Risicobeheersing
Risicobereidheid
Als UMC Utrecht hebben we een maatschappelijke rol. En onze kernactiviteiten worden gefinancierd met maatschappelijk geld. Mede daarom zijn we verplicht om risico’s goed te beheersen en behoudend te zijn als het aankomt op risicobereidheid.
Organisatie & Governance
Al onze risicomanagementactiviteiten op strategisch, tactisch en operationeel niveau brachten we samen in een integraal raamwerk, gebaseerd op het COSO-ERM-raamwerk.
In lijn met de uitgangspunten van ons framework (integraliteit, uniformiteit en aansluiting van risicobeheersing op bestaande procedures) en de drie lijnen van verantwoordelijkheid [link naar H8.1 Governance – Besturing en structuur], ligt de verantwoordelijkheid voor risicomanagement primair bij onze divisies, directies en afdelingen. Bij de analyse en beheersing van de risico’s staan collega’s van relevante disciplines hen bij. Bijvoorbeeld collega’s van patiëntveiligheid, arbeidsomstandigheden, integrale veiligheid, informatieveiligheid, infectiepreventie en financiële continuïteit.
De Risk & Compliance Manager formuleert beleid, geeft aanwijzingen, monitort het proces en stuurt eventueel bij. Dit stelt ons in staat om mogelijke risico’s binnen de organisatie beter te identificeren, samen te brengen en zo beter te beheersen. Hiermee creëren we meer zekerheid dat we onze strategische doelstellingen behalen.
Voor de implementatie van dit raamwerk voerde de Raad van Bestuur een strategische risicoanalyse (horizon 3 tot 5 jaar) uit. Hiernaast voegden we vanaf 2023 een risicoparagraaf toe aan de managementcontracten die worden afgesloten tussen de Raad van Bestuur en de managementteams van de divisies en directies (horizon 1 jaar). In deze paragraaf staan geïdentificeerde risico’s die samenhangen met de door de divisies en directies te behalen jaardoelen.
Risico-overzicht
Strategische risico's
Onderstaande heatmap en toelichting geven een overzicht van de belangrijkste strategische risico’s. De plaats in deze heatmap is afhankelijk van (1) de geschatte kans dat een risico’s zich voordoet en (2) de potentiële impact die dat risico heeft op het behalen van de organisatiedoelstellingen. Dit zijn de geïdentificeerde bruto-risico’s. Eventuele effecten van beheersmaatregelen die we nemen zijn hierin niet direct zichtbaar.
Nummer | Omschrijving |
1 | Beschikbaarheid personeel: Er is onvoldoende personeel met de juiste kwaliteiten. Hierdoor komt de kwaliteit van de primaire taken a druk te staan. Daarnaast is er ook onvoldoende veranderkracht/ wendbaarheid om gewenste strategische veranderingen teweeg te brengen. |
2 | Divisie-overstijgende veranderingen: De focus van divisies ligt vooral bij de ‘eigen’ organisatie. Hierdoor verlopen strategische projecten moeizaam en presenteert het UMC Utrecht zich niet als één organisatie naar buiten. |
3 | Concentratie van de zorg: De vereisten uit het IZA en de visie die geformuleerd is door het UMC Utrecht vragen een intensieve samenwerking met (regionale) partners. Het risico bestaat dat de inrichting/werkzaamheden binnen het UMC Utrecht onvoldoende aansluiten bij de samenwerkingen die worden aangegaan. Hierdoor komt ook onze positie als innovatief medisch wetenschappelijk centrum onder druk te staan. |
4 | Digitalisering: Een groot deel van de veranderagenda is gebaseerd op het verder digitaliseren van de zorg (digitaal, tenzij). Door de afhankelijkheid van IT bestaat het risico dat we niet de benodigde stappen kunnen zetten die de Zorg van Morgen van ons vraagt. En dat deze strategie niet gaat leiden tot de beoogde verbetering van de doelmatigheid. |
5 | Doelmatigheidsdoelstellingen: Operationele en ondersteunende processen moeten voldoende gedekt worden uit de bestaande financieringsstromen en het kostenniveau moet snel naar beneden worden gebracht. Hierdoor bestaat het risico dat er te weinig ruimte overblijft voor essentiële innovatie (onder andere door onderzoek en in het onderwijs) en zullen financiële kaders van grote projecten overschreden worden. Dat heeft impact op de duurzaamheidsopgave, de vernieuwbouwopgave en de transformatieopgave (bijvoorbeeld door uitblijven van investeringen in personeel). |
6 | Supplychain: De supplychain van het UMC Utrecht is kwetsbaar. Niet alleen kunnen sommige leveranciers niet (betaalbaar) leveren door tekorten of er zijn geen duurzame alternatieven in lijn met de duurzaamheidsdoelstellingen. Dit kan leiden tot vertraging in voor het UMC Utrecht essentiële (primaire) processen en projecten. Daarnaast bestaat ook een grote afhankelijkheid van enkele grote leveranciers. |
7 | Cyberincidenten: Het risico op aanvallen van buiten het UMC Utrecht (DDos, ransomware,) wordt steeds groter. De beveiliging van data, maar ook het waarborgen van de continuïteit (beschikbaarheid van data en systemen) wordt alleen maar belangrijker naarmate het belang van automatisering toeneemt. Daarnaast bestaat het risico dat niet voldaan wordt aan wet- & regelgeving (bijvoorbeeld NIS2). |
8 | Climate change & Sustainability: De gevolgen van het niet voldoen aan de doelstellingen uit de Klimaatwet en Green Deal Duurzame Zorg kunnen potentieel verstrekkend zijn. Op den duur kan het niet voldoen hieraan impact hebben op het aantrekken van financiering (bijvoorbeeld voor vernieuwbouwen), het aan de organisatie binden van mensen die nodig zijn om de strategie te realiseren en het vinden van netwerkpartners. Op termijn kan door klimaatschade een additionele zorgvraag ontstaan. |
(Verwachte) impact van risico’s op de resultaten of financiële posities
De genoemde risico’s hadden geen materiële invloed op onze resultaten over 2024 en onze financiële positie aan het einde van het jaar. De impact van deze risico’s in de nabije toekomst is onduidelijk. Ook de gevolgen door centralisatie van zorg en de afspraken in het Integraal Zorgakkoord (IZA) zijn nog onduidelijk. Wel kunnen we stellen dat deze pas op middellange termijn (drie tot vijf jaar) zichtbaar worden.
Gebruik van financiële instrumenten
Het UMC Utrecht maakt geen gebruik van samengestelde of complexe financiële instrumenten. Zogenoemde ‘open posities’ zijn, wegens het risicovolle karakter, niet toegestaan volgens het treasury statuut. Als we een financieel instrument zouden gebruiken, doen we dat uitsluitend om een bestaande positie af te dekken. Aan het einde van 2024 waren er geen (materiele) posities.
Zoals aangegeven toont de heatmap onze bruto inschatting. Uiteraard hebben we vele beheersingsinstrumenten om deze risico’s te managen. Hieronder lichten wij de belangrijkste maatregelen toe.
-
Beschikbaarheid personeel (risico 1): Zie het hoofdstuk ‘Onze collega's ’ voor programma’s/maatregelen gericht op aantrekken en behouden van collega’s.
-
Strategische projecten (risico 2, 3 en 4): Om de onzekerheden die voortvloeien uit het Integraal Zorgakkoord (IZA) en de daarmee samenhangende concentratie van de zorg het hoofd te bieden, implementeerden we diverse strategische programma’s, waaronder de Zorg van Morgen. Hierin besteden we zowel aandacht aan de vraag welke zorg we gaan leveren als de vraag hoe we die moeten leveren. Vanuit de gehele organisatie werken collega’s om de doelstellingen te behalen.
-
Doelmatigheidsdoelstellingen (risico 5): Onder het motto ‘Creëren financiële ruimte’ zoeken we ruimte voor de benodigde innovatie en primaire taken. Dit heeft ook ruim de aandacht in onze planning & controlcyclus (zie ook risicobeheersings- en controlesystemen). Meer hierover in ‘Onze richting en aanpak ’ in het hoofdstuk het UMC Utrecht in de maatschappij.
-
Supply chain (risico 6): Om dit risico het hoofd te bieden, passen we proactief assortimentsmanagement toe. Hierbij hebben we aandacht voor de meest kritieke producten. De beschikbaarheid en prijsstelling van producten evalueren we continu en waar nodig onderzoeken we alternatieve producten die binnen de (duurzaamheids)doelstellingen van onze organisatie passen.
-
Cyberrisico’s (risico 7): In 2024 voerden we de jaarlijkse audits uit voor de jaarrekening (IT General Controls), Security certificeringen (ISO27001 en NEN7510) en het gebruik van DigiD. Deze zijn met goed gevolg afgesloten.
-
Climate change (risico 8): Zie in dit jaarverslag bij de onderdelen ‘Milieu’ voor ingestelde programma’s en genomen beheersmaatregelen omtrent dit risico.
Risicobeheersings- en controlesysteem
Net als in de voorgaande jaren identificeerden we actiehouders voor risicobeheersing die:
-
Identificeren welke beheersmaatregelen in welke mate de genoemde risico’s reduceren.
-
Identificeren welke aanvullende maatregelen nodig zijn om de risico’s tot het gewenste niveau te reduceren en die de bestaande maatregelen evalueren op effectiviteit.
De overige risico’s bleven we monitoren op:
-
De voortgang van implementatie van maatregelen.
-
De mate van mitigatie van het risico in lijn met de gewenste risicobereidheid.
-
De inschatting van de risico’s aangepast moet worden.
-
Evaluatie of door nieuwe omstandigheden nieuw ontstane risico’s moeten worden toegevoegd.
Daarnaast waren onder andere de volgende elementen onderdeel van het interne risicobeheersings- en controlesysteem:
De prestatiedialoog | Wekelijks voeren we de prestatiedialoog met elkaar. Hierin bespreken we op alle niveaus in de organisatie via (strategische) KPI’s de stand van zaken op de aandachtsvelden patiëntervaring, medewerkerstevredenheid, productiviteit, kwaliteit en veiligheid en impact. Visuele dashboards geven inzicht in de stand van zaken per aandachtsveld en per KPI op centraal én afdelingsniveau en faciliteren daarmee monitoring en sturing. |
De planning & control- cyclus/Management contracten | Onze planning & control-cyclus start met een jaarlijkse actualisatie van de belangrijkste interne en externe kansen en bedreigingen die mede voortvloeien uit onze strategie. De managementcontracten (met hierin een risicoanalyse die via de OGSM-methodiek acties concreet maken) die we hierop baseren en de begroting zijn de basis voor het maandelijks monitoren van de financiële en niet-financiële prestaties. Hieronder valt risicobeheersing. Op basis hiervan nemen we bijsturende maatregelen. De divisies en directies nemen in hun maandrapportages KPI’s op op gebieden als kwaliteit en veiligheid, medewerkers en financiën. |
Beleid & Richtlijnen | In het UMC Utrecht bestaan formeel beleid en richtlijnen voor uiteenlopende aandachtsgebieden. Bijvoorbeeld voor wetenschappelijk onderzoek, kwaliteit en veiligheid van zorg, en de beveiliging van data en geautomatiseerde systemen en financiën. Daar waar mogelijk bedden we beleid in onze systemen in. Het doel is om met IT-toepassingen optimale naleving te waarborgen. |
Gerichte beheersinstrumenten | Beheersing van risico’s rond kwaliteit en patiëntveiligheid doen we via SAFER (Scenario Analyse van Faalwijzen, Effecten en Risico’s). SAFER is een methode voor proactieve (of predicatieve) risicoanalyse. Richtlijnen en protocollen voor kwaliteit en patiëntveiligheid staan overzichtelijk op één plek en zijn voor iedere medewerker toegankelijk. Melding van incidenten is uiterst relevant. Dit ondersteunen we op meerdere manieren. |
Voor risicoanalyse bij de zorgregistratie voeren we vanuit Horizontaal Toezicht Zorg jaarlijks de dialoog met de zorgverzekeraars. Gezamenlijk komen we tot een overzicht van risicovolle zorgprocessen. Voor deze risico’s richten wij beheersmaatregelen in en verantwoorden wij ons, na een toets door de externe accountant, richting de zorgverzekeraars. | |
Drie lijnen van verantwoordelijkheid | Binnen het UMC Utrecht hanteren we het ‘drie lijnen van verantwoordelijkheid’-systeem van risicobeheersing. Onze afdeling Internal Audit werkt vanuit een jaarlijks geactualiseerde concernbrede risicoanalyse en een audit jaarplan. Op basis van deze risicoanalyse en het jaarplan voert de afdeling audits uit en rapporteert daarover aan de Raad van Bestuur en de Raad van Toezicht. De tweedelijns risicomanagement functie is verder geformaliseerd. |
Informele controls | Risicobeheersing zit ook in het bevorderen en borgen van gewenst en integer gedrag bij medewerkers en het management. Hiervoor zijn de zogenoemde informele controls. Informele controls krijgen binnen het UMC Utrecht structureel aandacht. Onder andere op de gebieden: het werven van de meest geschikte medewerkers met de juiste vooropleiding en ervaring, het verzorgen van scholing en ontwikkeling tijdens de loopbaan en het stimuleren van een veilige werkomgeving. We streven naar het beperken van risico’s. En, in het geval zich risico’s voordoen, leren we van onze fouten. Informele controls vormen een impliciet onderdeel van audits en adviezen van de derde lijn (internal audit). |
