschrijving van risicomanagement in relatie 

tot de planning- & controlcyclus. 

Conclusie 

Een planning- & controlcyclus is bij alle ziekenhuizen gemeengoed. Ondanks een lichte verbetering 

in 2011 ten opzichte van 2010 met 6%, vindt sturing voor ongeveer 73% (rood en 

oranje) in 2011 kennelijk nog steeds op een traditionele wijze plaats. Deze wijze is reactief 

van aard op basis van de cijfers en productiedoelstellingen, en niet proactief (vooraf) op 

27% 

29% 

44%

asis van risk assessments, waarbij de planning- & controlcyclus vooral sterk gericht is op 

de financiële component en in mindere mate op de werking, effecten en kosten van de 

beheersmaatregelen om de geïdentificeerde risico’s beheersbaar te maken. 

Subonderzoeksvraag 10: Blijkt uit de jaarcijfers een specifieke risicoreservering? 

Scoretabellen 




2010 5% 23% 72% 0% 20% 80% 0% 23% 77% 0% 20% 80% 

2011 0% 23% 77% 0% 15% 85% 0% 15% 85% 0% 15% 85% 



Subonderzoeksvraag 

10: Blijkt uit de 

jaarcijfers een 

specifieke 

risicoreservering? 

1% 

21% 

78% 


Subonderzoeksvraag 

10: Blijkt uit de 

jaarcijfers een 

specifieke 


Bevindingen 

Rood: Met 78% voor 2010 en 83% in 2011 kan worden vastgesteld dat in de onderzochte jaarverslagen 

niet of sporadisch (en dan nog summier) wordt gesproken van een specifieke 

risicoreservering. 

Oranje: Elementen over risicoreservering zijn terug te vinden in 21% van de onderzochte 

jaarverslagen over 2010 en in 17% van de jaarverslagen over 2011. 

Groen: Ziekenhuizen maken in 2010 met 1% slechts sporadisch een duidelijke risicoreservering 

in hun jaarrekeningen; in 2011 is zelfs dit lage percentage niet waarneembaar. 

Conclusie 

In 2011 is in 100% geen sprake van een specifieke risicoreservering. Dit komt de transparantie 

en verantwoording niet ten goede en maakt onduidelijk hoe er integraal met de 

risico’s wordt omgegaan in het kader van het financieel beleid. 

0% 

17% 

83% 


3.2.2. Samenvattend totaal overzicht resultaten per subonderzoeksvraag 1 tot en met 10 

Om de onderzoeksvraag, in welke mate IRM beschreven is in de jaarverslagen 2010 en 2011, 

te kunnen beantwoorden, is per subonderzoeksvraag in 3.2.1. een kwalitatief oordeel 

gegeven. De onderstaande diagrammen 1 en 2 laten, samenvattend, de verdeling over 

de subonderzoeksvragen zien in relatie tot de volwassenheid zoals blijkt uit de 

jaar verslagen: 

Diagram 1. Totaaloverzicht 2010: subonderzoeksvragen en mate van volwassenheid 


1. Is een hoofdstuk risico mgt aanwezig? 


3. Is risico mgt in relatie gebracht met strategische doelstellingen? 

4. Wordt er een risico mgt beleid geformuleerd? 

5. Is een governancestructuur aanwezig voor risico mgt? 

6. Is compliance een onderdeel van het risico mgt proces? 

7. Is audit een onderdeel van het risico mgt proces? 


9. Is risico mgt een onderdeel van de P&C-cyclus? 


10% 20% 30% 40% 50% 60% 70% 80% 90% 100% 

Diagram 2. Totaaloverzicht 2011: subonderzoeksvragen en mate van volwassenheid 

1. Is een hoofdstuk risico mgt aanwezig? 


3. Is risico mgt in relatie gebracht met strategische doelstellingen? 

4. Wordt er een risico mgt beleid geformuleerd? 

5. Is een governancestructuur aanwezig voor risico mgt? 

6. Is compliance een onderdeel van het risico mgt proces? 

7. Is audit een onderdeel van het risico mgt proces? 


9. Is risico mgt een onderdeel van de P&C-cyclus? 


10% 20% 30% 40% 50% 60% 70% 80% 90% 100%

Opvallend is, voor zowel 2010 als 2011, de relatief lage score voor de hoogste volwassenheidsfasen 

4 en 5 (3) per subonderzoeksvraag (groen) en het relatief grote aandeel van 

niveau 1 (rood) en 2 en 3 (oranje). Het overzicht over beide jaren laat zien dat er weinig 

substantiële verschuivingen hebben plaatsgevonden. Dit betekent dat de implementatie 

van IRM bij de ziekenhuizen relatief weinig progressie maakt. Dit is mogelijk een indicatie 

dat de ziekenhuizen niet weten hoe ze IRM kunnen implementeren en in hun organisatie 

kunnen borgen. Het kan ook zijn dat ziekenhuizen het hoofdstuk risicomanagement nog 

onvoldoende belang toekennen, en dat de accenten in de jaarverslagen daardoor anders 

worden gelegd, bijvoorbeeld op patiëntveiligheid, VMS en kwaliteit. Dit algemene beeld 

lichten we hieronder per beoordelingscriterium toe. 

3.3. Totaal bevindingen van de scores per beoordelingscriterium (breedte, 

systematisch, structuur, meet- en toetsbaarheid) 

In 3.2.1 is, aan de hand van de tien subonderzoeksvragen, een kwalitatief oordeel gegeven 

waarbij per subonderzoeksvraag integraal rekening werd gehouden met breedte, systematisch, 

structuur en meet- en toetsbaarheid als gehanteerde beoordelingscriteria. In deze 

paragraaf zal per beoordelingscriterium een kwalitatief oordeel worden gepresenteerd, 

waarbij de subonderzoeksvragen integraal zijn meegenomen. Hiernavolgend worden de 

toelichtingen per criterium opgebouwd uit de totaalscore van alle ziekenhuizen. 

Per criterium wordt een tabel gepresenteerd met een omschrijving van het beoordelingscriterium. 

Onder de zoekcriteria in jaarverslagen staan voorbeelden waarop de jaarverslagen 

zijn gescreend. Daarnaast zijn de bevindingen per beoordelingscriterium 

weergegeven: 

1. Breedte 

2. Systematisch 

3. Structureel 

4. Meet- en toetsbaar 

Ad 1. Beoordelingscriterium Breedte 

Scoretabellen 

Tabel 12. Beoordelingscriterium Breedte in aantallen 

Breedte Omschrijving Zoekcriteria in jaarverslagen 

De mate waarin IRM in de gehele organisatie 

is ingevoerd in alle organisatielagen 

en binnen de strategische en operationele 

processen 

* Organisatie-onderdelen in bereik van 

IRM 

* Hiërarchische lagen betrokken bij IRM 

* Expliciet verantwoordelijken voor IRM 

* Overige stakeholders (accountant, 

interne audit, leveranciers, financiers, 

patiënten etc.) 


Beoordelingscriterium Breedte tabel 12 in %: 


beoordelingscriterium 

BREEDTE 52% 

21% 


27% 



BREEDTE 50% 

Bevindingen 

Rood: Van het aantal onderzochte ziekenhuizen scoort 52% in 2010 en 50% in 2011 onvoldoende; 

IRM ontbreekt bij deze ziekenhuizen als onderdeel in de jaarverslagen. Daarmee 

is IRM niet ingevoerd in alle lagen, noch in de strategische en operationele processen. 

Oranje: In 2011 blijkt een afname van 3% ten opzichte van 2010 waarbij IRM nog in ontwikkeling 

is en derhalve voor verbetering vatbaar is. Dit betekent ook dat er wel delen van IRM 

aanwezig zijn, maar dat de onderlinge samenhang ontbreekt. 

Groen: In 2010 heeft slechts 21% van de ziekenhuizen IRM in de volle breedte ingevoerd en 

geborgd in de organisatie. Met een verbetering naar 26% (een stijging van 5%) in 2011 valt 

hierin een duidelijke ontwikkeling waar te nemen. 

Conclusie 

IRM speelt zich in ziekenhuizen hoofdzakelijk af op bestuurlijk niveau. De doorvertaling 

naar de andere organisatielagen in de volle breedte is matig tot onvoldoende. Dit is gebleken 

uit 79% van de onderzochte jaarverslagen in 2010, en uit 74% van de jaarverslagen 

in 2011. Hiermee is er een verbetering opgetreden van 6%. Desondanks blijkt uit de jaarverslagen 

dat een expliciet gemaakte verantwoordelijke voor IRM, zoals een riskmanager, 

een compliance officer of een auditor, in de meeste gevallen ontbreekt. Deze score maakt 

inzichtelijk dat de ziekenhuizen hun risico’s traditioneel benaderen vanuit een siloaanpak, 

of zelfs helemaal niet proberen om hun risico’s in samenhang te beschouwen. 

26% 

24%

Ad 2. Beoordelingscriterium Systematisch 

Scoretabellen 

Tabel 13. Beoordelingscriterium Systematisch in aantallen 

Systematische Omschrijving Zoekcriteria in jaarverslagen 

De mate waarin specifieke risicomanagement- 

modellen of methoden worden toegepast 

om het IRM proces in de organisatie 

te borgen 

Beoordelingscriterium Systematisch tabel 13 in %: 



SYSTEMATISCH 

15% 

27% 

58% 

* Gebruik van risicomanagement methoden, 

technieken 

* Gebruik van risico categorieën/ 

classificatie 

* Gehanteerde modellen (COSOII, ISO 

31000, M_o_R) 

* Rapportagevormen 

* Risk Management tooling/IT 

* Externe databronnen 



SYSTEMATISCH 

Bevindingen 

Rood: Bij 58% van de onderzochte ziekenhuizen worden in 2010 geen specifieke risicomanagementmodellen 

toegepast. In 2011 betreft dit nog 56%. Modellen zoals COSO II, ISO 

31000 en M_o_R worden onvoldoende gebruikt of niet benoemd in de jaarverslagen. 

Oranje: 27% van de onderzochte ziekenhuizen noemt in 2010 het gebruik van een risicomanagementmodel 

of risk tooling. In 2011 neemt dit aandeel af tot 25%. De oranje score is 

ook gegeven aan ziekenhuizen die het gebruik van HFMEA rapporteren in het kader van 

prospectieve risico-onderzoeken. Dit is slechts een onderdeel van het totale IRM-proces en 

doet geen recht aan het woord ‘integraal’. 

Groen: In 15% van de onderzochte jaarverslagen voor 2010 en 19% voor 2011 was het 

gebruik van de tooling en/ of risicomanagementmodellen wel te achterhalen of goed 

ingevoerd. 

19% 

25% 

56% 


Conclusie 

Er zijn slechts geringe verschuivingen waarneembaar over de jaren 2010 en 2011. De 

afname van de oranje score met 2% en de afname van de rode score met eveneens 2% zijn 

daarvan de meest opvallende. De risicomanagementmodellen geven richting aan het invoeren 

van IRM in de organisatie. Dat de risicomanagementmodellen en IT- tooling ontbreken 

of slechts op onderdelen aanwezig zijn, duidt erop dat IRM in de ziekenhuizen zich nog op 

een laag volwassenheidsniveau bevindt. Voor zover sprake is van tooling wordt die weliswaar 

vaak ingezet voor thema’s op het gebied van kwaliteit en patiëntveiligheid, maar niet 

systematisch in de volle breedte van de organisatie. Ook vanuit het beoordelingscriterium 

Systematisch kan worden geconcludeerd dat ziekenhuizen hun risico’s traditioneel benaderen 

vanuit een siloaanpak, en niet in hun onderlinge samenhang beschouwen. 

Ad 3. Beoordelingscriterium Structureel 

Scoretabellen 

Tabel 14. Beoordelingscriterium Structureel in aantallen 

Structueel Omschrijving Zoekcriteria in jaarverslagen 

De mate waarin het IRM- proces, of de 

onderdelen daarvan, met een bepaalde 

frequentie en in samenhang met de 

bedrijfsvoering aan de orde komen 

Beoordelingscriterium Structureel tabel 14 in %: 



STRUCTUREEL 

20% 


25% 

55% 

* Aantal keer per periode 

* Gekoppeld aan standaardrapportages 

* Agenda-onderwerp in diverse lagen 

* Samenhang met planning en control 



STRUCTUREEL 

Bevindingen 

Rood: In meer dan de helft van de onderzochte jaarverslagen is niets terug te vinden over 

de frequentie van risicomanagementrapportages binnen de organisatielagen. Ook ontbreekt 

een duidelijke relatie met de planning- & controlcyclus. Dit percentage is in 2010 en 

in 2011 nagenoeg gelijk. 

24% 

23% 

53%

Oranje: In 2010 is bij 25% van de onderzochte jaarverslagen op onderdelen zichtbaar dat er 

een structurele plaats is ingeruimd voor IRM. De focus ligt met name op het gebied van 

financiën en kwaliteit/patiëntveiligheid. In een aantal gevallen kan een duidelijke relatie 

worden gelegd met de planning- & controlcyclus. In 2011 is sprake van een daling van 2%. 

Groen: In 2010 scoren ziekenhuizen met 20% relatief sterk als het gaat om het structureel 

terug laten keren van IRM in de rapportagelijnen. De score ligt hoger dan die van de 

overige beoordelingscriteria. Ook in 2011 blijft dit een relatief sterk onderdeel; de score 

stijgt licht met 4%. 

Conclusie 

Aan de hand van de bevindingen kan geconcludeerd worden dat tenminste op onderdelen 

structureel wordt gerapporteerd over risicomanagement. Het zwaartepunt ligt echter 

bij de financiële kant van de organisatie en bij de kwaliteit/patiëntveiligheid. Slechts in 

ongeveer de helft van de gevallen bestaat er een duidelijk relatie met de planning- & controlcyclus. 

Hier valt dus nog winst te behalen. Bij de beoordelingscriteria Breedte en 

Systematisch is al geconcludeerd dat ziekenhuizen hun risico’s traditioneel benaderen vanuit 

een siloaanpak, zonder ze niet in hun onderlinge samenhang te beschouwen. Dat laatste 

is echter noodzakelijk om IRM te borgen in de organisatie. 

Ad 4. Beoordelingscriterium Meet- en toetsbaar 

Scoretabellen 

Tabel 15. Beoordelingscriterium Meet- en toetsbaar in aantallen 

Meetbaar & Toetsbaar 

Omschrijving 

De mate waarin de input en de uitkomsten 

van het IRM proces dusdanig gemeten 

kunnen worden dat sprake is van expliciete 

resultaten 

Zoekcriteria in jaarverslagen 

* Gebruik van wegingen, indicatoren 

* Specifieke onderbouwing van risicobereidheid 

en reserve 

* Transparantie over verantwoording (incontrol 

verklaring) 


Beoordelingscriterium Meet- en toetsbaar tabel 15 in %: 



MEETBAAR EN 

TOETSBAAR 

4% 


33% 

63% 



MEETBAAR EN 

TOETSBAAR 

Bevindingen 

Rood: In 2010 is bijna twee derde (63%) van de onderzochte ziekenhuizen niet transparant 

over de uitkomsten van het IRM-proces. Dit kan erop duiden dat er geen sprake is van een 

expliciet geformuleerd normenkader (zoals bijvoorbeeld risicobereidheid). In 2011 blijft het 

percentage gelijk. 

Oranje: Bij 33% van de onderzochte jaarverslagen is de verantwoording over de uitkomsten 

van het IRM-proces deels aanwezig of herkenbaar in het jaarverslag. Dit percentage is in 

2010 en in 2011 identiek. 

Groen: In zowel 2010 als 2011 heeft slechts 4% van de ziekenhuizen de meet- en toetsbaarheid 

van de uitkomsten van het IRM-proces redelijk tot goed op orde. 

Conclusie 

Op het beoordelingscriterium Meet- en toetsbaar is voor de ziekenhuizen nog veel winst te 

behalen. Ruim de helft van de onderzochte jaarverslagen scoort op dit criterium een onvoldoende. 

Dit duidt erop dat er geen sprake is van een expliciet geformuleerd normenkader. 

Dit kader is noodzakelijk om de metingen (input en resultaten) van het IRM-proces op een 

zinvolle wijze te toetsen en tegemoet te komen aan de eisen van de stakeholders (zoals 

toezichthouders en kapitaalverstrekkers). Druk van de stakeholders dwingt ziekenhuizen 

meer en meer om het IRM-proces in hun organisatie naar behoren vorm te geven. 

4% 

33% 

63%

3.4. Samenvattend overzicht van de scores en bevindingen van alle onderzochte 

ziekenhuizen, per subonderzoeksvraag en per beoordelingscriterium 

De scores kunnen nu per subonderzoeksvraag en per beoordelingscriterium in tabel 16 

worden samengevat: 

Scanvragen per 

ziekenhuis 


risico management 

aanwezig? 


benoemd? 





Wordt er een risicomanagementbeleid 

geformuleerd? 

Is er een gover - 

nance structuur 

aanwezig voor 

risicomanagement? 




Is audit een 



Wordt een in- 

control verklaring 

afgegeven? 


een onderdeel van 

P&C- cyclus? 

Blijkt uit de jaarcijfers 

een specifieke 


jaar Breedte Systematisch Structureel Meet- en 

toetsbaar 

Totaal groen, 

oranje, rood 

2010 50% 10% 40% 33% 20% 47% 45% 13% 42% 5% 25% 70% 33% 17% 50% 

2011 55% 13% 32% 45% 12% 43% 50% 20% 30% 5% 23% 72% 38% 17% 45% 

2010 3% 22% 75% 7% 8% 85% 10% 8% 82% 3% 12% 85% 6% 12% 82% 

2011 5% 10% 85% 5% 5% 90% 10% 3% 87% 0% 10% 90% 5% 7% 88% 

2010 30% 32% 38% 23% 32% 45% 35% 25% 40% 10% 43% 47% 24% 33% 43% 

2011 33% 37% 30% 28% 32% 40% 35% 32% 33% 3% 42% 55% 24% 36% 40% 

2010 30% 38% 32% 25% 38% 37% 27% 33% 40% 5% 50% 45% 22% 39% 39% 

2011 48% 30% 22% 35% 35% 30% 45% 30% 25% 10% 50% 40% 34% 36% 30% 

2010 25% 60% 15% 30% 50% 20% 25% 58% 18% 8% 65% 27% 22% 58% 20% 

2011 40% 45% 15% 28% 52% 20% 25% 58% 17% 13% 65% 22% 26% 55% 19% 

2010 10% 10% 80% 5% 15% 80% 8% 12% 80% 3% 15% 82% 6% 13% 81% 

2011 3% 15% 82% 3% 12% 85% 3% 12% 85% 0% 10% 90% 2% 12% 86% 

2010 20% 40% 40% 10% 50% 40% 15% 45% 40% 3% 52% 45% 12% 47% 41% 

2011 25% 40% 35% 10% 50% 40% 25% 35% 40% 3% 52% 45% 16% 44% 40% 

2010 5% 10% 85% 3% 10% 87% 7% 8% 85% 3% 10% 87% 4% 10% 86% 

2011 8% 20% 72% 3% 12% 85% 8% 10% 82% 3% 12% 85% 5% 14% 81% 

2010 28% 25% 47% 20% 27% 53% 30% 25% 45% 8% 37% 55% 21% 29% 50% 

2011 43% 15% 42% 30% 25% 45% 35% 22% 43% 3% 52% 45% 27% 29% 44% 

2010 5% 23% 72% 0% 20% 80% 0% 23% 77% 0% 20% 80% 1% 21% 78% 

2011 0% 23% 77% 0% 15% 85% 0% 15% 85% 0% 15% 85% 0% 17% 83% 

Totaal 2010 20% 27% 53% 16% 27% 57% 20% 25% 55% 5% 33% 62% 15% 28% 57% 

Totaal 2011 26% 25% 49% 19% 25% 56% 23% 24% 53% 4% 33% 63% 18% 27% 55% 

Kwalitatief oordeel en kwantitatief oordeel 

Tabel 16. Samenvattend overzicht van de scores in percentages van alle onderzochte ziekenhuizen, per subonderzoeksvraag en per 



3.5. Resultaten per ziekenhuis, per beoordelingscriterium 

De centrale onderzoeksvraag, in welke mate integraal risicomanagement kwalitatief is 

beschreven in de jaarverslagen 2010 en 2011, is generiek gesteld voor de algemene ziekenhuizen 

in Nederland. In de voorgaande paragrafen is ingegaan op de mate waarin IRM is 

beschreven in de jaarverslagen. In de methodiek is aangenomen dat dit een indicatie is van 

de IRM-volwassenheidsfase. 

Het is interessant om daarnaast de resultaten per ziekenhuis te zien, waarbij per ziekenhuis 

de mate van volwassenheid wordt uitgedrukt in scores op het vlak van de beoordelingscriteria 

de Breedte, Systematisch, Structureel, Meet- en toetsbaarheid. 

Hiertoe zijn per ziekenhuis en per beoordelingscriterium drie stappen doorlopen: 

1. Per ziekenhuis zijn alle scores van alle onderzoeksvragen bij elkaar opgeteld per 

beoordelingscriterium. 

2. De scores zijn vervolgens per ziekenhuis, per beoordelingscriterium, afgezet tegenover 

de volgende tabel van volwassenheid: 

Constatering en beoordeling 




vatbaar 


transparant 


Kleurcode 

IRM- 

Score 





3. Een ziekenhuis heeft per beoordelingscriterium minimaal een IRM-score van 10 (10 

onderzoeksvragen x 1) en kan maximaal een IRM-score hebben van 30 (10 onderzoeksvragen 

x 3). Afhankelijk van de gescoorde waarden (die in de praktijk tussen de 10 en de 

30 liggen), kan de volwassenheid per ziekenhuis en per beoordelingscriterium worden 

aangeduid met de IRM- scores 1, 2 of 3. Een ziekenhuis kan dus voor alle beoordelingscriteria 

samen minimaal 4 punten scoren en maximaal 12. 

De tabellen 17 en 18 zijn tot stand gekomen op basis van de scores per ziekenhuis. De tabellen 

17 en 18 representeren op de verticale as het aantal onderzochte ziekenhuizen. De 

horizontale as representeert de totale IRM-score (en derhalve de mate van volwassenheid) 

op alle beoordelingscriteria tezamen. Zo kan aan een ziekenhuis een IRM-score worden 

toegekend, die van 1 tot 12 punten kan variëren. 

Gezien de aard van het onderzoek is ervoor gekozen om in de volgende jaartabellen, tabel 

17 en tabel 18, de namen van de individueel onderzochte ziekenhuizen niet weer te geven:

Tabel 17. Totaal IRM-score van alle beoordelingscriteria per ziekenhuis in 2010 

Onderzochte ziekenhuizen 

40 

39 

38 

37 

36 

35 

34 

33 

32 

31 

30 

29 

28 

27 

26 

25 

24 

23 

22 

21 

20 

19 

18 

17 

16 

15 

14 

13 

12 

11 

10 

9 

8 

7 

6 

5 

4 

3 

2 

1 

0 

1 2 3 4 5 6 7 8 9 10 11 

Totaal IRM-score 

Tabel 18. Totaal IRM-score van alle beoordelingscriteria per ziekenhuis in 2011 

Onderzochte ziekenhuizen 

40 

39 

38 

37 

36 

35 

34 

33 

32 

31 

30 

29 

28 

27 

26 

25 

24 

23 

22 

21 

20 

19 

18 

17 

16 

15 

14 

13 

12 

11 

10 

9 

8 

7 

6 

5 

4 

3 

2 

1 

0 

1 2 3 4 5 6 7 8 9 10 11 

Totaal IRM-score 

12 

12 

Breedte 

Systematisch 

Structureel 

Meetbaar 

Breedte 

Systematisch 

Structureel 

Meetbaar 


Acht ziekenhuizen hebben in 2010 en in 2011 een gelijke score gehaald op alle beoordelingscriteria. 

Dit betekent dat deze ziekenhuizen in hun jaarverslagen geen ontwikkeling hebben 

doorgemaakt ten aanzien van IRM. Daarnaast kan worden geconstateerd dat de scores van 

acht ziekenhuizen met een daling respectievelijk stijging van -1 of +1 nagenoeg gelijk zijn 

gebleven. Hier is dus een minimale vooruitgang of achteruitgang geboekt. Van de totale 

onderzochte populatie hebben drie ziekenhuizen een zichtbare vooruitgang geboekt met +2 

of meer. Er is één ziekenhuis met een totaalscore van -4, dat op alle beoordelingscriteria in 

2011 is achteruitgegaan ten opzichte van 2010. 

Conclusie 

Afgezien van drie positieve uitzonderingen laat het onderzoek het beeld zien dat de onderzochte 

ziekenhuizen niet of nauwelijks een echte ontwikkeling doormaken in de mate waarin 

zij IRM weergeven in hun jaarverslagen. Dit is tevens een indicatie dat de (gemiddelde) 

volwassenheid ten aanzien van IRM op een laag niveau blijft steken. Het is opvallend dat 

geen enkel ziekenhuis de hoogste totaalscore (van 12) heeft behaald. 


4. Eindconclusie en aanbevelingen 

In dit hoofdstuk geven we de eindconclusie op de onderzoeksvraag, gevolgd door een aantal 

aanbevelingen voor de Nederlandse algemene ziekenhuizen. De eindconclusie betreft 

een indicatie van de IRMvolwassenheidsfase waarin de onderzochte ziekenhuizen in 

2010 en 2011 verkeerden. Met de aanbevelingen geven we de ziekenhuizen een advies om 

IRM, zowel inhoudelijk als voor de weergave in het jaarverslag, in de toekomst op een 

hoger niveau te brengen. 

4.1.1. Eindconclusie onderzoeksvraag 

Eindconclusie 

De beantwoording van de centrale onderzoeksvraag in welke mate integraal risicomanagement 

kwalitatief wordt beschreven in de jaarverslagen 2010 en 2011 van de Nederlandse 

algemene ziekenhuizen, volgt direct uit de score per onderzoekscriterium en de resultaten 

per ziekenhuis. Het onderzoek en de voorgenoemde resultaten leiden tot de onderstaande 

eindconclusies voor 2010 en 2011: 

2010 

De mate waarin integraal risicomanagement kwalitatief wordt beschreven in de 

jaarverslagen 2010 van de Nederlandse algemene ziekenhuizen, is in 15% van de 

gevallen voldoende en in 28% van de onderzochte jaarverslagen slechts gedeeltelijk 

voldoende. In 57% van de onderzochte jaarverslagen wordt integraal risicomanagement 

in onvoldoende mate beschreven 

2011 

De mate waarin integraal risicomanagement kwalitatief wordt beschreven in de 

jaarverslagen 2011 van de Nederlandse algemene ziekenhuizen, is in 18% van de 

gevallen voldoende en in 27% van de onderzochte jaarverslagen slechts gedeeltelijk 

voldoende. In 55% van de onderzochte jaarverslagen wordt integraal risicomanagement 

in onvoldoende mate beschreven. 

Tabel 19 vat deze eindconclusies samen. Uit deze eindconclusies valt af te leiden dat ziekenhuizen 

nog een weg te gaan hebben, willen zij IRM voldoende toepassen. Opvallend is dat 

voor een ruime meerderheid van de onderzochte ziekenhuizen de noodzakelijke transparantie 

op het gebied van de verantwoording van de risicobeheersing nog niet voldoende is, 

of nog in ontwikkeling is. 


Tabel 19. Mate van IRM-volwassenheid van de onderzochte ziekenhuizen 

Constatering en 

Beoordeling 

voldoende, aanwezig, volledig, 

transparant 

in ontwikkeling, deels aanwezig, 

niet volledig, onduidelijk, voor 

verbetering vatbaar 


transparant 


Kleurcode 

IRM- 

Score 

3 

2 

1 

Relatie met volwassenheidsfase 

IRM 


4 en 5 


2 en 3 


1 

Onderzochte 

ziekenhuizen 

2010 2011 

15% 18% 

28% 27% 

57% 55% 

Vertaald naar het eerder benoemde IRM-volwassenheidsmodel kunnen we concluderen dat 

dat de volwassenheid van IRM, op basis van de onderzochte jaarverslagen, zich hoofdzakelijk 

in de fasen 1 t/m 3 bevindt. Daarnaast kan geconcludeerd worden dat, naarmate de 

ziekenhuizen explicieter inzicht geven in de IRM-activiteiten aan de hand van het jaarverslag, 

ook meer inzicht ontstaat in de IRM-volwassenheidsfase. Het onderzoek maakt tot slot 

duidelijk dat er nog veel in ontwikkeling is, zowel met betrekking tot de IRM-activiteiten 

als met de weergave daarvan in het jaarverslag. 

Algemene aanbeveling 

Vanuit de visie op integrale bedrijfsvoering biedt IRM een kans voor de zorgsector. Door 

afstemming te zoeken tussen het interne IRM-beleid, de uitvoering daarvan en de externe 

toetsing door toezichthouders en zorgautoriteiten, ontstaat een gedeeld normenkader voor 

IRM. Dit gezamenlijk normenkader zal leiden tot efficiëntere toetsing, een ‘level playing 

field’ voor alle marktpartijen en transparantie voor alle stakeholders. 

Ziekenhuizen zouden voor zichzelf een ambitieniveau voor IRM moeten vaststellen en dat 

expliciet maken in IRM-beleid. Met hun stakeholders moet worden vastgesteld welke 

behoefte er is aan transparantie over risicomanagement, en hoe het ziekenhuis zich daarmee 

kan onderscheiden. Daarbij is het van belang om vast te stellen welke samenhang met 

de strategische doelstellingen verwacht wordt, passend bij de huidige integrale bedrijfsvoering 

en cultuur. Ook is het van belang om samenhang aan te brengen in de toepassing 

van IRM in het ziekenhuis tussen afdelingen, specialismen, processen en risicogebieden. 

Dit houdt in dat risico’s niet vanuit de traditionele silo’s worden beschouwd, maar 

organisatiebreed. 

IRM is een randvoorwaarde voor een transparante communicatie en het afleggen van 

verantwoording over de risicobeheersing door ziekenhuizen. Voorwaarde is evenwel om een 

groei te bewerkstelligen naar een hogere IRM-volwassenheidsfase. De voornaamste 

aanbeveling is om te streven naar hogere IRM-volwassenheidsfasen. Er moet een visie

worden ontwikkeld op IRM, die moet worden omgezet in IRM-beleid dat ook daadwerkelijk 

geïmplementeerd moet worden. Het toepassen van IRM op minimaal niveau 4 zal leiden tot: 

• meer transparantie in verantwoording tegenover maatschappij, financiers en 

toezichthouders; 

• meetbaarheid van de risicobeheersing, hetgeen meer efficiënt en kostenbewust kiezen 

voor beheersmaatregelen mogelijk maakt; 

• zelf meer in control komen, een verbeterd inzicht in de eigen organisatie, het beter 

kunnen anticiperen op veranderingen en problemen en het benutten van kansen; 

• een IRM dat past bij de volwassenheid en cultuur van de organisatie. 

Een meerjarig groeimodel zal de meest effectieve aanpak zijn om de diverse fases van IRMvolwassenheid 

te doorlopen. Het in beeld brengen van de huidige IRM-volwassenheid, 

waarbij optimaal gebruik wordt gemaakt van wat er al aanwezig is, vormt een goede start. 

Elk ziekenhuis kan in het groeimodel kiezen op welke wijze IRM ontwikkeld kan worden. 

Daarbij is zowel een top-down- als een bottom-upbenadering mogelijk. Een top-downbenadering 

wordt geïnitieerd door de Raad van Bestuur en de medische staf, op basis van een 

gemeenschappelijk en strategisch draagvlak. Een bottom-upbenadering maakt daarentegen 

gebruik van datgene wat er al ligt (meestal op het vlak van patiëntveiligheid) als basis 

voor een verdere doorontwikkeling. 

Het verrijken van de Zorgbrede Governance Code met IRM-standaarden of een normenkader 

is een optie om de weergave en transparantie van IRM in de jaarverslagen te 

bevorderen en tevens IRM verder te ontwikkelen in de ziekenhuisorganisaties. Er kan dan 

gedacht worden aan methodiek, systematiek, organisatie en governance en mogelijke 

relevante risicogebieden. 

In de volgende paragrafen hebben we de aanbevelingen op basis van de subonderzoeksvragen 

en onderzoekscriteria beschreven. We hebben dat gedaan door steeds per subonderzoeksvraag 

en per criterium de conclusie te herhalen, gevolgd door de bijbehorende 

aanbeveling. 

Definieer voor de zorgsector een gezamenlijk en gespecificeerd IRM-normenkader, 

dat als leidraad kan dienen voor de sector. Het normenkader omvat minimaal de 

volgende onderdelen: 

- Standaarden voor IRM-methodiek en -systematiek 

- Standaarden voor IRM-organisatie en governance 

- Standaarden voor alle relevante risicogebieden 

- Standaarden voor specifieke IRM-gerelateerde competenties van bestuurders en 

toezichthouders 

- Standaarden voor verantwoording in publieke uitingen met betrekking tot IRM 


4.1.2. Aanbevelingen op basis van de conclusies bij de subonderzoeksvragen 


Conclusie op basis van de bevindingen: 

Het ontbreken van het hoofdstuk risicomanagement leidt ertoe dat de overige subonderzoeksvragen 

soms moeilijker te scoren zijn, voor zover aanwezig, versnipperd aanwezig is 

in heel het jaarverslag. Toch blijkt uit een vergelijking van de jaren 2010 en 2011 een zichtbare 

vooruitgang van 5%, hoewel nog steeds in iets minder dan de helft van de gevallen in 

2011 het hoofdstuk risicomanagement geheel ontbreekt. 

Aanbeveling 

De Zorgbrede Governance Code hecht er veel belang aan dat de ziekenhuizen hun risicobeheerssysteem 

op orde hebben. Om hieraan tegemoet te komen zullen ziekenhuizen het 

hoofdstuk risicomanagement specifieker en concreter moeten maken. Ze zullen moeten 

aangeven wat het proces van risicomanagement inhoudt en hoe ze het vormgeven als onderdeel 

van de bedrijfsvoering. Hiermee wordt ook de transparantie vergroot. De beste 

motivatie om aan risicomanagement te doen is een intrinsieke. Het implementeren van 

risicomanagement zou niet alleen moeten plaatsvinden vanwege externe druk. 


Conclusie op basis van de bevindingen: 

Gesteld kan worden dat het vertrekpunt voor IRM, de risicobereidheid, in meer dan 80% 

van de ziekenhuizen van dit onderzoek ontbreekt of niet formeel is beschreven en bevestigd 

door de Raad van Bestuur en de Raad van Toezicht. Daarmee ontbreekt de doorvertaling 

van de risicobereidheid in risicolimieten voor de operationele afdelingen of resultaatverantwoordelijke 

eenheden. Ook is de meetbaarheid van de mate van risicobeheersing moeilijker 

aantoonbaar te maken. Er valt over de hele linie een verslechtering waar te nemen van 6% 

in 2011 ten opzichte van 2010. De scores op oranje zijn met name verschoven richting 

rode scores. Daarmee is er sprake van een algehele verslechtering op het onderdeel 

risicobereidheid. 

Aanbeveling 

Risicomanagement begint met de bepaling van de risicobereidheid. Koppel de risicobereidheid 

direct aan de strategische doelstellingen van de organisatie. Formuleer de risicobereidheid 

in zowel kwalitatieve als kwantitatieve uitspraken. Daarbij verdient het sterke 

aanbeveling deze uitspraken expliciet vast te leggen, met instemming van de Raad van 

Bestuur en de Raad van Toezicht. Vervolgens zal deze risicobereidheid organisatiebreed 

moeten worden doorvertaald naar het zorgproces en de operationele bedrijfsvoering. 


3. Is risicomanagement in relatie gebracht met de strategische 


Conclusie op basis van de bevindingen 

De relatie tussen een integrale aanpak van de risicobeheersing en de strategische doelstellingen 

is onvoldoende om van IRM te spreken. Dit geldt voor beide jaren. Indien risicomanagement 

niet over de gehele breedte van de organisatie wordt toegepast, zal de integraliteit 

van de risicobeheersing minimaal zijn. Dit heeft als consequentie dat de onderdelen kwaliteit 

en (patiënt)veiligheid (door de ziekenhuizen vaak in relatie gebracht met risicomanagement) 

eigenlijk een minimaal raakvlak hebben met het integrale risicomanagementproces. 

Hiermee wordt het silodenken ten aanzien van risicobeheersing van de onderzochte ziekenhuizen 

bevestigd. 

Aanbeveling 

Door het expliciet definiëren van de functie van risicomanagement in de organisatie, wordt 

voor het ziekenhuis duidelijk welke behoefte eraan bestaat voor de bedrijfsvoering. Daarbij 

moeten alle risicogebieden met betrekking tot de strategie, het zorgproces, de operationele 

bedrijfsvoering en weten regelgeving worden gehanteerd en in hun samenhang worden 

beschouwd. Om die samenhang te borgen moet de risicobereidheid worden bepaald en 

specifiek gemaakt in relatie tot de strategische doelstellingen. 

4. Wordt risicomanagementbeleid geformuleerd? 


Risicomanagementbeleid is randvoorwaardelijk voor een goede implementatie van IRM. 

Dit beleid zou minimaal elementen moeten bevatten als systematiek, structuur en het meetbaar 

maken van de effecten van de risicobeheersing. Hoewel een duidelijke sprong voorwaarts 

is gemaakt, is het merendeel (oranje + rood = 66% in 2011) van de ziekenhuizen 

hierover niet of niet voldoende transparant. Daarbij wordt er geen of een minimale toelichting 

gegeven over hoe het beleid concreet is vertaald naar de operationele eenheden. 

Aanbeveling 

Een uitgeschreven risicomanagementbeleid is een voorwaarde om IRM daadwerkelijk in 

de organisatie te kunnen doorvoeren. Dit beleid zal expliciet tot uitdrukking moeten brengen 

wat de toegevoegde waarde is van IRM voor: 

1. De koppeling tussen strategie, zorgproces en operationele bedrijfsvoering; 

2. het in samenhang brengen van de performance met de risico’s op alle organisatielagen; 

3. het doorbreken van het welhaast traditionele silodenken; 

4. het in onderlinge samenhang beschouwen van de risico’s; 

5. het uit hoofde van IRM een juiste allocatie vaststellen van taken, verantwoordelijkheden 

en bevoegdheden. 


5. Is er een governancestructuur aanwezig voor risicomanagement? 


De Zorgbrede Governance Code blijft een punt van aandacht. Ondanks een verbetering van 

de score met 4% in 2011 ten opzichte van 2010, ontbreekt het aan voldoende transparantie 

over de wijze waarop de Zorgbrede Governance Code wordt toegepast. Vooral het bestuurlijke 

aspect uit de Zorgbrede Governance Code krijgt de aandacht van de Raden van 

Bestuur. De focus op inbedding van een governancestructuur voor risicomanagement in de 

ziekenhuizen is daarentegen onvoldoende. 

Aanbeveling 

De Zorgbrede Governance Code schrijft niet expliciet voor hoe het proces van IRM moet 

worden ingericht. Het is echter wel noodzakelijk om hieraan vorm te geven. Ziekenhuizen 

moeten vaststellen en vastleggen hoe de taken, verantwoordelijkheden en bevoegdheden in 

de eigen organisatie worden ingezet. Het strekt tot aanbeveling om dit op te nemen in het 

risicomanagementbeleid. 

6. Is Compliance een onderdeel van het risicomanagementproces? 


Met 86% voor 2011 wordt compliance door de ziekenhuizen niet of in onvoldoende mate 

beschreven als onderdeel van het proces van risicomanagement. Compliance is echter een 


Ziekenhuizen hebben veel te winnen als zij compliancerisico’s op een efficiënte manier 

beheersen, en zo doublures in activiteiten en maatregelen voorkomen. 

Aanbeveling 

Zet compliance op de agenda in relatie tot risicobeheersing. Definieer compliance als 

risicogebied, in samenhang met alle andere risicogebieden met betrekking tot de strategie, 

het zorgproces en de operationele bedrijfsvoering. Benoem voor dit onderdeel specifiek de 

rollen en verantwoordelijkheden van betrokkenen in de organisatie en draag zorg voor 

eigenaarschap. 

7. Is operational Audit een onderdeel van, of maakt gebruik van, het 



Weliswaar worden bij de meeste ziekenhuizen kwaliteitsaudits uitgevoerd in het kader van 

de NIAZ-accreditatie, maar die worden voor het grootste deel niet gezien als een onlosmakelijk 

onderdeel van het integraal risicomanagementproces. Een duidelijke positionering 

van de rol en functie van audit, als onderdeel van de Three Lines of Defense, is absoluut 

noodzakelijk om te komen tot een volwaardig IRM. Een volwassen audit kijkt ook naar de 

operationele bedrijfsvoering, de financiën en IT. 


Aanbeveling 

Maak duidelijk welke rol audit speelt in het IRM-proces, en maak de auditafdeling verantwoordelijk 

voor het monitoren van de voortgang. Maak duidelijk wat de rol is van de eerste, 

tweede en derde lijn in de risicobeheersing van het ziekenhuis. 



Buiten een accountantsverklaring die standaard is opgenomen in alle jaarverslagen, geven 

ziekenhuizen in hun jaarverslagen van 2010 en 2011 zelden of nooit een eigen in-controlverklaring 

af in het kader van het risicomanagementbeleid. In samenhang met het vrijwel 

overal ontbreken van een expliciet gemaakte risicobereidheid geeft dit aan dat het expliciet 

maken van het gevoerde risicobeleid nog geen deel uitmaakt van de communicatie met 

externe stakeholders. 

Gezien alle overige scores en de ontwikkeling die de ziekenhuizen doormaken of nog moeten 

doormaken op weg naar volwassenheid van IRM is een in-controluitspraak mogelijk een 

brug te ver voor veel Raden van Bestuur en Raden van Toezicht. Indien wel tot een in- 

controluitspraak gekomen kan worden op basis van een gedegen risicomanagementbeleid 

en een goed geïmplementeerd risicomanagementproces, maakt het de communicatie met 

externe stakeholders, waaronder de accountant, makkelijker vanuit een sterkere positie. 

Aanbeveling 

Definieer risicomanagement als een continu proces voor het ziekenhuis. Begin met vast te 

leggen dat de risicobereidheid een onderdeel is van het risicomanagementbeleid. Integreer 

die uitgangspunten in de planning- & controlcyclus en laat het management daarover verantwoording 

afleggen, op een manier die past bij de governance, de organisatiecultuur en 

de behoefte van de stakeholders. In het kader van transparantie en de verantwoording over 

het gevoerde risicobeleid is een heldere communicatie over de mate van risicobeheersing 

gewenst. 



Een planning- & controlcyclus is bij alle ziekenhuizen gemeengoed. Ondanks een lichte verbetering 

in 2011 ten opzichte van 2010 met 6%, vindt sturing voor ongeveer 73% (rood en 

oranje) in 2011 kennelijk nog steeds op een traditionele wijze plaats. Deze wijze is reactief 

van aard op basis van de cijfers en productiedoelstellingen, en niet proactief (vooraf) op 

basis van risk assessments, waarbij de planning- & controlcyclus vooral sterk gericht is op 

de financiële component en in mindere mate op de werking, effecten en kosten van de 

beheersmaatregelen om de geïdentificeerde risico’s beheersbaar te maken. 

Aanbeveling 

Benoem en definieer eerst de risicobereidheid en de risicolimieten, en leg vervolgens de 


elatie met de planning- & controlcyclus. Maak het proces pro-actief door de RVE’s met 

regelmaat en structureel riskassessments te laten uitvoeren op de jaarplannen en de daarin 

gestelde doelen. 



In 2011 is in 100% geen sprake van een specifieke risicoreservering. Dit komt de transparantie 

en verantwoording niet ten goede en maakt onduidelijk hoe er integraal met de 

risico’s wordt omgegaan in het kader van het financieel beleid. 

Aanbeveling 

Bepaal de behoefte aan kwantitatieve risicoinformatie van het management en de verschillende 

stakeholders. Stel de methode vast op basis waarvan risico’s kwantitatief worden 

gemaakt. Leg structureel de overwegingen vast voor de keuzes met betrekking tot de 

omvang van risicoreserves. Deze moeten in samenhang zijn met de risicobereidheid. 

4.2. Aanbevelingen op basis van de beoordelingscriteria 

De aanbevelingen, op basis van de conclusies naar aanleiding van de scores op de beoordelingscriteria, 

luiden als volgt: 

Beoordelingscriterium Breedte 


IRM speelt zich in ziekenhuizen hoofdzakelijk af op bestuurlijk niveau. De doorvertaling 

naar de andere organisatielagen in de volle breedte is matig tot onvoldoende. Dit is gebleken 

uit 79% van de onderzochte jaarverslagen in 2010, en uit 74% van de jaarverslagen in 

2011. Hiermee is er een verbetering opgetreden van 6%. Desondanks blijkt uit de jaarverslagen 

dat een expliciet gemaakte verantwoordelijke voor IRM, zoals een riskmanager, 

een compliance officer of een auditor, in de meeste gevallen ontbreekt. Deze score maakt 

inzichtelijk dat de ziekenhuizen hun risico’s traditioneel benaderen vanuit een siloaanpak, 

of zelfs helemaal niet proberen om hun risico’s in samenhang te beschouwen. 

Aanbevelingen 

• Definieer organisatiebreed IRM-beleid. 

• Breng risico’s in kaart voor alle organisatieonderdelen in relatie tot de 

organisatiedoelstelling. 

• Beoordeel risico’s en maatregelen in onderlinge samenhang. 

• Vertaal risicodoelstellingen zowel naar strategische als operationele activiteiten. 

• Wijs ‘risicomanagement -champions’ aan zowel op managementniveau als operationeel 

niveau. 

• Pas risicobereidheid toe vanuit organisatiedoelstellingen, als uitgangspunt voor 

resultaatverantwoordelijke eenheden. 


Beoordelingscriterium Systematisch 


Er zijn slechts geringe verschuivingen waarneembaar over de jaren 2010 en 2011. De 

afname van de oranje score met 2% en de afname van de rode score met eveneens 2% zijn 

daarvan de meest opvallende. De risicomanagementmodellen geven richting aan het invoeren 

van IRM in de organisatie. Dat de risicomanagementmodellen en IT- tooling ontbreken 

of slechts op onderdelen aanwezig zijn, duidt erop dat IRM in de ziekenhuizen zich nog op 

een laag volwassenheidsniveau bevindt. Voor zover sprake is van tooling wordt die weliswaar 

vaak ingezet voor thema’s op het gebied van kwaliteit en patiëntveiligheid, maar niet 

systematisch in de volle breedte van de organisatie. Ook vanuit het beoordelingscriterium 

Systematisch kan worden geconcludeerd dat ziekenhuizen hun risico’s traditioneel benaderen 

vanuit een siloaanpak, en niet in hun onderlinge samenhang beschouwen. 

Aanbevelingen 

• Maak gebruik van bestaande ERM-modellen voor zowel het risicomanagementproces als 

de inhoudelijke samenhang. 

• Koppel de gebruikte modellen aan de planning- & controlsystematiek. 

• Hanteer bewezen risicoassessmentmethodieken voor risicoinventarisatie. 

• Breng de risicomanagementactiviteiten in lijn met gerelateerde functies: toezicht, 

compliance, auditing, finance, planning & control en lijnmanagement. 

Beoordelingscriterium Structureel 


Aan de hand van de bevindingen kan geconcludeerd worden dat tenminste op onderdelen 

structureel wordt gerapporteerd over risicomanagement. Het zwaartepunt ligt echter bij 

de financiële kant van de organisatie en bij de kwaliteit/patiëntveiligheid. Slechts in ongeveer 

de helft van de gevallen bestaat er een duidelijk relatie met de planning- & controlcyclus. 

Hier valt dus nog winst te behalen. Bij de beoordelingscriteria Breedte en Systematisch is 

al geconcludeerd dat ziekenhuizen hun risico’s traditioneel benaderen vanuit een siloaanpak, 

zonder ze niet in hun onderlinge samenhang te beschouwen. Dat laatste is echter noodzakelijk 

om IRM te borgen in de organisatie. 

Aanbevelingen 

• Laat de organisatie, als geheel en per onderdeel, periodiek verantwoording afleggen 

over het gevoerde risicomanagementbeleid. 

• Verrijk het informatieprotocol met uitgangspunten over risicobereidheid, risicobeleid 

en risicoprofiel per resultaatverantwoordelijke eenheid. 

• Borg IRM in de lijnorganisatie (zorgproces en operationele bedrijfsvoering) als de 

‘first line of defense’. 

• Laat IRM-rapportagelijnen en de frequentie van rapportages gelijk lopen met de 

planning- & controlcyclus. 


Beoordelingscriterium Meet- en toetsbaar 


Op het beoordelingscriterium Meet- en toetsbaar is voor de ziekenhuizen nog veel winst te 

behalen. Ruim de helft van de onderzochte jaarverslagen scoort op dit criterium een onvoldoende. 

Dit duidt erop dat er geen sprake is van een expliciet geformuleerd normenkader. 

Dit kader is noodzakelijk om de metingen (input en resultaten) van het IRM-proces op een 

zinvolle wijze te toetsen en tegemoet te komen aan de eisen van de stakeholders (zoals toezichthouders 

en kapitaalverstrekkers). Druk van de stakeholders dwingt ziekenhuizen 

meer en meer om het IRM-proces in hun organisatie naar behoren vorm te geven. 

Aanbevelingen 

• Maak risicomanagementuitgangspunten expliciet en meetbaar door gebruik van risicobereidheid 

voor kapitaalmanagement, product/marktoverwegingen, cultuur, HR en 

imago/reputatie. 

• Maak de kostenefficiëntie van beheersmaatregelen expliciet in relatie tot de risico’s. 

• Baseer risicoreserves op onderbouwde risico- en rendementsafwegingen. 

• Optimaliseer de weergave van IRM in het jaarverslag ten behoeve van transparantie 

voor alle stakeholders. 


5. Over VvAA en ConQuaestor 

VvAA 

VvAA is een ledenorganisatie en dienstverlener die opereert in het hart van de gezondheidszorg, 

in dienst van meer dan 110.000 professionals: medici, paramedici, studenten en 

zorginstellingen. VvAA biedt hen verzekeringen, financiële diensten, integraal risicomanagement, 

juridisch advies, praktijkadvies, belastingadvies, praktijkfinanciering, vestigingsbegeleiding, 

opleidingen, een eigen reisbureau en ‘Arts en Auto’, het maandelijkse 

magazine. VvAA is gevestigd in Utrecht en heeft regiokantoren door het hele land. VvAA 

Risicomanagement voor de Gezondheidszorg B.V. is een 100% dochter van de VvAA Groep 

en richt zich volledig op het adviseren en implementeren van integraal risicomanagement 

bij Nederlandse zorginstellingen & -ondernemingen en medische professionals. 

ConQuaestor 

ConQuaestor is een onafhankelijke adviesorganisatie voor de CFO. Meer dan 400 consultants 

en interim-managers lossen problemen op die op de agenda van financieel managers 

en financieel bestuurders staan. Die oplossingen bestaan uit inzicht in cijfers, control over 

processen, optimale bedrijfsvoering, advies over beslissingen en een heldere visie op de toekomst. 

ConQuaestor is een zelfstandig en onafhankelijk adviseur voor de publieke en de 

private sector. Wij verbeteren organisaties door exclusief de CFO-thema’s te ondersteunen. 

Wij werken al sinds 2004 onafhankelijk van andere accountantsdiensten, en zijn ook onafhankelijk 

van andere aanbieders van oplossingen. Wij zijn een zelfstandige onderneming 

met partners die een achtergrond hebben in het finance- en riskvak. En omdat we zelf sinds 

2004 ondernemer zijn weten wij als geen ander wat bouwen, groeien en beheersen echt betekent. 

ConQuaestor is lid van Grant Thornton International Ltd. 

Contactgegevens 

Voor vragen over dit onderzoek kunt u contact opnemen met: 

VvAA, Lilian Knol, +31 6 51608066, lilian.knol@vvaa.nl 

ConQuaestor, Thomas A. Ros, +31 6 13360734, thomas.ros@conquaestor.nl 

www.vvaa.nl/risicomanagement 

www.conquaestor.nl 


Begrippen- en afkortingenlijst 

Lijst van veel gebruikte afkortingen: 

ERM Enterprise Risk Management 

IRM Integraal Risicomanagement 

RM Risicomanagement 

Lijst van belangrijkste begrippen 

Compliance Met compliance wordt aangeduid dat een persoon of organisatie werkt 

in overeenstemming met de geldende weten regelgeving. Het gaat 

over het nakomen van normen of het zich er naar schikken. 

IGZ De Inspectie voor de Gezondheidszorg (IGZ) bevordert de volksgezondheid 

door effectieve handhaving van de kwaliteit van zorg, preventie 

en medische producten. De inspectie adviseert de bewindspersonen 

en maakt ten opzichte van de zorgaanbieders gebruik van advies, stimulans, 

drang en dwang als bijdrage aan verantwoorde zorg. De inspectie 

onderzoekt en oordeelt onpartijdig, deskundig, zorgvuldig en onafhankelijk 

van politieke kleur of heersend zorgstelsel. 

Input/ 

throughput Input staat voor deskundigheid van medisch specialisten en andere 

zorgverleners. 

Throughput staat voor het concrete oplossen van het patiëntprobleem 

door medisch specialisten en zorgverleners. 

NIAZ Het Nederlands Instituut voor Accreditatie in de Zorg (NIAZ) levert 

een bijdrage aan de borging en verbetering van de kwaliteit van de 

gezondheidszorg. Dat doet het door het ontwikkelen van kwaliteitsnormen 

en het toepassen daarvan in de toetsing van zorginstellingen en 

zorgprocessen. Dit resulteert in een oordeel (judicium) waaraan derden 

- zorgconsumenten, zorgverzekeraars, samenwerkingspartners, overheden 

en samenleving - het vertrouwen kunnen ontlenen dat de zorg 

reproduceerbaar op een adequate en veilige manier wordt voort - 

gebracht. 


NVZ De Nederlandse Vereniging van Ziekenhuizen (NVZ) is een vereniging 

die de collectieve belangen behartigt van de Nederlandse ziekenhuizen 

en andere organisaties die medisch-specialistische zorg aanbieden. De 

NVZ doet dat onder meer via beleidsontwikkeling, lobby en overleg 

met andere partijen in het veld. Daarnaast ondersteunt de vereniging 

individuele leden door informatieverstrekking over onderwerpen die 

betrekking hebben op de medische zorg. Ook kunnen leden individuele 

vraagstukken voor advies voorleggen aan de NVZ. Verder wordt minimaal 

twee keer per jaar een algemene ledenvergadering gehouden en 

organiseert de NVZ voor haar leden discussiebijeenkomsten. 

Onderzoeksraad 

Voor Veiligheid De Onderzoeksraad Voor Veiligheid (OVV) is een zelfstandig bestuursorgaan 

in Nederland dat na rampen, grote ongevallen of andersoortige 

incidenten onderzoek kan doen naar de oorzaken en gevolgen van het 

betreffende incident. De OVV heeft zorg over het niveau van veiligheid 

in de bouw, de gezondheidszorg en de chemische industrie. 

Risicobereidheid Risicobereidheid is de mate waarin een organisatie bereid is om, bij het 

behalen van de (strategische) doelstellingen, risico’s te nemen. 

Risicoreservering Risicoreservering betreft de reservering binnen het eigen vermogen 

van de ondernemingsbalans, als buffer om schade als gevolg van 

mogelijk optredende risico’s, die vooraf zijn geïdentificeerd en in geld 

kwantitatief zijn gemaakt, op te kunnen vangen. 

Three lines of 

defense Met three line of defense wordt beoogd om een vangnet te creëren voor 

de organisatie rondom het proces van risicomanagement. Bij de ‘first 

line of defense’ gaat het om de borging van risicomanagement in de lijn 

(zorgproces en operationele bedrijfsvoering). De ‘second line of defense’ 

gaat over de afdeling Risicomanagement & Compliance, die een 

‘management service functie’ vervult voor de ‘first line of defense’. De 

‘third line of defense’ betreft een professionele Audit- afdeling dat 

gezien wordt als ‘management oversight’. Deze afdeling controleert en 

houdt toezicht op de processen binnen de ‘first’ en ‘second line of defense’. 

Tone at the top ‘Tone at the top’ staat voor de beïnvloeding van het gedrag van medewerkers 

door het topmanagement teneinde de strategische doelstellingen 

van de onderneming te behalen. 


Waarborgfonds 

Zorgsector Zoals meer sectoren heeft ook de Zorgsector een Waarborgfonds, opgericht 

in 1999, voor het geval dat bijvoorbeeld ziekenhuizen failliet gaan. 

Dit Waarborgfonds Wfz en de WfZ-gegarandeerde leningen hebben de 

triple A status. Het Waarborgfonds voor de zorgsector, WfZ, verstrekt 

garanties voor leningen aan zorginstellingen, waardoor de instellingen 

goedkoper kunnen lenen. Het WfZ garandeert de geldverschaffers de 

betaling van rente en aflossingen. Het financiële voordeel van deze 

garanties mogen de zorginstellingen zelf houden. Momenteel staan € 7 

miljard aan leningen uit in de zorgsector die door het WfZ worden gegarandeerd. 

Het fonds heeft een eigen financiële buffer van € 211 miljoen. 

Zorgwetten Het Nederlandse zorgverzekeringstelsel bestaat uit twee zorgwetten. 

Deze zorgwetten zijn doorvertaald in de volgende zogenoemde volks- 

verzekeringen: 


- Algemene Wet Bijzondere Ziektekosten (AWBZ) 

- Zorgverzekeringswet (Zvw) 

De indeling wordt soms samengevat als respectievelijk care en cure. De Zorgverzekeringswet 

bepaalt dat elke Nederlands ingezetene verplicht verzekerd is op de basisverzekering, 

welke kosten de basisdekking vergoedt en waaraan de verzekeraars moeten voldoen. In een 

aparte wet, de Wet op de zorgtoeslag, wordt geregeld dat de overheid bijdraagt in de 

premies voor ingezetenen met een laag inkomen.

ONDERZOEKSRAPPORT 

INTEGRAAL RISICOMANAGEMENT 

BINNEN 40 NEDERLANDSE ZIEKENHUIZEN

Integraal risicomanagement - VvAA

Transform your PDFs into Flipbooks and boost your revenue!

Delete template?

Save as template ?