9. Integraal risicomanagement

Waarom Integraal risicomanagement
Het realiseren van onze ambities en doelstellingen is nauw verbonden met risicomanagement. Het uitvoeren van activiteiten om onze organisatiedoelstellingen te behalen, brengt namelijk risico’s met zich mee. Er doen zich altijd gebeurtenissen (kansen en bedreigingen) voor die invloed hebben op de realisatie van onze strategische ambities en doelstellingen. Het is belangrijk om deze gebeurtenissen ofwel “risico’s” te identificeren en indien nodig te beheersen. Risicomanagement geeft inzicht in de risico’s die onze organisatie loopt en in de effectiviteit van de beheersmaatregelen die wij inzetten. Dit doen we op basis van een gestructureerd proces van identificeren, analyseren, meten en monitoren van risico’s en het treffen van maatregelen.

Risicomanagement is geen doel op zich, maar een belangrijk middel om onze onderwijskwaliteit te waarborgen en onze doelen te bereiken. Daarnaast draagt risicomanagement bij aan het vergroten van het adaptief vermogen. We anticiperen op veranderingen en trends in de maatschappij als geheel en in de Metropoolregio Amsterdam en in het onderwijs specifiek. Risicomanagement draagt eraan bij onze onderwijsreputatie te beschermen. Het vergroot de weerbaarheid van het ROCvA-F en het VOvA, doordat geanticipeerd wordt op mogelijke risico’s en het waarborgt de stabiliteit. Ook draagt risicomanagement eraan bij dat wij (steeds opnieuw) voldoen aan wet- en regelgeving (o.a. van de Inspectie van het Onderwijs, OC&W en de wet AVG). Het helpt bij het identificeren van inefficiënte processen, onnodige uitgaven en mogelijke verliezen. Door deze zaken aan te pakken, worden kosten bespaard, financiële prestaties verbeterd en daardoor is meer financiële armslag beschikbaar voor het onderwijs. Tenslotte sluit risicomanagement aan bij de governance, zoals de Code Goed Bestuur.

Inrichting en uitgangspunten risicomanagement
Om richting te blijven geven aan risicomanagement binnen het ROCvA-F en VOvA wordt gewerkt volgens het risicomanagementbeleid. Hierin staat het doel van risicomanagement (‘waarom’), de uitgangspunten (‘wat’) en de inrichtingsprincipes, taken, verantwoordelijkheden, de gewenste cultuur en het gewenste gedrag voor risicomanagement (‘hoe’). Het beschrijft in hoofdlijnen de kaders en wijze waarop wij omgaan met risicomanagement.
Daarnaast vormen het risicoprofiel en de risicobereidheid belangrijke uitgangspunten. Risicobereidheid is de mate waarin we bereid zijn risico’s te nemen om onze doelstellingen te behalen. We onderscheiden daarbij strategische risico’s, tactische risico’s en vijf categorieën aan operationele risico’s[17]. Voor de vijf operationele risico categorieën hanteren we een lage risicobereidheid. Hierbij past een behoedzame houding (laag/neutraal) ten aanzien van risico’s. Voor de strategische en tactische risico’s is een minder behoedzame opstelling nodig/wenselijk om, binnen de ruimte van de geldende wet- en regelgeving, datgene wat de maatschappij van ons verwacht, waar te maken.
Conform het risicomanagementbeleid heeft de Raad van Bestuur, voorafgaand aan de totstandkoming van de begroting, de risicobereidheid opnieuw vastgesteld.
Risicomanagement is inmiddels structureel onderdeel van de planning- en control cyclus.

Risicomanagement in de praktijk: werking en resultaten van het risico signalerings- en beheersingssysteem in 2025
Strategische risico’s
In de strategiekaarten, de jaarplannen en de kwartaalrapportages van de organisatieonderdelen zijn kansen, bedreigingen, sterktes en zwaktes benoemd die van invloed kunnen zijn op het realiseren van de organisatie-doelstellingen. De risico’s die bij meerdere organisatieonderdelen voorkomen, zijn overkoepelende risico’s, waarvoor organisatiebrede beheersmaatregelen zijn geformuleerd. Onder regie van Concern Control zijn in 2025 deze risico’s en de effectiviteit van de getroffen beheersmaatregelen periodiek geëvalueerd. Ook interne en externe ontwikkelingen zijn bij de evaluatie betrokken.
In 2025 waren acht strategische risico’s vastgesteld. Onderstaand is de voortgang van de beheersing van deze strategische risico’s weergegeven. Gedurende het jaar 2025 hebben de risico’s zich niet dermate gemanifesteerd dat additionele (correctieve of preventieve) beheersmaatregelen getroffen moesten worden. De getroffen maatregelen zijn afdoende gebleken om de risico’s te beheersen.

Strategisch risico	Maatregelen (hoe hebben we hierop geanticipeerd?)	Ontwikkeling
Cybersecurity, informatiebeveiliging, privacy en fraude Cybersecurity incidenten nemen in aantal en geraffineerdheid toe. Dit brengt risico's met zich mee. Daarnaast wordt de organisatie geconfronteerd met diverse vormen van fraude. Awareness is niet altijd in voldoende mate aanwezig. Deze risico’s kunnen leiden tot financiële, operationele, juridische en/of reputatieschade.	Continu zijn organisatorische en technische verbeter-maatregelen doorgevoerd. Ook zijn e-learnings over deze onderwerpen aangeboden. Ondanks deze maatregelen blijft awareness nog een cruciaal aandachtspunt en blijkt gebruik van e-learnings beperkt. Mede hierom is een Awareness Officer aangesteld.	Impact: hoog
		▬▬ ▬▬ ▬▬
		Kans: hoog
		▬▬ ▬▬ ▬▬
		Trend: stabiel
Kwaliteitscultuur, beleidskaders, leiderschap en sturing De ontwikkelingen in onze organisatie vragen om een eenduidige toepassing van de besturingsfilosofie door de organisatie. De werking van onze besturingsfilosofie blijft een punt van aandacht. Het risico bestaat dat verwachtingen met betrekking tot beleidskaders, leiderschap en sturing niet altijd in overeenstemming zijn met de realiteit.	Binnen het strategisch thema kwaliteitscultuur zijn door alle organisatieonderdelen initiatieven genomen om de kwaliteitscultuur verder te verbeteren en te borgen. Daarnaast loopt instellingsbreed het programma ‘Optimalisatie Informatievoorziening en Overlegstructuur’. Resultaten: vereenvoudigde rapportages en vastgestelde inrichtingsdocumenten inzake beleids- en proceseigenaarschap. In 2026 vindt hiervan uitrol plaats.	Impact: midden
		▬▬ ▬▬ ▬▬
		Kans: midden
		▬▬ ▬▬ ▬▬
		Trend: afnemend
Continuïteit medewerkers, ziekteverzuim, werkdrukbeleving en de krapte op de arbeidsmarkt Wij hebben moeite met het invullen van vacatures docenten Nederlands, techniek en ICT. De krapte op de arbeidsmarkt stelt ons voor de uitdaging om aan de voorkant de juiste mensen aan te trekken en aan de achterkant de mensen binnen te houden. Als dat niet goed lukt, verschuift de krapte naar de werkvloer in de vorm van hoge werkdruk en ziekteverzuim.	Om medewerkers te behouden, is ingezet op adequate strategische personeelsplanning en meer sturing op de vitaliteit van medewerkers. Daarnaast zijn verzuim-workshops gegeven aan leidinggevenden en zijn verzuimexperts breed ingezet binnen de gehele organisatie. Tenslotte zijn maatregelen genomen om het recruitmentproces te optimaliseren, zijn nieuwe en succesvollere arbeidsmarkt campagnes gehouden en vindt betere sturing plaats op het delen van kandidaten op tekortvakken tussen colleges.	Impact: midden
		▬▬ ▬▬ ▬▬
		Kans: midden
		▬▬ ▬▬ ▬▬
		Trend: stabiel
Verschil in benodigde en aanwezige competenties bij medewerkers De wereld van het mbo verandert in hoog tempo als gevolg van ontwikkelingen in het onderwijs en in de bedrijfsvoering. Het vraagt veel van de wendbaarheid en weerbaarheid van medewerkers. Het vraagt om commitment, focus durven aanbrengen en teamoverstijgend samenwerken. Deze competenties worden nog niet als vanzelfsprekend ervaren.	Competentieontwikkeling komt aan bod in het Goede Gesprek. Het percentage goede gesprekken is toegenomen. Vlootschouwen zijn georganiseerd en talent in de organisatie is in beeld gebracht. Tenslotte is een route ingezet op meer integrale sturing en samenwerking tussen de colleges binnen het ROCA-F. Dit draagt op termijn bij aan aanscherping van de op samenwerking gerichte competenties.	Impact: midden
		▬▬ ▬▬ ▬▬
		Kans: midden
		▬▬ ▬▬ ▬▬
		Trend: stabiel
Sociaal culturele opvattingen (polarisatie) De studentenpopulatie is divers met verschillen in culturele achtergrond, taalvaardigheden en leerbehoeften. Studenten kunnen stevige opvattingen hebben over anderen, over etniciteit en over religieuze achtergronden. Politieke ontwikkelingen en social media kunnen daarbij optreden als katalysator en werken polarisatie in de hand. Het vraagt veel van onze docenten en overige medewerkers hier goed mee om te gaan.	Begeleiding en ondersteuning wordt aangeboden om de goede dialoog over inclusie te voeren. Andere initiatieven zijn de inzet van inclusie-ambassadeurs, het inclusieplatform en het kernteam inclusie. Daarnaast zijn studentenarena’s georganiseerd en was inclusie vast onderwerp op studiemiddagen. De organisatieonderdelen zijn over het algemeen tevreden over de impact van de activiteiten. Er is wel een verschuiving waarneembaar naar risico op en aandacht voor (sociale) veiligheid.	Impact: midden
		▬▬ ▬▬ ▬▬
		Kans: hoog
		▬▬ ▬▬ ▬▬
		Trend: stabiel
Onderwijsrendement staat onder druk De ongediplomeerde uitval van studenten is hoog. Hierdoor liggen de onderwijsresultaten meerjarig onder de landelijke norm. Er vinden meerdere onderzoeken plaats om de oorzaak achter uitval te achterhalen. Een van de oorzaken die wordt gezien, is de lage presentiegraad van studenten Een neveneffect is dat een dalend onderwijsrendement gevolgen heeft voor de bekostiging.	Op basis van de kaders van goed onderwijs is een meerjarige aanpak opgesteld. De programmalijnen ‘Verhogen van presentie van studenten’, ‘Quick win interventies’ en ‘(preventieve) aanpak risico-opleidingen en risicoteams’ worden gevolgd. Diverse trajecten zijn ingezet om het aantal vroegtijdige schoolverlaters terug te dringen (waaronder de inzet van verzuimcoaches, extra studiebegeleiding en inzet van jongerenwerkers). Deze aanpak heeft in 2025 geleid tot een aanzienlijke verbetering van de onderwijsrendementen.	Impact: laag
		▬▬ ▬▬ ▬▬
		Kans: midden
		▬▬ ▬▬ ▬▬
		Trend: afnemend
Externe inhuur Wij maken veelvuldig gebruik van externe inhuur. Daarbij worden fiscale en arbeidsrechtelijke risico’s. Met name de fiscale risico’s bij de inzet van ZZP’ers en onrechtmatige inhuur verdienen onverminderde aandacht. In 2025 vervalt het handhavingsmoratorium. Vanaf dat moment gaat de Belastingdienst handhaven op schijn-zelfstandigheid.	Het FlexPlein is gestart in samenwerking met de nieuwe leveranciers en de HR-teams van de colleges om rechtmatige externe inhuur te realiseren. Nieuw inhuurbeleid is van kracht. Alle externe inhuur mag uitsluitend via de gecontracteerde partijen plaatsvinden. Gewerkt wordt aan duurzame kennisopbouw en procesinrichting in de organisatie.	Impact: laag
		▬▬ ▬▬ ▬▬
		Kans: midden
		▬▬ ▬▬ ▬▬
		Trend: afnemend
Ontwikkelingen in huidig economisch klimaat In het huidige economisch klimaat is sprake van een groeiende vraag naar mbo-geschoolde vakmensen. Het risico bestaat dat onze opleidingsportfolio's niet langer aansluiten op de arbeidsmarkt. Daarnaast hebben we te maken met een aanzuigende werking van de arbeidsmarkt op onze (potentiële) studenten. Het risico bestaat dat studenten vroegtijdig het mbo verlaten ten gunste van een baan op de arbeidsmarkt.	Aansluiting met de arbeidsmarkt en het werkveld is één van onze kernactiviteiten. Het strategisch thema sociale innovatie is hierbij richtinggevend. Samenwerkingsvormen tussen bedrijfsleven, overheid en het ROCvA-F zijn gestart en er zijn flexibele en hybride onderwijsvormen ontwikkeld, die nauwer aansluiten bij de behoeften van studenten en bedrijfsleven. Voorbeelden zijn flexibeler en hybride onderwijsvormen. Er zijn ook leerallianties met de HvA en het A-UMC ten aanzien van zorgtechnologie om het curricula beter af te stemmen op de arbeidsmarkt. Een ander voorbeeld van sociale en technische innovatie is het SmartHouse.	Impact: laag
		▬▬ ▬▬ ▬▬
		Kans: midden
		▬▬ ▬▬ ▬▬
		Trend: afnemend

Operationele risico’s
Voor de signalering en beheersing van de operationele risico’s wordt gebruik gemaakt van een integraal risk control framework. Hierin zijn de belangrijkste operationele risico’s (inclusief beheermaatregelen) opgenomen die voortvloeien uit onderwijs en onderwijsondersteunende processen, uit compliance & wet- en regelgeving, uit informatiebeveiliging en ICT-applicaties en uit fraude. In de afgelopen periode is veel tijd gestoken in het verkrijgen van een integraal beeld van (de beheersing van) de operationele risico’s. Daarbij is gekeken of risico’s al in beeld zijn (geïdentificeerd en geanalyseerd), of controles en beheersmaatregelen zijn geformuleerd en worden uitgevoerd (meten) en tenslotte of deze risico’s worden gemonitord en geëvalueerd. Daarnaast is een organisatiebrede expertisegroep van start gegaan bestaande uit 2^e lijn functionarissen die zich binnen onze organisatie bezighouden met (de beheersing van) operationele risico’s. De teamleden hebben op het eigen expertiseonderdeel op basis van uitkomsten uit interne controles een oordeel gegeven over in hoeverre de operationele risico’s worden beheerst (wat gaat goed, wat kan beter, wat moet beter). Verder is de beheersing van een aantal risicocategorieën getoetst door externe partijen, als IvhO (onderwijsprocessen), Deloitte (informatiebeveiliging) en PwC (ICT-applicaties). De uitkomsten van deze audits en onderzoeken liggen in lijn met ons eigen beeld. Op het gebied van cultuur zijn in een brede laag van de organisatie dialoogsessies over risicomanagement gehouden. Tenslotte is een ‘deep dive’ sessie gehouden met de Audit Commissie, waarin de rolverdeling tussen toezichthouder en bestuur op het gebied van risicomanagement centraal heeft gestaan.
Voor de vooruitblik 2026 op het gebied van risicomanagement wordt verwezen naar de continuïteitsparagraaf.

17 De vijf operationele risicogebieden zijn: Onderwijs en onderwijsondersteunende processen, Financieel, Compliance en Wet- en regelgeving, Informatiebeveiliging en ICT applicaties, Fraude