7. Risicomanagement

Inleiding

Binnen de VU is risicomanagement een integraal onderdeel bij het realiseren van onze doelen. Risico's worden niet per definitie vermeden: waar passend worden zij bewust genomen, mits deze beheerst zijn en bijdragen aan weloverwogen keuzes. Risicomanagement is daarom een vast bestuurlijk aandachtspunt en onderdeel van de planning- en control cyclus. Daarbij is een open cultuur van eigenaarschap, vertrouwen en elkaar aanspreken van wezenlijk belang.

Voor de aansturing onderscheidt de VU risico’s naar hun karakter:

Strategische risico's: samenhangend met koerskeuzes en doelrealisatie;
Externe risico's: voortkomend uit ontwikkelingen buiten directe invloed van de VU;
Vermijdbare (operationele) risico's: beïnvloedbaar door processen, afspraken en interne beheersing.

Deze indeling helpt om per risico de juiste benadering te kiezen (scenario’s en besluitvorming bij strategisch/externe risico’s, proces- en controlmaatregelen bij vermijdbare risico’s). Daarnaast categoriseert de VU risico’s inhoudelijk naar domein, waaronder: onderwijs- en onderzoekkwaliteit, integrale veiligheid (fysieke veiligheid en arbeidsomstandigheden), sociale veiligheid, data- en cyberveiligheid, kennisveiligheid, privacy, compliance en fraude.

Risicomanagement is geborgd via de planning‑ en controlcyclus: eenheden nemen risico’s op in de risicoparagraaf van het jaarplan en volgen gedurende het jaar de ontwikkeling en gekozen risicobehandeling (vermijden, mitigeren, overdragen of accepteren). In strategisch overleg zijn begin 2025 de belangrijkste risico’s en kansen geïdentificeerd en is een vernieuwde werkwijze voor risicomanagement geïntroduceerd. Deze werkwijze vormt de basis voor de verdere doorontwikkeling van het risicomanagement in de komende jaren.

Risicobereidheid

Binnen de VU wordt risicobereidheid vastgelegd in risicobereidheidsverklaringen (risk appetite statements). Risicobereidheid beschrijft de mate waarin de VU bereid is risico’s te nemen bij het realiseren van haar doelstellingen, en waar we juist sturen op beheersing, beperking of acceptatie.

In 2025 is, in aansluiting op het instellingsplan 2026 – 2030, de bestaande risicobereidheid per strategische ambitie met het College van Bestuur besproken en geactualiseerd. Dit heeft geleid tot een uitwerking van de risk appetite 2026 voor de zes strategische doelstellingen en voor drie overkoepelende aandachtsgebieden: financieel, operationeel en compliance. Deze risk appetite biedt een kader voor prioritering en besluitvorming over risicobehandelingen (vermijden, mitigeren, overdragen of accepteren) en vormt de basis voor de verdere ontwikkeling van risicomanagement in 2026 en de daaropvolgende jaren. De risicobereidheid is kwalitatief bepaald en richtinggevend gebruikt bij prioritering en besluitvorming. Er zijn daarbij geen vaste kwantitatieve drempelwaarden (zoals financiële bandbreedten) vastgesteld voor begrippen als ‘laag’, ‘middel’ of ‘hoog’. Dit is bewust zo gekozen, omdat risico’s zich niet uitsluitend financieel laten beoordelen en ook impact kunnen hebben op bijvoorbeeld kwaliteit, reputatie, veiligheid en continuïteit.

Strategische ambities en speerpunten 2026	Bereidheid tot nemen van risico's					Toelichting
Strategische ambities en speerpunten 2026	Zeer laag	Laag	Gematigd	Hoog	Zeer hoog	Toelichting
Wereldburgers met A Broader Mind
LLO (portfolio, ondersteund door diensten, VU-aanbod, interdisciplinair)						De VU leidt wereldburgers op die durven de dialoog met elkaar aan te gaan ondanks de polarisatie en verschillende achtergronden en kennisniveau's. Wij innoveren in de nieuwste technologien en onderwijskundige inzichten om een Leven Lang Leren mogelijk te maken. Risico’s durven nemen en durven experimenteren. Daarbij accepteert de VU dat ook kan betekenen dat sommige initiatieven mislukken. Om dit mogelijk te maken hanteren wij een hoge risicobereidheid.
Open en toegankelijk wetenschappelijk onderzoek met verantwoordelijke oplossingen voor complexe vraagstukken
Dynamische netwerken (definiëren, ontwikkelen)						Door de focus op dynamische netwerken zetten wij als VU onze onderzoekers in voor ‘open science' met inachtneming van wetgeving en risico’s. Door een goede governance, het implementeren van een financieringsstrategie voor de verschillende faculteiten en netwerken en een goede, gevarieerde en brede onderzoeksondersteuning zorgt de VU dat deze risico’s verantwoord worden genomen en zullen deze opwegen tegen de successen.
In 2030 heeft de VU een herkenbaar profiel als katalysator voor maatschappelijk verantwoorde oplossingen mét en vóór de wereld – oplossingen die hun basis vinden in academisch onderzoek en onderwijs
Uitlijnen aanpak 2e/3e/4e geldstroom						Onze ambitie voor 2026 is dat valorisatie een gelijkwaardige plaats heeft in onze activiteiten en ons beleid, naast onderwijs en onderzoek. Oók in de erkenning en waardering van onze medewerkers en op onze campus. Door te investeren in het uitlijnen en professionaliseren van onze aanpak 2e/3e/4e geldstroom bewegen wij ons in een concurerend landschap waardoor wij gedwongen worden een zeer hoge risicobereidheid te hanteren om daadwerkelijk meer middelen binnen te halen.
Mens en organisatie
Talentbeleid; Ieder mens telt. We benutten al het aanwezige talent dat bijdraagt aan onze organisatiedoelen						Om goed te kunnen inspelen op een veranderende toekomst, hebben we een slagvaardige en wendbare organisatie nodig. Dit vraagt om heldere keuzes, snelle besluitvorming, korte lijnen, daadkracht, eigenaarschap en een efficiënte manier van werken binnen de (gegeven) risicokaders. We vragen van onze medewerkers een nieuwsgierige geest die open staat voor verandering, medewerkers die durven risico's te nemen, het gesprek met elkaar aan te gaan en samen te werken. Grote organisaties veranderen niet vanzelf en vragen duidelijkheid en volhardendheid. Wij hanteren hiervoor een zeer hoge risicoacceptatie.
Bedrijfsvoering: Integrale dienstverlening (voor de belangrijkste prioriteiten)						De VU gaat verder in het professionaliseren van de dienstverlening/bedrijfsvoering. Door de toenemende stroom aan wet-en regelgeving ontstaat er steeds meer controledruk en is er spanning tussen maatschappelijke waarde en compliant zijn. Door vanuit de bedrijfsvoering meer samen te werken, prioriteiten te stellen realiseren wij executiekracht en eigenaarschap in zowel ons reguliere werk, als in projecten en programma’s. Doel is een efficientere en efficiënter samenspel tussen het primaire proces en de ondersteuning ervan. Hiervoor hanteren wij een hoge risicobereidheid.
Campus: Integrale veiligheid						Om ruimte te geven aan de dialoog en LLO dient de campus een plek te zijn waar je je veilig voelt. Wij zullen verder investeren in maatregelen die de integrale en sociale veiligheid bevorderen waarbij de evt. gevolgen voor de academische vrijheid in deze maatregelen wordt meegewogen. We hanteren hiervoor een lage risicoacceptatie.

Financieel						De VU stuurt op een solide financiële positie om de continuïteit van onderwijs en onderzoek inclusief ondersteuning te waarborgen en secundair de toegang tot de financiële markten zeker te stellen. De VU is niet bereid risico’s te lopen die de convenanten met onze externe financiers in gevaar brengen. Voor de signaleringsgrenzen van de onderwijsinspectie geldt dat deze niet structureel onder- dan wel overschreden mogen worden. Uit het meerjarenbeeld van de Kadernota 2026 blijkt een (lichte) verbetering van het meerjarenresultaat VU ten opzichte van de meerjarenbegroting uit het Jaarplan 2025. Aanname hierbij is dat de lopende bijsuturingsopdracht van € 60m volledig wordt gerealiseerd. In lijn met de opdracht voor de financiële bijsturing is uitgegaan van het ombuigen van een tekort op de VU-begroting (een dalend tekort in de periode 2025 – 2027) naar een licht positief exploitatieresultaat vanaf 2028. We hanteren hiervoor een zeer lage risicoacceptatie.
Operationeel						De VU richt zich vooral op het behoud van de continuïteit van onze primaire en ondersteunende processen. We streven ernaar de risico’s die deze continuïteit in gevaar kunnen brengen zoveel mogelijk te beperken. Onze risicoacceptatie is in dit verband dan ook (zeer) laag. Voorbeelden zijn personeel, huisvesting, IT-infrastructuur, facilitaire ondersteuning en (financiële) informatievoorziening.
Compliance						De VU streeft ernaar te voldoen aan alle van toepassing zijnde wet- en regelgeving. We hebben daarbij speciale aandacht voor wet- en regelgeving op het gebied van onderwijs- en onderzoekskwaliteit, integrale veiligheid, aanbestedingen, financial reporting, data- en cyberveiligheid en privacybescherming. Belangrijk is om de juiste balans te vinden tussen voldoen aan wet-en-regelgeving in relatie tot de kosten en maatschappeijke waarde. Onze risicoacceptatie is in dit verband dan ook laag.

Risico-inventarisatie

In de periode mei-juni 2025 hebben de faculteiten en diensten werksessies gehad om het risicoprofiel opnieuw te definiëren aan de hand van een aantal standaardrisico’s die voor de VU gedefinieerd zijn. Tijdens de sessies zijn per eenheid de relevantie, impact en waarschijnlijkheid van deze risico’s beoordeeld en geprioriteerd. Deze aanpak heeft geleid tot een geactualiseerd en vergelijkbaar risicobeeld over de gehele VU. De uitkomsten zijn samengebracht in een VU brede heatmap, die inzicht geeft in de belangrijkste risico’s en hun onderlinge spreiding.

De bovenstaande heatmap geeft met kans en gevolg een overzicht van de gemiddelde risico scores van alle eenheden van de VU. De onderliggende eenheden hebben allen een eigen risico inschatting (kans en gevolg) gemaakt. Deze inschattingen zijn gemiddeld over de hele breedte van de VU.

Risico’s kunnen meermalen voorkomen op de heatmap doordat de gevolgen op verschillende gevolg categorieën zijn inschat (impact financieel, impact op reputatie en impact op het realiseren van beleidsdoelstellingen).

Maatregelen en controls

De volgende toprisico’s zijn geïdentificeerd in het strategisch overleg in januari 2027. Per risico een omschrijving van ontwikkeling.

Risico	Beschrijving ontwikkeling
Fluctuaties instroom studenten (Extern/ strategisch risico)	Dit betreft een risico die bijna geen onzekerheid meer kent, behalve over de omvang van de daling. Specifieke speerpunten per opleiding worden gedefinieerd voor het verhogen van de instroom binnen verschillende faculteiten. Nieuw wervingsplan is vastgesteld door CvB. Effecten op de instroom zijn niet op korte termijn vast te stellen gezien het feit dat een jaar later studiekiezers daadwerkelijk kiezen. De externe context (demografische ontwikkelingen, landelijke beleidswijzigingen, en concurrentie) maakt dat schommelingen in de instroom structureel van aard zijn. Binnen de VU wordt ingezet op het versterken van het opleidingsportfolio, het vergroten van de herkenbaarheid en aantrekkelijkheid van het onderwijs en het beter laten aansluiten van het aanbod op de (inter)nationale vraag.
Extra bezuinigingen op wetenschappelijk onderwijs en onderzoek op korte termijn (Extern/ strategisch risico)	De druk op mogelijke extra bezuinigingen blijft aanwezig, maar door de ontwikkelingen goed te volgen en tijdig informatie te verzamelen, kan in scenario’s worden geanticipeerd. Binnen ondersteunende diensten worden verschillende scenario’s voor basisdienstverlening en eventuele plus-/maatwerkopties uitgewerkt, inclusief een ‘Plan B’ voor het geval verdere bezuinigingen toch noodzakelijk worden. In faculteiten wordt actief ingezet op het vergroten van externe inkomsten. De noodzaak om snel te kunnen bijsturen blijft daarmee hoog, mede omdat verdere bezuinigingen grenzen kunnen raken van wet- en regelgeving en werkdruk.
Onvoldoende voortgang in vernieuwing strategie en bijsturing (Strategisch risico)	De VU hanteert een hoge risicobereidheid ten aanzien van verandering. Dit betekent dat de VU bewust bereid is om ingrijpende keuzes te maken, bestaande werkwijzen ter discussie te stellen en te investeren in organisatievernieuwing om strategische doelen te realiseren. Tegelijkertijd bestaat het risico dat feitelijke verandervermogen onvoldoende tempo maakt om deze strategische ambitie waar te maken. Beperkte verandercapaciteit en weerstand kunnen de uitvoering vertragen, waardoor bijsturing en kostenbeheersing achterblijven. In de decentrale bijsturingsplannen is waar van toepassing aandacht voor organisatievernieuwing en training van medewerkers om het adaptief vermogen, de flexibiliteit en de weerbaarheid te vergroten. De voortgang blijft echter kwetsbaar, omdat acceptatie en uitvoering binnen de organisatie tijd vragen.
Onvoldoende doorontwikkeling IT landschap tbv (primaire) bedrijfsprocessen (Extern risico)	De afhankelijkheid van IT wordt steeds groter. De noodzaak om hier vanuit de eigen expertise meer invloed op te hebben wordt daarmee ook groter, zowel op prioritering als op te maken keuzes (wat is nodig voor de business). Vanuit meerdere diensten worden er maatregelen getroffen op dit risico. Er wordt actief ingezet op automatisering en robotisering. Daarnaast wordt er gewerkt aan alternatieven voor Big Tech, zodat er minder afhankelijkheid ontstaat.
Langere discontinuïteit informatievoorziening /cyberaanval/hacking (Vermijdbare risico)	Het risico op langere discontinuïteit van de primaire processen door een cyberaanval blijft relevant, omdat dreigingen zich snel ontwikkelen en complexer worden.
Sociale veiligheid (Extern/ vermijdbaar/ strategisch risico)	Dit risico blijft op een hoog niveau, alleen al vanwege de zeer grote impact van incidenten. Toenemende bewustwording en afnemende (maatschappelijke) acceptatie van diverse vormen van ongelijkwaardig gedrag leiden tot een toenemende meldingsbereidheid. De trend is daardoor met enige onzekerheid omgeven. Ook in 2026 blijft de VU alert op het voorkomen van ongewenst gedrag. Incidenten worden zorgvuldig onderzocht en besproken. Via interne dashboards en periodieke overleggen is er doorlopend zicht op signalen en trends.

Context: maatschappelijke en geopolitieke ontwikkelingen

Het risico- en dreigingslandschap voor hoger onderwijsinstellingen verandert door maatschappelijke, technologische en geopolitieke ontwikkelingen. Deze context beïnvloedt de aard en de ernst van de geïdentificeerde toprisico's en vraagt om voortdurende alertheid en aanpassing van beheersmaatregelen.

Voor universiteiten zoals de VU vertaalt dit zich onder meer in verhoogde aandacht voor cyberdreigingen, kennisveiligheid, geopolitieke spanningen, maatschappelijke onrust, polarisatie en sociale veiligheid. Deze ontwikkelingen raken meerdere risico-domeinen tegelijk en hebben vaak een samenloop van effecten op veiligheid, reputatie, en ongewenst of zorgwekkend gedrag.

Kennisveiligheid vormt hierin een belangrijk aandachtspunt. Van de universiteiten wordt verwacht dat zij bij internationale samenwerking niet alleen kansen, maar ook risico’s expliciet meewegen. Geopolitieke spanningen vergroten het risico op spionage, ongewenste kennisoverdracht en heimelijke beïnvloeding van onderwijs en onderzoek, evenals ethische vraagstukken bij samenwerking met landen waar de grondrechten onder druk staan. Recente internationale ontwikkelingen volgen elkaar bovendien steeds sneller op, wat onder andere zichtbaar is in veranderingen in internationale rankings en indices op het gebied van academische vrijheid, zoals de Academic Freedom Index. De VU besteedt hier structureel aandacht aan.

Op het gebied van informatiebeveiliging & privacy ligt de focus op versterking van governance en beheersing. VU‑breed ligt de focus op het verhogen van het informatiebeveiligingsvolwassenheidsniveau door de inrichting en uitvoering van een integraal ISO27001‑certificeringsprogramma, mede in het kader van de NIS2‑richtlijn.

In de bijlagen is een overzicht opgenomen van de effectiviteit en borging van maatregelen. Deze aanvullende duiding ondersteunt de monitoring van de beheersing van de benoemde toprisico's.