Beschrijving van de belangrijkste risico’s en onzekerheden (B2)

In deze paragraaf geven we in een overzicht de belangrijkste risico’s weer die we verwachten bij de Universiteit Twente en noemen we de belangrijkste geformuleerde beheersmaatregelen op die risico's. Deze risico’s komen tot stand aan de hand van de input van direct betrokkenen en experts binnen en buiten de organisatie en zijn verbonden aan de realisatie van de strategie of kunnen van invloed zijn op de continuïteit van de universiteit. Daarbij onderscheiden we de in voorgaande paragraaf genoemde gebieden waar de UT de grootste impact verwacht als risico’s zich voordoen: onderwijs, onderzoek, valorisatie en kennisveiligheid, ICT, personeel, financiën en veiligheid in het algemeen. Daarmee is de beschrijving van risico’s in dit jaarverslag vanzelfsprekend niet uitputtend. Dat betekent niet dat op andere risico’s geen risicobeheersing plaatsvindt. De verantwoordelijkheid voor risicomanagement ligt ook bij de staf en op de werkvloer.

Externe en interne ontwikkelingen maken dat het belang om wendbaar en voorbereid op de toekomst te zijn steeds groter wordt. Externe ontwikkelingen zijn niet of in beperkte mate beïnvloedbaar. Zijn de kans en impact van deze risico’s groot, dan is het van belang dat de universiteit in kan spelen op de gebeurtenis met maatregelen die de impact verkleinen. Ten aanzien van interne ontwikkelingen is over het algemeen meer grip mogelijk. Een weloverwogen risk appetite en een binnen het management control framework passend risicomanagement helpen hierbij.

Risicogebied

Risico’s en onzekerheden

Belangrijkste beheersmaatregelen

Onderwijs

De omvang en samenstelling van onze studentenpopulatie veranderen zodanig, dat het kenmerkende karakter van het UT-onderwijs onder druk komt te staan en we daardoor niet meer de kwaliteit en kwantiteit aan de maatschappij kunnen leveren waar we voor staan.

• Scenario-analyse om gericht actie te ondernemen met marketing en communicatiedoeleinden en om in te kunnen spelen op veranderingen die niet direct beïnvloedbaar zijn.
• Vergroten van de aantrekkelijkheid van de UT-opleidingen.
• Inzet op LLO als volwaardige pijler in het onderwijs.
• Het inrichten van de systemen/infrastructuur om LLO te faciliteren.

Onderzoek

Subsidievoorwaarden en het intern uitvoering geven hieraan zijn complexer geworden. Daarnaast wordt er een groter beroep gedaan op internationale subsidies met meer en complexere voorwaarden. Als uitvoering of registratie van projecten niet compliant zijn, ontstaat er een risico op terugbetaling van subsidies. Dit kan tevens leiden tot imagoschade.

• Bij de versterking van de financiële functie in het algemeen is specifieke aandacht voor de basis op orde, waaronder een juiste, tijdige en volledige inrichting en verantwoording van subsidietrajecten.
• Vanuit elke organisatielaag en -discipline is er blijvend aandacht voor het belang van juiste, tijdige en volledige inrichting en verantwoording.
• Er wordt een duidelijker splitsing aangebracht in de verantwoordingsdocumenten om elkaar houvast te geven en scherp te blijven op inrichting en verantwoording.

Door teruglopende financieringsmogelijkheden komen de kwaliteit en kwantiteit van onderzoek onder druk te staan met mogelijke gevolgen voor wetenschappelijke output, waardoor er een risico ontstaat op lagere rankings en waardoor het moeilijker wordt om talent aan te trekken.

• Er wordt gerichter aandacht besteed aan de te behalen doelen ten aanzien van subsidie-omzet en dekkingsbijdragen.
• Er wordt ingezet op nog betere onderzoeksvoorstellen om een groter aandeel geslaagde calls te bereiken. Dit doen we bijvoorbeeld door extra bijeenkomsten te organiseren, evenals masterclasses. Ook zetten we in op het delen van best practices. Hierbij betrekken we goed presterende medewerkers om toe te lichten wat succesfactoren zijn. Ook zetten we in op nog betere ondersteuning vanuit Strategic Business Development (dienst binnen de UT).
• Inzet op onderzoek vanuit derde partijen, anders dan overheidssubsidies.

Valorisatie/Kennisveiligheid

Middelen voor valorisatie activiteiten staan onder druk door bezuinigingen op de sector.

Risico op compromittatie (inclusief exfiltratie en gijzeling) van gevoelige data en technologie, waardoor aantasting van de wetenschappelijke positie, contractbreuk van IP bij derden, reputatieschade en persoonlijke risico’s zoals intimidatie, druk kunnen ontstaan.


Misbruik van kennis en onderzoeksresultaten die door statelijke en niet-statelijke actoren gebruikt kunnen worden voor terroristische en criminele doeleinden.


(Onbedoeld) weglekken van kennis over hoogwaardige technologie waardoor risico ontstaat van misbruik van technologie, de (inter-)nationale veiligheid, reputatieschade, contractbreuk van IP bij derden met strafrechtelijke, economische/financiële gevolgen en imagoschade. 


Toenemende inperking van institutionele autonomie in NL en EU waardoor de UT beperkt kan worden in haar keuzevrijheid t.a.v. o.a. samenwerkingen, thema’s, werving, financieringsinstrumenten, publicaties.

• Aandacht voor valorisatie financieringsregelingen in funding strategie.
• Agenderen, monitoren en eventuele vervolgacties definiëren m.b.t. KPI's ten aanzien van valorisatie in diverse gremia, zoals aantallen kennistransferovereenkomsten, spin-offs, patenten en performance op valorisatiespecifieke subsidieregelingen.

• Aanwezigheid van een internal awareness en compliance programma dat continu verbeterd wordt, mede aan de hand van actuele ontwikkelingen.
• Incidentrapportages en follow-up van mogelijke incidenten zijn belegd en worden stelselmatig en risicogericht uitgevoerd.
• Er is voortdurende aandacht voor communicatie en bewustwording.
• Overleg met Beveiliging, manager Integrale Veiligheid, diversity, equity and inclusion officer, manager Integrale Veiligheid en Emergency Officer Abroad in deze of wisselende samenstelling ter voorkoming van incidenten en als incidenten zich voordoen.
• Social safety: integrale UT-aanpak op een veilige, inclusieve cultuur met bijbehorende hulpstructuur.
• Top-down en bottom-up communicatie, dus ook overleg met support staff, hoger management en CvB.
• Risicoanalyses, bespreken van kwetsbaarheden en nemen van risicomitigerende maatregelen.
• Het onderhouden van onze relatie met overheid en politie.
• Ontwikkelen en implementeren van kennisveiligheidsbeleid.
• Gericht aanbieden van trainingen op risicovolle plekken.
• Communicatiemaatregelen ten aanzien van gerichte doelgroepen.
• De aanwezigheid van het Incident Respons Plan Kennisveiligheid en de continue verbetering daarvan.

ICT

Verstoringen van kritische bedrijfsprocessen zoals cyberaanvallen en technische storingen en/of verstoring kritieke infrastructuur door incidenten en moedwillige acties binnen en buiten de UT.

Het verkeerd gebruik van ICT-middelen door medewerkers.

• Risico-assessments worden uitgevoerd, samen met ISO 27001-certificering en de SURF IB-audit, gericht op de digitale processen en systemen van de Universiteit Twente.
• Jaarlijkse calamiteiten- en crisisoefeningen om de weerbaarheid tegen onverwachte gebeurtenissen te vergroten. Deze vormen ook input bij het actualiseren van de continuïteits- en herstelplannen.
• Business Continuity Plan (BCP) ten behoeve van waarborgen van continuïteit van kritieke bedrijfsprocessen, zoals cyberaanvallen en technische storingen. Het BCP wordt ten minste jaarlijks, of na incidenten en oefeningen, herzien en aangepast. Met behulp van het BCP worden risico’s die calamiteiten kunnen veroorzaken geïdentificeerd in digitale systemen en het BCP biedt maatregelen voor schadebeperking en herstel.
• Verplicht cyberbewustzijnsprogramma voor alle medewerkers om het bewustzijn van informatieveiligheidsrisico’s en veilig ICT- en kennisveiligheidsgedrag te stimuleren.
• Technische beveiligingsmaatregelen, zoals multi-factor authenticatie, automatische updates en monitoring, die menselijke fouten compenseren en de digitale omgeving versterken.
• Door deze geïntegreerde aanpak combineert de UT risicobeheersing, bewustwording en technologische beveiliging om de continuïteit van ICT-diensten en bedrijfsprocessen te waarborgen.

Personeel

De organisatieveranderingen die nodig zijn als gevolg van maatschappelijke, politieke en interne ontwikkelingen zijn van een zodanige omvang/kwantiteit dat ze niet meer te behappen zijn binnen de huidige organisatiestructuur.

• (Multidisciplinaire) werkgroep organisatieverandering, die kennis verspreidt en vergaart ten aanzien van lokale organisatieveranderingen in de breedste zin van het woord en signaleert en adviseert ten aanzien van organisatiebrede ontwikkelingen die mogelijk (moeten) leiden tot organisatieverandering. De werkgroep heeft een vaste kern en wisselende perifere deelnemers naar gelang vraagstuk en/of organisatieonderdeel.
• Benodigde veranderingen worden beschouwd conform de Regeling Organisatiewijzigingen van de UT waarin vastgesteld is welke criteria gelden voor verschillende soorten organisatieveranderingen. Van daaruit worden ze in het UT-perspectief geplaatst en behandeld. 

Toename van verzuim door stress en hoge werkdruk, mede als gevolg van onzekerheden voor medewerkers in de veranderende organisatie.

• Monitoring in p&c-cyclus en welzijnsonderzoek met inzichten die gebruikt worden om preventie en monitoring verder uit te werken/uit te voeren.
• Vast onderdeel op de agenda tussen HR en MT.
• Degelijk contact met de arbodienstverlener op het gebied van verzuimpreventie en -begeleiding.
• Inzet op een gezonde balans (leiderschap, well-being aanbod, gericht op onder meer mantelzorg en neurodiversiteit).
• Social safety (integrale UT-aanpak op een veilige, inclusieve cultuur met bijbehorende hulpstructuur).

Vertraging in bijsturen op kwaliteit en kwantiteit van personeel om de benodigde wendbaarheid aan de dag te leggen met financiële tekorten en onvoldoende kwaliteit van personeel tot gevolg.

• Strategisch personeelsplan per eenheid.
• Doelgerichte aanpak en zorgen voor optimale vindbaarheid van de UT en vacatures, intern en extern.
• Transparant vacaturebeleid.

Financiën

Continuïteitsproblemen (solvabiliteit, liquiditeit, verscherpt toezicht) als gevolg van niet tijdig bij kunnen sturen op de gevolgen van (financiële) veranderingen, die zich als gevolg van diverse ontwikkelingen (bv. overheidsbezuinigingen, inflatie, teruglopende studentaantallen) veelvuldig en van significante omvang voordoen.

• Traject Versterking Financiële Functie' met onder andere aandacht voor verbetering financiële hygiëne, basis op orde, functie en organisatie inrichting, uitoefening control, rolduidelijkheid, versteviging van de p&c-cyclus.
• Instellen van ‘acute maatregelen’ om bezuinigingen te realiseren, waaronder beperkt reizen op eerste geldstroom, minder inzet van studentassistenten en extern personeel, nog kritischer op vervanging en uitbreiding personeel.
• Projectmatige aanpak ten behoeve van vergroting van efficiëntie en effectiviteit van de organisatie; ‘clusters’ die een aanpak ontwikkelingen op het gebied van onderwijs, onderzoek en bedrijfsvoering.
• Organisatieverandering waar nodig (varieert van verandering tot reorganisatie).
• Scenario-analyse om in beeld te brengen welke impact veranderende studentaantallen kunnen hebben op de financiën. Deze scenario's worden tevens gebruikt in de Kaderbrief, zodat de organisatie er rekening mee kan houden bij het plannen en het opstellen van de begroting.

Financierbaarheid en kwaliteit kleine opleidingen komt onder druk te staan, waardoor er risico’s ontstaan dat deze niet meer gefaciliteerd kunnen worden, met verlies van toekomstige afgestudeerden en onderzoeksgebieden tot gevolg.

• In kaart brengen van de kosten van de diverse opleidingen. Op die manier kunnen bewust keuzes gemaakt worden of kleine opleidingen kwalitatief hoogwaardig kunnen blijven bestaan.
• Futureproof education vanuit clusteraanpak, dat handvaten moet bieden aan faculteiten om onderwijs slim en efficiënt in te richten, wat helpt om de juiste keuzes te maken.

Frauderisico's zoals onttrekking van geld door onrechtmatige betalingen (bv. door identiteitsfraude of cybercrime), misbruik door belangenverstrengeling, wetenschappelijke integriteit en het laten prevaleren van persoonlijk belang boven het belang van de UT.


Compliancerisico's; management rondom privacywetgeving, rechtmatige besteding van middelen en arbeidsrechtwetgeving.

• Er gelden gedragscodes.
• Er is een klokkenluidersregeling.
• Er zijn specifieke procescontroles ingesteld, zoals functiescheiding, door het systeem opgelegde controles, screening door derde partijen en cybersecurity gerelateerde controles.

Innovatie

Bezuinigingen leiden ertoe dat we niet voldoende middelen hebben om de benodigde innovaties te bekostigen die nodig zijn om in de snel veranderende wereld bij te blijven.

• Aandacht voor innovatie-financieringsregelingen in funding strategie.
• Agenderen, monitoren en eventuele vervolgacties definiëren m.b.t. KPI's in diverse gremia.
• De aandacht hierop vestigen in de p&c-cyclus en in relatie tot de nieuwe organisatiestrategie, waaronder het top-down en bottom-up monitoren van de financiële effecten van keuzes, zoals het gevolg voor benodigde innovatie en eventuele maatregelen.
• Innovatiekracht onderdeel uit laten maken van de businesscase rondom lokale reorganisaties. Dat wil zeggen dat er in de business cases en reorganisatieplannen aandacht is voor de mogelijkheden van (en noodzaak tot) innovatie als na een reorganisatie de nieuwe werkelijkheid in werking treedt. Dit is in de snel veranderende wereld van cruciaal belang, om bij te blijven en up to date te blijven.

Veiligheid

Gevoelens van stigmatisering, discriminatie of vijandigheid a.g.v. berichtgeving in de media en/of a.g.v. kennisveiligheidsmaatregelen waardoor individuele studenten of wetenschappers zich niet meer welkom en gewenst voelen.

(Inter-)nationale ontwikkelingen, stigmatisatie en polarisatie, demonstraties en bezettingen van gebouwen waardoor primaire processen ontregeld en verstoord worden en/of als gevolg waarvan gevoelens van onveiligheid bij studenten en personeel ontstaan door polarisatie, waardoor personeel en studenten uitvallen, bijvoorbeeld door ziekte.

• Aanwezigheid van een internal awareness en compliance programma dat continu verbetert wordt, mede aan de hand van actuele ontwikkelingen.
• Overleg met Beveiliging, manager Integrale Veiligheid, diversity, equity and inclusion officer, manager Integrale Veiligheid en Emergency Officer Abroad in deze of wisselende samenstelling ter voorkoming van incidenten en als incidenten zich voordoen.
• Top-down en bottom-up communicatie, dus ook overleg met support staff, hoger management en CvB.
• Communicatiemaatregelen richting doelgroepen.
• Relatie met overheid en politie.
• Overleg met Beveiliging.
• Social safety (integrale UT-aanpak op een veilige, inclusieve cultuur met bijbehorende hulpstructuur).