Risicobeheersing
Risicomanagement zien we als een belangrijk instrument om onzekerheden voor het realiseren van onze doelstellingen vroegtijdig te signaleren en hier op gepaste wijze op te anticiperen en maatregelen te nemen om deze onzekerheden te beheersen. Daardoor kunnen we beter invulling geven aan onze maatschappelijke rol en onze ambities realiseren.
In deze paragraaf beschrijven we hoe we risico’s onderkennen en beheersen. We gaan in op de belangrijkste strategisch‑bestuurlijke risico’s en de beheersing daarvan, inclusief compliancerisico’s, operationele risico’s zoals gegevensbescherming en inhuur van zzp’ers, en de voortgang van de beheersmaatregelen voor UWV-toprisico’s.
Ontwikkeling risicoleiderschap en risicomanagement
In 2024 hebben we het nieuwe risicomanagementbeleid vastgesteld dat het beheersingskader biedt bij het identificeren en beheersen van en rapporteren over risico’s. Met dit beleid werken we aan het UWV‑breed uniformeren van risicomanagement. In 2025 heeft de focus van de organisatie gelegen op het realiseren van de processen zoals beschreven in dit vernieuwde beleid. Die gaan onder andere over het risicomanagementproces zelf maar ook over de planning‑en‑controlcyclus waarin organisatieonderdelen rapporteren over de voortgang op de beheersing van hun risico’s en de status vastleggen in hun risicoregister. Om de eerste en tweede lijn van de organisatie te ondersteunen, zijn trainingen gegeven: Risicoleiderschap voor managers (eerste lijn) waar het risico‑eigenaarschap ligt en Risicomanagement voor mensen die het risicomanagementproces begeleiden (tweede lijn) en een controlerende rol in het proces hebben. De derde lijn geeft gevraagd en ongevraagd advies over dit stelsel en is meegenomen in de genoemde ontwikkelingen. Ook zijn leiderschapsdagen en workshops georganiseerd over de risicomanagementprocessen en zijn de organisatieonderdelen begeleid bij risicosessies.
Conform het vernieuwde beheersingsraamwerk en de daarbij behorende nieuwe processen hebben de organisatieonderdelen gerapporteerd over hun eigen risico’s, de beheersmaatregelen die ze nemen en de effectiviteit van die maatregelen. Daarmee krijgen we zicht op de werking van maatregelen op zowel de toprisico’s van UWV als de risico’s van de afzonderlijke organisatieonderdelen. Nog niet alle organisatieonderdelen hebben de nieuwe werkwijze volledig ingevoerd. Dit heeft te maken met de verschillende startposities van de organisatieonderdelen en daarmee hun volwassenheidsniveau. We verwachten dat de werkwijze in 2026 wel over de gehele breedte volledig zal worden ingevoerd.
Risicobereidheid
Een onderdeel van het beleid is ook de bepaling van de risicobereidheid van UWV. Hiermee geven we aan hoeveel risico we op specifieke thema’s acceptabel vinden. We hebben die op de volgende manier opnieuw vormgegeven:
Tabel Risicobereidheid
|
Risicocategorie |
Risicobereidheid |
Toelichting |
|
Strategisch |
Voorzichtig (3) |
Voor thema’s als innovatie en vernieuwing van onze dienstverlening zijn we bereid meer risico te accepteren, omdat we anders stagneren in de huidige status en we het belangrijk vinden om onze dienstverlening te blijven optimaliseren nu en in de toekomst. |
|
Governance en compliance |
Beperkt (2) |
We spannen ons in om te voldoen aan de geldende wet‑ en regelgeving voor de bedrijfsvoering (dus wetgeving die de cliënten niet direct raakt in de dienstverlening). De governance volgt de strategie van UWV. |
|
Financieel |
Beperkt (2) |
We streven naar een solide financiële positie, waarbij we zorgen voor ruimte om projecten uit te voeren die onze dienstverlening verbeteren. Hierbij zijn we ons continu bewust dat we omgaan met publieke middelen en verantwoorden we ons transparant over de ingezette middelen. |
|
Operationeel |
Avers (1) |
Onze dienstverlening is ons bestaansrecht en we zorgen voor een continu beschikbare en kwalitatief hoogwaardige dienstverlening. We willen risico’s op het verstoren van de dienstverlening of de kwaliteit daarvan minimaliseren. Misbruik en oneigenlijk gebruik van regelingen wordt onderzocht en waar mogelijk voorkomen. We voldoen aan de geldende wet‑ en regelgeving m.b.t. de uitvoering en herkennen mogelijkheden om wet‑ en regelgeving te vereenvoudigen. We ondersteunen onze cliënten en leveren maatwerk voor cliënten in de knel waar we zorgvuldig kijken naar alle mogelijkheden binnen de wetgeving. |
In 2026 zullen we hiernaast vooral werken aan de verdere beheersing van de (operationele) risico’s binnen de organisatieonderdelen en richten we een Kwaliteit- en risicocomité op voor een frequente en actieve dialoog tussen de eerste en tweede lijn over de risicobeheersing.
Toprisico’s UWV
In onderstaand overzicht zijn de tien toprisico’s van UWV opgenomen. De grafiek laat per risico de huidige status van het nettorisico zien met daaronder de vastgestelde risicobereidheid van dit risico. Hiermee geven we aan hoeveel risico we op specifieke thema’s acceptabel vinden. Aan alle toprisico’s van UWV hebben we een eigenaar toegewezen die verantwoordelijk is voor de beheersing van dat risico in relatie tot de risicobereidheid. We monitoren dit actief en rapporteren de voortgang in onze interne kwartaalrapportages. In alle gevallen ligt het nettorisico boven de vastgestelde risicobereidheid. Dit krijgt extra aandacht van de raad van bestuur en in de jaarplannen 2026 van de UWV‑organisatieonderdelen. Gedurende het jaar zullen we dit actief volgen.
Figuur Toprisico’s (netto) vergeleken met de risicobereidheid
In 2025 zijn er in totaal drie risico’s op strategisch niveau bijgekomen (de risico’s 7, 8 en 10). Bij risico 5 heeft de vermindering van het risico met het programma Zuiniger aan doen ervoor gezorgd dat het nettorisico verder beperkt is.
We lichten de toprisico’s van UWV hierna kort toe.
Toprisico 1 – Spanning op verandervermogen
Risico-eigenaar: directeur Human Resources Management
Het kan te lang duren om veranderingen in digitalisering te realiseren, waardoor de veranderingstrajecten op het gebied van dienstverlening onvoldoende snel verbeteringen opleveren.
Toprisico 2 – Bedrijfscontinuïteit, informatiebeveiliging en privacy
Risico-eigenaar: directeur ICT
UWV loopt het risico dat de doelstellingen voor maatschappelijke en digitale weerbaarheid niet gerealiseerd worden door inbreuken op de bedrijfscontinuïteit, informatiebeveiliging en privacy voor de bij UWV aanwezige data door onder andere minder goed functionerende systemen of door cybercrime, waardoor discontinuïteit van de dienstverlening aan onze cliënten kan optreden.
Toprisico 3 – Kwaliteit van dienstverlening | Sociaal-medische beoordelingen niet in lijn met de wet
Risico-eigenaar: directeur Sociaal-medische zaken
UWV slaagt er mogelijk niet in om de sociaal-medische beoordelingen volgens de regels uit te voeren, waardoor de beoordeling mogelijk kwalitatief niet van het juiste niveau is en cliënten lang moeten wachten.
Toprisico 4 – Complexe wetgeving
Risico-eigenaar: directeur Strategie, Beleid en Kenniscentrum
Voor cliënten kan het complexe stelsel van inkomensondersteuning leiden tot onduidelijkheid, onzekerheid en onvoorspelbaarheid. Het risico is dat:
-
onze geautomatiseerde systemen de wet- en regelgeving niet kunnen bijhouden, waardoor we zelf fouten maken in de uitvoering;
-
cliënten of werkgevers fouten maken, waarvan het voorkomen en herstellen leidt tot extra druk op de uitvoering;
-
bewerkelijke maatregelen nodig zijn om deze risico’s te verminderen.
Toprisico 5 – Onvoldoende financiële middelen
Risico-eigenaar: directeur Financieel-economische zaken
UWV heeft onvoldoende financiële middelen om verbeteringen in de bedrijfsvoering door te voeren en teert te veel in op de reserves.
Toprisico 6 – Kwaliteit en kwantiteit van de personele bezetting
Risico-eigenaar: directeur Human Resources Management
Door vergrijzing, de huidige gespannen arbeidsmarkt en de opgave om (nieuwe) medewerkers te binden aan UWV, kunnen personeelstekorten ontstaan, waardoor de continuïteit van onze dienstverlening in gevaar kan komen.
Toprisico 7 – Herstelorganisatie WIA en herstelactie WIA-dagloon
Risico-eigenaar: directeur Bestuurszaken
De herstelorganisatie WIA is een recent opgezet nieuw organisatieonderdeel. Er gaat veel aandacht naartoe (binnen en buiten UWV) waarbij het risico bestaat dat de reguliere productie achterblijft in kwantitatieve en/of kwalitatieve zin, dan wel inconsistente output tussen beide. Ook is er nog onduidelijkheid over de reikwijdte en werkwijze van de herstelactie WIA-dagloon.
Toprisico 8 – Datakwaliteit
Risico-eigenaar: directeur Gegevensdiensten
Gegevensbronnen binnen UWV lopen het risico dat de kwaliteit onvoldoende (geborgd) is, wat tot fouten in de dienstverlening kan leiden. Ook bij de data in de polisadministratie lopen we het risico dat er onvoldoende kwaliteit is, wat kan leiden tot fouten in de vaststelling van rechten en/of de kans op misbruik en oneigenlijk gebruik kan verhogen.
Toprisico 9 – Kwaliteit van dienstverlening | Kwaliteitsmanagementsysteem (KMS)
Risico-eigenaar: directeur Financieel-economische zaken
Het bestaande KMS kan onvoldoende waarborgen dat cliënten toereikende kwaliteit van dienstverlening ontvangen. De maatregelen die UWV (niet) heeft getroffen werken onvoldoende om misbruik en oneigenlijk gebruik van onze regelingen te voorkomen.
Toprisico 10 – Misbruik en oneigenlijk gebruik van regelingen
Risico-eigenaar: directeur Handhaving
De maatregelen die UWV (niet) heeft getroffen werken onvoldoende om misbruik en oneigenlijk gebruik van onze regelingen te voorkomen.
Compliance
UWV heeft als publieke organisatie allerlei wettelijke verplichtingen. Het is van groot belang dat we aan deze verplichtingen voldoen en dat we dat ook kunnen laten zien. Hierbij gaat het niet alleen om verplichtingen bij de uitvoering van onze wettelijke taken maar juist ook om andere wetten waaraan UWV als organisatie moet voldoen. Een uniforme en gestructureerde werkwijze voor compliance aan die laatstbedoelde wetten helpt ons om hieraan te voldoen. In 2024 hadden we voor ongeveer de helft van die wet- en regelgeving een analyse gemaakt van de verplichtingen en hoe die de organisatie kunnen raken. Daarbij is gekeken welke risico’s we lopen en welke maatregelen zijn getroffen. Op basis van deze analyse hebben we besloten tot extra beheersmaatregelen voor de geconstateerde risico’s. In 2025 hebben we dezelfde analyse uitgevoerd voor de overige wet- en regelgeving voor UWV als organisatie. Daarbij zijn geen nieuwe grote risico’s geïdentificeerd en is gebleken dat de al geïdentificeerde risico’s worden beheerst of dat geconstateerde verbeterpunten bekend zijn en worden behandeld.
UWV beschikt over een grote hoeveelheid gevoelige gegevens van klanten, organisaties en medewerkers. UWV hecht groot belang aan de adequate en effectieve bescherming van deze gegevens. Daarom rekenen we het niet voldoen aan de geldende normen op dit gebied tot de hoogste compliancegerelateerde risico’s. In 2025 hebben we maatregelen genomen om de risico’s op het gebied van gegevensbescherming verder te beheersen. Op het gebied van gegevensverwerking en IT‑beheersing hebben we nog wel het nodige te doen.
We hebben het aantal zzp’ers aanzienlijk verminderd. We zullen via een risicotoets vaststellen of hierdoor het risico op een verkapt dienstverband volgens de Wet deregulering beoordeling arbeidsrelaties (DBA) voldoende verminderd is. Met het realiseren van beheersing op de gegevensbescherming en de inhuur van zzp’ers hebben we voor deze belangrijke risicogebieden het risico op non‑compliance verlaagd.