Aanwezigheid en werking van het interne risicobeheersings- en controlesysteem (B1)

Werking en opzet

In 2025 zullen we doorgaan met het uitwerken van de bestuurlijke prioriteiten. Gedurende het jaar wordt vormgegeven aan het Instellingsplan. Er wordt gewerkt aan zo concreet mogelijke strategische doelstellingen in meerjarenperspectief, die de input vormen voor de jaarplannen van de eenheden en van de universiteit als geheel. Verder zal in 2025 de nadruk blijven liggen op het financieel gezond houden van de organisatie. In de P&C-cyclus (zie afbeelding) monitoren we de implementatie van het vastgestelde beleid en rapporteren we over de realisatie van de plannen. Op basis daarvan wordt bepaald of risicomitigerende en/of andere maatregelen nodig zijn. Betrouwbare, relevante en tijdige managementinformatie is hierbij van belang. Er wordt continu gestreefd naar verbetering en versterking van een sturingsgerichte P&C-cyclus en daarin opgenomen producten.

Planning and control cyclus

Het risicomanagement van de UT is gericht op het continu beheersen van de risico’s. Het proces is ingericht om risico's zodanig te beheersen dat meer zekerheid ontstaat dat de organisatie haar doelstellingen zal realiseren en de continuïteit van de organisatie kan waarborgen. Daarbij wordt een risico gedefinieerd als 'een gebeurtenis die een positief of negatief effect kan hebben op het bereiken van de organisatiedoelstellingen of de bedrijfsvoering’. We focussen in ons risicomanagement waar mogelijk op zowel verkleining van de kans op zo’n gebeurtenis, als op het verkleinen van de impact als die zich voordoet.

Risico’s in deze continuïteitsparagraaf zijn geformuleerd aan de hand van zeven risicogebieden. Elke expert of expertgroep op een risicogebied reviewt de belangrijkste risico’s en past aan of vult aan waar nodig. Deze risico’s worden met het oog op de strategische doelstellingen en de bedrijfsvoering geclassificeerd en geprioriteerd. Vervolgens zijn beheersmaatregelen bepaald. Hieraan uitvoering geven ligt bij de eigenaars en de eenheden waar zich de risico’s voor kunnen doen. In deze risicoparagraaf worden de belangrijkste risico’s en de daarop geformuleerde beheersmaatregelen weergegeven.

Naast risico’s die voortkomen uit door de universiteit geformuleerde risicogebieden onderkennen we ook risico’s die buiten de directe invloedssfeer van de universiteit vallen. Hierop gaan we in de volgende paragraaf in.

Risicogebieden, bedreigingen en kansen en beheersmaatregelen

De verkenning van risicogebieden, bedreigingen en kansen ten aanzien van interne ontwikkelingen wordt vormgegeven conform de werking van het risicobeheersings- en controlesysteem zoals in de voorgaande paragraaf beschreven. Als risicogebieden onderscheiden we: onderwijs, onderzoek, personeel, financiën, ICT, kennisvalorisatie en (kennis-)veiligheid. Deze onderwerpen worden onder 'beschrijving van de belangrijkste risico’s en onzekerheden' uitgewerkt. Daarbij worden eveneens de geformuleerde beheersmaatregelen per risicogebied opgenomen.

Toekomstig risicomanagement

Het belang van een goed werkend risicomanagementsysteem is toegenomen. Er doen zich meer onverwachte gebeurtenissen voor en de frequentie neemt eveneens toe. Een goed werkend risicomanagementsysteem draagt bij aan een breder bewustzijn hoe om te gaan met kansen, onzekerheden en disrupties. Dat is op strategisch niveau vooral van belang voor bestuur, management, toezichthouder en medezeggenschap, op operationeel niveau voor management en werkvloer en op tactisch niveau voor eenieder. De universiteit wil het komende jaar:

  • Strategisch risicomanagement nog beter verankeren in de P&C-cyclus. De basis hiervoor wordt gelegd in het management control framework dat in ontwikkeling is. Hieruit blijkt onder andere wie de regie voert over het risicomanagement, wie dit uitvoert en waar dit terug te zien is. De regiehouder is tevens verantwoordelijk voor een cyclische inbedding op zodanige wijze, dat risico gestuurd werken vanzelfsprekender wordt en zet Internal Audit in als raadgever. Dat het verbeteren van de P&C-cyclus als geheel en het versterken van de samenhang tussen de P&C-producten voor 2025 eveneens op de agenda staan, gaat helpen om dit voornemen te realiseren.

  • Meer samenhang aanbrengen tussen strategisch, tactisch en operationeel risicomanagement. Om dit te bereiken, worden bestaande initiatieven bij elkaar gebracht. Ook wordt gebruik gemaakt van de opbrengsten van de werkgroep GRC en de workshop ‘Een waardegedreven risicodialoog om te navigeren in onzekere tijden’. De regiehouder speelt hier een belangrijke rol in. Dit moet er in de toekomst eveneens toe leiden, dat risico gestuurd werken, meer dan nu, vanzelfsprekender wordt. Best practices van eenheden waar risicomanagement van nature in het DNA zit en waar het al goed is ingebed, functioneren hierbij als leidraad. Daarmee bouwen we verder op werkende concepten.

  • Invulling geven aan het voeren van de risicodialoog met de drie essentiële vragen: Wat is ons doel? Wat is onzeker? Wat ga je doen? De eerste stap is om dit gesprek te voeren aan de hand van de geformuleerde risico’s. Door deze risicodialoog in te bedden in de P&C-cyclus, ontstaat op de langere termijn een voortdurend mechanisme van reviewen van bestaande risico’s, aanpassen en aanvullen waar nodig, zoals dit nu uitgevoerd wordt ten aanzien van de strategische risico’s.

Doel is om het risico gestuurd werken verder te integreren, internaliseren en verbeteren: verantwoording via de P&C-cyclus én meer risicodialoog om het bewustzijn en de begripsvorming te verhogen. Zo raken we beter voorbereid om tijdig maatregelen te treffen bij nieuwe ontwikkelingen.

Internal audit

Internal Audit is de eigen auditfunctie van de Universiteit Twente. Deze afdeling houdt zich primair bezig met uitvoering van (voornamelijk niet-repeterende) onderzoeken naar zaken waarover het management additionele zekerheid wenst (management control), waarbij naast beheersingsmaatregelen zoals richtlijnen en procedures, ook cultuur- en gedragsaspecten zoals leiderschap en integriteit in beschouwing worden genomen. Naast deze primaire rol ondersteunt de interne auditfunctie het management in het analyseren van oorzaken van problemen (verkrijgen inzichten) en doet zij aanbevelingen om processen en interne beheersing te verbeteren. Bovendien adviseert ze het CvB en de Auditcommissie van de RvT over de meer structurele ontwikkelingen in de risico’s en de bijbehorende beheersingsmaatregelen, bijvoorbeeld op het gebied van cybersecurity. Deze invulling houdt in dat naast onafhankelijke en objectieve audit diensten ook consulting diensten worden aangeboden die bedoeld zijn om zowel de waarde van de organisatie te beschermen en te behouden als waarde aan de organisatie toe te voegen en de bedrijfsactiviteiten te verbeteren. Internal Audit doet dit door haar functie vraag gestuurd in te vullen (in afstemming met key-stakeholders) en een coördinerende rol te vervullen in de optimalisatie van de onderlinge samenwerking tussen functies belast met de uitvoering van control werkzaamheden.

Internal Audit kent een brede scope van dienstverlening op de disciplines financial, behavioural, operational, IT en sustainability auditing & consulting, om te kunnen focussen op de relevante onderwerpen voor de onderwijsinstelling en in te spelen op nieuwe ontwikkelingen en opkomende risico’s. De onderwerpen voor onderzoek en advisering door Internal Audit worden vastgelegd in een risico-gebaseerd (meerjarig) intern auditplan, dat periodiek wordt herzien.

Raad van Toezicht - Auditcommissie

De Auditcommissie van de Raad van Toezicht monitort ons interne risicobeheersings- en controlesysteem. Daarnaast bereidt de commissie de bespreking in de RvT voor van:

  • Naleving van de relevante wet- en regelgeving;

  • Financiële informatieverschaffing door de universiteit en haar deelnemingen;

  • Naleving van aanbevelingen en opvolging van opmerkingen van de (externe) accountant;

  • Financiering van de universiteit conform beleggings- en financieringsstatuten;

  • De financiële informatieverschaffing (waaronder de Kaderbrief, Begroting en de Jaarrekening);

  • Administratieve organisatie en de daaraan ten grondslag liggende informatiesystemen.

Externe accountant

De externe accountant is een belangrijke schakel in het interne risicobeheersings- en controlesysteem. De controleverklaring van de externe accountant is erop gericht om de rechtmatige totstandkoming van de in de jaarrekening verantwoorde baten en lasten alsmede balansmutaties te controleren en om vast te stellen of de jaarrekening een getrouw beeld geeft van de financiële situatie. De zekerheid die de externe accountant met deze verklaring verschaft is belangrijk voor het dechargeproces en ondersteunt de RvT bij het uitvoeren van haar verantwoordelijkheid. Naast de controleverklaring levert de externe accountant ook een accountantsverslag en een rapportage van interim bevindingen, de zogeheten management letter. In deze documenten rapporteert de externe accountant vanuit haar onafhankelijke rol over de kwaliteit van de interne beheersing en wordt advies gegeven over door te voeren verbeteringen. De externe accountant voert periodiek overleg met de Auditcommissie van de RvT, het CvB, Internal Audit, de dienst Finance en de dienst LISA.