Risicobeheersing
Risicobereidheid
Mede vanuit onze maatschappelijke rol en de financiering van onze kernactiviteiten met maatschappelijk geld, zijn we verplicht om deze risico’s adequaat te beheersen en conservatief te zijn als het aankomt op risicobereidheid. Deze conservatieve houding pasten we in 2023 generiek toe. Ook startten we de discussie op of het opportuun is om een gedifferentieerde risicobereidheid voor verschillende risicogebieden te formuleren. Deze ronden we in 2024 af.
Organisatie & Governance
Al onze activiteiten met betrekking tot risicomanagement op strategisch, tactisch en operationeel niveau hebben we samengebracht in een integraal raamwerk, gebaseerd op het COSO-ERM-raamwerk.
Conform de uitgangspunten van ons framework (integraliteit, uniformiteit en aansluiting van risicobeheersing op bestaande procedures) en de drie lijnen van verantwoordelijkheid, ligt de verantwoordelijkheid voor risicomanagement primair bij onze divisies, directies en afdelingen. Bij de analyse en beheersing van de risico’s worden zij bijgestaan door collega’s van relevante disciplines, zoals patiëntveiligheid, arbeidsomstandigheden, integrale veiligheid, informatieveiligheid, infectiepreventie en financiële continuïteit.
De Risk & Compliance Manager formuleert beleid, geeft aanwijzingen, monitort het proces en stuurt eventueel bij. Dit stelt ons in staat om mogelijke risico’s binnen de organisatie beter te identificeren, samen te brengen en zo beter te beheersen. Hiermee creëren we meer zekerheid dat we onze strategische doelstellingen behalen.
Voor de implementatie van dit raamwerk werken we in eerste instantie van boven naar beneden. Dat betekent dat we, naast de strategische risicoanalyse (horizon 3 tot 5 jaar) die is uitgevoerd door de raad van bestuur, in 2023 een risicoparagraaf hebben toegevoegd aan de managementcontracten die worden afgesloten tussen de raad van bestuur en de managementteams van de divisies en directies (horizon 1 jaar). In deze paragraaf staan geïdentificeerde risico’s die samenhangen met de door de divisies en directies te behalen jaardoelen.
In 2023 hebben we gewerkt aan een integraal risicomanagementbeleid dat onze uitgangspunten onderschrijft, waarbij we niet voorschrijven maar vooral de belangrijkste uitgangspunten/minimale vereisten beschrijven. Eventuele specifieke aandachtsgebieden, bijvoorbeeld hoe om te gaan met compliance, worden ondersteund door aanvullende standaarden. Het is de bedoeling dat dit beleid de organisatie op operationeel niveau in staat stelt om te beoordelen of hun risicoanalyses/risicomanagement aan de geldende eisen voldoen.
Met de ondertekening van een nieuw convenant Horizontaal Toezicht met de Belastingdienst, hebben we in 2023 ook het formaliseren van ons tax control framework op basis van hetzelfde COSO-ERM framework afgerond. Dit is voor een belangrijk deel gestoeld op risicomanagement.
Risico-overzicht
Strategische risico's
Onderstaande heatmap en toelichting geven een overzicht van de belangrijkste strategische risico’s eind 2023. De plaats in deze heatmap is enerzijds afhankelijk van de geschatte kans dat een risico’s zich voordoet, en anderzijds van de potentiële impact die dat risico heeft op het behalen van de organisatiedoelstellingen. Dit zijn de bruto-risico’s die geïdentificeerd zijn. Eventuele effecten van beheersmaatregelen die worden genomen zijn hierin niet direct zichtbaar.
Nummer | Omschrijving |
1 | Beschikbaarheid personeel: Er is onvoldoende personeel met de juiste kwaliteiten. Hierdoor komt niet alleen de kwaliteit van de primaire taken onder druk te staan, maar is er daarnaast ook onvoldoende veranderkracht/wendbaarheid om gewenste strategische veranderingen teweeg te brengen. |
2 | Divisie-overstijgende veranderingen: De focus van divisies ligt vooral bij de ‘eigen’ organisatie. Hierdoor verlopen strategische projecten moeizaam en presenteert het UMC Utrecht zich niet als één organisatie naar buiten. |
3 | Concentratie van de zorg: De vereisten uit het IZA en de visie die geformuleerd is door het UMC Utrecht vragen een intensieve samenwerking met (regionale) partners. Het risico bestaat dat de inrichting/werkzaamheden binnen het UMC Utrecht onvoldoende aansluiten bij de samenwerkingen die worden aangegaan. Hierdoor komt ook onze positie als innovatief medisch wetenschappelijk centrum onder druk te staan. |
4 | Digitalisering: Een groot deel van de veranderagenda is gebaseerd op het verder digitaliseren van de zorg (digitaal, tenzij). Het risico bestaat dat, door het ontbreken van een automatiseringsstrategie die deze transformatie ondersteunt, niet de benodigde stappen gezet kunnen worden die de Zorg van Morgen van ons vraagt. En dat deze strategie niet gaat leiden tot de beoogde verbetering van de doelmatigheid. |
5 | Doelmatigheidsdoelstellingen: Doordat operationele en ondersteunende processen onvoldoende gedekt worden uit de bestaande financieringsstromen en het kostenniveau onvoldoende snel naar beneden gebracht kan worden, bestaat het risico dat er te weinig ruimte overblijft voor essentiële innovatie (onder andere door onderzoek en in het onderwijs) en zullen financiële kaders van grote projecten overschreden worden. Dat heeft impact op de duurzaamheidsopgave, de vernieuwbouwopgave en de transformatieopgave (bijvoorbeeld door uitblijven van investeringen in personeel). |
6 | Supplychain: De supplychain van het UMC Utrecht is kwetsbaar. Niet alleen kunnen sommige leveranciers niet (betaalbaar) leveren door tekorten of er zijn geen duurzame alternatieven in lijn met de duurzaamheidsdoelstellingen. Dit kan leiden tot vertraging in voor het UMC Utrecht essentiële (primaire) processen en projecten. Daarnaast bestaat ook een grote afhankelijkheid van enkele grote leveranciers. |
7 | Cyberincidenten: Het risico op aanvallen van buiten het UMC Utrecht (DDos, ransomware,) wordt steeds groter. De beveiliging van data, maar ook het waarborgen van de continuïteit (beschikbaarheid van data en systemen) wordt alleen maar belangrijker naarmate het belang van automatisering toeneemt. Daarnaast bestaat het risico dat niet wordt voldaan aan wet- & regelgeving (bijvoorbeeld NIS2). |
8 | Climate change & Sustainability: De gevolgen van het niet voldoen aan de doelstellingen uit de Klimaatwet en Green Deal Duurzame Zorg kunnen potentieel verstrekkend zijn. Op den duur kan het niet voldoen hieraan impact hebben op het aantrekken van financiering (bijvoorbeeld voor vernieuwbouwing), het aan de organisatie binden van mensen die nodig zijn om de strategie te realiseren en het vinden van netwerkpartners. Op termijn kan door klimaatschade een additionele zorgvraag ontstaan. |
9 | Huisvesting: De verbouw/nieuwbouw opgave is cruciaal voor de transformatieopgave (waaronder concentratie van de zorg/netwerkzorg) van het UMC Utrecht. Het risico bestaat dat er onvoldoende voortgang wordt geboekt waardoor deze transformatieopgave niet kan worden gerealiseerd en desinvesteringen moeten plaatsvinden. Tevens bestaat het risico op forse kostenoverschrijdingen. |
(Verwachte) impact van risico’s op de resultaten of financiële posities
De genoemde risico’s hadden geen materiële invloed op de resultaten over 2023 en de financiële positie per jaareinde. De impact van deze risico’s in de nabije toekomst, is onduidelijk. Ook de gevolgen door centralisatie van zorg en de afspraken in het Integraal Zorgakkoord (IZA) zijn nog onduidelijk. Wel kunnen we stellen dat deze pas op middellange termijn (drie tot vijf jaar) zichtbaar worden.
Gebruik van financiële instrumenten
Het UMC Utrecht maakt geen gebruik van samengestelde of complexe financiële instrumenten. Zogenoemde ‘open posities’ zijn, wegens het risicovolle karakter, niet toegestaan volgens het treasury statuut. Als we gebruik zouden maken van een financieel instrument, dan doen we dat uitsluitend om een bestaande positie af te dekken. Per jaareinde 2023 zijn er geen (materiele) posities.
Zoals aangegeven toont de heatmap onze bruto inschatting. Uiteraard hanteren we vele beheersingsinstrumenten om deze risico’s te managen. Hieronder lichten wij de belangrijkste maatregelen toe.
Beschikbaarheid personeel (risico 1)
Zie het hoofdstuk ‘Onze Collega’s’ voor alle programma’s/maatregelen gericht op aantrekken en behouden van collega’s.
Strategische projecten (risico 2, 3 en 4)
Om de onzekerheden die voortvloeien uit het Integraal Zorgakkoord (IZA) en de daarmee samenhangende concentratie van de zorg het hoofd te bieden, hebben we diverse strategische programma’s uitgerold waaronder de Zorg van Morgen . Hierin besteden we zowel aandacht aan de vraag welke zorg we gaan leveren als de vraag hoe we die moeten leveren. Vanuit de gehele organisatie werken collega’s om de doelstellingen te behalen.
Doelmatigheidsdoelstellingen (risico 5)
We hebben het programma ‘Creëren financiele ruimte’ [VERWIJZEN NAAR, Hoofdstuk UMC Utrecht in de maatschappij, Onze opgaven] ingesteld om de ruimte te vinden voor benodigde innovatie en primaire taken. Dit heeft ook ruim de aandacht in onze planning & controlcyclus (zie ook risicobeheersings- en controlesystemen). Meer hierover in ‘Onze opgaven’ in het hoofdstuk het UMC Utrecht in de maatschappij.
Supply chain (risico 6)
Om dit risico het hoofd te bieden, passen we proactief assortimentsmanagement toe, waarbij we oog hebben voor de meest kritieke producten. De beschikbaarheid en prijsstelling van producten evalueren we continu en waar nodig onderzoeken we alternatieve producten die binnen de (duurzaamheids)doelstellingen van onze organisatie passen.
Cyberrisico’s (risico 7)
In 2023 hebben we de jaarlijkse audits uitgevoerd ten behoeve van de jaarrekening (IT General Controls), Security certificeringen (ISO27001 en NEN7510) en het gebruik van DigiD. Deze zijn met goed gevolg afgesloten.
Climate change (risico 8)
Zie het hoofdstuk ‘Duurzaamheid’ [VERWIJZEN NAAR, Hoofdstuk Duurzaamheid] voor ingestelde programma’s en genomen beheersmaatregelen omtrent dit risico.
Huisvesting (risico 9)
In 2023 is de aansturing van de programmaorganisatie van de strategische ontwikkelvisie huisvesting (SOH) onderdeel geworden van het programma Zorg van Morgen [VERWIJZEN NAAR. Hoofdstuk UMC Utrecht in de maatschappij, Onze aanpak/Zorg van Morgen]. Daarnaast richten we in 2024 een nieuwe directie Vastgoed, Huisvesting en Gebiedsontwikkeling op om de problematiek de juiste aandacht te kunnen geven.
Risicobeheersings- en controlesysteem
Net als in de voorgaande jaren identificeren we actiehouders voor risicobeheersing die:
-
Identificeren welke beheersmaatregelen in welke mate de genoemde risico’s reduceren.
-
Identificeren welke aanvullende maatregelen nodig zijn om de risico’s tot het gewenste niveau te reduceren en die de bestaande maatregelen evalueren op effectiviteit.
De overige risico’s blijven we monitoren op:
-
De voortgang van implementatie van maatregelen.
-
De mate van mitigatie van het risico in lijn met de gewenste risicobereidheid.
-
De inschatting van de risico’s aangepast moet worden.
-
Evaluatie of door nieuwe omstandigheden nieuwe risico’s moeten worden toegevoegd.
Daarnaast bestaat het interne risicobeheersings- en controlesysteem onder andere uit de volgende elementen:
De prestatiedialoog | Wekelijks voeren we de prestatiedialoog met elkaar. Hierin bespreken we op alle niveaus in de organisatie via (strategische) KPI’s de stand van zaken op de aandachtsvelden patiëntervaring, medewerkerstevredenheid, productiviteit, kwaliteit en veiligheid en impact. Visuele dashboards geven inzicht in de stand van zaken per aandachtsveld en per KPI op centraal én afdelingsniveau en faciliteren daarmee monitoring en sturing. |
De planning & control- cyclus/Management contracten | Onze planning & control-cyclus start met een jaarlijkse actualisatie van de belangrijkste interne en externe kansen en bedreigingen, mede voortvloeiend uit onze strategie. Hierop gebaseerde managementcontracten (waarin een risicoanalyse is opgenomen en via de OGSM methodiek acties concreet zijn gemaakt) en begroting vormen de basis voor het maandelijks monitoren van de financiële en niet-financiële prestaties, waaronder risicobeheersing, en zijn de opmaat voor het nemen van bijsturende maatregelen. De divisies en directies hebben in hun maandrapportages KPI’s opgenomen op gebieden als kwaliteit en veiligheid, medewerkers en financiën. |
Beleid & Richtlijnen | In het UMC Utrecht bestaan formeel beleid en richtlijnen voor uiteenlopende aandachtsgebieden, zoals wetenschappelijk onderzoek, kwaliteit en veiligheid van zorg, en de beveiliging van data en geautomatiseerde systemen en financiën. Daar waar mogelijk hebben we beleid ingebed in onze systemen met als doel via IT-toepassingen optimale naleving te waarborgen. |
Gerichte beheersinstrumenten | Beheersing rond kwaliteit en patiëntveiligheid doen we via SAFER (Scenario Analyse van Faalwijzen, Effecten en Risico’s). SAFER is een methode voor proactieve (of predicatieve) risicoanalyse. Richtlijnen en protocollen voor kwaliteit en patiëntveiligheid hebben we overzichtelijk samengebracht op één plek en zijn voor iedere medewerker toegankelijk. Melding van incidenten is uiterst relevant en dit ondersteunen we op meerdere manieren. |
Voor risicoanalyse bij de zorgregistratie voeren we vanuit Horizontaal Toezicht Zorg jaarlijks de dialoog met de zorgverzekeraars om gezamenlijk tot een overzicht van risicovolle zorgprocessen te komen. Voor deze risico’s richten wij beheersmaatregelen in en verantwoorden wij ons, na een toets door de externe accountant, richting de zorgverzekeraars. | |
Drie lijnen van verantwoordelijkheid | Binnen het UMC Utrecht hanteren we het ‘drie lijnen van verantwoordelijkheid’- systeem van risicobeheersing. Onze afdeling Internal Audit werkt vanuit een jaarlijks geactualiseerde concernbrede risicoanalyse en een audit jaarplan. Op basis van deze risicoanalyse en het jaarplan voert de afdeling audits uit en rapporteert daarover aan de raad van bestuur en de raad van toezicht. De tweedelijns risicomanagement functie is verder geformaliseerd. |
Informele controls | Risicobeheersing zit ook in het bevorderen en borgen van gewenst en integer gedrag bij medewerkers en het management, zogenaamde informele controls. Informele controls krijgen binnen het UMC Utrecht structureel aandacht, onder andere op de volgende gebieden: het werven van de meest geschikte medewerkers met de juiste vooropleiding en ervaring, het verzorgen van scholing en ontwikkeling tijdens de loopbaan en het stimuleren van een veilige werkomgeving, streven we naar het beperken van risico’s en, in het geval die zich voordoen, het leren van onze fouten. Informele controls vormen een impliciet onderdeel van audits en adviezen van de derde lijn (internal audit). |