3.3 Interne beheersing

Lees ons jaarverslag online

Binnen Erasmus MC zien we ondernemerschap als een van de kernwaarden die ons iedere dag helpt bouwen aan een gezonde bevolking en excellente zorg door onderzoek en onderwijs.

3.3 Interne beheersing

Binnen Erasmus MC zien we ondernemerschap als een van de kernwaarden die ons iedere dag helpt bouwen aan een gezonde bevolking en excellente zorg door onderzoek en onderwijs. Dit vraagt om ruimte voor initiatief, maar altijd binnen duidelijke en verantwoorde kaders. Alleen zo blijven we het vertrouwen van onze patiënten, studenten, medewerkers en de samenleving waarmaken. Daarom investeren wij in een gecontroleerde uitvoering van onze kerntaken en strategie, en in een robuuste interne beheersing van onze (financiële) bedrijfsvoering en de belangrijkste risicogebieden binnen zorg, onderzoek, onderwijs en bedrijfsvoering.

Gerichte sturing en resultaatbewaking

Onze besturing is ingericht op basis van duidelijke principes. Decentralisatie geeft ruimte aan professionals, terwijl integraal management borgt dat leidinggevenden verantwoordelijkheid dragen voor het stellen van doelen, het organiseren van het werk en het realiseren van resultaten. Door op productie, personeel, financiën en andere taakvelden in samenhang te sturen, ontstaat een consistent en evenwichtig geheel. De planning‑ en controlcyclus vormt hierbij de ruggengraat. Vanuit de strategische visie vertalen we onze ambities via de jaarlijkse begrotingsrichtlijn naar concrete jaarplannen voor afdelingen en thema’s. Deze plannen worden vooraf zorgvuldig gewogen op haalbaarheid en benodigde investeringen, zodat keuzes niet alleen ambitieus, maar ook realistisch en verantwoord zijn. De directie Finance & Control ziet hierbij, met centrale (concern) en decentrale (thema) controllers, toe op een goed functionerende planning‑ en controlcyclus.

Heldere rollen in risicobeheersing

Om in control van onze risico’s te blijven, is het nodig dat iedereen weet wat zijn of haar bijdrage hierin is. Daarom werkt Erasmus MC voor risicomanagement op basis van het drielijnenmodel. Volgens dit model wordt binnen onze organisatie onderscheid gemaakt tussen functies die risico’s bezitten en beheersen (eerste lijn), functies die risico’s bewaken en overzien (de tweede lijn) en functies die een onafhankelijke borging bieden (de derde lijn).

Binnen Erasmus MC wordt de eerste lijn gevormd door de afdelingen waar zorg, onderzoek en onderwijs wordt uitgevoerd. Deze afdelingen zijn niet alleen verantwoordelijk voor het uitvoeren van hun kerntaken, maar ook voor het beheersen van de risico’s die daarbij komen kijken.

De tweede lijn wordt gevormd door onafhankelijke expertfuncties op risicogebieden als veiligheid, business continuity, financiën en compliance. Deze functies zijn veelal georganiseerd binnen de Directies Bedrijfsvoering (zoals de directies Finance & Control en Kwaliteit & Patiëntenzorg) of rechtstreeks onder de Raad van Bestuur (zoals de afdeling Risk & Compliance). De tweede lijn biedt ondersteuning aan de eerste lijn, geeft advies en monitort risicogerelateerde zaken.

De derde lijn geeft onafhankelijke en objectieve zekerheid en advies over de beheersing van risico’s en de (samen)werking van de eerste en tweede lijn. De derde lijn wordt gevormd door de afdeling Internal Audit die rechtstreeks onder de Raad van Bestuur is georganiseerd.

Risk & Compliance

De afdeling Risk & Compliance is onafhankelijk gepositioneerd. Hierdoor is de afdeling in staat om vanuit een centrale rol inzicht in risico's, compliance en continuïteit te creëren en het overzicht hierop te behouden. Risk & Compliance rapporteert rechtstreeks aan de Raad van Bestuur en periodiek aan de Audit, Risk en Compliance Commissie (ARCC) van de Raad van Toezicht. Binnen de afdeling Risk & Compliance komen drie functies samen: Risicomanagement, Compliance en Business Continuity Management.

Risicomanagement

Risicomanagement ondersteunt Erasmus MC bij het systematisch identificeren, beoordelen en beheersen van risico’s. We ontwikkelen en ondersteunen bij eenduidig beleid, werkwijzen, terminologie en het raamwerk rondom risicobeheersing. Als overkoepelende discipline richt risicomanagement zich op een breed scala aan onderwerpen zoals reputatie, kwaliteit, veiligheid, personeel, compliance, privacy, operationele continuïteit en programmamanagement.

Compliance

De compliancefunctie binnen Erasmus MC bewaakt de naleving van wet‑  en regelgeving, interne kaders en kwaliteitsnormen. Zij ondersteunt bestuur en medewerkers bij het herkennen en beheersen van compliancerisico’s en bevordert daarmee de integriteit van Erasmus MC. Compliance ontwikkelt beleid, geeft trainingen en adviseert over complexe vraagstukken. Daarnaast monitort zij interne controles, voert gap‑  en risicoanalyses uit, volgt relevante ontwikkelingen en onderzoekt meldingen van mogelijke overtredingen. Zo draagt Compliance bij aan transparantie, betrouwbaarheid en een cultuur van verantwoord handelen.

Business Continuity Management

Business Continuity Management (BCM) heeft als doel de continuïteit van processen en diensten in Erasmus MC te waarborgen. BCM ondersteunt afdelingen bij het identificeren van kritieke processen, het uitvoeren van business impact assessments en het opstellen van decentrale continuïteitsplannen. Daarnaast actualiseert BCM de bedrijfsbrede plannen, voert scenario‑analyses uit (zoals bij stroomuitval) en adviseert over aanvullende beheersmaatregelen om de organisatie veerkrachtiger te maken.

Internal Audit

De afdeling Internal Audit opereert als onafhankelijke onderzoeks- en adviesfunctie die de bedrijfsvoering verbetert en beschermt door objectieve inzichten te bieden. De onafhankelijkheid is geborgd via rechtstreekse rapportage aan de CFO en een directe lijn met de Audit, Risk & Compliance Commissie van de Raad van Toezicht. De scope omvat strategie, governance, programma’s, operationele processen en IT‑systemen, waarbij zowel operational audits als IT‑audits en reviews op de omzetverantwoording Medisch Specialistische zorg Horizontaal Toezicht en de Jeugdwet GGZ worden uitgevoerd. In 2025 zijn diverse maatwerkonderzoeken uitgevoerd, gericht op toprisico’s en processen met financiële impact, waaronder vastgoed, waarbij bevindingen en opvolging structureel worden gemonitord en besproken in de bestuurlijke gremia.