Het risicomanagement van de organisatie is sterk gericht op de thema’s uit de strategische lijnen en het kwaliteitsmanagementsysteem. We bekijken en beoordelen voortdurend of onze huidige structuur, onze gedragsregels, procedures, processen en onze infrastructuur hierbij passend is. We werken met het ‘three lines of defense’ model. In de primaire lijnfuncties worden risico’s onderkend en beheersingsmaatregelen ingericht. In de staf wordt voortgang op mogelijke risico’s gemonitord en vindt op delen een interne audit plaats. Daarnaast heeft ZZG jaarlijks audits vanuit externe partijen. We zijn ISO 9001-2015 gecertificeerd voor de zorgstromen wijkverpleging en revalidatie en herstelzorg.
In 2024 hebben we uitgebreid onderzocht hoe we risicomanagement binnen de organisatie (willen) toepassen. Dit onderzoek heeft geleid tot een vernieuwde visie met concrete stappen en aanbevelingen die we in 2025 invoeren. In het onderzoek wordt een onderscheid gemaakt tussen vermijdbare risico’s (de interne beheersing) , strategische risico’s en externe risico’s.
Over het algemeen kan gesteld worden dat de risicobereidheid van de organisatie laag is. Dit geldt zeer zeker voor de vermijdbare risico’s, deze dienen effectief en efficiënt beheerst te worden. Er wordt hierbij gezocht naar het ‘juiste midden’. Naast richtlijnen en procedures is het auditplan een belangrijke beheersmaatregel voor de vermijdbare risico’s. We voeren interne en externe audits uit op de belangrijkste (kritische) processen. Leren en verbeteren staat hierbij centraal.
Eén van de voornaamste vermijdbare risico’s van de organisatie zijn IT gerelateerd. We hebben in het verslagjaar een IT strategie vastgesteld met een aantal belangrijke uitgangspunten die moeten bijdragen aan het beheersen van de risico’s. Zo zijn de rollen met betrekking tot de informatievoorziening gedefinieerd en geïmplementeerd en hebben we afgesproken om te komen tot een eenvoudiger applicatielandschap. Ten slotte werken we met een information security management system (ISMS), conform de NEN7510 normen. Samen met onze gebruikers inventariseren we risico’s en treffen we maatregelen bij onze kritische applicaties of processen, dit doen we gezamenlijk door middel van risico workshops. Op deze manier verlagen we de risico’s omtrent de cybersecurity.
Onze strategische risico’s hebben met name betrekking op de arbeidsmarkt, het behoud en aantrekken van voldoende gekwalificeerd personeel om onze zorg te kunnen leveren. Een (te) hoog verzuim is ons grootste risico. Een stijging van één procent verzuim heeft een negatief effect van ruim 1 miljoen euro op onze exploitatie. Initiatieven rondom duurzame inzetbaarheid en een goede samenwerking met onze arbodienst zullen moeten bijdragen aan een lager verzuim. Ook het aantrekken en behouden van voldoende gekwalificeerd personeel blijft een uitdaging. Initiatieven zoals ‘het potentieel pakken’, VIVE en het verleiden van zelfstandigen tot een dienstverband dragen hieraan bij.
In 2024 hebben we ons voorbereid op het feit dat de belastingdienst gaat controleren op schijnzelfstandigheid bij de inzet van ZZPers (wet DBA). Dit risico beheersen we met een project waar alle zorgstromen aan deelnemen. We verminderen namelijk de inzet van zzp'ers om schijnzelfstandigheid te voorkomen. De inzet van extern personeel is gedaald van 44% in oktober 2024 naar 18% in januari 2025. Onze focus op het verminderen van de inzet van zzp'ers en een campagne om zzp'ers in dienst te nemen, heeft geleid tot de aanstelling van 16 nieuwe medewerkers (279,5 uur).
Voor wat betreft onze externe risico, de risico’s waar we minder directe invloed op hebben, geldt dat we in 2025 stress testen en scenarioplanning gaan uitvoeren. Het gaat hier met name om belangrijke financiële of bijvoorbeeld demografische ontwikkelingen. Daarnaast krijgt risicomanagement steeds meer een regionale focus. We houden hier rekening mee in onze samenwerking met partners in de regio.