Risicobeheersing

Risicobereidheid

Mede vanuit onze maatschappelijke rol en de financiering van onze kernactiviteiten met maatschappelijk geld, zijn we verplicht om deze risico’s adequaat te beheersen en conservatief te zijn als het aankomt op risicobereidheid. Deze conservatieve houding hebben we in 2022 nog generiek toegepast. In 2023 zullen we, als onderdeel van de verdere inrichting van het raamwerk van integraal risicomanagement, beoordelen of het opportuun is om een gedifferentieerde risicobereidheid te formuleren.

Organisatie & Governance

Het traject dat we in 2020 hebben ingezet om de risicobeheersing naar een hoger volwassenheidsniveau te tillen, hebben we in 2022 verder doorgezet. De speerpunten integraliteit, uniformiteit en aansluiting van risicobeheersing op bestaande procedures zijn daarbij ongewijzigd gebleven. De in 2021 aangestelde Risk & Compliance Manager heeft in 2022 als primaire taak gehad om alle activiteiten met betrekking tot risicomanagement op strategisch, tactisch en operationeel niveau samen te brengen in een integraal raamwerk, gebaseerd op het COSO-ERM framework. Het raamwerk ziet er als volgt uit:

Conform de uitgangspunten van het COSO-ERM framework en de drie lijnen van verantwoordelijkheid ligt de verantwoordelijkheid voor risicomanagement primair bij onze divisies, directies en afdelingen. Bij de analyse en beheersing van de risico’s worden zij bijgestaan door disciplines op het gebied van onder andere patiëntveiligheid, arbeidsomstandigheden, integrale veiligheid, informatieveiligheid, infectiepreventie en financiële continuïteit. De Risk & Compliance Manager monitort het proces en stuurt eventueel bij. Dit stelt ons in staat om mogelijke risico’s binnen de organisatie beter te identificeren, samen te brengen en zo beter te beheersen. Hiermee creëren we meer zekerheid dat we onze strategische doelstellingen behalen.

Voor de implementatie van dit raamwerk werken we in eerste instantie van boven naar beneden. Dat betekent dat we, naast de strategische risicoanalyses die is uitgevoerd door de raad van bestuur, een risicoparagraaf hebben toegevoegd aan de managementcontracten die worden afgesloten tussen de raad van bestuur en de management teams van de divisies en directies. In 2023 zal onze focus vooral liggen op het implementeren van een PDCA-cyclus (Plan, Do, Check, Act) om het continue karakter van goed risicomanagement vorm te geven.

Ook hebben we het formaliseren van ons tax control framework op basis van hetzelfde COSO-ERM framework in 2022 zo goed als afgerond. We verwachten dat we in 2023 een nieuw Horizontaal Toezichtconvenant, dat voor een belangrijk deel is gestoeld op risicomanagement, zullen tekenen.

De afdeling Internal Audit heeft in 2022 een fraude-risicoanalyse uitgevoerd en de resultaten van het onderzoek zijn besproken met de raad van bestuur. Hoofdlijn is dat de belangrijkste componenten aanwezig zijn om in formele zin te komen tot een goed integriteitsklimaat. De grootste risico’s zijn belangenverstrengeling ten aanzien van inkoop van goederen en diensten en ten aanzien van de financiering van onderzoeken. Voor beide gesignaleerde risico’s zijn actieplannen opgesteld en met Internal Audit is afgesproken dat in 2023 de voortgang op de actieplannen zal worden onderzocht.

Risico-overzicht

Strategische risico's

Onderstaande heatmap en toelichting geven een overzicht van de belangrijkste strategische risico’s eind 2022/begin 2023. De plaats in deze heatmap is enerzijds afhankelijk van de potentiële impact die dat risico heeft op het behalen van de organisatiedoelstellingen, anderzijds van de inschatting of er voldoende beheersmaatregelen aanwezig zijn om het risico afdoende te mitigeren. De omvang van de cirkels geven de kans weer dat een risico zich voordoet.

Nummer	Omschrijving
1	Beschikbaarheid personeel: Er is onvoldoende personeel met de juiste kwaliteiten. Hierdoor komt de kwaliteit van de primaire (zorg)taken onder druk te staan en is er onvoldoende veranderkracht om gewenste strategische veranderingen teweeg te brengen.
2	Divisie-overstijgende veranderingen: De focus van divisies ligt vooral bij de ‘eigen’ organisatie. Hierdoor verlopen strategische projecten moeizaam en presenteert het UMC Utrecht zich niet als één organisatie naar buiten.
3	Concentratie van de Zorg: Het UMC Utrecht slaagt er niet in om een duidelijk profiel in primaire taken en daarmee samenhangende samenwerkingsverbanden te realiseren, of de gemaakte keuzes beïnvloeden dat.
4	Compliance: Het UMC Utrecht loopt het risico dat het niet voldoet aan interne en externe wet & regelgeving en richtlijnen.
5	Doelmatigheidsdoelstellingen: De operationele en ondersteunende processen worden onvoldoende gedekt. Hierdoor blijft er te weinig ruimte over voor essentiële innovatie en zullen financiële kaders van grote projecten overschreden worden.
6	Supplychain: Het UMC Utrecht krijgt te maken met leveranciers die niet (of te duur) kunnen leveren door tekorten. Hierdoor worden voor het UMC Utrecht essentiële (primaire) processen en projecten vertraagd of kunnen deze geen doorgang vinden.
7	Cyberincidenten: Het UMC Utrecht is in hoge mate geautomatiseerd. Het risico bestaat dat operationele processen stilvallen door interne en externe factoren (gijzelingssoftware, ontvreemden van gevoelige data).
8	Imagoschade: Het UMC Utrecht komt op een zodanig negatieve wijze in het nieuws dat het UMC Utrecht een onaantrekkelijke zorgverlener voor patiënten, een onaantrekkelijke werkgever en een onaantrekkelijk partner om mee samen te werken wordt.
9	Climate change & Sustainability: Het UMC Utrecht loopt het risico dat zij haar doelstellingen op het gebied van duurzaamheid niet weet te realiseren.

Voor alle risico’s hebben we of worden actiehouders benoemd die in samenwerking met de Risk & Compliance manager (zullen gaan) werken aan beheersmaatregelen om enerzijds de kans op voordoen te beperken en anderzijds de impact tot een acceptabel niveau terug te brengen. In een zogenoemde PDCA-cyclus monitoren we de voortgang en effectiviteit van de maatregelen. Belangrijke, meer specifieke, maatregelen die we hebben ondernomen of zullen ondernemen zijn onder meer:

Risico 1: Optimaliseren van de activiteiten van ons centrale capaciteitscentrum om de aanwezige capaciteit optimaal in te kunnen zetten.
Risico 2 en 3: Opzetten en uitvoeren van strategische projecten, (onder meer HiX de standaard en de Strategische Ontwikkelvisie Huisvesting (SOH)) zoals verderop in dit hoofdstuk worden beschreven.
Risico 4: Starten met een compliance framework, zodat we te allen tijde inzicht hebben in welke mate we voldoen aan wet & regelgeving.
Risico 5: Aanscherping van de prestatiedialoog, zoals verderop in dit hoofdstuk omschreven.
Risico 6: We onderzoeken hoe we dit risico het beste kunnen ondervangen.
Risico 7: Verhoogde aandacht voor IT general controls binnen onze reguliere activiteiten op dit gebied.
Risico 8: Hiervoor hebben we geen specifieke acties omschreven, aangezien dit een gevolgschade is van andere aandachtsgebieden.
Risico 9: We hebben een programmamanager duurzaamheid aangesteld, die als taak heeft gekregen de initiatieven op het gebied van duurzaamheid te coördineren.

(Verwachte) impact van risico’s op de resultaten of financiële posities

De risico’s zoals genoemd hebben geen materiële invloed gehad op de resultaten over 2022 en de financiële positie per jaareinde. Wat de impact van deze risico’s in de nabije toekomst gaat zijn, is onduidelijk. Ook de gevolgen door centralisatie van zorg en de afspraken in het Integraal Zorg Akkoord zijn nog onduidelijk. Wel kunnen we stellen dat deze pas op de middellange termijn (drie tot vijf jaar) zichtbaar zullen worden. De prijsontwikkelingen in de supply chain én de stijgende kosten door nieuwe cao-afspraken zullen wel direct een impact hebben op onze resultaten en financiële positie als deze niet voldoende gecompenseerd worden. Deze zaken hebben dan ook onze volle aandacht bij contractonderhandelingen met zorgverzekeraars.

Gebruik van financiële instrumenten

Het UMC Utrecht maakt geen actief gebruik van financiële instrumenten. Zogenoemde ‘open posities’ zijn, wegens het risicovolle karakter, niet toegestaan volgens het treasury statuut. In het geval we gebruik zouden maken van een financieel instrument, dan doen we dat uitsluitend om een bestaande positie af te dekken. Per jaareinde zijn er geen (materiele) posities.

Uiteraard hanteren we vele beheersingsinstrumenten om deze risico’s te managen. Hieronder lichten wij de belangrijkste maatregelen toe.

Strategische projecten

Om de onzekerheden die uit het Integraal Zorg Akkoord voortvloeien en de daarmee samenhangende concentratie van de zorg het hoofd te bieden, hebben we diverse strategische programma’s uitgerold en de beweging de Zorg van morgen in gang gezet om onze organisatie voor te bereiden op de toekomst. Hierin besteden we zowel aandacht aan de vraag welke zorg we gaan leveren als de vraag hoe we die moeten leveren. De teams die werken aan deze programma’s komen uit alle lagen van de organisatie, zodat alle kennis en expertise die in de organisatie aanwezig is een plaats kan vinden en de resultaten gedragen worden door alle betrokkenen. De risico’s voor wat betreft de uitvoering van de Strategisch Ontwikkelvisie Huisvesting (SOH) vragen mede door de verslechterende financiële vooruitzichten de komende periode extra aandacht.

Kennisveiligheid

Als vooroplopend onderzoeksinstituut zijn wij ons bewust van de risico’s die onze organisatie loopt op het gebied van kennisveiligheid. Ons Research office besteedt daar, in samenwerking met de Universiteit Utrecht, al geruime tijd aandacht aan. In 2022 hebben we de eerste stappen gezet om de procedures rond kennisveiligheid verder te formaliseren. Uitgangspunt hierbij zijn de aandachtspunten die worden gegeven vanuit de Nationale Leidraad Kennisveiligheid.

Risicobeheersings- en controlesysteem

Een belangrijke stap die we in 2023 zullen zetten, is het verder uitbouwen van het integrale Risk & Compliance Framework. Evenals in voorgaande jaren identificeren we hiervoor actiehouders die:

Identificeren welke beheersmaatregelen in welke mate de genoemde risico’s reduceren.
Identificeren welke aanvullende maatregelen nodig zijn om de risico’s tot het gewenste niveau te reduceren en die de bestaande maatregelen evalueren op effectiviteit.

De overige risico’s zullen we in de eerder genoemde PDCA-Cyclus blijven monitoren op:

De voortgang van implementatie van maatregelen.
De mate van mitigatie van het risico in lijn met de gewenste risicobereidheid.
De inschatting van de risico’s aangepast moet worden.
Evaluatie of door nieuwe omstandigheden nieuwe risico’s moeten worden toegevoegd.

Daarnaast bestaat het interne risicobeheersings- en controlesysteem onder andere uit de volgende elementen:

De prestatiedialoog	Wekelijks voeren we de prestatiedialoog met elkaar. Hierin bespreken we op alle niveaus in de organisatie via (strategische) KPI’s de stand van zaken op de aandachtsvelden patiëntervaring, medewerkerstevredenheid, productiviteit, kwaliteit en veiligheid en impact. Visuele dashboards geven inzicht in de stand van zaken per aandachtsveld en per KPI op centraal én afdelingsniveau en faciliteren daarmee monitoring en sturing.
De planning & control- cyclus/Management contracten	Onze planning & control-cyclus start met een jaarlijkse actualisatie van de belangrijkste interne en externe kansen en bedreigingen, mede voortvloeiend uit onze strategie. Hierop gebaseerde managementcontracten (waarin een risicoanalyse is opgenomen en via de OGSM methodiek acties concreet zijn gemaakt) en begroting vormen de basis voor het maandelijks monitoren van de financiële en niet-financiële prestaties, waaronder risicobeheersing, en zijn de opmaat voor het nemen van bijsturende maatregelen. De divisies en directies hebben in hun maandrapportages KPI’s opgenomen op gebieden als kwaliteit en veiligheid, medewerkers en financiën.
Beleid & Richtlijnen	In het UMC Utrecht bestaan formeel beleid en richtlijnen voor uiteenlopende aandachtsgebieden, zoals wetenschappelijk onderzoek, kwaliteit en veiligheid van zorg, en de beveiliging van data en geautomatiseerde systemen en financiën. Daar waar mogelijk hebben we beleid ingebed in onze systemen met als doel via IT-toepassingen optimale naleving te waarborgen.
Gerichte beheersinstrumenten	Beheersing rond kwaliteit en patiëntveiligheid doen we via SAFER (Scenario Analyse van Faalwijzen, Effecten en Risico’s). SAFER is een methode voor proactieve (of predicatieve) risicoanalyse. Richtlijnen en protocollen ten aanzien van kwaliteit en patiëntveiligheid hebben we overzichtelijk samengebracht op één plek en zijn voor iedere medewerker toegankelijk. Melding van incidenten is uiterst relevant en dit ondersteunen we op meerdere manieren.

	Voor risicoanalyse bij de zorgregistratie voeren we vanuit Horizontaal Toezicht Zorg jaarlijks de dialoog met de zorgverzekeraars om gezamenlijk tot een overzicht van risicovolle zorgprocessen te komen. Voor deze risico’s richten wij beheersmaatregelen in en verantwoorden wij ons, na een toets door de externe accountant, richting de zorgverzekeraars.
Drie lijnen van verantwoordelijkheid	Binnen het UMC Utrecht hanteren we het ‘drie lijnen van verantwoordelijkheid’-systeem van risicobeheersing. Onze afdeling Internal Audit is al enige jaren operationeel. Deze afdeling werkt vanuit een jaarlijks geactualiseerde concern-brede risicoanalyse en een audit- jaarplan. Op basis van deze risicoanalyse en het jaarplan voert de afdeling audits uit en rapporteert daarover aan de raad van bestuur en de raad van toezicht. De tweedelijns risicomanagement functie is verder geformaliseerd.
Informele controls	Risicobeheersing zit ook in het bevorderen en borgen van gewenst en integer gedrag bij medewerkers en het management, zogenaamde informele controls. Informele controls krijgen binnen het UMC Utrecht structureel aandacht, onder andere op de volgende gebieden.

	Het werven van de meest geschikte medewerkers met de juiste vooropleiding en ervaring, het verzorgen van scholing en ontwikkeling tijdens de loopbaan en het stimuleren van een veilige werkomgeving, streven we naar het beperken van risico’s en, in het geval die zich voordoen, het leren van onze fouten.

	Informele controls vormen een impliciet onderdeel van audits en adviezen van de derde lijn (internal audit).

Direct naar

Financiële resultaten Onze bedrijfsopbrengsten zijn wederom hoger uitgekomen dan in voorgaande jaren (toename van circa 54 miljoen euro (3,6%)). Deze toename heeft deels betrekking op toegenomen opbrengsten uit zorgprestaties (o.a. Vorige

Doorkijk naar financiële situatie in 2023 De afgelopen jaren zien we complexe zorgvragen toenemen. Door de dubbele vergrijzing en de toenemende medische mogelijkheden zal de vraag naar complexe zorg de komende jaren alleen maar verder stijgen. Volgende

Jaarverslag 2022