Risicobeheersing

Als UMC Utrecht hebben we een maatschappelijke rol. En onze kernactiviteiten worden gefinancierd met maatschappelijk geld. Mede daarom zijn we verplicht om risico’s goed te beheersen en behoudend te zijn als het aankomt op risicobereidheid.

Organisatie en governance

Al onze risicomanagementactiviteiten op strategisch, tactisch en operationeel niveau brachten we samen in een integraal raamwerk, gebaseerd op het COSO-ERM-raamwerk.

In lijn met de uitgangspunten van ons framework (integraliteit, uniformiteit en aansluiting van risicobeheersing op bestaande procedures) en de drie lijnen van verantwoordelijkheid, ligt de verantwoordelijkheid voor risicomanagement primair bij onze divisies, directies en afdelingen. Bij de analyse en beheersing van de risico’s staan collega’s van relevante disciplines hen bij. Bijvoorbeeld collega’s van patiëntveiligheid, arbeidsomstandigheden, integrale veiligheid, informatieveiligheid, infectiepreventie en financiële continuïteit.

De Risk & Compliance Manager formuleert beleid, geeft aanwijzingen, monitort het proces en stuurt eventueel bij. Dit stelt ons in staat om mogelijke risico’s binnen de organisatie beter te identificeren, samen te brengen en zo beter te beheersen. Hiermee creëren we meer zekerheid dat we onze strategische doelstellingen behalen.

Voor de implementatie van dit raamwerk voerde de Raad van Bestuur een strategische risicoanalyse (horizon 3 tot 5 jaar) uit. Hiernaast voegden we vanaf 2023 een risicoparagraaf toe aan de managementcontracten die worden afgesloten tussen de Raad van Bestuur en de managementteams van de divisies en directies (horizon 1 jaar). In deze paragraaf staan geïdentificeerde risico’s die samenhangen met de door de divisies en directies te behalen jaardoelen.

Risico-overzicht

Strategische risico's

Onderstaande heatmap en toelichting geven een overzicht van de belangrijkste strategische risico’s. De plaats in deze heatmap is afhankelijk van (1) de geschatte kans dat een risico’s zich voordoet en (2) de potentiële impact die dat risico heeft op het behalen van de organisatiedoelstellingen. Dit zijn de geïdentificeerde risico’s. Eventuele effecten van beheersmaatregelen die we nemen zijn hierin niet direct zichtbaar.

(Verwachte) impact van risico’s op de resultaten of financiële posities

De genoemde risico’s hadden geen materiële invloed op onze resultaten over 2025 en onze financiële positie aan het einde van het jaar. De impact van deze risico’s in de nabije toekomst is onduidelijk. Ook de gevolgen door centralisatie van zorg en de afspraken in het Integraal Zorgakkoord (IZA) zijn nog onduidelijk. Wel kunnen we stellen dat deze pas op middellange termijn (drie tot vijf jaar) zichtbaar worden.

Gebruik van financiële instrumenten

Het UMC Utrecht maakt geen gebruik van samengestelde of complexe financiële instrumenten. Zogenoemde ‘open posities’ zijn, wegens het risicovolle karakter, niet toegestaan volgens het treasury statuut. Als we een financieel instrument zouden gebruiken, doen we dat uitsluitend om een bestaande positie af te dekken. Aan het einde van 2025 waren er geen (materiele) posities.

Risicobeheersings- en controlesysteem

Net als in de voorgaande jaren identificeerden we actiehouders voor risicobeheersing die:

Identificeren welke beheersmaatregelen in welke mate de genoemde risico’s reduceren.
Identificeren welke aanvullende maatregelen nodig zijn om de risico’s tot het gewenste niveau te reduceren en die de bestaande maatregelen evalueren op effectiviteit.

De overige risico’s bleven we monitoren op:

De voortgang van implementatie van maatregelen.
De mate van mitigatie van het risico in lijn met de gewenste risicobereidheid.
De inschatting van de risico’s aangepast moet worden.
Evaluatie of door nieuwe omstandigheden nieuw ontstane risico’s moeten worden toegevoegd.

Aanvullend binnen de risicobeheersing is extra aandacht gegeven aan twee zaken: Cyberveiligheid is nadrukkelijk onder de aandacht binnen het UMC Utrecht; naast de NEN 7510 compliance hebben wij als UMC Utrecht een NIS2 taskforce die erop gericht is om tijdig NIS 2 compliant te zijn in 2026. Tevens heeft Internal Audit een frauderisico analyse uitgevoerd, de uitkomsten zijn besproken met de portefeuillehouder en eveneens zijn de uitkomsten meegewogen in de auditrisico analyse.

Daarnaast waren onder andere de volgende elementen onderdeel van het interne risicobeheersings- en controlesysteem:

De prestatiedialoog

Onze planning & control-cyclus start met een jaarlijkse actualisatie van de belangrijkste interne en externe kansen en bedreigingen die mede voortvloeien uit onze strategie. De managementcontracten (met hierin een risicoanalyse die via de OGSM-methodiek acties concreet maken) die we hierop baseren en de begroting zijn de basis voor het maandelijks monitoren van de financiële en niet-financiële prestaties. Hieronder valt risicobeheersing. Op basis hiervan nemen we bijsturende maatregelen. De divisies en directies nemen in hun maandrapportages KPI’s op op gebieden als kwaliteit en veiligheid, medewerkers en financiën.

De planning & control- cyclus/Management contracten

Beleid en richtlijnen

In het UMC Utrecht bestaan formeel beleid en richtlijnen voor uiteenlopende aandachtsgebieden. Bijvoorbeeld voor wetenschappelijk onderzoek, kwaliteit en veiligheid van zorg, en de beveiliging van data en geautomatiseerde systemen en financiën. Daar waar mogelijk bedden we beleid in onze systemen in. Het doel is om met IT-toepassingen optimale naleving te waarborgen.

Gerichte beheersinstrumenten

Beheersing van risico’s rond kwaliteit en patiëntveiligheid doen we via SAFER (Scenario Analyse van Faalwijzen, Effecten en Risico’s). SAFER is een methode voor proactieve (of predicatieve) risicoanalyse. Richtlijnen en protocollen voor kwaliteit en patiëntveiligheid staan overzichtelijk op één plek en zijn voor iedere medewerker toegankelijk. Melding van incidenten is uiterst relevant. Dit ondersteunen we op meerdere manieren.

Voor risicoanalyse op het gebied van zorgregistratie voeren we middels de systematiek van Horizontaal Toezicht Zorg de dialoog met onze representerend zorgverzekeraar (VGZ). Gezamenlijk komen we tot een overzicht van risicovolle onderwerpen. Voor deze risico’s richten wij beheersmaatregelen in en verantwoorden wij ons richting zorgverzekeraar over de werking van deze beheersmaatregelen. Op een aantal onderwerpen worden ook deelwaarnemingen uitgevoerd waarop inhoudelijke review door de zorgverzekeraar wordt uitgevoerd. De externe accountant heeft achteraf ook review uitgevoerd op een aantal van deze posten.

Drie lijnen van verantwoordelijkheid

Binnen het UMC Utrecht hanteren we het ‘drie lijnen van verantwoordelijkheid’-systeem van risicobeheersing. Onze afdeling Internal Audit werkt vanuit een jaarlijks geactualiseerde concernbrede risicoanalyse en een audit jaarplan. Op basis van deze risicoanalyse en het jaarplan voert de afdeling audits uit en rapporteert daarover aan de Raad van Bestuur en de Raad van Toezicht. De tweedelijns risicomanagement functie is verder geformaliseerd.

Informele controls

Risicobeheersing zit ook in het bevorderen en borgen van gewenst en integer gedrag bij medewerkers en het management. Hiervoor zijn de zogenoemde informele controls. Informele controls krijgen binnen het UMC Utrecht structureel aandacht. Onder andere op de gebieden: het werven van de meest geschikte medewerkers met de juiste vooropleiding en ervaring, het verzorgen van scholing en ontwikkeling tijdens de loopbaan en het stimuleren van een veilige werkomgeving. We streven naar het beperken van risico’s. En, in het geval zich risico’s voordoen, leren we van onze fouten. Informele controls vormen een impliciet onderdeel van audits en adviezen van de derde lijn (internal audit).