“Je moet niet meteen een te grote broek aantrekken”
Het Erasmus Medisch Centrum Rotterdam wordt als geen ander geconfronteerd met de gevolgen van de coronapandemie. Michel Vlak, manager Internal Audit & Risk, over hoe een ziekenhuis invulling geeft aan crisismanagement en BCM, de ontwikkelingen van de interne auditfunctie en zijn ambities op dit vlak.
U bent relatief nieuw in de wereld van de universitair medisch centra. Wat valt u het meest op?
“Ik werk nu ruim een jaar bij het Erasmus MC in Rotterdam, daarvoor heb ik twintig jaar internal-auditervaring opgedaan binnen de financiële sector (ABN AMRO, Robeco, Staalbankiers en Propertize), waarvan tien jaar als manager. In 2017 ben ik als interimmer gestart, en mijn eerste opdracht was om een afdeling internal audit op te zetten binnen het UMC Utrecht. Het eerste wat mij opviel is dat het three-lines-modelgedachtegoed, iets wat binnen de financiële sector wijd is verspreid, nog niet erg bekend is in de wereld van de UMC’s. Formele risk management- en compliancefuncties in de zin van zuivere tweede lijn, die verder gaan dan alleen kwaliteit en veiligheid van zorg en integraal naar organisatiebrede risico’s kijken, zijn beperkt aanwezig. Daarnaast is de derde lijn doorgaans ingevuld als ‘interne accountant’, waarbij tweede- en derdelijnswerkzaamheden door elkaar lopen, en niet als een moderne internal auditfunctie (IAF) die waarde levert aan de raad van bestuur.
Bij het UMC Utrecht kreeg ik van de CFO de vrije hand om de IAF in te richten en werd daarbij ook gestimuleerd om binnen de bedrijfsvoering vorm te geven aan de discussie van het three-lines-modelgedachtegoed. Binnen het Erasmus MC zie ik eenzelfde uitdaging om dit gedachtegoed vorm te geven, echt van toegevoegde waarde te laten zijn en daarmee richting te geven aan een integrale benadering van risico’s. Ook hier is de CFO de drijvende kracht in het verder ontwikkelen van risicodenken en beheersing.”
Hoe reilt en zeilt het in een universitair medisch centrum?
“Een universitair medisch centrum is een grote en complexe organisatie, met een enorme verbondenheid en interactie met de buitenwereld en een verscheidenheid aan stakeholders. Het is ook een zeer professionele organisatie met veel specialismen en een hoge mate van innovatie. Verder is sprake van een complexe financieringsstructuur, met meerdere financieringsbronnen, van gelden vanuit de overheid tot en met de bekostiging van verleende zorg door de zorgverzekeraars. Tot slot is er een hoge mate van automatisering en zijn eigenlijk alle processen IT-gedreven, waarbij continuïteit, integriteit en veiligheid cruciaal zijn.”
Is er aandacht voor kwaliteitssystemen?
“Binnen het Erasmus MC zijn de werkzaamheden ingedeeld binnen vier bedrijfsonderdelen, die allemaal met elkaar verbonden zijn en op elkaar inwerken: zorg, onderzoek, onderwijs en bedrijfsvoering. Daarnaast is het ook een sterk gereguleerde omgeving, met zo’n 1900 wet- en regelgevingen waaraan moet worden voldaan en die alle bedrijfsonderdelen raken. Om daaraan te kunnen voldoen, is er veel aandacht voor kwaliteitssystemen, waaronder specifieke ISO-certificeringen voor onder andere laboratoria en informatiebeveiliging, maar ook de Niaz/Qmentum-accreditatie voor patiëntenzorg en de NVAO-accreditatie voor onderwijs. Binnen het Erasmus MC zijn diverse interne kwaliteitscoördinatoren actief, naast een separate afdeling Kwaliteit & Patiëntveiligheid (een tweedelijnsfunctie) die de medisch specialismen ondersteunt bij de inrichting en waarborgen van risicobeheersing. Accreditaties vinden plaats door externe partijen, waaronder de beroepsverenigingen van de diverse specialismen.”
“Als iets mij duidelijk is geworden, dan is het wel dat de visie en het commitment van de CFO en het auditcomité cruciaal zijn om een dergelijke transitie succesvol te doorlopen”
Wat doet de IAF?
“De IAF richt zich voornamelijk op de bedrijfsvoering en specifiek het servicebedrijf. Naast de specifieke rol van de IAF proberen we meer inzicht te krijgen in de vraag: wat is er al aan assurance ingeregeld binnen het huis? We brengen het totale speelveld in kaart en kijken wat er op het gebied van de beheersing al is geregeld en waar we nog de nodige governance en beheersingskaders missen. Daarbij hebben wij ook oog voor de stand van risicomanagement en compliance binnen de organisatie. Wanneer we de stand van zaken in kaart hebben gebracht, willen we gaan kijken waar er op het gebied van beheersing, risk management en compliance verder samengewerkt kan worden.”
U ontwikkelt de IAF door, wat houdt dit precies in?
“In 2019 trof ik een auditafdeling aan die hoofdzakelijk aandacht had voor de financiële verantwoording. Denk daarbij aan controles in het kader van een betrouwbare en juiste omzetverantwoording ten behoeve van de jaarrekening en richting verzekeraars, en controles in het kader van subsidieverantwoordingen. Oftewel, vooral financial audit. Het meer procesgericht auditen met meerwaarde gebaseerd op een organisatiebrede risicoanalyse en auditjaarplan, stond nog in de kinderschoenen. Daarbij was de IAF gepositioneerd in de financiële kolom, waardoor er geen hiërarchische lijn met de raad van bestuur (RvB) was.”
Die positionering moest anders?
“Dit heb ik direct aangepakt en vanaf mijn aantreden heb ik intern de vraag gesteld: waarom en voor wie doen we deze activiteiten?, en: horen deze activiteiten bij een zuivere derdelijnsfunctie? Gelukkig zat de net aangetreden CFO ook zo in de wedstrijd. Naast dat hij de IAF ook verkeerd gepositioneerd vond, is hij een duidelijk voorstander van het three-lines-modelgedachtegoed, met een sterke tweedelijns risk en compliancefunctie en een derdelijns IAF. Zijn insteek is: als ik als CFO een probleem heb, dan moet ik daar door de eigen organisatie van op de hoogte gesteld worden en niet door een externe toezichthouder of accountant.”
Was er commitment van het auditcomité?
“Het auditcomité heeft reeds medio 2019 aangegeven behoefte te hebben aan een verdere professionalisering van de IAF en risk management en staat dan ook volledig achter deze ontwikkeling en heeft ons hierbij gesteund. Daarbij bestaat ook de overtuiging dat het tweedelijnswerk, gericht op de financiële verantwoording, puur in de financiële kolom dient te gebeuren. In 2020 hebben we goede stappen vooruit gezet: de positionering van de interne auditfunctie onder de RvB is nu op orde, een deel van het tweedelijnscontrolewerk is inclusief bemensing overgegaan naar de financiële kolom en we hebben een aantal procesaudits gedaan. Daarnaast vinden auditrapporten hun weg naar verantwoordelijk senior management en bespreek ik alle auditrapporten in de RvB, wat nieuw is maar tot de beoogde goede discussie leidt op bestuurlijk niveau. Als iets mij duidelijk is geworden, dan is het wel dat de visie en het commitment van de CFO en het auditcomité cruciaal zijn om een dergelijke transitie succesvol te doorlopen.
Het fundament krijgt steeds meer vorm en in 2021 moeten we ontwikkelen naar een IAF met ‘meerwaarde en impact’. Voor de nieuwe rol van internal audit zoeken we ervaren senior (IT-)auditors die op basis van kennis en ervaring echt invulling kunnen geven aan het derdelijnswerk. Dit vraagt verdere professionalisering en zwaardere bemensing. We moeten echt van het tweedelijnswerk wegblijven en zullen in de toekomst alleen financial audit doen als onderdeel van horizontaal toezicht.”
Hoe verloopt de transitie van de IAF tot dusver?
“De transitie is vol in ontwikkeling en loopt goed. Onze eerste rapportage in mei 2020 was vrij direct en indringend, we maakten duidelijk dat er zaken echt beter moesten. Er was duidelijk te weinig ‘controldenken’, onvoldoende aandacht voor AO/IC en de governance bleek op onderdelen niet goed. Dit heeft tot goede discussies geleid in de RvB. Daarna zijn de CFO en ik met onze bevindingen op roadshow gegaan in diverse gremia. Dit leidt ertoe dat de IAF op een natuurlijke en goede manier bekendheid en statuur krijgt. Het is vervolgens cruciaal om als IAF te blijven leveren. Je moet hierbij oppassen niet meteen een te grote broek aan te trekken, je moet het wel waar kunnen maken met vaktechnisch goede audits. Ik wil ketenoverschrijdende processen gaan aanpakken, waarmee ik naar meerdere auditees kijk. Dit levert op meerdere vlakken toegevoegde waarde, het nadeel is wel dat het meer tijd kost om tot het resultaat te komen.”
“2021 staat in het teken van het doorontwikkelen van de afdeling. Doel is om meerwaarde met impact te leveren en een trusted advisor te worden van de RvB”
Hoe relevant is BCM voor een UMC?
“Binnen een UMC speelt crisismanagement en BCM een belangrijke rol. Het primaire proces richt zich namelijk op zorgbehoevenden. Als er een ramp plaatsvindt is de impact gelijk enorm. Daarom is crisismanagement een belangrijke functie binnen een ziekenhuis. Extra factor is dat een ziekenhuis ook allemaal gevaarlijke stoffen (chemische, biologische stoffen, radiologische en nucleaire stoffen) in huis heeft. Er zijn dan ook legio voorzieningen getroffen en plannen gemaakt om de veiligheid en continuïteit van de operationele processen te waarborgen. Binnen het ziekenhuis bestaat daartoe een crisisorganisatie, maar er is ook een stralingseenheid en een biologische veiligheidsfunctionaris. De coronapandemie bewijst bijvoorbeeld het belang van outbreak managementteams (infectiepreventie-unit), die standaard aanwezig zijn binnen ziekenhuizen. Dit om de onbedoelde verspreiding van virussen bij patiënten en personeel zoveel als mogelijk tegen te gaan bij eerste signalering.”
En iets als de elektriciteitsvoorziening?
“Dat is ook een cruciaal onderwerp in dit kader. Wat een ziekenhuis ten aanzien van de elektriciteitsvoorziening doet, is in de eerste plaats het in kaart brengen van de kritische processen die absoluut niet zonder stroom kunnen (gefaseerd afschalen) en het inregelen van noodaggregaten. Ook hebben ziekenhuizen een ziekenhuisrampenopvangplan (ZIROP) om bij een grote ramp in de omgeving de patiëntenzorg in goede banen te leiden. Denk bijvoorbeeld aan het scenario dat er een explosie is in de haven van Rotterdam. Voor dit soort scenario’s liggen er plannen klaar om de medische hulp die nodig is te kunnen opschalen. Dit vergt organisatorisch veel van de diverse diensten, zowel medisch als facilitair. Ook zijn er afspraken met ziekenhuizen uit de regio gemaakt voor spreiding van patiënten (patiëntenvervoer en -overdracht).
Los van het feit dat het inrichten van BCM door ziekenhuizen zelf relevant wordt gevonden, zijn er ook certificeringen waarbij het inrichten van crisismanagement onderdeel is van het in te richten kwaliteitssysteem, zoals bij NIAZ/Qmentum.”
Wat doet de IAF wat betreft BCM?
“Zelf willen wij in het nieuwe auditjaarplan meer aandacht besteden aan BCM-gerelateerde onderwerpen. Ik denk dan niet alleen aan onderwerpen die direct gerelateerd zijn aan zorgprocessen, maar bijvoorbeeld ook aan ICT. Omdat ICT zo verweven zit in alle ziekenhuisprocessen, is er een computer emergency response team (CERT). Als zich een calamiteit ten aanzien van de ICT voordoet, dan treedt het CERT in werking. Laatst hadden we daar een voorbeeld van: een rekencentrum viel uit, waardoor het tweede rekencentrum geactiveerd moest worden. Dit was meteen een goede testcase en legde gelijk verbetermogelijkheden bloot. Het was mooi om te zien hoe het CERT in werking trad en opereerde.”
Wat kan een IAF bijdragen op het gebied van BCM?
“Ik vind dat IAF altijd betrokken moet zijn bij BCM. Daarbij kan de IAF de afdeling bevragen op de plannen en protocollen die zijn opgesteld. Op papier kun je alles mooi opschrijven, maar het testen in de praktijk is natuurlijk doorslaggevend voor het succes. Je moet altijd kritisch kijken of dat wat is opgenomen in de plannen wel realistisch is. Zo kwam ik in het verleden wel plannen tegen waar de beheersmaatregelen ten aanzien van de watervoorziening – een cruciaal element binnen een ziekenhuis – te rooskleurig waren. Er werd bijvoorbeeld te gemakkelijk gesteld dat leveranciers wel de noodzakelijke voorzieningen zouden regelen. Maar in de praktijk bleek het volume niet geleverd te kunnen worden qua logistiek, of waren er vergelijkbare afspraken met andere ziekenhuizen. Met het gevolg dat in tijden van nood niet alles geleverd kan worden wanneer iedereen gelijk uitvraagt. Je denkt dan als organisatie dat je het goed op orde hebt, maar de praktijk kan weerbarstig zijn. De organisatie moet voldoende aandacht hebben voor het testen van de werking van de eigen plannen. Natuurlijk kun je niet alles realistisch testen in de praktijk, maar in die gevallen vind ik het wel cruciaal dat de IAF de plannen van de organisatie kritisch challenged.”
Heeft corona nog impact gehad op de IAF?
“Omdat de aandacht van onze IAF tot op heden met name gericht was op de bedrijfsvoering, met jaarlijkse herhalende werkzaamheden, zijn we vooralsnog in ons werk niet heel erg door corona geraakt. In die zin heeft corona beperkt invloed gehad op ons werk. Wat natuurlijk wel is veranderd, is dat wij nu thuiswerken en niet meer fysiek bijeenkomen en alle overleggen digitaal zijn. De informatie die wij voor onze audits nodig hebben is nog goed te krijgen, omdat we weten welke informatie nodig is, deze goed beschikbaar is en we ook de ingangen weten. Hadden wij de beoogde verbreding van onze scope naar het primaire proces al doorgevoerd, dan is de vraag of dat in alle gevallen mogelijk was geweest, maar voor een aantal procesaudits zijn er ook geen echte bottlenecks geweest. Het valt voor nu dus mee, maar we merken wel dat de druk bij bijvoorbeeld de facilitaire afdeling is toegenomen, omdat corona veel vraagt op het gebied van huisvesting en apparatuur.”
De organisatie moet eraan wennen om periodiek de status van opvolging te geven en bij gereedmelding ondersteunende documentatie op te leveren. Dat zit niet in het DNA
Welke vervolgstappen ziet u voor uw IAF?
“Voor het auditjaarplan 2021 zijn we gestart met het in kaart brengen van de audit universe en een risicoanalyse, in samenspraak met de organisatie zelf. We hebben het audit universe visueel schematisch weergegeven en zo relevante processen en thema’s inzichtelijk gemaakt. Vervolgens zijn we daarover met de verschillende directies in gesprek gegaan, zodat het hun eigen risicoanalyse wordt. Daarbij merken we dat sommige afdelingen direct snappen wat je wilt bereiken en auditonderwerpen snel scherp hebben, maar ook dat dit voor sommige afdelingen nog erg nieuw is en extra inspanningen vergt. Het plan is om op deze wijze te komen tot een longlist van auditonderwerpen. Daarbij wil ik meer aandacht voor de governance en thema’s die op strategisch niveau spelen. Ook het beheer van programma’s en projecten is een onderwerp waar we ons als IAF op gaan richten. Op basis van de longlist gaan we vervolgens in samenspraak met de CFO zaken prioriteren, om zo te bepalen welke opgenomen worden in het komende auditjaarplan. Dit moet dan nog wel langs de RvB en vervolgens worden goedgekeurd door het auditcomité.”
Nog andere aandachtspunten?
“Een ander onderwerp dat verdere ontwikkeling behoeft betreft de follow-up van auditbevindingen. Zoals wij het nu organiseren moeten auditees hun eigen actieplan opstellen om met de bevindingen aan de slag te gaan, zodat het van henzelf is. Deze actieplannen nemen we op binnen een monitoringssysteem. De organisatie moet eraan wennen om periodiek de status van opvolging te geven en bij gereedmelding ondersteunende documentatie op te leveren, dat zit niet in het DNA van de organisatie, ook een verwonderpunt.
Zoals gezegd staat 2021 in het teken van het doorontwikkelen van de afdeling. Doel is om meerwaarde met impact te leveren en een trusted advisor te worden van de RvB. We merken inmiddels dat onze aanpak en zichtbaarheid, samen met onze kennis, nu al leidt tot hulpvragen vanuit de organisatie ten aanzien van het controldenken en AO/IC. We willen meer in de brede context opereren. Dat zal ook wat extra’s vragen van de auditors, die moeten naast een brede scope ook echt als goede adviseur kunnen optreden.”
Welke ontwikkelingen ziet u ten aanzien van BCM?
“Door de coronapandemie wordt het belang van BCM alleen maar groter en zal het meer erkend worden. Er is nu aangetoond dat wereldwijde rampen daadwerkelijk plaatsvinden. Ik verwacht een enorm leereffect ten aanzien van BCM en hoe dit beter kan. En dat men bewuster gaat nadenken over mogelijke scenario’s. Het onderstreept de noodzaak om voorbereid te zijn. Daarbij is flexibiliteit belangrijk. Rekening houden met crisis en calamiteiten moet een tweede natuur worden, een crisis moet je leren verwachten en er gereed voor zijn door het mobiliseren van kennis en middelen.”
Over
Michel Vlak heeft na een bedrijfskundige opleiding, de opleidingen tot operational auditor en IT-auditor afgerond aan de Erasmus Universiteit Rotterdam. Hij heeft ruim 25 jaar ervaring op het gebied van internal audit en management. Daarnaast was Vlak bestuurslid van IIA Nederland en sinds 2019 is hij programmadirecteur van de Internal Auditing & Advisory-opleiding aan de Erasmus Universiteit Rotterdam.
Reacties (0)
Lees meer over dit onderwerp:
Niet verrast worden door het (on)verwachte
Business continuity management (BCM) gaat over het beschermen van uw organisatie tegen de gevolgen van omvangrijke verstoringen en (on)bekende risico’s. Anno 2021 geen overbodige luxe.
Lees meerHoe bereid je je voor op een crisis?
Wat is crisismanagement? En is dat iets anders dan business continuity management (BCM)? Deze en andere vragen legden we voor aan de adviseur crisismanagent van de Nederlandse Spoorwegen, Marcia van Hugten.
Lees meer
Wilt u ook een reactie plaatsen?
Voor het plaatsen van een reactie vereisen wij dat u bent ingelogd. Heeft u nog geen account? Registreer u dan nu. Wilt u meer informatie over deze vereiste? Lees dan ons privacyreglement.