Risicobeheersing
Het UMC Utrecht is een omvangrijke, open organisatie in een dynamische omgeving. Dit brengt uiteraard risico’s met zich mee. Mede vanuit onze maatschappelijke rol en de financiering van onze kernactiviteiten met maatschappelijk geld zijn we verplicht om deze risico’s adequaat te beheersen en conservatief te zijn als het aankomt op risicobereidheid.
Eind 2020 hebben we een start gemaakt met een traject om de risicobeheersing naar een hoger volwassenheidsniveau te tillen. Speerpunten hierbij zijn: integraliteit, uniformiteit en aansluiting van risicobeheersing op bestaande procedures. In de vormgeving hiervan zoeken we aansluiting met het COSO-ERM framework. Hiervoor hebben we twee trajecten opgestart.
Het eerste traject heeft geleid tot een strategische heatmap van risico’s. Deze risico’s zijn de belangrijkste risico’s die het behalen van onze doelstellingen in de weg kunnen staan. In 2021 hebben we de beheersing van deze risico’s, op volgorde van prioritering, tegen het licht gehouden en waar nodig hebben we een start gemaakt met verbetering van die beheersing. Dit heeft eind 2021 geresulteerd in een geactualiseerde heatmap, die we in de volgende paragraaf nader toelichten.
Het tweede traject betreft het opzetten van een raamwerk, waarin we alle activiteiten met betrekking tot risicomanagement op strategisch, tactisch en operationeel niveau samenbrengen. Onderdeel hiervan was onder andere een strategische risicoanalyse, waarbij we uiteindelijk de dertien belangrijkste risico’s binnen onze organisatie hebben geïdentificeerd. Het UMC Utrecht kent een hoge mate van decentralisatie. Conform de uitgangspunten van het COSO-ERM framework ligt de verantwoordelijkheid voor risicomanagement bij onze divisies, directies en afdelingen. Bij de analyse en beheersing van de risico’s worden zij bijgestaan door disciplines op het gebied van onder andere patiëntveiligheid, arbeidsomstandigheden, integrale veiligheid, informatieveiligheid, infectiepreventie en financiële continuïteit. Het decentrale karakter zal voor een groot deel blijven bestaan, maar vullen we wel aan met een centrale Risk & Compliance Officer die het proces monitort en eventueel bijstuurt. Integraal risicomanagement stelt ons in staat om mogelijke risico’s binnen de organisatie beter te identificeren, samen te brengen en zo beter te beheersen. Hiermee creëren we meer zekerheid dat we onze strategische doelstellingen behalen.
Ook op het gebied van fiscale risicobeheersing zijn wij in beweging. Onze intrinsieke motivatie om blijvend te voldoen aan fiscale wet- en regelgeving alleen is niet voldoende om ook vanaf 2023 te vallen onder het convenant horizontaal toezicht met de Belastingdienst. Recent zijn wij gestart met het formaliseren van ons tax control framework op basis van COSO-ERM. De ingezette acties moeten leiden tot een solide en actueel framework eind 2022.
Risico-overzicht
COVID-19 net als vorig jaar een belangrijk aandachtspunt
De impact van COVID-19 is op onze hele organisatie groot geweest. Afschaling van zorg, oplopende wachtlijsten, hogere meerkosten vanwege COVID-19, moeilijkere toegang tot zorg voor onze patiënten, hoge werkdruk voor medewerkers en een hoog ziekteverzuim, en overheidsmaatregelen zoals de lockdowns en social distancing, hebben de patiëntenzorg sterk beïnvloed. Ook onderwijs en onderzoek hebben in 2021 negatieve consequenties ervaren. Deze ontwikkelingen hebben vooral een zware wissel getrokken op ons personeel en onze bedrijfsvoering.
Ook in 2022 zal COVID-19 impact hebben op medewerkers en bedrijfsvoering en zullen onze patiënten de effecten hiervan ervaren. 2022 wordt het jaar dat wereldwijd in het teken staat om COVID-19 te degraderen tot een regulier virus. Als dat lukt dan zal uitgestelde zorg de hoogste prioriteit hebben. Of dat kan worden gerealiseerd is sterk afhankelijk van de wijze waarop schaars personeel en schaarse capaciteit kan worden ingezet. Ook de financiering daarvan is relevant. De aanvullende zorgvraag door uitgestelde zorg staat haaks op de begrenzing van de zorgfinanciering uit het Hoofdlijnenakkoord medisch-specialistische zorg. Aanvullende afspraken en goede financiering daarvan zijn in dat kader cruciaal.
Overige risico’s
Onderstaande heatmap geeft een overzicht van de belangrijkste strategische risico’s eind 2021, exclusief COVID-19. De plaats in deze heatmap is enerzijds afhankelijk van de geschatte kans dat een risico’s zich voordoet, en anderzijds van de potentiële impact die dat risico heeft op het behalen van de organisatiedoelstellingen. De omvang van de stip geeft aan in welke mate wij vinden dat er adequate beheersmaatregelen zijn.
Onderstaand overzicht geeft weer welke risico’s in bovenstaande heatmap zijn opgenomen.
Nummer | Omschrijving | Behandeling |
1 | Het risico dat het UMC Utrecht niet voldoende (gekwalificeerd) personeel beschikbaar heeft. | Actie ondernemen |
2 | Het risico dat gewenste divisie-overstijgende (multidisciplinaire) veranderingen niet succesvol zijn. | |
3 | Het risico dat (verdere) concentratie van zorg in Nederland zorgt voor verlies van specifieke zorg die voor het UMC Utrecht van essentieel belang is. | |
4 | Het risico dat het UMC Utrecht niet aantoonbaar of tijdig voldoet aan wet- & regelgeving en interne richtlijnen. | |
5 | Het risico dat de voorgenomen doelmatigheidsdoelstellingen voor bepaalde divisies niet worden gerealiseerd. | |
6 | Het risico dat de grote lopende en geplande programma’s niet het beoogde rendement opleveren. | |
7 | Het risico op impactvolle cyberincidenten met dataverlies of uitval van IT systemen tot gevolg. | |
8 | Het risico dat incidenten in de patiëntenzorg of een datalek zorgen voor imagoschade voor het UMC Utrecht. | Monitoren en evalueren |
9 | Het risico dat het UMC Utrecht zijn positie als vooraanstaand onderzoeksinstituut verliest. | |
10 | Het risico dat de beoogde voordelen uit de strategische samenwerkingen niet kunnen worden gerealiseerd. | |
11 | Het risico dat het UMC Utrecht niet voldoet aan externe en interne doelstellingen op het gebied van duurzaamheid. | |
12 | Het risico dat de kwaliteit van onderwijs vermindert en het UMC Utrecht minder aantrekkelijk wordt voor toptalent. |
Op basis van de ranking en onze eigen risicobereidheid hebben we bepaald dat we focussen op de eerste zeven risico’s. Voor risico’s identificeren we actiehouders die:
-
Identificeren welke beheersmaatregelen in welke mate de genoemde risico’s reduceren.
-
Identificeren welke aanvullende maatregelen nodig zijn om de risico’s tot het gewenste niveau te reduceren en die de bestaande maatregelen evalueren op effectiviteit.
De overige risico’s zullen we op continue basis evalueren om te beoordelen of we de focus eventueel dienen te verschuiven.
Dat wij komende periode actie ondernemen ten aanzien van de eerste zeven risico’s wil niet zeggen dat deze risico’s op dit moment niet of onvoldoende worden beheerst. Hieronder lichten wij ons risicobeheersings- en controlesysteem toe.
Risicobeheersings- en controlesysteem
Om op verantwoorde wijze onze kerntaken uit te voeren, besluiten te nemen en risico’s te mitigeren bestond het interne risicobeheersings- en controlesysteem ook in 2021 onder andere uit de volgende elementen:
De prestatiedialoog | Wekelijks voeren wij met elkaar de prestatiedialoog. Daarin bespreken wij op alle niveaus in de organisatie via (strategische) KPI’s de stand van zaken op de aandachtsvelden patiëntervaring, medewerkerstevredenheid, productiviteit, kwaliteit en veiligheid en impact. Visuele dashboards geven inzicht in de stand van zaken per aandachtsveld en per KPI op centraal én afdelingsniveau en faciliteren daarmee monitoring en sturing. |
De planning & control-cyclus/Management contracten | Onze planning & control-cyclus start met een jaarlijkse actualisatie van de belangrijkste interne en externe kansen en bedreigingen, mede voortvloeiend uit onze strategie. Hierop gebaseerde managementcontracten (waarin een risicoanalyse is opgenomen en via de OGSM methodiek acties concreet zijn gemaakt) en begroting vormen de basis voor het maandelijks monitoren van de financiële en niet-financiële prestaties, waaronder risicobeheersing, en zijn de opmaat voor het nemen van bijsturende maatregelen. De divisies en directies hebben in hun maandrapportages KPI’s opgenomen op gebieden als kwaliteit en veiligheid, medewerkers en financiën. |
Beleid en richtlijnen | In het UMC Utrecht bestaan formeel beleid en richtlijnen voor uiteenlopende aandachtsgebieden, zoals wetenschappelijk onderzoek, kwaliteit en veiligheid van zorg, en de beveiliging van data en geautomatiseerde systemen en financiën. Daar waar mogelijk hebben we beleid ingebed in onze systemen met als doel via IT-toepassingen optimale naleving te waarborgen. |
Gerichte beheersingsinstrumenten | Beheersing rond kwaliteit en patiëntveiligheid doen we via SAFER (Scenario Analyse van Faalwijzen, Effecten en Risico’s). SAFER is een methode voor proactieve (of predicatieve) risicoanalyse. Richtlijnen en protocollen ten aanzien van kwaliteit en patiëntveiligheid hebben we overzichtelijk samengebracht op één plek en zijn voor iedere medewerker toegankelijk. Melding van incidenten is uiterst relevant en dit ondersteunen we op meerdere manieren. |
Voor risicoanalyse bij de zorgregistratie voeren we vanuit Horizontaal Toezicht jaarlijks de dialoog met de zorgverzekeraars om gezamenlijk tot een overzicht van risicovolle zorgprocessen te komen. Voor deze risico’s richten wij beheersmaatregelen in en verantwoorden wij ons, na een toets door de externe accountant, richting de zorgverzekeraars. | |
‘Drie lijnen van verantwoordelijkheid’ | Binnen het UMC Utrecht hanteren wij het ‘drie lijnen van verantwoordelijkheid’-systeem van risicobeheersing. Onze afdeling Internal Audit is al enige jaren operationeel. Deze afdeling werkt vanuit een jaarlijks geactualiseerde concern-brede risicoanalyse en een audit-jaarplan. Op basis van deze risicoanalyse en het jaarplan voert de afdeling audits uit en rapporteert daarover aan de raad van bestuur en de raad van toezicht. Momenteel wordt compliance en riskmanagement nader vormgegeven als tweedelijns functie. |
Aandacht voor soft controls | Risicobeheersing zit ook in het bevorderen en borgen van gewenst en integer gedrag bij medewerkers en het management, zogenaamde soft controls. Soft controls krijgen binnen het UMC Utrecht structureel aandacht, onder andere op de volgende gebieden. |
- Het werven van de meest geschikte medewerkers met de juiste vooropleiding en ervaring, het verzorgen van scholing en ontwikkeling tijdens de loopbaan en het stimuleren van een veilige werkomgeving, streven we naar het beperken van risico’s en, in het geval die zich voordoen, het leren van onze fouten. Op dit moment besteden we onder andere expliciet aandacht aan leiderschap. Alle leidinggevenden in het UMC Utrecht hebben via ons programma Connecting Leaders een intensief leiderschaps- en cultuurtraject doorlopen. Na doorlopen van dit traject bestaat de verplichting tot periodieke bij- en nascholing op de aandachtsvelden cultuur en gedrag. | |
- Soft controls vormen een impliciet onderdeel van audits en adviezen van de derde lijn (internal audit). Zo zijn afgelopen jaar in de advisering en audit van strategische programma’s, waaronder het SOH, HiX en Works4U, soft controls meegenomen in de beoordeling. | |
- Onderhouden van een gezond en stimulerend sociaal klimaat, bijvoorbeeld via een in 2021 uitgevoerd onderzoek naar sociale veiligheid bij Aios en Anios. |