Het UMC Utrecht is een omvangrijke, open organisatie in een dynamische omgeving. Dit brengt risico’s met zich mee. Mede vanuit onze maatschappelijke rol zijn we verplicht om deze risico’s adequaat te beheersen en conservatief te zijn als het aankomt op risicobereidheid. Binnen het UMC Utrecht begint risicobeheersing op de werkvloer en behoort risicobeheersing tot de taak van divisies, directies en afdelingen. Bij de analyse en beheersing van de risico’s worden zij bijgestaan door disciplines, op het gebieden van onder andere arbeidsomstandigheden, patiëntveiligheid, integrale veiligheid, infectiepreventie en financiële continuïteit.

Risico’s en risicobeheersing

Financieel beleid

Risicobeheersings- en controlesysteem

Om op verantwoorde wijze besluiten te nemen, hanteren we een intern risicobeheersings- en controlesysteem. Belangrijke elementen daaruit zijn:

  • De planning & control cyclus
    Onze jaarlijkse planning & control cyclus start met actualisatie van de belangrijkste interne en externe kansen en bedreigingen, mede voortvloeiend uit onze strategie. De hieruit volgende begroting is de basis voor het maandelijks monitoren van de prestaties en vormt de opmaat voor het nemen van eventueel bijsturende maatregelen. Per kwartaal maken we prognoses voor het resterende jaar en bespreken we de realisatie met de auditcommissie van de raad van toezicht. De divisies en directies hebben in hun maandrapportages performance indicatoren opgenomen op gebieden als kwaliteit en veiligheid, medewerkers en financiën.

  • Beleid en richtlijnen  
    Risico’s voor uitgaven en verplichtingen beperken we via formeel bekrachtigde autorisatielimieten. Daarnaast hebben we formeel beleid en richtlijnen voor uiteenlopende aandachtsgebieden, zoals kwaliteit en veiligheid, de beveiliging van data en geautomatiseerde systemen en financiën.

  • Gerichte beheersingsinstrumenten
    Beheersing rond informatiebeveiliging doen we via SAFER (Scenario Analyse van Faalwijzen, Effecten en Risico’s). SAFER is een methode voor proactieve (of predicatieve) risicoanalyse. Voor risicoanalyse bij de zorgregistratie gebruiken we het In Control Statement (ICS). Iedere divisie benoemt jaarlijks een aantal risicovolle bedrijfsprocessen. Een multidisciplinaire groep analyseert deze en identificeert en implementeert vervolgens verbetermogelijkheden, waarmee het proces structureel veiliger wordt.

Ons risicobeheersingssysteem evalueren we continu en we verbeteren waar nodig. In dit kader verkennen we hoe we onze risicobeheersing verder kunnen versterken, via een three-lines-of-defence model. Dit model gaat uit van het principe dat de eerste lijn (de business) verantwoordelijk is voor de beheersing van de processen, de tweede lijn (waar risicomanagement onderdeel van is) ondersteunt, adviseert en bewaakt, en de derde lijn (internal audit) controleert of het systeem van risicobeheersing en interne controle adequaat werkt. Met name ten aanzien van de derde lijn willen we bepalen hoe deze rol het meest effectief binnen onze organisatie ingebed kan worden.  

Risico-overzicht

In onderstaand overzicht geven we een overzicht van de belangrijkste risico’s. De risico-acceptatie hebben we bepaald via de beoordeling van de kans dat een risico optreedt, de impact daarvan op de organisatie en de invloed die wij op het risico kunnen uitoefenen.