7. Risicomanagement
Inleiding
Binnen de VU zijn risico’s geen zaken die altijd vermeden moeten worden, maar is risicomanagement een integraal en onmisbaar onderdeel van het op een beheerste en weloverwogen manier realiseren van doelen. Risicomanagement is bij de VU een belangrijk bestuurlijk aandachtspunt en een vast onderdeel in de planning- en controlcyclus. Voor het goed functioneren van risicomanagement is een cultuur waarin verantwoordelijkheid wordt genomen en waarin men elkaar vertrouwt en aanspreekt belangrijker dan de aanwezigheid van een veelheid aan regels en procedures, die slechts schijnveiligheid bieden.
Om risico’s effectief te signaleren, te bespreken en te beheersen, is het helder formuleren van strategische doelen van belang. Dit heeft voor de VU als geheel plaatsgevonden in het instellingsplan Strategie VU 2020-2025 en voor de eenheden in de eigen meerjarenplannen. Eenmaal per twee jaar worden VU-breed, en jaarlijks door de decentrale eenheden, risicobijeenkomsten gehouden om gezamenlijk de belangrijkste actuele risico’s te benoemen en te prioriteren. Daarbij wordt aangegeven in welke mate aan belangrijke risico’s voldoende dan wel nog onvoldoende aandacht wordt besteed.
Het risicomanagement wordt verder geborgd door activiteiten op het gebied van control en audit. Bij de jaarplannen van de eenheden zijn risicoparagrafen opgesteld, die in het verdere verloop van de planning en control cyclus worden gevolgd met betrekking tot ontwikkeling en beheersing van risico’s.
Verdere ontwikkeling van risicomanagement: relatie met implementatie strategische ambities
Wij streven naar continue verbetering van het risicomanagement binnen de VU. Een belangrijk aandachtspunt in 2021 was het bepalen van de risicobereidheid, de inventarisatie van risico’s en beheersmaatregelen voor de implementatie van de Strategie VU 2020-2025. Door middel van een VU-brede strategische conferentie op 16 februari 2021 is per strategische ambitie en speerpunt uit de strategie gesproken over risico’s en risicobereidheid. De uitkomsten van deze conferentie zijn gedeeld met de verschillende strategie kernteams, die de implementatie van de ambities trekken, de faculteitsbesturen en de directeuren van de diensten. Hiermee zijn de uitkomsten van de conferentie betrokken in de verdere uitwerking van de ambities en speerpunten uit de strategie.
Risicobereidheid
Binnen de VU wordt risicobereidheid expliciet geformuleerd in zogeheten risicobereidheids-verklaringen of ‘risk appetite statements’. De risicobereidheid of ‘risk appetite’ is de mate, waarin de VU bereid is risico’s te nemen in de realisatie van haar doelstellingen. Deze risicobereidheid wordt jaarlijks bij het opstellen van het jaarverslag opnieuw beoordeeld. De mate waarin de VU bereid is risico’s te lopen bij de realisatie van haar doelstellingen verschilt per doelstelling, onderwerp en per risicocategorie. Zo ontstaat een algeheel en een (mogelijk) per onderwerp gedifferentieerd beeld van risicobereidheid.
Hierbij maakt de VU onderscheid tussen enerzijds de belangrijkste algemene aandachtsgebieden voor het risicomanagement, en anderzijds de specifiek gekozen strategische ambities en speerpunten. Hieronder zijn deze risicobereidheidsverklaringen beide weergegeven.
(a) Risicobereidheid inzake de belangrijkste algemene aandachtsgebieden
Aandachtsgebieden | Risicocategorie | Risicobereidheid | Toelichting |
Financieel | Vermijdbaar Extern | Laag | De VU stuurt op een solide financiële positie om primair de continuïteit van onderwijs en onderzoek inclusief ondersteuning te waarborgen en secundair de toegang tot de financiële markten zeker te stellen. De VU is niet bereid risico’s te lopen die de convenanten met onze externe financiers en de signaleringsgrenzen van de onderwijsinspectie in gevaar brengen. |
Operationeel | Vermijdbaar | Laag | De VU richt zich vooral op het behoud van de continuïteit van onze primaire en ondersteunende processen. We streven ernaar de risico’s die deze continuïteit in gevaar kunnen brengen zoveel mogelijk te beperken. Onze risicoacceptatie is in dit verband dan ook laag. Voorbeelden zijn personeel, huisvesting, IT-infrastructuur, facilitaire ondersteuning en (financiële) informatievoorziening. |
Compliance | Vermijdbaar Extern | Laag | De VU streeft ernaar te voldoen aan alle van toepassing zijnde wet- en regelgeving. We hebben daarbij speciale aandacht voor wet- en regelgeving op het gebied van onderwijs- en onderzoekskwaliteit, integrale veiligheid, aanbestedingen, financial reporting, data- en cyberveiligheid en privacybescherming. |
(b) Risicobereidheid inzake de implementatie van de strategische ambities en speerpunten
Nr. | Strategische ambities en speerpunten | Risicobereidheid | Toelichting1 |
1 | Duurzaam | Hoog | Duurzaamheid is voor de VU vitaal. We zetten in op het duurzaam en gezond functioneren van onze universiteit, onze gemeenschap, werknemers en studenten, en op het duurzaam en efficiënt inzetten van schaarse middelen. In investeringsafwegingen worden duurzaamheidsaspecten dan ook expliciet meegewogen, ook als dit betekent dat op korte termijn een duurzame oplossing meer middelen vraagt. De VU hanteert hiervoor een hoge risicoacceptatie. |
2 | Ondernemend | Hoog | Wij willen meerwaarde creëren voor de samenleving. Daartoe moeten de inhoudelijke expertise, competenties en persoonlijke vaardigheden van studenten, promovendi, wetenschappers en professionals op de juiste manier aangesproken worden. Dit vraagt een ondernemende houding. Op de VU betekent dat: kansen zien, creëren en benutten. Creatief zijn en lef hebben. Je verantwoordelijkheid nemen. Risico’s durven nemen en durven experimenteren. Daarbij accepteert de VU dat ook kan betekenen dat sommige ondernemende initiatieven mislukken. Door een goede governance en begeleiding van start-ups en ondernemende initiatieven maakt de VU deze risico’s verantwoord en zullen deze opwegen tegen ‘valorisatie’ successen. |
3 | Divers | Gematigd tot hoog | Diversiteit is nauw verbonden met de identiteit van de VU. De VU is ervan overtuigd dat diversiteit bijdraagt aan de kwaliteit van onderwijs en onderzoek, en samenwerkingen ten goede komt. De VU includeert nadrukkelijk alle medewerkers en studenten met al hun onderlinge verschillen. De VU hanteert hiervoor een gematigd tot hoge risicoacceptatie. |
4 | Ontwikkelen van toekomstbestendige onderwijsvormen | Gematigd | We maken ons onderwijs toekomstbestendig en sluiten het aan op de veranderende vraag met: |
5 | Ontwikkelen van Leven Lang Ontwikkelen (LLO) | Gematigd tot hoog | Voor een structureel en VU-breed LLO-beleid bundelen we onze kennis en krachten en versterken we ons netwerk met alumni en met partners buiten de universiteit. Ook gaan we zorgen voor de juiste facilitaire voorzieningen die aansluiten bij de behoeften en passend zijn voor dit type onderwijs. Dit vergt investeringen die zich pas op langere termijn zullen terugbetalen, maar wenselijk zijn voor realiseren van deze maatschappelijk doelstelling. |
6 | Versterken van de focus en positie in onderzoek | Hoog | In toenemende mate wordt het onderzoek geclusterd rond onze vier profielthema’s. We streven niet alleen naar versteviging van de interne samenwerking om de vier profielthema’s beter uit te werken en neer te zetten, maar ook naar hechtere banden met externe partners om die van meet af aan bij het (toepassingsgerichte) onderzoek te betrekken (‘inclusief onderzoek’). De VU hanteert hiervoor een hoge risicoacceptatie. |
7 | Verbeteren van onze wetenschappelijke reputatie | Laag | Voor een universiteit die de ambitie heeft om tot de internationale top te blijven behoren en die op wetenschappelijke en grote maatschappelijke onderwerpen een impactvolle bijdrage levert, is het cruciaal dat deze bijdragen nationaal en internationaal bekend zijn. Het bewaken en versterken van onze wetenschappelijke integriteit is essentieel voor de toekomst van onze universiteit. Het doel is de reputatie van de VU in binnen- en buitenland in overeenstemming te brengen met het hoge niveau van haar wetenschappelijk onderzoek. De VU hanteert hiervoor een lage risicoacceptatie. |
8 | Impact door onderwijs en onderzoek | Hoog | Onze ambitie voor 2025 is dat valorisatie een gelijkwaardige plaats heeft in onze activiteiten en ons beleid, naast onderwijs en onderzoek. Oók in de erkenning en waardering van onze medewerkers en op onze campus. Tegelijkertijd gaan we ondernemerschap en een ondernemende houding vanzelfsprekend maken voor onze studenten en medewerkers. De hierbij gemaakte risico afweging is analoog aan speerpunt 2 ‘ondernemend’. De VU hanteert hiervoor een hoge risicoacceptatie. |
9 | Ontwikkelen van een evenwichtig systeem van erkennen en waarderen | Hoog | Onderzoek, onderwijs en valorisatie zijn gelijkwaardige kerntaken. We vragen van onze medewerkers ook leiderschap, een ondernemende geest en samenwerkingsgerichte houding. Daarom gaan we een meer diverse en evenwichtiger manier van erkennen en waarderen ontwikkelen, die recht doet aan ieders talent én die ook de werkdruk/werklast breder verdeelt. Deze verandering kan negatieve impact op de positie van de VU (en VU wetenschappers) hebben in de huidige rankings. De VU hanteert hiervoor een hoge risicoacceptatie. |
10 | Verder digitaliseren van onze bedrijfsvoering, onderwijs en onderzoek | Laag | De wereld digitaliseert in hoog tempo. Ook voor de VU ligt er een opgave om via digitalisering een soepele en veilige infrastructuur te bieden voor studenten, professionals en individuen die zich verder willen ontwikkelen. Het grote belang van digitalisering voor onderwijs, onderzoek en bedrijfsvoering wordt door de VU onderkend, echter vanwege cybersecurity risico’s op de continuïteit van de universiteit, hecht de VU een groot belang aan digitalisering op een veilige doordachte manier boven snelheid. Voor de veiligheidsrisico’s hanteert de VU een lage risicoacceptatie. |
11 | Ontwikkelen van een bruisende en innovatieve campus | Gematigd | De VU-campus heeft een inclusief, open karakter en een internationale aantrekkingskracht. We willen met onze campus een gastvrije, groene en inspirerende omgeving zijn, waarin wetenschappelijk onderwijs en onderzoek, en valorisatie excelleren, en waar mensen zich thuis voelen. De VU hanteert hiervoor een gematigde risicoacceptatie. |
12 | We maken onze organisatie slagvaardig en wendbaar | Gematigd | Om goed te kunnen inspelen op een veranderende toekomst, hebben we een slagvaardige en wendbare organisatie nodig. Dit vraagt om heldere keuzes, snelle besluitvorming, korte lijnen, daadkracht, eigenaarschap en een efficiënte manier van werken binnen de (gegeven) risicokaders. De VU hanteert hiervoor een gematigde risicoacceptatie. |
- 1 Bron: VU Strategie 2020-2025
Op basis van de uitkomsten van de genoemde VU-brede strategische conferentie over de risico’s bij de implementatie van de Strategie 2020-2025 is een risicobereidheidsverklaring per strategische ambitie en speerpunt bepaald. Deze is weergegeven in de onderstaande tabel.
Structurele risico’s
Binnen de VU wordt structureel aandacht besteed aan signalering en beheersing van vermijdbare en externe risico’s op het gebied van onderwijskwaliteit (binnen de cyclus onderwijskwaliteitszorg), integrale veiligheid (binnen de desbetreffende eenheden en gecoördineerd door een VU-brede, multidisciplinaire commissie integrale veiligheid), fysieke veiligheid (Arbodienst), sociale veiligheid (HRMAM, FCO) wetenschappelijke integriteit, data- en cyberveiligheid (IT), privacybescherming (Bestuurszaken), compliance en fraude (o.a. Bestuurszaken, Financiën). De risicobereidheid van dit type risico’s varieert, afhankelijk van het onderwerp, van laag naar zeer laag.
Specifieke risico’s & risico-inventarisatie
Daarnaast is sprake van meer specifieke risico’s die op dit moment actueel zijn, maar na verloop van tijd naar verwachting minder belangrijk zullen worden in termen van bewaking en te nemen (extra) maatregelen.
Uit de meest recente risico-inventarisatie komen de onderstaande risico’s als de op dit moment meest belangrijke risico’s naar voren. De gedetailleerde uitwerking van de risico-inventarisatie (inclusief onder andere trends en maatregelen) is opgenomen als separate bijlage bij dit jaarplan. Onderstaand zijn de belangrijkste specifieke risico’s die de VU onderkent en hun ontwikkeling beknopt samengevat:
Strategische risico’s, met betrekking tot het behalen van strategische doelen:
-
Personeel (met name werkdruk); ondanks de aanwending van extra middelen in het afgelopen jaar ten behoeve van uitvoering van werkdrukplannen en extra middelen uit het jaarplan t.b.v. de uitbreiding van capaciteit, is als gevolg van de effecten van de coronapandemie (online-onderwijs), de grote veranderingen in de bedrijfsondersteunende systemen, de aanhoudende hoge instroom van studenten, de hoge werkdruk onder wp en obp een belangrijk en urgent aandachtspunt.
-
Campusontwikkeling (projectuitvoering, kosten); dit risico is per saldo iets toegenomen door hogere risico’s in de projectuitvoering op de aspecten tijd (vertraging) en geld (aanhoudende kostenstijgingen in de bouwsector). Daarnaast leidt een hoger aantal studenten dan voorzien tot een mogelijk tekort aan onderwijsfaciliteiten. Hiertegenover staan de effecten van hybride werken die de druk op de huisvesting naar verwachting beperken.
Vermijdbare risico’s, met betrekking tot continuïteit en de kwaliteit van de primaire en ondersteunende processen:
-
Beheersingsprocessen en informatievoorziening; dit risico is toegenomen als gevolg van de problemen waarmee de vervanging van het ERP-systeem gepaard ging en die nog door werken.
-
IT-infrastructuur: dit risico neemt ondanks de genomen maatregelen nog steeds toe, met name als gevolg van het gestegen risico op cyberaanvallen. Daarnaast is de bemensing van de dienst IT een groot knelpunt (vacatures) waardoor de voortgang van projecten beïnvloed wordt en de kwaliteit van de dienstverlening onder druk staat.
-
Compliance; dit risico is stabiel, maar blijft gezien de potentiële impact op de reputatie van de VU een aandachtspunt.
Externe risico’s, met oorzaken van buitenaf:
-
Bekostiging van onderwijs, onderzoek en valorisatie; dit risico blijft per saldo gelijk maar daarmee ook een belangrijk aandachtspunt. Dit is het saldo van enerzijds: accent op onderwijskwaliteit en toename van onderwijslast legt beperking op aan beschikbare tijd voor onderzoek en valorisatie. Anderzijds: de uitkomsten vanuit het OCW kostenonderzoek door PwC bevestigen de noodzaak om zowel structureel als incidenteel de bekostiging van het WO te verhogen om het huidige niveau van het Nederlandse WO vast te houden en de in het regeerakkoord opgenomen ruimte voor investeringen bieden perspectief (afhankelijk van de daadwerkelijke implementatie) voor afname van de druk op de bekostiging van het WO.
-
Sociale veiligheid: dit risico is gestabiliseerd op een laag niveau, maar blijft een belangrijk aandachtspunt. Ook in 2021 hebben verschillende incidenten met betrekking tot sociale veiligheidsaspecten plaatsgevonden binnen de VU.
-
Welzijn: dit risico is gestabiliseerd, maar blijft een belangrijk aandachtspunt. Als gevolg van de coronapandemie is (op basis van onderzoek) met name het sociale welzijn van studenten afgenomen. Ook medewerkers worden hierdoor geraakt. Aangezien nagenoeg alle coronamaatregelen zijn opgeheven, is fysiek onderwijs en werk op de campus weer mogelijk. Desondanks is het welzijnsrisico duidelijk toegenomen en blijft het een belangrijk aandachtspunt.
Overige onderwerpen
Corona: op het moment van het opstellen van dit jaarverslag zijn de coronamaatregelen van de overheid die het hoger onderwijs raken volledig afgebouwd. De naweeën van corona zijn echter nog voelbaar. De vanuit de overheid verstrekte middelen als onderdeel van het Nationaal Programma Onderwijs worden door de VU benut om de effecten van corona zoveel mogelijk te mitigeren. (N.B. een aandachtspunt is wel dat de besteding aan strikte voorwaarden gebonden is).
Een onzekere factor blijft de verdere ontwikkeling van het virus, waarbij niet uitgesloten kan worden dat er opnieuw beperkende maatregelen zullen worden genomen die het hoger onderwijs en daarmee ook de VU zullen raken. De VU zal hierop alert blijven en waar nodig de VU crisismanagement systematiek opnieuw hiervoor inzetten om zowel de gezondheid van studenten en medewerkers als de kwaliteit van onderwijs en onderzoek te kunnen blijven waarborgen.
Rijksbeleid: voortdurende aandacht is er ook voor externe risico’s die voortkomen uit mogelijke veranderingen van het rijksbeleid op het gebied van het wetenschappelijk onderwijs en onderzoek. Dit betreft niet alleen de bekostiging, maar zeker ook wet- en regelgeving omtrent het WO en studiefinanciering en dergelijke. Veranderingen daarin kunnen grote gevolgen hebben voor de instelling. Het rijksbeleid wordt dan ook in samenwerking met de UNL nauwlettend gevolgd; waar nodig wordt actief met de politiek gecommuniceerd om voor de VU nadelige gevolgen van het rijksbeleid te voorkomen of op te heffen.
Kennisveiligheid ten aanzien van internationaal samenwerken: binnen de VU wordt intensief en steeds meer internationaal samengewerkt ten aanzien van onderwijs, onderzoek en valorisatie. De mondiale en geopolitieke ontwikkelingen vergen bij internationale samenwerking in toenemende mate aandacht ten aanzien van kennisveiligheid in de brede zin van dit begrip. Daarbij gaat het niet alleen om het voorkomen van ongewenste overdracht van sensitieve kennis en technologie die op onze universiteit aanwezig is maar ook om ethische kwesties in samenwerking met landen die grondrechten niet respecteren. Het te alle tijde garanderen van de academische vrijheid en wetenschappelijke integriteit van de samenwerkingen die de VU aangaat met internationale partners vormen daarbij een absolute randvoorwaarde. De VU heeft recent ervaren dat het garanderen van kennisveiligheid in deze brede zin een continue alertheid vraagt. Aan de hand van de conclusies die uit de evaluatie van deze casuïstiek aan de VU zullen worden getrokken en op basis van de recent gepubliceerde ‘Nationale leidraad Kennisveiligheid’ zal de VU haar beleid en maatregelen ter verhoging van de kennisveiligheid versterken.