Context – Zorgsector
Risico’s zijn inherent aan elke vorm van maatschappelijke, operationele en digitale dienstverlening.
Voor organisaties in de zorgsector geldt dit in het bijzonder, gezien hun maatschappelijke opdracht, de kwetsbaarheid van cliënten en patiënten, en de hoge eisen aan continuïteit, kwaliteit, veiligheid en betrouwbaarheid.
Dit beleid beschrijft het organisatiebrede kader voor enterprise risicomanagement. Het is van toepassing op alle types risico’s die de organisatie kunnen beïnvloeden bij het realiseren van haar doelstellingen, ongeacht hun aard of oorsprong. Dit omvat onder meer strategische, operationele, financiële, juridische, kwaliteits-, reputatie- en informatierisico’s.
De organisatie opereert in een complexe en sterk gereguleerde omgeving, met een hoge mate van afhankelijkheid van processen, mensen, informatie, technologie en externe partners. Verstoringen, incidenten of tekortkomingen in deze samenhang kunnen directe gevolgen hebben voor de continuïteit van zorg, de veiligheid van betrokkenen, de kwaliteit van dienstverlening en het vertrouwen van stakeholders.
Risicomanagement is daarom geen afzonderlijke of gespecialiseerde functie, maar een integraal onderdeel van besluitvorming, strategiebepaling en operationele aansturing op alle niveaus van de organisatie. Het biedt een gestructureerde manier om onzekerheden systematisch te identificeren, te beoordelen en beheerst om te gaan met risico’s die de werking en maatschappelijke opdracht van de organisatie kunnen beïnvloeden.
Een systematisch, proportioneel en contextueel afgestemd enterprise risicobeheer vormt dan ook een fundamentele bouwsteen van goed bestuur, duurzame zorgverlening en organisatorische weerbaarheid binnen de zorgsector.
Doel van het beleid – zorgsector
Dit beleid heeft als doel de principes, verantwoordelijkheden en structuur vast te leggen voor het identificeren, analyseren, beoordelen, behandelen en opvolgen van risico’s die een impact kunnen hebben op het realiseren van de doelstellingen van de organisatie.
Het beleid vormt het formele en organisatiebrede kader waarbinnen risicomanagement wordt toegepast als een continu, systematisch en proportioneel proces, geïntegreerd in governance, strategie, besluitvorming en operationele werking.
Binnen dit kader worden alle relevante risicocategorieën op een samenhangende en consistente manier beheerd, ongeacht hun aard of oorsprong. Dit beleid creëert daarmee het referentiekader waarbinnen specifieke risicodomeinen verder kunnen worden uitgewerkt in onderliggende, thematische beleidsdocumenten, zonder afbreuk te doen aan de organisatiebrede benadering van risicomanagement.
Dit Enterprise Risk Management-beleid is opgesteld in overeenstemming met ISO 31000:2018 – Risk management – Guidelines.
ISO 31000 beschrijft risicomanagement als een integraal onderdeel van governance, leiderschap, strategie en besluitvorming. De standaard benadrukt dat risicomanagement systematisch, organisatiebreed, proportioneel en contextafhankelijk moet worden toegepast, en geïntegreerd moet zijn in alle activiteiten van de organisatie.
Dit beleid volgt de principes en het procesmodel van ISO 31000 en vormt het normatieve kader voor risicomanagement binnen de organisatie. De concrete uitwerking van specifieke risicodomeinen gebeurt in onderliggende beleidsdocumenten en kaders die consistent zijn met dit ERM-raamwerk.
Waar relevant sluit dit beleid tevens aan bij erkende governance- en risicomanagementpraktijken zoals het Three Lines Model (IIA) en enterprise risk management-benaderingen zoals COSO ERM.
Reikwijdte – zorgsector
Dit beleid is van toepassing op alle activiteiten, processen, beslissingen en relaties van de organisatie waarbij onzekerheden of gebeurtenissen de verwezenlijking van organisatiedoelstellingen kunnen beïnvloeden.
Het beleid omvat alle relevante categorieën van risico’s, waaronder strategische, operationele, financiële, juridische, compliance-, reputatie- en continuïteitsrisico’s. Deze risico’s kunnen voortkomen uit interne en externe factoren, waaronder organisatorische keuzes, menselijke handelingen, processen, technologie, informatie, infrastructuur, regelgeving en externe partijen.
Dit beleid geldt organisatiebreed en is van toepassing op alle entiteiten, diensten en organisatorische niveaus, ongeacht schaal of functie. Het vormt het overkoepelende kader waarbinnen domeinspecifieke en decentrale risicomanagementprocessen worden ingericht, zodat risico’s op een consistente, geïntegreerde en proportionele wijze worden geïdentificeerd, beoordeeld, behandeld en opgevolgd.
ISO 31000 vereist dat risicomanagement organisatiebreed wordt toegepast en alle relevante risico’s omvat die de realisatie van doelstellingen kunnen beïnvloeden.
In lijn met deze standaard omvat de reikwijdte van dit beleid alle risicocategorieën, ongeacht hun aard of oorsprong, en alle organisatorische niveaus en entiteiten. Dit voorkomt een gefragmenteerde of silo-gebonden benadering van risico’s en ondersteunt consistente besluitvorming op bestuurs- en managementniveau.
Decentrale entiteiten en diensten behouden hun verantwoordelijkheid voor het identificeren en beheren van risico’s binnen hun eigen context, maar doen dit binnen de gemeenschappelijke principes, definities en kaders die in dit beleid zijn vastgelegd.
Eigenaarschap, goedkeuring en herziening – zorgsector
Dit beleid verankert risicomanagement als een organisatiebreed, continu en geïntegreerd proces.
De verantwoordelijkheden voor risicomanagement zijn verdeeld volgens het three lines of defence-model, in lijn met principes van goed bestuur en de zorgspecifieke context waarin de organisatie opereert.
De inrichting van verantwoordelijkheden voor risicomanagement is gebaseerd op het Three Lines Model zoals beschreven door het Institute of Internal Auditors (IIA, 2020).
Dit model onderscheidt:
de eerste lijn, verantwoordelijk voor het identificeren en beheersen van risico’s binnen de dagelijkse werking;
de tweede lijn, die kaders, methodieken en toezicht biedt op risicomanagement en interne beheersing;
de derde lijn, die onafhankelijke assurance verschaft over de effectiviteit van governance, risicomanagement en interne controle.
Het Three Lines Model wordt internationaal erkend als goede praktijk voor governance en risicobeheer en ondersteunt duidelijke rolafbakening, transparantie en verantwoordingsplicht.
Eigenaarschap en verantwoordelijkheden
Bestuursorgaan
Het Bestuursorgaan draagt de eindverantwoordelijkheid voor het risicomanagementbeleid en het bijbehorende kader.
Het bestuur:
bepaalt de strategische risicohouding en de algemene risicobereidheid van de organisatie;
ziet toe op de samenhang tussen risicomanagement, strategie, kwaliteitszorg en maatschappelijke opdracht;
bewaakt dat significante risico’s tijdig worden geïdentificeerd, besproken en beheerst;
ontvangt periodiek rapportering over het risicoprofiel en de effectiviteit van het risicomanagement.
Binnen de zorgsector omvat dit expliciet risico’s die de kwaliteit, veiligheid, continuïteit en betrouwbaarheid van zorg en ondersteuning kunnen beïnvloeden.
Eerste lijn – Directies, afdelingshoofden en stafdiensten
De eerste lijn bestaat uit directies, afdelingshoofden en stafdiensten die verantwoordelijk zijn voor de dagelijkse werking van de organisatie.
Zij:
identificeren en beoordelen risico’s binnen hun eigen processen, diensten en verantwoordelijkheidsdomeinen;
nemen passende beheersmaatregelen in overeenstemming met het vastgelegde risicokader;
documenteren risico’s, maatregelen en opvolging binnen de afgesproken structuren;
signaleren en escaleren materiële risico’s die de eigen entiteit overstijgen.
Risicomanagement is daarmee een integraal onderdeel van operationele aansturing en besluitvorming.
Tweede lijn
De tweede lijn ondersteunt en bewaakt het organisatiebrede risicomanagementkader.
Deze lijn omvat functies zoals risicomanagement, interne controle, compliance en kwaliteitszorg, en heeft als opdracht:
het ontwikkelen en onderhouden van methodieken, kaders en richtlijnen voor risicomanagement;
het ondersteunen van de eerste lijn bij risico-identificatie, analyse en beoordeling;
het bewaken van samenhang, consistentie en proportionaliteit in risicoanalyses;
het consolideren en rapporteren van risico-informatie aan directie en bestuur;
het opvolgen van verbeteracties en structurele aandachtspunten.
De tweede lijn heeft geen operationele verantwoordelijkheid voor risicobeheersing, maar vervult een adviserende, coördinerende en toezichthoudende rol.
Dit Enterprise Risk Management-beleid vormt het overkoepelende kader voor alle risicodomeinen binnen de organisatie.
Specifieke risicodomeinen, zoals informatiebeveiliging, kwaliteit en patiëntveiligheid, financiële risico’s, compliance en ketenafhankelijkheden, worden verder uitgewerkt in afzonderlijke beleidsdocumenten en kaders.
Deze thematische policies zijn ondergeschikt aan dit ERM-beleid en zorgen voor verdieping en operationalisering, zonder afbreuk te doen aan de organisatiebrede samenhang van risicomanagement.
Goedkeuring
Dit beleid wordt goedgekeurd door het Bestuursorgaan, op voorstel van het Dagelijks Bestuur.
De goedkeuring gebeurt na toetsing door de tweede lijn, die bevestigt dat het beleid:
in lijn is met de organisatiedoelstellingen;
aansluit bij wet- en regelgeving;
toepasbaar is binnen de zorgcontext en de operationele realiteit van de organisatie.
Herziening en onderhoud
Dit beleid wordt minimaal jaarlijks geëvalueerd en, indien nodig, geactualiseerd.
Een tussentijdse herziening vindt plaats wanneer wijzigingen in wetgeving, organisatiecontext, risicoprofiel of incidenten daartoe aanleiding geven.
Wijzigingen worden opnieuw ter goedkeuring voorgelegd aan het Bestuursorgaan.
Beleidsverklaring
De organisatie engageert zich tot een systematische, proportionele en organisatiebrede benadering van risicomanagement, als integraal onderdeel van goed bestuur en verantwoord leiderschap.
Risicomanagement wordt erkend als een strategisch instrument om de realisatie van de organisatiedoelstellingen te ondersteunen en om de kwaliteit, veiligheid, continuïteit en betrouwbaarheid van de dienstverlening duurzaam te waarborgen binnen de zorgcontext waarin de organisatie opereert.
Dit beleid legt het overkoepelende kader vast voor het identificeren, analyseren, beoordelen, behandelen, monitoren en communiceren van risico’s. Het verankert risicomanagement in besluitvorming, beleidsvorming en operationele sturing, en creëert duidelijke rollen, verantwoordelijkheden en processen op alle niveaus van de organisatie.
De organisatie beschouwt risicomanagement niet als een louter controlemechanisme, maar als een hefboom voor transparantie, lerend vermogen, verantwoorde keuzes en verhoogde weerbaarheid in een complexe en veranderende maatschappelijke context.
Beleidsvereisten
De organisatie hanteert de volgende beleidsvereisten voor Enterprise Risk Management (ERM).
Deze vereisten zijn afgeleid van de principes en richtlijnen van ISO 31000 en vormen het bindend kader voor het organisatiebreed beheren van risico’s.
Systematische identificatie van risico’s
De organisatie identificeert op continue en gestructureerde wijze risico’s die de realisatie van haar doelstellingen kunnen beïnvloeden.
Risico-identificatie gebeurt organisatiebreed en omvat alle relevante risicocategorieën, ongeacht hun aard of oorsprong.
Dit proces is proactief, herhaalbaar en ondersteund door vastgelegde methodieken en verantwoordelijkheden.
Contextuele risicoanalyse en -beoordeling
Geïdentificeerde risico’s worden geanalyseerd en beoordeeld in functie van hun waarschijnlijkheid, impact en context.
Bij de beoordeling wordt rekening gehouden met interne en externe factoren, bestaande beheersmaatregelen en relevante belanghebbenden.
Risico’s worden geprioriteerd op basis van vastgelegde en transparante risicocriteria.
Organisatiebrede risicobewustwording
De organisatie stimuleert een risicobewuste cultuur waarin medewerkers op alle niveaus actief bijdragen aan het herkennen, melden en beheersen van risico’s.
Risicobewustwording maakt integraal deel uit van leiderschap, onboarding, opleiding en interne communicatie.
Inventarisatie van processen, middelen en afhankelijkheden
Een actuele en betrouwbare inventaris van kernprocessen, middelen, informatie, systemen en externe afhankelijkheden vormt de basis voor risicoanalyse.
Deze inventaris ondersteunt inzicht in kriticiteit, samenhang en potentiële kwetsbaarheden binnen de organisatie.
Periodieke en ad-hoc risicobeoordelingen
Risicoanalyses worden periodiek uitgevoerd en herzien, evenals bij significante wijzigingen in strategie, context, processen of externe omstandigheden.
De resultaten van risicoanalyses worden gedocumenteerd en opgenomen in een centraal risicoregister.
Risicobehandeling
Voor elk materieel risico wordt een passende risicobehandelingsstrategie bepaald: vermijden, verminderen, overdragen of accepteren.
De gekozen behandeling is proportioneel, onderbouwd en afgestemd op de doelstellingen en prioriteiten van de organisatie.
Behandelingsmaatregelen worden vastgelegd in actieplannen met duidelijke verantwoordelijkheden en opvolging.
Risicobereidheid (risk appetite)
De organisatie bepaalt en documenteert haar risicobereidheid op organisatieniveau en, waar relevant, per risicodomein.
De risicobereidheid vormt het referentiekader voor besluitvorming, risicobehandeling en risicoacceptatie.
De concrete uitwerking van de risicobereidheid, inclusief domeinspecifieke grenzen en drempels, is vastgelegd in het Risk Appetite Framework (RAF).
ISO 31000 vereist dat organisaties expliciet bepalen hoe zij omgaan met onzekerheid bij het realiseren van hun doelstellingen.
Risicobereidheid (risk appetite) geeft richting aan welke mate en welk type risico de organisatie bereid is te aanvaarden. Dit concept wordt ook erkend binnen enterprise risk management-raamwerken zoals COSO ERM.
De vaststelling van de risicobereidheid is een bestuursverantwoordelijkheid en vormt een essentieel referentiekader voor risicobeoordeling, risicobehandeling en besluitvorming.
De concrete uitwerking van risicobereidheid en -toleranties is vastgelegd in een afzonderlijk Risk Appetite Framework (RAF), dat periodiek wordt geëvalueerd en aangepast aan strategische en contextuele veranderingen.
Risicotolerantie, monitoring en opvolging
Voor significante risico’s worden tolerantiegrenzen vastgelegd.
Risico’s en beheersmaatregelen worden gemonitord via het risicoregister en periodieke rapportering aan management en bestuursorgaan.
Afwijkingen, overschrijdingen en trends worden tijdig geëscaleerd en opgevolgd.
ISO 31000 benadrukt het belang van continue monitoring en evaluatie als onderdeel van het risicomanagementproces.
Monitoring houdt in dat risico’s en beheersmaatregelen systematisch worden opgevolgd om veranderingen in risico-exposure, effectiviteit van maatregelen en context tijdig te detecteren.
Rapportering zorgt voor transparantie richting management en bestuur en ondersteunt toezicht en besluitvorming. Rapportages zijn afgestemd op het beslissingsniveau en bevatten informatie over significante risico’s, trends en overschrijdingen van vastgestelde toleranties.
Escalatie is noodzakelijk wanneer risico’s de vastgestelde risicotolerantie overschrijden of wanneer gebeurtenissen een potentiële impact hebben op strategische doelstellingen of continuïteit. Dit ondersteunt tijdige bestuurlijke betrokkenheid en bijsturing, conform de governanceprincipes van ISO 31000.
Integratie in governance en besluitvorming
Risicomanagement is geïntegreerd in strategische besluitvorming, beleidsontwikkeling, projectwerking en operationele sturing.
Het ERM-kader ondersteunt transparantie, verantwoording en continue verbetering binnen de governance van de organisatie.
ISO 31000 stelt dat risicomanagement geïntegreerd moet zijn in alle organisatorische processen, inclusief strategie, beleid, projecten en operationele besluitvorming.
Deze integratie betekent dat risico-informatie expliciet wordt meegenomen bij strategische keuzes, investeringsbeslissingen, verandertrajecten en prioriteitenstelling.
Door risicomanagement structureel te verankeren in besluitvorming ondersteunt de organisatie transparantie, consistentie en verantwoorde keuzes, en wordt het vermogen versterkt om onzekerheden op een beheerste manier te adresseren.
Definities en termen
Governance en organisatie
Bestuursorgaan (Board)
Dagelijks bestuur (Executive management)
Senior management (Senior management)
Leidinggevenden (Management)
Risico-eigenaar (Risk owner)
Verantwoordelijkheid (Responsibility)
Bevoegdheid (Authority)
Aansprakelijkheid (Accountability)
Belanghebbenden (Stakeholders)
Governance (Governance)
GRC (Governance, Risk and Compliance)
Risicomanagement
Risico (Risk)
Risicobeheer (Risk management)
Organisatiebreed risicobeheer (Enterprise Risk Management – ERM)
Risicobereidheid (Risk appetite)
Risicotolerantie (Risk tolerance)
Restrisico (Residual risk)
Risicocriteria (Risk criteria)
Risicobeoordeling (Risk assessment)
Risicobehandeling (Risk treatment)
Risicoacceptatie (Risk acceptance)
Risicoregister (Risk register)
Risicocommunicatie (Risk communication)
Risicobewustzijn (Risk awareness)
Processen & opvolging
Monitoring (Monitoring)
Rapportering (Reporting)
Escalatie (Escalation)
Continue verbetering (Continuous improvement)
Corrigerende maatregel (Corrective action)
Beleid, kader en naleving
Beleid (Policy)
Beheersmaatregel (Control)
Naleving (Compliance)
Wettelijke vereisten (Legal requirements)
Regelgevende vereisten (Regulatory requirements)
Contractuele vereisten (Contractual requirements)
Uitzondering (Exception)
Afwijking (Deviation)
Derden & keten (op ERM-niveau)
Derde partij (Third party)
Leverancier (Supplier)
Toeleveringsketen (Supply chain)
