Aanwezigheid en werking van het interne risicobeheersings- en controlesysteem (B1)

Werking en opzet

Risicomanagement is gericht op het continu en proactief beheersen van de risico’s. Het is een aanvulling op de bestaande bedrijfsvoering en is als zodanig geïntegreerd in de bestaande processen. Een risico wordt als volgt gedefinieerd: “een gebeurtenis die een positief of negatief effect heeft op het bereiken van de organisatiedoelstellingen. Er wordt dan gesproken over een kans dan wel een bedreiging”. Centraal staat derhalve het realiseren van de strategische doelstellingen, die worden bepaald als onderdeel van het Planning & Control Proces (zie schema).

Planning and control cyclus

In 2023 zullen we doorgaan met het uitwerken van de bestuurlijke prioriteiten zoals we dat ook in 2022 hebben gedaan. In 2022 zijn deze prioriteiten kritisch beoordeeld. Dit heeft ertoe geleid dat de UT zich in 2023 zal focussen op een vijftal bestuurlijke prioriteiten en twee ondersteunende fundamentele activiteiten. Met behulp van periodieke managementrapportages monitoren we de implementatie van het vastgestelde beleid en rapporteren we over de realisatie van de plannen. Op basis daarvan wordt bepaald of risico mitigerende en/of andere maatregelen nodig zijn. Betrouwbare, relevante en tijdige managementinformatie is hierbij van belang. 

Er wordt blijvend gewerkt aan de verdere versterking van een meer sturingsgerichte P&C-cyclus en daarin opgenomen producten.

Risicogebieden; bedreigingen en kansen

Interne ontwikkelingen

Periodiek wordt een min of meer vaste set van geïdentificeerde strategische risico’s gemonitord door middel van de managementrapportage (MARAP). De MARAP kent per rapportage eigen accenten, kenmerkend voor bijsturingsmogelijkheden in de P&C cyclus. Als risicogebieden onderscheiden we: onderwijs, onderzoek, personeel, financiën, ICT, valorisatie en kennisveiligheid. Deze onderwerpen worden onder “beschrijving van de belangrijkste risico’s en onzekerheden (B2)” individueel uitgewerkt.

Externe ontwikkelingen

De externe kansen/bedreigingen die de UT ziet, komen vooral voort uit het landelijke politieke domein en geopolitieke situatie.

Enkele actuele ontwikkelingen zijn:

Oorlog in Oekraïne

Op dit moment is er een oorlog in Oekraïne. Dit heeft gevolgen voor de wereldeconomie, en daarmee ook voor de economie van Nederland. Het heeft ook impact op het welzijn van de studenten, de medewerkers en alle mensen die (direct of indirect) te maken hebben met de situatie in Oekraïne. Om de toegang tot het hoger onderwijs te waarborgen, is het collegegeldtarief voor gevluchte Oekraïense studenten voor het collegejaar 2022/2023 verlaagd naar het wettelijk tarief.

Stijgende prijzen

2022 was een jaar met hoge inflatie. Zo zijn de grondstoffen- en energieprijzen fors gestegen, mede als gevolg van de oorlog in Oekraïne. In hoeverre deze stijging verder doorzet en of de prijzen structureel hoog zullen blijven, is op dit moment nog onzeker. Het is verder nog onzeker óf en in hoeverre de overheid hierop zal acteren middels een hogere loon- en prijscompensatie.

Rijksbekostigingsmodel

In 2021 zijn in opdracht van OCW door de onderzoeksbureaus PwC en Berenschot onderzoeken uitgevoerd naar respectievelijk de toereikendheid van de rijksbekostiging van het MBO en HO en de optimale verhouding tussen vaste en variabele bekostiging.

Zowel het onderzoek van PwC als van Berenschot kunnen mogelijk consequenties hebben voor de toekomstige ontwikkeling van de rijksbekostiging voor de universiteiten.

OCW: Financieel beleid

Elk jaar opnieuw is het maar de vraag of en hoeveel OCW de universiteiten compenseert voor gestegen lonen, prijzen en studentenaantallen. Omdat we nooit vooraf weten in hoeverre OCW de instellingen compenseert, is de druk en onzekerheid op de financiële ruimte van de UT toegenomen. Deze compensaties worden dermate laat in het jaar bekend (juni), dat het in de lopende begroting moeilijk tot zinvolle bestedingen leidt. De UT onderkent dit risico en maakt een eigen inschatting van de compensaties (2023 M€ 12). Hiermee komt de UT weliswaar tegemoet aan de oproep van de minister om risicovoller te begroten. OCW verlegt hiermee echter wel de financiële risico’s steeds meer naar de universiteiten.

Internationalisering

Internationalisering is sinds lange tijd een van de pijlers van de UT-strategie, met nadruk op de kwaliteit van het onderwijs (international classroom) en de bijdrage aan de maatschappelijke vraag naar academisch opgeleide technici voor de arbeidsmarkt. ECIU University is een van de strategische prioriteiten van de UT en een belangrijk vehikel voor de realisatie van onze Shaping2030 en internationaliseringsvisie. Het is een van de grootste consortia die werken aan het bouwen van een Europese Universiteit. Steeds vaker wordt input op Europees beleid via deze European Alliances gevraagd. De meerwaarde van het initiatief wordt ook door OCW gezien aangezien financiering van Europese Universiteiten initiatieven is toegezegd. Anderzijds zijn we met ECIU University ambitieus en brengt het samenwerken op deze schaal en in dit tempo ook uitdagingen met zich mee. Denk hierbij aan het absorptievermogen van deze ontwikkelingen in de eigen faculteiten.

Een risico op het gebied van internationalisering zit in de huidige politieke discussie rondom werving van internationale studenten. Een nieuw pakket van beheersmaatregelen ten aanzien van internationale studenteninstroom is aangekondigd voor februari 2023 (uitgesteld naar april 2023). De landelijke discussie lijkt momenteel puur gericht op het afbouwen van internationale instroom. De UT heeft belang bij een genuanceerder verhaal met betrekking tot deze internationale instroom waarbij er mogelijkheden blijven bestaan om instroom te vergroten in tekortsectoren (bijvoorbeeld technisch onderwijs). Een breder instrumentarium, gericht op sturing en niet alleen beperking, biedt de UT kansen om gerichter studenten aan te trekken die passen bij het instellingsprofiel. Met het oog op de visie en strategie van de UT zijn de regionale banden versterkt om gezamenlijk de meerwaarde van internationalisering voor de regio Twente te benadrukken.

Een instrument welke de UT momenteel inzet voor het creëren van een diverse, internationale classroom is het voorbereidend jaar in samenwerking met Navitas. Het International Foundation Year (IFY) aan de UT is niet alleen bedoeld voor het wegwerken van deficienties, maar ook voor de doelgroep internationale studenten waar in het land van herkomst geen vwo-equivalent diploma bestaat. Het in 2022 aangescherpte kader IFY roept op tot het beperken van het voorbereidend jaar en zeker ook de samenwerking met commerciële partijen kritisch te beschouwen. Mocht het instrument nog verder ingeperkt worden door de lopende maatschappelijke discussie dan bestaat het risico dat we dit niet meer samen met onze partner Navitas kunnen organiseren of dat we zelfs het instrument IFY niet meer kunnen uitvoeren.

Beide punten hierboven hebben ook betrekking op de autonomie van de universiteit. Afwegingen rondom internationalisering, zeker op gebied van werving, lagen bij de individuele universiteit, maar wel als onderdeel van een zelfregulerend stelsel, bijvoorbeeld door de gezamenlijke formulering van de Gedragscode Internationale Student. Het huidige politieke klimaat kan leiden tot meer centrale regie vanuit Den Haag, wat consequenties kan hebben voor de autonomie en kan leiden tot vergroting van de verantwoordingsdruk.

Duurzaamheid

Duurzaamheid is een belangrijke pijler van Shaping2030 en biedt kansen voor de UT. De brede UT-gemeenschap heeft met tal van initiatieven de urgentie van dit vraagstuk aangetoond. De universiteit wil een significante impact hebben op duurzaamheidsuitdagingen en heeft binnen het SEE-programma ambitieuze plannen ontwikkeld om deze kwestie aan te pakken. 

Beheersmaatregelen

Beheersmaatregelen zijn zowel preventief als repressief. Intern zijn er twee soorten: hard controls (afspraken en richtlijnen) en soft controls (gericht op het functioneren van medewerkers). Voorbeelden van hard controls binnen de universiteit zijn het Bestuurs- en beheersreglement (BBR), de mandaatregeling, de regeling nevenwerkzaamheden en richtlijnen vanuit de externe wetgeving. Het accent ligt op hard controls, maar we onderzoeken hoe we invulling kunnen geven aan een verschuiving naar meer soft controls.

De beheersmaatregelen zijn gericht op het beheersen van operationele en financiële risico’s en risico’s als gevolg van wet- en regelgeving. De periodieke monitoring op de effectiviteit van de beheersmaatregelen vindt zowel centraal als op het niveau van de afzonderlijke eenheden (faculteiten, instituten en diensten) plaats en is erop gericht om tijdig afwijkingen van het plan te detecteren. Waar nodig vindt een onderzoek plaats naar de oorzaken en worden bijsturingsmaatregelen getroffen.

De ontwikkelingen in bovenstaande indicatoren, de werking van de ingezette beheersmaatregelen en de onderkende risico’s worden periodiek via de managementrapportage geagendeerd in het CvB, het CvB-decanenoverleg, de RvT en de Universiteitsraad. Ze worden ter informatie gezonden aan het management binnen de universiteit. Daarnaast zijn ze onderwerp van gesprek in de Shaping Dialogues tussen het CvB en de faculteitsbesturen.

Beheersingsmaatregelen met betrekking tot de externe ontwikkelingen worden vooral gezocht in het gezamenlijk optrekken met andere universiteiten (VSNU, 4TU, VU), Hogescholen, samenwerking met gemeente, eigen scenarioanalyses en lobby-trajecten

Toekomstig risicomanagement

Ons risicomanagementsysteem is strategisch ingebed, voorziet in sturingsmechanismen en wordt omarmd door het bestuur, het management, de medezeggenschap en de toezichthouder. Desondanks vragen het risicobewustzijn en interne- en externe ontwikkelingen om aanvullende doorontwikkelingen, die door de werkgroep Governance, Risk en Compliance verder worden uitgewerkt:

  • In 2022 is een werkgroep samengesteld met als doel een UT-breed Governance, Risk en Compliance (GRC) raamwerk te ontwikkelen. De werkgroep bestaat uit medewerkers vanuit verschillende vakgebieden: financiën, integrale veiligheid, kennisveiligheid en Internal Audit. Op dit moment wordt een blauwdruk gemaakt van het raamwerk en worden relevante aandachtsgebieden in kaart gebracht. De aandachtsgebieden zijn algemeen (zoals finance en business continuity) en strategisch van aard. De werkgroep heeft voor de strategische aandachtsgebieden besloten om de prioriteiten van de UT te hanteren, omdat deze een concretisering zijn vanuit de ambities die in Shaping2030 staan. De werkgroep zal in gesprek gaan met medewerkers betrokken bij de vijf prioriteiten over risico’s en de wijze waarop zij deze risico’s mitigeren. Voor de algemene aandachtsgebieden zal de werkgroep de risico’s en beheersmaatregelen ook in kaart brengen. Door in gesprek te gaan met de UT organisatie wil de werkgroep stap voor stap in kaart brengen op welke manier de UT risico’s beheerst op de belangrijkste aandachtsgebieden.

Internal Audit

Internal Audit is de eigen auditfunctie van de Universiteit Twente. Deze afdeling houdt zich primair bezig met uitvoering van (voornamelijk niet-repeterende) onderzoeken naar zaken waarover het management additionele zekerheid wenst (management control), waarbij naast beheersingsmaatregelen zoals richtlijnen en procedures, ook in toenemende mate cultuur- en gedragsaspecten zoals leiderschap en integriteit in beschouwing worden genomen. Naast deze primaire rol ondersteunt de interne auditfunctie het management in het analyseren van oorzaken van problemen (verkrijgen inzichten) en doet zij aanbevelingen om processen en interne beheersing te verbeteren. Bovendien adviseert ze het CvB en de auditcommissie van de RvT over de meer structurele ontwikkelingen in de risico’s en de bijbehorende beheersingsmaatregelen, bijvoorbeeld op het gebied van cybersecurity. Deze nieuwe invulling houdt in dat naast onafhankelijke en objectieve audit diensten ook consulting diensten worden aangeboden die bedoeld zijn om zowel de waarde van de organisatie te beschermen als waarde aan de organisatie toe te voegen en de bedrijfsactiviteiten te verbeteren. Internal Audit doet dit door haar functie vraag gestuurd in te vullen (in afstemming met key-stakeholders) en een coördinerende rol te vervullen in de optimalisatie van de onderlinge samenwerking tussen functies belast met de uitvoering van control werkzaamheden.

Internal Audit kent een brede scope van dienstverlening, om te kunnen focussen op de relevante onderwerpen voor de onderwijsinstelling en in te spelen op nieuwe ontwikkelingen en opkomende risico’s. Naast financial audits worden bijvoorbeeld ook behavioural, operational en IT-audits uitgevoerd en inzichten en/of adviezen gegeven. Met de toevoeging van de discipline sustainability in 2023, is Internal Audit in staat om te voorzien in de advisering en de controle van niet-financiële duurzaamheidsinformatie. De onderwerpen voor onderzoek en advisering door Internal Audit worden vastgelegd in een risico-gebaseerd (meerjarig) intern auditplan, dat periodiek wordt herzien.

Het verslagjaar 2022 heeft voornamelijk in het teken gestaan van de verdere vormgeving van de nieuwe disciplines behavioural en IT-auditing en advisory.

Ten aanzien van eerstgenoemde discipline is in het najaar van 2021 een pilot uitgevoerd gericht op het verkrijgen van inzicht in de perceptie van medewerkers van de Universiteit Twente over de impact van thuiswerken als gevolg van COVID-19, specifiek over de samenwerking op afstand en de noodzakelijke digitalisering van werkzaamheden. Hierdoor is inzicht verkregen in mogelijke risico’s die het thuiswerken met zich meebrengt voor de beheersing en besturing van de universiteit. De mate waarin beheersingsmaatregelen (bijvoorbeeld een plan voor een crisissituatie als COVID-19) effectief werken, is mede afhankelijk van niet-tastbare gedragsbeïnvloedende factoren in een organisatie (zogenaamde drijfveren), die ingrijpen op c.q. appelleren aan het persoonlijk functioneren van medewerkers.

In 2022 is, in vervolg op eerdergenoemde pilot, een onderzoek uitgevoerd naar een instrument om deze drijfveren te beïnvloeden, te weten (een zevental) gedragscodes en regelingen van de UT op het gebied van integriteit en veiligheid. In deze gedragscodes en integriteitsregelingen heeft de UT beschreven welk gedrag gewenst is (c.q. welk gedrag ongewenst is) en hoe van medewerkers wordt verwacht dat met collega’s, klanten en eigendommen van de UT wordt omgegaan. Het onderzoek heeft zich gericht op de kwaliteit van deze gedragscodes en regelingen op basis van de aspecten volledigheid, actualiteit, helderheid, bereikbaarheid, consistentie en authenticiteit.

In het vervolg op dit onderzoek, dat met name was gericht op de inhoud (opzet), is voor specifiek het screeningsbeleid een verdiepend onderzoek uitgevoerd naar de inbedding ervan (bestaan en werking) in de organisatie. Bevindingen uit dit onderzoek worden meegenomen in de herziening van het screeningsbeleid, vanwege de verankering van (nieuwe) wet- en regelgeving rondom kennisveiligheid en privacy.

Voorts is in 2022 een onderzoek uitgevoerd bij de faculteit ET met als doel om inzichten te verkrijgen in de beleving van medewerkers en studenten over hoe zij Diversity, Equity & Inclusion (DE&I) ervaren in de context van de omgeving en cultuur van de faculteit. Dit onderzoek is uitgevoerd teneinde input op te halen voor de verder vormgeving van het DE&I-actieplan. Het (faculteits-) bestuur vindt DE&I een belangrijk thema en is verantwoordelijk voor de bevordering van een open cultuur waarin ieder onderwerp ter sprake kan komen waarin bestuurders, medewerkers en studenten zich vrij voelen om elkaar aan de spreken. Daarnaast is het bestuur verantwoordelijk voor het creëren van een omgeving waar mensen met diverse achtergronden, oriëntaties en opvattingen de kans krijgen zich voluit te ontwikkelen. Zij dragen gezamenlijk zorg voor een veilige en inclusieve cultuur.

Met het uitvoeren van voornoemde onderzoeken voorziet Internal Audit in een behoefte en draagt ze tegelijkertijd bij aan de stimulering van het goede gesprek over de governance van universiteiten (hoe uitvoering te geven aan de vastgelegde principes van goed bestuur).

Daarnaast zijn in 2022 IT-audits uitgevoerd en adviezen verstrekt rondom informatiebeveiliging, het personeel- en salaris proces in AFAS HR en de interne (IT) beheersmaatregelen binnen diverse relevante applicaties. Ook hebben we de controlewerkzaamheden rondom de dataoverdracht van de oude Oracle applicaties naar de nieuwe U4ERP applicatie beoordeeld. Binnen al deze onderzoeken richten we ons op zowel het technische aspect in de applicaties, als het menselijke handelen binnen de processen. Deze twee facetten kunnen niet los van elkaar worden bezien en daarom bespreken we de resultaten van IT-audits en adviezen ook met de behavioural auditors binnen ons team. Op die manier proberen we kruisbestuiving tussen de IT-audits (gericht op systemen en processen) en de behavioural audits (gericht op cultuur en gedrag) te realiseren.

RvT-Auditcommissie

De Auditcommissie van de RvT monitort ons interne risicobeheersings- en controlesysteem. Daarnaast bereidt de commissie de bespreking in de Raad voor van:

  • Naleving van de relevante wet- en regelgeving;

  • Financiële informatieverschaffing door de universiteit en haar deelnemingen;

  • Naleving van aanbevelingen en opvolging van opmerkingen van de (externe) accountant;

  • Financiering van de universiteit conform beleggings- en financieringsstatuten;

  • De financiële informatieverschaffing (waaronder het Spring Memorandum, Begroting en de Jaarrekening);

  • Administratieve organisatie en de daaraan ten grondslag liggende informatiesystemen.

Externe accountant

De externe accountant is een belangrijke schakel in het interne risicobeheersings- en controlesysteem. De controleverklaring van de externe accountant is erop gericht te controleren of de jaarrekening rechtmatig is en een getrouw beeld geeft van de financiële situatie. De zekerheid die de externe accountant met deze verklaring verschaft, is belangrijk voor het dechargeproces en ondersteunt de RvT bij het uitvoeren van zijn verantwoordelijkheid. Naast de controleverklaring levert de externe accountant ook een accountantsverslag en een rapportage van interimbevindingen, de zogeheten management letter. In deze documenten rapporteert de externe accountant vanuit zijn onafhankelijke rol over de kwaliteit van de interne beheersing en wordt advies gegeven over door te voeren verbeteringen. De externe accountant voert periodiek overleg met de Auditcommissie van de RvT, het CvB, Internal Audit, de dienst Finance en de dienst LISA.