Risicomanagement

Lees ons jaarverslag online

Het Erasmus MC onderschrijft het belang van een breed inzicht in, en beheersing van risico’s.

Risicomanagement

Het Erasmus MC onderschrijft het belang van een breed inzicht in, en beheersing van risico’s. Geheel in lijn met de ontwikkelingen in de maatschappij is, na de inspanningen van de kwartiermaker Risk en Compliance, per 1 augustus 2022 het team Risk & Compliance ingericht en beleid opgesteld met twee risicomanagers, een compliance officer en een manager Risk & Compliance. De afdeling Risk & Compliance rapporteert rechtstreeks en onafhankelijk aan de Raad van Bestuur. Hiermee geeft het Erasmus MC invulling aan de steeds nadrukkelijker wordende verwachting om een passende invulling te geven aan niet-financiële risico’s.

Integrale aanpak

Het Erasmus MC is een Universitair Medisch Centrum met een unieke context, waarbij enerzijds veel autonomie ligt bij de afdelingen die zorg, onderwijs en onderzoek verzorgen, en er anderzijds behoefte en noodzaak is om vanuit de centrale organisatie te ondersteunen bij aantoonbaar in control zijn. Om die reden spreken we dan ook van Integraal Risicomanagement binnen het Erasmus MC. Aan de hand van de ISO 31000 richtlijn en het Three Lines Model wordt invulling gegeven aan een uniform risico- en beheersingsraamwerk. Dit gebeurt in nauwe samenspraak met aanpalende disciplines zoals compliance, privacy, security, IT, kwaliteit & patiëntenzorg, juridische zaken, internal audit en finance & control. Daarbij wordt rekening gehouden met de verschillende dwarsdoorsneden van de organisatie, worden risico’s op strategisch, tactisch en operationeel niveau benaderd, en wordt gebruik gemaakt van zowel ‘hard’ als ‘soft’ controls bij de beheersing van risico’s. Door gebruik te maken van zowel ‘hard’ als ‘soft’ controls wordt invulling gegeven aan de Erasmus MC cultuur waar doorlopend aandacht is voor een passende balans tussen controle en vertrouwen.

Het uitgangspunt voor risicomanagement is om toegevoegde waarde te leveren door continu te verbeteren en voorbereid te zijn op onwenselijke situaties. In die hoedanigheid neemt risicomanagement (afhankelijk van de opdracht) een onafhankelijke, adviserende, begeleidende, ondersteunende, monitorende, signalerende en/of vooruitkijkende rol aan. 

Top 10 risico’s

In 2022 is in afstemming met de Raad van Bestuur en directies een Top 10 van belangrijkste risico’s vastgesteld:

De Top 10 risico’s is onder de aandacht bij (thema)directies, afdelingshoofden en de Raad van Bestuur. Vanaf de laatste rapportageperiode in 2022 wordt middels de F&C-rapportagecyclus op thema- en op key-stakeholder niveau input uitgevraagd. De stand van zaken wordt voor elk van de Top 10 risico’s uitgevraagd op (afdeling/thema/pijler) specifieke risico’s, bestaande beheersmaatregelen en voortgang van nog te implementeren beheersmaatregelen. Dit bestendigt eigenaarschap in de eerste lijn, borgt voortgang op verbeterinitiatieven, en geeft periodiek het benodigde risico-inzicht aan de Raad van Bestuur om bij te sturen waar nodig. Aanvullend kan de Raad van Bestuur opdrachten geven aan Risk & Compliance voor specifieke risicoanalyses en adviezen, en kunnen afdelingen verzoeken doen voor risico-advies of begeleiding. Deze werkzaamheden worden al dan niet in het kader van een Top 10 risico uitgevoerd.

De vervolgstap in 2023 is om op tactisch en operationeel niveau verdiepende risicoanalyses binnen de scope van de Top 10 te begeleiden. Risicomanagement helpt het Erasmus MC met het verder in kaart brengen van, en adviseren over beheersmaatregelen. Dit leidt mogelijk tot een verlaging van het netto risicoprofiel, en indien de netto risico’s binnen de risicobereidheid vallen, wordt in 2024 de Top 10 herijkt.

Risicobereidheid

Het vaststellen van een eenduidige risicobereidheid is gezien de context van de organisatie een complexe taak. Het uitgangspunt binnen het Erasmus MC is dat er een generieke risicobereidheid wordt gehanteerd, waarvan afgeweken wordt indien dit noodzakelijk is voor specifieke onderwerpen en impactgebieden. De generieke risicobereidheid is gebaseerd op de vastgestelde heatmap en geeft kaders en richtlijnen mee aan de organisatie over hoe om te gaan met lage, middel, hoge en zeer hoge risico’s. Voor specifieke risicogebieden wordt afgeweken van de generieke risicobereidheid, zo is de risicobereidheid ten aanzien van patiëntveiligheid laag, terwijl de risicobereidheid met betrekking tot innovatie hoger is.