Upload
lynhu
View
234
Download
6
Embed Size (px)
Citation preview
Niet alleen inzicht in risico’s en €’s maar ook een driver voor organisatieontwikkelingEen praktisch handboek
Risicomanagement meer dan de som der delen
2
Auteurs en redactie:drs. R. Dubbeldemandrs. A. Heinen drs. R.F.J. ReijmerinkF.A.J. van Kuijck RA RO EMIA drs. R.M.J. van Vugt RA
3 Risicomanagement meer dan de som der delen
Ten geleide 5Samenvatting 7Voorwoord Risicomanagement: op het grensvlak van werelden 11
1. Inleiding 151.1 Waarom dit handboek? 161.2 Wat is risicomanagement? 161.3 Leeswijzer 201.4 Wat is interessant voor welke doelgroep? 21
2. Risicomanagement 232.1 Wet- en regelgeving: eisen in het kader van risicomanagement 232.2 Risicomanagement en ISO 232.3 Risicomanagementraamwerk 25
2.3.1 Kaderstelling en Strategie 252.3.2 Risicoanalyse 262.3.3 Beheersmaatregelen 302.3.4 Monitoren Resultaten 322.3.5 Toezicht en Toetsing 332.3.6 Verbetering 33
2.4 Inbedding/verankering 34
3. Governance 373.1 Het begrip Governance 373.2 De governance cyclus 37
3.2.1 Sturen 393.2.2 Beheersen 413.2.3 Verantwoorden 463.2.4 Toezicht houden 50
3.3 Risicomanagement en het duale bestel 523.4 Integratie risicomanagement in de governancecyclus 54
4. Continue verbetering 594.1 Ontwikkeling van risicomanagement 594.2 Risicomanagement als instrument voor continue verbetering 604.3 Risicomanagement als onderdeel van de bedrijfsvoering 614.4 Risicomanagement: de kunst van cultuur 63
4.4.1 Houding en gedrag 634.4.2 Een kwestie van stijl 644.4.3 Cultuurverandering 65
4.5 Risicomanagement als instrument om je doel te bereiken 664.6 Handreikingen voor risicomanagement 67
5. Weerstandsvermogen 735.1 Definitie 735.2 Financiële postie 745.3 Weerstandsvermogen 745.4 Risico’s 755.5 Weerstandscapaciteit 76
Inhoud
4
6. Valkuilen uit de praktijk 816.1 De objectiviteit van het risicomanagement instrumentarium 816.2 De keuze van objecten van risicomanagement 826.3 Mate van detaillering 836.4 Het feitelijk doen 836.5 Andere vaak voorkomende valkuilen en succesfactoren 83
7. Risicomanagement in de praktijk: casuïstiek 877.1 Risicomanagement en Shared Services 877.2 Risicomanagement en WSW 887.3 Risicomanagement en grote projecten 91
7.3.1 Huis van cultuur 917.3.2 Governance & inrichten risicomanagementproces op grote projecten 92
7.4 Risicomanagement en loonsombeheersing 92
Bijlage 1: Systemen van risicomanagement 95Bijlage 2: Voorbeeld risicoprofiel 97Bijlage 3: Voorbeelden risicokaart 98Bijlage 4: Voorbeeld grafisch risico-overzicht 100Bijlage 5: Voorbeeld risicomatrix 101Bijlage 6: Veel voorkomende risico’s 103Bijlage 7: Praktijkcasussen risicomanagement 107Bijlage 8: Aandachtspuntenlijst per onderdeel van de governancecyclus 112Bijlage 9: Vragenlijst risicogesprek 116Bijlage 10: Rolverdeling in het risicomanagementproces 117Bijlage 11: Voorbeeld Beleidsnota Risicomanagement & Weerstandsvermogen 119Bijlage 12: Begrippenlijst 124Bijlage 13: Beknopte CV’s van de deelnemers aan het Handboek 126
5 Risicomanagement meer dan de som der delen
Risicomanagement is een onderwerp dat zich steeds meer kan verheugen op een warme belangstelling. Beursgenoteerde ondernemingen, midden- en klein bedrijf, maar ook de overheid maken meer en meer werk van risicomanagement. Het houdt ons dagelijks bezig. Het gaat dan echter vaak niet zozeer over het opzetten van een dergelijk risicomanagementsysteem, maar juist over het ons verdedigen bij het falen of het ontbreken van een dergelijk systeem. Kranten berichten bijna dagelijks hierover. De kredietcrisis, schandalen in de vastgoedsector, fraude, etc. worden één op één gelinkt aan het ontbreken van een goed risicomanagementsysteem of aan het falen van de juiste werking ervan. Gelukkig zijn er ook voorbeelden van organisaties die echt werk maken van risicomanagement.
De vraag die zich voordoet is “Wat is een goed risicomanagementsysteem? Een goed systeem van risicomanagement is te zien als een ‘permanente’ alertheid op wijzigingen in uw organisatie en haar omgeving zodat u hierop kan inspelen. Hierdoor, zo ben ik overtuigd, ontstaan kansen en voordelen wanneer u hierop inspeelt. Risicomanagement kan hierdoor een belangrijke impuls geven aan het realiseren van doelstellingen en biedt voordelen bij de verandering en ontwikkeling van uw organisatie.
Vaak wordt de nadruk gelegd op de instrumentele kant van risicomanagementsystemen, maar deze systemen staan of vallen met de juiste werking ervan. Dat kan alleen wanneer er ook aandacht besteed wordt aan de cultuurkant van risicomanagementsystemen. De wil en het vermogen van mensen om dergelijke systemen ook effectief te kunnen laten werken. Met toekijken hoe iets in het honderd loopt komt u niet veel verder. Ook het optuigen van duizend en één maatregelen helpt u vaak niet in de sfeer van creativiteit en ondernemerschap. Immers het is een utopie dat alle risico’s voorzienbaar en te voorkomen zijn. Adequaat signaleren (alertheid) en handelen is dan het devies. Met name het vorm en inhoud geven aan de cultuurkant is zo mogelijk nog belangrijker dan de instrumentele kant. Voorwaar geen eenvoudige opgave.
Dit boek biedt de nodige handvatten voor gemeentelijke organisaties, en ook andere organisaties, om een dergelijk systeem op te zetten en in te richten. De kunst is om juist die elementen te kiezen die relevant zijn voor uw organisatie. U wordt daarbij geholpen door praktische voorbeelden van vergelijkbare organisaties waar (delen van) een risicomanagementsysteem succesvol is/zijn geïmplementeerd.
Wij zijn verheugd dat een aantal gemeenten bereid is gevonden om dit project mede te ondersteunen en mee te werken aan de totstandkoming van dit boek. Daarnaast zijn er tal van organisaties en personen, waaronder Primo Nederland en Primo Europe, die veel energie stoppen in het op de kaart zetten van risicomanagement bij gemeenten.
Dit boek brengen wij uit in de ‘governancereeks gemeenten’ omdat risicomanagement een peiler is waar het proces van sturen, beheersen, verantwoording afleggen en toezicht houden op rust. Ik hoop echter dat de inhoud van dit boek u juist onrustig maakt en u verdere prikkels en inspiratie geeft om verder te komen in het proces van implementatie van een op uw maat gesneden risicomanagementsysteem. Ik wens u veel leesplezier en inspiratie toe.
Arie ElsenaarVoorzitter industry lokaal bestuur Deloitte
Ten geleide
6
7 Risicomanagement meer dan de som der delen
Samenvatting
Het handboek dat voor u ligt, is de zesde op rij uit onze uitgaven onder het thema Governance. In dit handboek richten we ons op risicomanagement. Wat is eigenlijk risicomanagement? We omschrijven het als het identificeren en kwantificeren van risico’s en het bepalen van activiteiten die de kans van optreden en/of de gevolgen van risico’s beheersbaar houdt. Met andere woorden: risicomanagement is niets meer of minder dan een zeer belangrijk instrument om doelstellingen te realiseren en een driver voor de ontwikkeling van uw organisatie.
Als we even teruggaan naar 2004 dan vinden we daar het begin van wat we nu risicomanagement noemen. Toen werd het Besluit Begroting en Verantwoording provincies en gemeenten (BBV) van kracht. Dit hield in dat elke provincie en gemeente in Nederland hun weerstandsvermogen (het vermogen risico’s te dekken) in kaart brengt aan de hand van haar risico’s en deze jaarlijks weergeeft in een paragraaf Weerstandsvermogen in haar beleidsbegroting en jaarverantwoording. Mogelijk zijn de risico’s reeds weergegeven in de andere paragrafen. Met deze verplichting dient elke provincie en gemeente zich met risicomanagement bezig te houden. Anno 2009 geven veel gemeenten inderdaad vorm aan risicomanagement. Ze lopen daarbij echter wel tegen problemen aan. Het belangrijkste vraagstuk luidt: hoe zorg ik ervoor dat het een werkend systeem wordt? En dat is de reden van deze uitgave. Dit handboek moet voor u een handreiking zijn bij het invoeren en vervolgens verder verfijnen van een systeem voor risicomanagement.
Deloitte ziet risicomanagement als een proces van een systematische analyse van de risico’s waaraan een organisatie bloot staat. Daarbij horen de verbeteringen als gevolg van het aanpassen van de maatregelen. Natuurlijk is dit niet een eenmalige activiteit. Het is een continu proces, alleen al omdat de actualiteit en het treffen van maatregelen in veranderende omstandigheden dit van ons eist. Denk maar aan de huidige economische crisis. In praktijk zal dan ook blijken dat de risico’s scherper ingeschat en afgedekt worden naarmate men er langer mee bezig is. Wanneer een gemeente er in slaagt om sneller en met meer effect te reageren op zich manifesterende risico’s dan bestaat de mogelijkheid dat een lager
weerstandsvermogen aan de orde is. Een lager weerstandsvermogen heeft weer direct consequenties voor de ruimte die bestaat ten aanzien van bestedingen.Het proces van risicomanagement bestaat uit verschillende fasen: kaderstelling en strategie, risicoanalyse, treffen van beheersmaatregelen, monitoren van de resultaten, toezicht en toetsing en het zonodig treffen van maatregelen ter verbetering. Elke organisatie doorloopt deze stappen. In dit handboek benoemen we deze stappen uitgebreid en geven we aan wanneer welke stap genomen moet worden.
Een belangrijk aspect dat onlosmakelijk met risicomanagement verbonden is, is governance. We hebben het dan over het borgen van de onderlinge samenhang van de wijze van sturen, beheersen, en toezicht houden van een organisatie. Beide instrumenten, governance en risicomanagement, hebben als doelstelling een organisatie meer gecontroleerd te sturen. Hiermee bedoelen we dat uiteindelijk helder is waar de kansen en risico’s van de organisatie liggen en dat hier de beheersmaatregelen en activiteiten op worden gericht. Zo kun je enerzijds de kansen benutten - risico’s zijn immers niet alleen negatief van aard - en anderzijds de risico’s afdekken of de effecten hiervan verminderen. Op meer punten vind je overeenkomsten tussen risicomanagement en governance. Wat risicomanagement een eigen karakter geeft, is die continue verandering. Daarom gaan we daar in dit handboek dieper op in. Bijvoorbeeld, wanneer een organisatie groeit in zijn ontwikkelingen op het gebied van risicomanagement, dan kun je het direct inzetten om het beleid en de uitvoering daarvan te verbeteren. Het mooie resultaat is een proces van continue verbetering van de organisatie. Immers door het bewust
Gem
eente
raad
1. Kaderstelling & Strategie
College & Management Team
5. Toezicht & Toetsing
2. Risicoanalyse
3. Beh
eers
maa
treg
elen
6. V
erbet
erin
g
4. MonitorenResultaten
Be-
Weerstandscapaciteit
Risicoanalyse
Risicoweging
Risicobeheersing
Resterende risico’s
Gebeurtenissen
8
en bekend zijn met de risico’s worden maatregelen getroffen die ervoor zorgen dat risico’s kunnen worden beperkt. Dit proces van bewustwording en onderkenning is essentieel voor het bekend zijn met de veranderingen in de interne en externe omgeving. Daarnaast krijgen gemeenteraad en college een beter inzicht in de uitvoering van het beleid en de wijze waarop dat kan worden verbeterd, krijgen zij meer inzicht en vertrouwen omtrent de wijze waarop doelen worden gerealiseerd en bestaat transparantie over de risico’s die worden gelopen, de maatregelen die hier betrekking op hebben en de verantwoording hierover.
Risicomanagement is nooit af en het is daarom essentieel dat dit proces gedragen wordt door de organisatie. Dan praten we over houding en gedrag en dat geldt voor alle betrokkenen. Dus voor zowel raadsleden, als collegeleden en ambtenaren. Het is misschien wel de sleutel tot succes. Begrijpelijk is dat organisaties zoeken naar de juiste manier om risicomanagement te implementeren. We doen in deze uitgave een groot aantal handreikingen (hoofdstuk 4.6).
Uiteindelijk, wanneer men beseft dat risicomanagement meer is dan alleen het financieel kwantificeren en identificeren van risico’s, dat het juist een zeer belangrijke driver is voor de ontwikkeling van de organisatie, dan komt het systeem tot volledige wasdom. En dat is echt een positief risico!
Wat maakt een organisatie succesvol op het gebied van risicomanagement?
Meer dan de som der delenHet serieus invullen van risicomanagement is geen simpele optelsom van de risico’s. Ten eerste zijn risico’s inderdaad niet altijd te kwantificeren, zijn risico’s niet exact maar binnen een bepaalde bandbreedte te kwantificeren en is ten derde de kwantificering van risico’s de uitkomst van een permanent proces. Het proces zoals dat eerder is aangegeven. Het enkel kwantificeren van de risico’s wekt eerder de indruk van een boekhoudkundige en rekenkundige benadering dan dat de identificatie het startpunt is voor het doen van aanpassingen van de organisatie, processen, werkwijzen en houding en gedrag.
Regel in ieder geval, denk na over….Naast een duidelijk en herkenbaar proces van risicomanagement, een adequate governance cyclus (sturen, beheersen, verantwoorden, toezicht houden) en een goede mix van hard- en soft controls zijn belangrijke overige ingrediënten voor een goede implementatie, duidelijke werkwijze en draagvlak:1. Risicomanagementmethode: Bij het toepassen van risicomanagement heeft
de organisatie een methode (van inventariseren en monitoring) nodig om haar risicoprofiel op te stellen. Kies een methode die past bij de organisatie.
2. Verantwoordelijkheid: Niet alleen voor de kwaliteit van de implementatie, maar zeker ook voor het effect van risicomanagement is het van belang dat medewerkers in de lijnorganisatie verantwoordelijk worden gemaakt voor het inschatten van, beheersen van en verantwoording afleggen over risico’s.
3. Belang van draagvlak: Ongeacht welke aanpak de gemeente uiteindelijk kiest om te komen tot implementatie van risicomanagement, is draagvlak van vooral de directie en het college van burgemeester en wethouders voor het concept onontbeerlijk.
4. Kennissessie met diverse ambtelijke (en bestuurlijke) sleutelfunctionarissen: Indien risicomanagement wordt geïnitieerd vanuit een staffunctie of een beperkt deel van het lijnmanagement is het aan te raden om in eerste instantie een kennissessie te organiseren met het voltallige management en eventueel een afvaardiging uit het bestuur. Tijdens deze sessie kan het onderwerp verder uitgediept worden en de toegevoegde waarde inzichtelijk worden gemaakt door middel van concrete voorbeelden.
5. Sponsor binnen het management (en eventueel bestuur): Risicomanagement is een verantwoordelijkheid van de lijn. Om deze reden is het belangrijk dat op het hoogste ambtelijk niveau binnen de organisatie een sponsor aanwezig is voor het concept.
6. Eenvoudig beginnen (met een pilot): Na de kennissessie raden wij aan om de voorgestelde aanpak in eerste instantie een pilot uit te voeren.
7. Voldoende robuuste projectorganisatie: Een essentiële basis voor draagvlak is een voldoende robuuste projectorganisatie.
8. Aansluiting op bestaande initiatieven, concepten en systemen: Om de belasting van de organisatie zoveel mogelijk te beperken, is het sterk aan te raden om risicomanagement aan te laten sluiten bij reeds bestaande initiatieven, concepten en systemen.
9 Risicomanagement meer dan de som der delen
10
11 Risicomanagement meer dan de som der delen
Voorwoord
Risicomanagement: op het grensvlak van wereldenHet managen van risico’s is zonder enige twijfel één van de grootste uitdagingen geworden voor de publieke sector. Dachten wij een jaar geleden nog dat de financiële perikelen in de Verenigde Staten zouden overwaaien, nu zitten we middenin een economische crisis. Weinigen lijken te weten, wat ons te wachten staat. De onzekerheid in de voorspellingen is groot, blijkens de maandelijkse bijstellingen van tal van prognoses. Elke dag presenteren bestuurders nieuwe feiten of relativeren wat komen gaat. Sterker nog, velen verkondigen dat we het ergste hebben gehad, terwijl anderen somber weer verwachten voor de komende 10 jaar.
Ik denk dat hier de essentie ligt van waar het bij risicomanagement om gaat: het onbekend zijn met en het onderschatten van risico’s om ons heen en in onszelf. Risico’s zijn lastig en passen vaak niet binnen de politieke en bestuurlijke ambities. Risicomanagement heeft bij ons Nederlanders, het volk van controle, dan ook vaak een negatieve klank. Risicomanagers hebben het imago van remmers in algemene dienst. Alsof het mensen zijn die ‘moeilijk doen’ bij sprankelende plannen en projecten.
Het tegenovergestelde echter is waar. Immers, er zijn zoveel projecten en plannen waar de Nederlandse samenleving mee aan de slag is en er zijn velen daarvan die niet uitkomen, flinke overschrijdingen te zien geven, niet het effect lijken te sorteren dat was beoogd en zelfs niet uitvoerbaar blijken. Daarbij zijn het de grensvlakken tussen hogere en lagere overheden, maar ook tussen politici, bestuurders, managers en specialisten waar de risico’s ontstaan. Het dualistisch bestel werkt daarbij vooralsnog niet louterend, omdat rollen en taakopvattingen sterk uiteenlopen en nog immer worden bediscussieerd. Het lijkt me dat een samenleving als de onze het zich niet kan permitteren kwistig om te springen met mensen en middelen voor doelen die niet bereikt kunnen worden. Zeker in tijden van crisis moet elke klap raak zijn.
Cruciaal daarbij is dat stakeholders met elkaar praten en dan bedoel ik echt praten. In dit licht zie ik de handreiking die voor u ligt als een prachtige set van instrumenten om deze dialoog aan te gaan.
Het weerstandsvermogen is daarbij een ‘objectief’, gemeenschappelijk referentiekader waarbij raad, college, samenleving en management met elkaar kunnen spreken over de risico’s en ook kansen. Het weerstandsvermogen kan daarbij dienen als een soort AEX-index die de uitkomsten van dit debat weergeeft. Het gaat niet zozeer om de ratio, maar veeleer om het debat.
Het is duidelijk dat er veel factoren zijn die het weerstandsvermogen bepalen. Het getal van de ratio van het feitelijke vermogen is hierbij uiteindelijk geen doel op zich. Nee, de mythe van dit getal is zeker niet zaligmakend. Nee, het is eerder het vermogen van organisaties om met open vizier en transparant en vooral met lef de risico’s en onzekerheden te benoemen. En als we het daar over hebben, mag duidelijk zijn dat iedereen zijn eigen definities en regels hanteert, zodat het weerstandsvermogen vaker dan eens een schijnwerkelijkheid vertegenwoordigt.
De handreiking die voor u ligt, is daarom een enorme stap in de goede richting. Het beoogt te standaardiseren, waardoor de dialoog beter wordt. Hierdoor neemt het gedeelde en geobjectiveerde collectieve besef van risico’s toe, evenals het inzicht in de mogelijkheden deze te minimaliseren. Het resultaat hiervan is een hogere kwaliteit van besluiten. Daarbij draagt zij bij aan de verbeteringen in het functioneren van organisaties en aan de verbetering van het openbaar bestuur. Het omvat de balans van hard- en soft controls, van cijfermatige en rationele benaderingen enerzijds en van openheid en eerlijkheid van bestuurders en managers anderzijds.
Het systematisch borgen van de benaderingen van risico’s in organisaties is een uitdaging en staat nog maar in de kinderschoenen. Het met scherp leren schieten in de zeer complexe samenleving, met veel belangen en partijen, is een wetenschap, wellicht een kunst die we nog onvoldoende beheersen. Of is het nog iets wat wij beter kunnen inbedden in onze cultuur van besturen en beslissen. Ik ben er van overtuigd dat dit zo is. De handreiking helpt ons op weg, de ratio zet de maat en kwaliteit van het debat met als neerslag het weerstandsvermogen. De wijze waarop vertaling in uw organisaties plaats kan vinden zal mede bepalend zijn en zal ons tonen hoe snel de boeg door het water kan.
12
Want dat is het grote verschil met traditionele control: risico’s doen zich voor aan de boeg, terwijl de traditionele control zich in de machinekamer afspeelt. Aan de boeg doen zich de veranderingen voor. Als we dus scherp aan de wind willen varen of willen dat de boeg effectief door de golven snijdt is het duidelijk dat we de zekerheden en onzekerheden goed moeten kennen. Het zijn daarmee ‘drivers’ geworden voor veranderingen. Kennis en het managen van risico’s legt daarmee in belangrijke mate de basis voor innovatie en creativiteit.De handreiking is dan ook een goede eerste aanzet tot een nieuwe vorm van control. Één waarbij kansen en innovaties worden meegewogen, waarbij de maatschappelijke omgeving, de natuurlijke omgeving en de kennis van menselijk handelen, een veel dominantere rol speelt dan nu. Weerstandsvermogen gaat niet over geld. Nee, het gaat over bedrijfsvoering in brede zin en het gaat om externe focus op en kennis van netwerken in het bijzonder. Controllers zijn niet meer sec financiële experts. Controllers zijn we vanaf vandaag allemaal. En alleen door elkaars kennis te bundelen, worden we samen intelligenter. Deze handreiking beschouw ik als een eerste stap naar deze collectieve intelligentie!
Voorzitter en oprichter van PRIMO (Public Risk Management Organisation) Nederland (april 2006 - april 2009) President PRIMO Europe Gemeentesecretaris gemeente Roosendaal
Ir. Jack P. Kruf
13 Risicomanagement meer dan de som der delen
14
15 Risicomanagement meer dan de som der delen
“Risicomanagement is voor mij een vorm van kwaliteitsmonitoring en –verbetering.” Jan Vermeule, gemeente Amersfoort
Een effectieve bedrijfsvoering en een goede beheersing van risico’s is een essentiële randvoorwaarde voor het management om haar doelstellingen te halen. Proactiviteit richting de voorkant van de organisatie wordt steeds belangrijker om op die manier tijdig en adequaat ontwikkelingen en risico’s te kunnen signaleren en acties te kunnen benoemen. Het instrument risicomanagement biedt handvatten voor gemeenten om hun doelen te bereiken en aan de voorkant tijdig bij te sturen door risico’s in beeld te hebben en te houden. Governance is in dit verband de drijvende kracht achter risicomanagement. Kernthema’s zijn hierbij transparantie, verantwoording en zeggenschap. In onze transparante maatschappij worden bestuurders en management in toenemende mate afgerekend indien er iets in hun organisatie fout gaat. Het probleem is dat positief nieuws over het algemeen snel de directie bereikt, maar het potentiële slechte nieuws vaak in de managementlagen blijft hangen of van buiten komt. Voorkomen is in die gevallen beter dan genezen omdat externe druk vaak ongewilde en ad hoc reacties tot gevolg heeft. Beheersen van risico’s aan de voorkant draagt bij aan het verkleinen van de kans van externe druk waardoor de gemeente zelf in ‘control’ blijft.
Cultuur en een helder omschreven risicomanagement-proces zijn noodzakelijk om potentiële verrassingen vroegtijdig naar boven te krijgen.
Het identificeren van risicomanagement als een instrument tot doelrealisatie is – onder meer in het kader van public governance – ook onderkend door de wetgever. De Gemeentewet en Provinciewet van 2004 schrijft voor dat elke gemeente en provincie in Nederland verantwoordingsdocumenten en begrotingsdocumenten opstelt. Dit is vastgelegd in het Besluit begroting en verantwoording provincies en gemeenten (BBV 2004). Volgens dit besluit zijn provincies en gemeenten verplicht hun weerstandsvermogen (het vermogen risico’s te dekken) in kaart te brengen aan de hand van een overzicht van de risico’s (door het definiëren en uitwerken van één of meerdere risicoprofielen). Dit houdt in dat jaarlijks een paragraaf weerstandsvermogen dient te worden opgesteld in de beleidsbegroting waarin de weerstandscapaciteit (de middelen om de risico’s te dekken) wordt behandeld. Dit dient ertoe een beter en meer tijdig inzicht te geven in de risico’s waar gemeenten mee te maken hebben, opdat deze beter beheersbaar worden. Uit onderzoek blijkt dat sinds 2004 slechts 30 tot 40 procent van de gemeenten voldoet aan de eisen van het BBV1. Het grootste knelpunt dat naar voren komt, is dat gemeenten veelal niet in staat zijn hun risico’s te kwantificeren. Ervaringen leren dat gemeenten veelal hun risicomanagement beperken tot ’lijstjes maken en doorsturen van overzichten’. Gemeenten buiten de Randstad, en met name de relatief kleinere gemeenten, hebben een nog lager percentage dat voldoet aan de eisen van het BBV. Het Besluit begroting en verantwoording provincies en gemeenten richt zich op zowel gemeenten als provincies in Nederland.
1. Inleiding
1 Smorenberg, O. 2006. Een norm voor
het weerstandsvermogen. B&G 4, 27-30
16
Risicomanagement wordt gedefinieerd als het identificeren en kwantificeren van risico’s en het bepalen van activiteiten die de kans van optreden en/of de gevolgen van risico’s beheersbaar houdt/maakt.
1.1 Waarom dit handboek?Dit handboek is de zesde in een serie van andere handboeken zoals die door Deloitte zijn uitgegeven rond het thema Governance. Als aansluiting en vervolg op de eerder uitgegeven handboeken is dit boek geschreven. Andere boeken in de reeks Gemeente Governance zijn Verbonden Partijen, Grond(ig) beleid, Fraude, Auditcommissie en De Jaarrekening. Veel literatuur is reeds beschikbaar met betrekking tot risicomanagement, maar deze literatuur is vooral theoretisch van aard. Dit handboek beoogt een meer praktische benadering te hanteren en is door en voor gemeenten geschreven. Samen met een aantal gemeenten is gesproken over de praktische vraagstukken rond risicomanagement. Hierbij heeft elke deelnemende gemeente een casus ingediend dat is gebruikt als onderbouwing en illustratie voor dit handboek. Gezamenlijk hebben deze casussen geholpen om te komen tot een uniforme denkwijze over risicomanagement die is verwerkt in dit handboek. Onder de deelnemers vallen het ministerie
van Binnenlandse Zaken en Koninkrijksrelaties en de gemeenten Amersfoort, Barendrecht, Breda, Doetinchem, Enschede, Middelburg, Oosterhout, Pijnacker-Nootdorp, Roosendaal en de Regio Zuid-Holland Zuid.
Met dit handboek willen we de bewustwording van risicomanagement bij gemeenten bevorderen door middel van een heldere en praktisch toepasbare beschrijving van risicomanagement, weerstandsvermogen, risicomanagement in relatie tot governance en de cultuuromslag in het kader van risicomanagement. Dit wordt aangevuld met praktijkvoorbeelden. Een beleid met een oog voor het aspect risicomanagement geeft houvast en richting aan een organisatie en helpt om voorbereid te zijn op de mogelijke negatieve gevolgen van risico’s.
1.2 Wat is risicomanagement? Veel gemeenten zijn op dit moment bezig met het vormgeven van risicomanagement in de eigen organisatie. Dit levert in de praktijk vaak veel uitdagingen op. Sommige uitdagingen zijn heel specifiek, maar een groot deel is voor veel gemeenten vergelijkbaar. Dit is dan ook de aanleiding geweest om dit handboek te schrijven: het delen van ervaringen uit de praktijk en het geven van handreikingen om verschillende problemen en vraagstukken rond risicomanagement het hoofd te bieden.
Een centraal thema bij het vormgeven van risicomanagement in de praktijk is niet – zoals misschien verwacht zou worden – het ontwikkelen van instrumentarium en het berekenen van de risico’s, maar juist het thema van implementatie en het verkrijgen van draagvlak voor het thema van risicomanagement.
Gemeente Governance Fraude Managen van frauderisico’s geeft voorsprong!
Lokaal Bestuur
Gemeente GovernanceGrond(ig) beleid Grondbeleid, grondexploitaties
en grondbedrijven grondig bekeken
Lokaal Bestuur
Deloitte refers to one or more of Deloitte Touche Tohmatsu, a Swiss Verein, and its network of member firms, each of which is a legally separate and independent entity. Please see www.deloitte.com/about for a detailed description of the legal structure of Deloitte Touche Tohmatsu and its member firms.
Deloitte provides audit, tax, consulting, and financial advisory services to public and private clients spanning multiple industries. With a globally connected network of member firms in 140 countries, Deloitte brings world class capabilities and deep local expertise to help clients succeed wherever they operate. Deloitte’s 165,000 professionals are committed to becoming the standard of excellence.
Deloitte’s professionals are unified by a collaborative culture that fosters integrity, outstanding value to markets and clients, commitment to each other, and strength from cultural diversity. They enjoy an environment of continuous learning, challenging experiences, and enriching career opportunities. Deloitte’s professionals are dedicated to strengthening corporate responsibility, building public trust, and making a positive impact in their communities.
© 2009 Deloitte, Member of Deloitte Touche Tohmatsu
Designed and produced by MCBD at Deloitte, Rotterdam.
Deloitte Wilgenbos 43311 JX DordrechtPostbus 1165 3300 BD Dordrecht
Telefoonnummer: +31 (0)78 611 25 00Faxnummer: +31 (0)78 611 25 77www.deloitte.nl
Gemeente GovernanceDe jaarrekening Driedimensionaal bekeken
Gem
eente Governance - D
e jaarrekening D
riedimensionaal bekeken
17 Risicomanagement meer dan de som der delen
Hoe geef je risicomanagement ‘handen en voeten’ in de organisatie (instrumentele borging) en hoe krijgen we risicomanagement ‘tussen de oren’ van mensen. Dit thema heeft een sterke cultuurveranderingscomponent. In dit handboek zullen we naast de handreikingen voor (instrumentele) invulling van risicomanagement in de organisatie derhalve ruime aandacht besteden (voornamelijk in hoofdstuk 4) aan cultuurverandering.
Het risicomanagementproces begint met het benoemen van doelstellingen, het bepalen van de structuur en het inrichten van processen. Hierna volgt men de zes stappen van het risicomanagementproces (figuur 1.1). Zo wordt een gedegen, continu proces opgebouwd ten gunste van de verbetering van risicomanagement. Dit model vormt de leidraad van ons boek en wordt als uitwerking gepresenteerd in het boek.
Waarom risicomanagement? De belangrijkste reden voor risicomanagement is om je doel te bereiken. Veelal bestaat het beeld dat het invoeren van risicomanagement een zware (extra) belasting vormt voor de organisatie. Door echter beheersmaatregelen te benoemen en deze uit te voeren voordat risico’s zich voordoen, is de kans groter dat uiteindelijk de doelstellingen worden bereikt. Bovendien zorgt een systeem van risicomanagement ervoor dat risico’s en beheersmaatregelen niet op een willekeurige, maar op een gestructureerde wijze worden geïnventariseerd. Hierdoor zal een completer beeld van de risico’s ontstaan en dit zorgt ook voor een deugdelijke implementatie en onderkenning van beheersmaatregelen. De kans om risico’s te missen wordt kleiner door de aandacht voor risico’s en een deugdelijke inventarisatie ervan. Juist door de alertheid
op en het inzicht in risico’s zal een organisatie meer ondernemerschap aan de dag kunnen leggen en hierdoor ook grotere risico’s, want meer beheerst, kunnen nemen. Of minder risico’s lopen waardoor er een kleiner beslag zal worden gelegd op het weerstandsvermogen.
Het risicomanagementproces raakt zowel de financiële als de niet-financiële risico’s (wetgeving over bijv. milieu, ruimtelijke ordening, arbo). Het risicomanagementproces dient niet alleen om financiële en niet-financiële risico’s in kaart te brengen. Ook risico’s voortvloeiend uit externe ontwikkelingen en de bedrijfsvoering dienen te worden ingebed in het risicomanagement proces. Risico’s kunnen dus betrekking hebben op een breed pallet. Het kan gaan om risico’s in de reguliere exploitatie en bedrijfsvoering, risico’s binnen processen, risico’s van projecten, risico’s in de diverse programma’s en risico’s die van buiten komen. Het risicomanagementproces, zoals dat bij figuur 1.1 is weergegeven, is echter niet anders bij deze verschillende risicogebieden.
De ervaring leert dat risicomanagement uitstekend te combineren is met andere initiatieven die moeten leiden tot doelbereiking en tevens verbeteringen in de kwaliteit van de bedrijfsvoering. Hierbij kan bijvoorbeeld gedacht worden aan prestatiemanagement en het INK-managementmodel. Deze twee concepten bespreken wij kort alvorens de samenhang met risicomanagement nader toe te lichten.
PrestatiemanagementBij prestatiemanagement worden de strategische beleidsdoelstellingen doorvertaald naar sturings-
Figuur 1.1
Risicomanagement proces in
relatie tot Governance
STUREN BEHEERSEN
TOEZICHT VERANTWOORDING
1. Kaderstelling & Strategie
2. Risicoanalyse
3. Beheersmaatregelen
4. Monitoren resultaten 5. Toezicht & ToetsingG
emee
nte
raad
1. Kaderstelling & Strategie
College & Management Team
5. Toezicht & Toetsing
Beginnend/Groeiend2. Risicoanalyse
3. Beh
eers
maa
treg
elen
4. M
onit
oren
res
ult
aten
6. V
erb
eter
ing
Afgebakend/Geadvanceerd
6. Continue
Verbetering
Strategischedoelstellingen
Functioneledoelstellingen
Operationele doelstelling
Cruciale bedrijfsactiviteiten
Visie, Missie,Strategie
KSF KPIManagementrapportage
Operationeleinformatie
KSF KPI
KSF KPI
LeiderschapBeleid &strategie
Managementvan processen
Waarderingdoor
klanten
Middelen-management
Waarderingdoor
maatschappij
MedewerkersWaardering
doorpersoneel
Eindresultaten
Feedback
Organisatiegebieden Resultaatgebieden
18
en verantwoordingsinformatie. Op het hoogste (organisatie)niveau binnen de gemeente betekent dit dat allereerst per doelstelling antwoord wordt gegeven op de volgende vragen:• Wanneerisdedoelstellingbereikt?en• Welkeinspanningenzijndaarvoorkritisch?
De antwoorden op beide vragen zijn kritische succesfactoren (KSF’en). Deze kwalitatieve begrippen worden vervolgens vertaald in kwantitatieve kritische prestatie-indicatoren (KPI’s) (zie figuur 1.2)
INK-managementmodelDe INK-methodiek is erop geënt de organisatie te laten leren en (her)in te richten naar aanleiding van de uitkomsten van gekozen maatstaven. Hierdoor wordt een verbetercyclus in gang gezet. Het model bestaat uit een vijftal organisatiegebieden, een viertal resultaatgebieden en een feedback-lus (zie figuur 1.3). Hierbij is de wijze van invulling van de organisatiegebieden bepalend voor de mate waarin de resultaten van de organisatie worden behaald.
Samenhang risicomanagement, prestatiemanagement en INK-managementmodelDe onderlinge samenhang tussen risicomanagement, prestatiemanagement en het INK-managementmodel komen tot uitdrukking in figuur 1.4.
De gedachtengang achter deze figuur laat zich als volgt vertalen. Hoewel het INK-managementmodel een goede basis biedt om te komen tot verbetering in de bedrijfsvoering, laat de praktijk vaak zien dat (overheids)organisaties moeite hebben met het operationaliseren van dit model. Vaak komt dit door de (ervaren) complexiteit en het integrale karakter dat het INK-model draagt. Het vraagt een scherp inzicht in de samenhang van de genoemde elementen. Risicomanagement biedt hiervoor een uiterst efficiënte, effectieve en vooral praktische oplossing. De essentie van de koppeling van de drie modellen is dat door risicomanagement als integraal onderdeel van governance te zien het een structurelere en meer geborgde positie krijgt dan wanneer risicomanagement alleen in het kader van INK zou worden ingericht of enkel om het verkregen van een inzicht in de financiële positie. Door de koppeling van de verschillende modellen ontstaat een integraal beeld.
Figuur 1.2
Model prestatiesturing
Figuur 1.3
INK-model
LeiderschapBeleid &strategie
Managementvan processen
Waarderingdoor
klanten
Middelen-management
Waarderingdoor
maatschappij
MedewerkersWaardering
doorpersoneel
Eindresultaten
Feedback
Organisatiegebieden Resultaatgebieden
STUREN BEHEERSEN
TOEZICHT VERANTWOORDING
1. Kaderstelling & Strategie
2. Risicoanalyse
3. Beheersmaatregelen
4. Monitoren resultaten 5. Toezicht & Toetsing
6. Continue
Verbetering
Strategischedoelstellingen
Functioneledoelstellingen
Operationele doelstelling
Cruciale bedrijfsactiviteiten
Visie, Missie,Strategie
Managementrapportage
Operationeleinformatie
KSF KPI
KSF KPI
KSF KPI
19 Risicomanagement meer dan de som der delen
Figuur 1.4
Risicomanagement als
instrument van doelbereiking
Figuur 1.5
Risico’s per organisatiegebied
De interne risico’s uit het (te ontwikkelen) gemeenschappelijke risicotaal kunnen worden toegewezen aan de vijf organisatiegebieden van het INK-managementmodel, aangevuld met een extra veld voor de externe risico’s (zie figuur 1.5). Dit resulteert in een overzicht waarin per organisatiegebied de mogelijk voorkomende risico’s worden weergegeven. Op basis hiervan kunnen vervolgens de belangrijke risico’s geïdentificeerd worden, die het behalen van de doelstellingen en prestaties - al dan niet vastgelegd in managementcontracten - kunnen belemmeren (resultaatgebieden van het INK-managementmodel).
Het in kaart brengen van de oorzaken en consequenties van deze risico’s biedt vervolgens de basis om te komen tot verbeteracties. De verbetercyclus van de INK-methodiek krijgt op deze wijze een praktische en concrete invulling. Tevens wordt duidelijk inzichtelijk gemaakt wat de mogelijke gevolgen zijn van de risico’s op de te behalen prestaties en doelstellingen.
Kortom, risicomanagement is een uitstekend instrument tot doelbereiking dat relatief eenvoudig gecombineerd kan worden met andere (bestaande) managementconcepten die leiden tot een verbetering van de bedrijfsvoering.
Externe risico’s
Leiderschap
Maatschappelijke risico’s Politiek bestuurlijke en legislatieve risico’s
- Verwachtingen cliënt/burger- Belanghebbenden/stakeholders- Technologische innovatie- Afhankelijkheid van derden
- Leiderschapsstijl- Organisatiestructuur
- Bevoegdheden en verantwoordelijkheden
- Nieuwe wet- en regelgeving- Politiek signatuur (rijks)overheid- Naleving beleid/procedures door uitvoerders- Conflicterend overheidsbeleid
- Waarden en normen- Managementfraude
Medewerkers
- Vermogen tot veranderen- Kwaliteit personeel- Integriteit- Reputatie- Motivatie- Kwantiteit personeel- Illegale activiteiten medewerkers- Arbeidsomstandigheden- Productiviteit- Incentives beleidsuitvoering
Processen
- Efficiency- Projectmanagement- Product/dienstenkwaliteit- Interne communicatie en samenwerking- Cliënt/burgercommunicatie- Samenwerking ministeries
- Samenwerking college B&W- Samenwerking overige GD- Samenwerking uitvoeringsinstanties- Naleving beleid en procedures
- Naleving wet- en regelgeving- Imago- Productontwikkeling- Kennisdeling- Tevredenheid cliënt/ burger
Strategie & Beleid
- Beleidsvorming- Interactieve beleidsvorming- Beleidsformulering- Beleidshaalbaarheid- Verantwoordings- rapportages- Toezicht op beleidsuitvoering- Prestatie-indicatoren- Managementrapportage- Aansluiting doelen- Financiële en operationele informatie Budgettering/begroting
Middelen
FINANCIEEL- Contractering- Apparaatkosten- Verplichtingen- Programmakosten
INFORMATIETECHNOLOGIE- Werking infrastructuur- Aansluiting infrastructuur ketenpertners- Tijdigheid- Beveiliging- Betrouwbaarheid- Relevantie- Toepasbaarheid
20
Waarom willen we de uitkomsten van het risicomanagement vertalen naar een concreet bedrag, zijnde het weerstandsvermogen? Vaak stellen raadsleden en wethouders de vraag: hoe staan we ervoor als gemeente en hoe vermogend zijn we? Het antwoord op deze vragen blijft vaak uit, omdat het inzicht er onvoldoende blijkt te zijn. Het antwoord wordt bepaald door de financiële positie van uw gemeente in relatie tot het risicoprofiel van de gemeente. Hierbij moet opgemerkt worden dat enerzijds niet alle risico’s zijn te vertalen naar concrete geldbedragen. Anderzijds is het summum van risicomanagement niet de rekensom: hoeveel geld moeten we hebben voor het afdekken van de risico’s? Nee, gelukkig is het veel meer. Een degelijk systeem zorgt voor het werken aan een structurele verbetering en toename van beheersing, mede door krijgen van een beter inzicht van uw organisatie.
Gebeurtenissen van de laatste jaren laten zien hoe belangrijk het is dat bekend is hoe de gemeente er voor staat wat betreft de risico’s en het weerstandsvermogen. Er zijn vele voorbeelden van gemeenten die geconfronteerd werden met onvoorziene risico’s met grote financiële consequenties. Een in het oog springend voorbeeld is de Noord-Zuid-lijn in Amsterdam. Dergelijke majeure projecten en hiermee samenhangende risico’s kunnen een aanzienlijk effect hebben op de financiële beleidsvrijheid van de gemeente, maar ook op het imago en de inrichting van de (project-)organisatie. Immers dergelijke majeure en unieke projecten vragen om een specifieke inrichting en aansturing.
Hoe krijg je risicomanagement tussen de oren? Om risicomanagement ingebed te krijgen in het handelen van medewerkers is het van belang om risicomanagement explicieter onderdeel te laten uitmaken van de reguliere bedrijfsvoering. Een organisatie moet duidelijk voor ogen hebben wat risicomanagement inhoudt en wat het oplevert om risicomanagement te bedrijven. Dit vraagt om een cultuuromslag binnen veel organisaties. Dit cultuurelement is in onze optiek één van de belangrijkste kritische succesfactoren voor het succesvol implementeren en werkend houden van risicomanagement. Zie hiervoor ook hoofdstuk 4.4 en hoofdstuk 6.
Wat levert risicomanagement op? Eén van de belangrijkste voordelen is dat risicomanagement inzicht creëert in het functioneren van de organisatie: hoe snel reageert zij op wijzigende omstandigheden? Daarnaast draagt een adequaat risicomanagement bij aan het inzicht in en de realisatie van de gestelde doelen. Inzicht in risico’s en eventuele negatieve gevolgen hiervan kan zorgen voor een stabielere organisatie met een inzichtelijker toekomst en een beter beheerst beleid. Naast inzicht, creëert risicomanagement transparantie en beheersbaarheid. Transparantie in de risico’s die een organisatie loopt en beheersbaarheid hiervan. Niet geheel onbelangrijk levert risicomanagement ook geld op. Als je de risico’s van je organisatie vroegtijdig erkent en adequate maatregelen neemt kunnen negatieve gevolgen van bepaalde activiteiten worden voorkomen.
Met dit handboek hebben wij tot doel om op een praktische wijze een start te maken met het invullen van risicomanagement binnen uw organisatie. Door middel van een overzichtelijke definiëring en praktische handreikingen kan dit handboek u helpen bij het bepalen wat risicomanagement voor uw organisatie betekent. Daarnaast kan het nuttig zijn bij het benoemen van wat uw organisatie wil bereiken met risicomanagement. Het kiezen van een praktische methode voor risicomanagement, de wijze van implementatie in de dagelijkse gang van zaken in uw gemeente en het bepalen van de wijze van rapportage, zijn belangrijke kaders bij de vormgeving van risicomanagement. Verder blijken in de praktijk het benoemen van een risicomanager en het verantwoordelijk maken van (integraal) managers verantwoordelijk voor zijn/haar risico’s versterkend te werken voor de effectiviteit van risicomanagement. Ook druk vanuit de ‘top’ van de organisatie helpt hierbij. Het gaat hierbij niet alleen om ‘systeemdruk’ (druk door middel van regels), maar risicomanagement kent tevens een belangrijk cultuurelement. Er moet anders gekeken worden naar de organisatie en de processen die daarbinnen vormkrijgen.
1.3 LeeswijzerIn de volgende hoofdstukken wordt u als lezer geleid door de elementen van een adequaat en werkend systeem van risicomanagement. Aan het eind van dit handboek is een duidelijk beeld ontstaan van elk van de elementen voor een succesvolle opzet, rolverdeling,
21 Risicomanagement meer dan de som der delen
implementatie, werking en de toegevoegde waarde van een systeem van risicomanagement.
Na een korte omschrijving van risicomanagement (onder meer als instrument tot doelbereiking) en weerstandsvermogen in de inleiding wordt in hoofdstuk 2 dieper ingegaan op risicomanagement. In hoofdstuk 3 worden de governance-dimensies bij risicomanagement verder uitgewerkt. Gericht wordt ingegaan op sturing, beheersing, verantwoording en toezicht houden, de vier dimensies van governance. Op basis van de theorie wordt in dit hoofdstuk de basis gelegd voor risicomanagement. Veelal wordt gekeken naar de verbanden tussen risicomanagement en governance, het duale bestel, rechtmatigheid, rolverdeling en randvoorwaarden.
Hoofdstuk 4 laat de stappen zien na implementatie. Hoe zorgt een organisatie voor een continu proces van verbetering? Hoe wordt risicomanagement een explicieter onderdeel van de bedrijfsvoering? Hoe kan vorm worden gegeven aan de cultuuromslag?
In hoofdstuk 5 wordt nader ingegaan op weerstandsvermogen. Wat wordt hieronder verstaan? Welke onderdelen spelen hierbij een rol? Wat zijn de mogelijkheden voor gemeenten om hier invulling aan te geven? Welke speelruimte ligt er binnen de elementen van weerstandsvermogen?
Nadat de belangrijke elementen bij de invoering van risicomanagement zijn behandeld, laat hoofdstuk 6 de valkuilen in de praktijk zien. Waar lopen organisaties tegen aan? Wat kan er mis gaan en hoe is dit te ondervangen?
Vervolgens worden in hoofdstuk 7 aan de hand van een aantal thema’s voorbeelden geschetst van hoe risicomanagement vorm kan krijgen in de praktijk.Tenslotte bevat dit handboek een flink aantal bijlagen met praktische voorbeelden, handreikingen, checklists en overzichten die behulpzaam kunnen zijn bij het verder vormgeven van risicomanagement in uw eigen organisatie.
1.4 Wat is interessant voor welke doelgroep?Dit is een boekwerk geworden dat voor verschillende doelgroepen interessant is: gemeenteraden, colleges van B&W, gemeentesecretarissen, controllers en lijnorganisatie. Om het handboek toegankelijk te maken, hebben we in het onderstaande overzicht weergegeven welke hoofdstukken of paragrafen interessant zijn voor welke doelgroep. Het is uiteraard niet bedoeld om u te weerhouden het handboek in zijn geheel door te nemen. Doelgroep Interessante hoofdstukken/paragrafen
Gemeenteraad1, 2.1, 2.2, 2.3 en 3Bijlagen: 5, 8, 10, 11 en 12
College van B&W1, 2.1, 2.2, 2.3, 3.3, 4.1 en 4.2Bijlagen: 5, 8, 10, 11 en 12
Controller/risicomanager/-coördinator
1, 2, 3, 4, 5, 6 en 7Bijlagen: 1 -12
Lijnorganisatie/ambtelijke organisatie
1, 2.1, 2.2, 2.3, 4.2, 4.3, 4.4, 4.5, 4.6, 5, 6 en 7Bijlagen: 1-12
22
Doel-stellingen
Brutorisico
BeheersMaatregelen
Nettorisico
Reguliererisico’s
Kwanti-ficeerbaar
Kwanti-ficeerbaar
Voorziening
Niet-Reguliererisico’s
Niet goedKwanti-
ficeerbaar
Van geringebetekenis
Materiëlebetekenis
Voorziening
Weerstandscapaciteit
23 Risicomanagement meer dan de som der delen
2. Risicomanagement
In dit hoofdstuk gaan we dieper in op de term risicomanagement. Hierna behandelen we de aspecten van governance, het gebruik van risicomanagement voor continue verbetering, de bepaling van het weerstandsvermogen, de valkuilen in de praktijk en het weergeven van casuïstiek. Dit hoofdstuk richt zich bovendien op de risicomanagementsystemen en doelen en doelgroepen.
Risicomanagement wordt gedefinieerd als het identificeren en kwantificeren van risico’s en het bepalen van activiteiten die de kans van optreden en/of de gevolgen van risico’s beheersbaar houdt/maakt.
2.1 Wet- en regelgeving: eisen in het kader van risicomanagementMet het inwerking treden van het Besluit Begroting en Verantwoording Provincies en Gemeenten (BBV) per 1 januari 2004, zijn gemeenten verplicht om aandacht te besteden aan het risicoprofiel van de gemeente en dit te plaatsen in relatie tot het weerstandsvermogen. Deze nieuwe regelgeving met betrekking tot begroting en verantwoording verplicht gemeenten om een duidelijke koppeling te maken tussen de risico’s die worden gelopen en het aanhouden van een financiële buffer (beschikbare weerstandscapaciteit).
Conform artikel 11 BBV dient in de paragraaf weerstandsvermogen in ieder geval te worden opgenomen:
a) een inventarisatie van de (weerstands)capaciteit, b) een inventarisatie van de risico’s en c) het beleid omtrent de (weerstands)capaciteit en
de risico’s.
In figuur 2.1 wordt de mogelijke opbouw van de paragraaf weerstandsvermogen getoond. Uiteindelijk dienen slechts de risico’s van materiële (belangrijke financiële) betekenis te worden afgezet tegen de weerstandscapaciteit. Risico’s waar beheersingsmaatregelen (verzekeringen, maatregelen in de AO-IC) tegenover staan en die concreet in geld kunnen worden uitgedrukt en vervolgens zijn geconcretiseerd door middel van een voorziening dienen buiten beschouwing te blijven.
BBV:- Inventarisatie weerstandscapaciteit- Inventarisatie risico’s- Beleid omtrent weerstandscapaciteit en risico’s
Model financiële verordening:- Weerstandscapaciteit- Toereikendheid weerstandscapaciteit bij schade en
verliezen als gevolg van risico’s van materieel belang
Figuur 2.1: Opbouw weerstandsvermogen
2.2 Risicomanagement en ISOOok in internationaal perspectief staat risicomanagement sterk in de belangstelling. De International Organization for Standardization (ISO) en de International Electrotechnical Commission (IEC) bereiden drie richtlijnen voor op dit gebied. Het betreft de volgende aspecten:• termenendefinities(ISO/IECGuide73),• richtlijnenvoordeimplementatie(ISO31000)en• methodenvoorrisicobeoordeling(IEC31010).
De beide organisaties hebben twee doelstellingen met het formuleren van deze normering: het bieden van een normenkader voor de implementatie van risicomanagement en het creëren van een ‘kapstok’ voor sectorspecifieke ISO-normen. Belangrijk aan deze ontwikkeling is vooral dat de drie aspecten samen worden ontwikkeld: de definities moeten aansluiten op de richtlijnen voor implementatie en de methoden voor risicobeoordeling. Hiermee wordt in de ISO-normen een handvat gecreëerd voor integraal risicomanagement.
24
De essentie van de invulling van termen en definities, is dat risico’s breder moeten worden gedefinieerd dan ‘oorzaak’ en ‘gevolg’ en ‘kans x gevolg’. In de navolgende hoofdstukken wordt dit dan ook als leidraad uitgewerkt: het gaat verder dan een mathematische exercitie.
Bij de uitwerking van de richtlijnen wordt een onderscheid gemaakt tussen de principes, het raamwerk en het proces. De samenhang tussen deze onderdelen en de kernbegrippen zijn vanuit ISO-31000:(Zie figuur 2.2)
De elf basisprincipes van ISO 310002 die leidend zijn:1 Risicomanagement creëert waarde2 Het is een integraal onderdeel van de
bedrijfsprocessen3 Het is onderdeel van de besluitvorming4 Het richt zich expliciet op onzekerheden5 Het is systematisch, gestructureerd en tijdig6 Het is gebaseerd op de best beschikbare
informatie7 Het is op maat gesneden8 Het houdt rekening met menselijke en culturele
omstandigheden9 Het is transparant en overal aanwezig10 Het is dynamisch, interactief en reageert op
verandering11 Het faciliteert voortdurende verbetering en
versterking van de organisatie
Vervolgens wordt aan de hand van het Risk Management Framework van ISO-31000 uitgewerkt hoe het raamwerk en het proces vorm kan krijgen. In essentie sluiten de uitgangspunten van deze ISO-norm aan bij de uitgangspunten van dit handboek.
De methoden worden op twee manieren geclassificeerd. Ten eerste: op welke stappen van het risicobeoordelingsproces hebben ze betrekking? Ten tweede wordt gekeken naar de volgende parameters: benodigde middelen en expertise, de mate van zekerheid en exactheid van de uitkomsten en de geschiktheid voor complexe risicosituaties. Op die manier ontstaat een handig spoorboekje om een weg te vinden in de vele methoden en technieken van risicobeoordeling. (Zie figuur 2.3)
Figuur 2.2:
11 Principes in samenhang
Figuur 2.3
Classificatie langs twee lijnen
2ISO Norm risicomanagement, de Accountant April 2009
Mandaat en commitment
Monitoring en review van het raamwerk
Ontwerp van het raamwerk- Begrijpen van de organisatie en haar context- Risicomanagementbeleid- Integratie in de processen van de organisatie- Toerekenbaarheid (accountability)- Middelen- Vaststellen van mechanismen voor interne en externe communicatie en consultatie
Implementeren van risicomanagement- Implementeren van het raamwerk- Implementeren van de risicomanagementprocessen
Continue verbetering van het raamwerk
Methodenvan
risicomanagement
Stappen in risicomanangement proces
- risico-identificatie- effectanalyse, - kansanalyse,
- risicoschatting en- risico-evaluatie
- benodigde middelen en expertise,- de mate van zekerheid en exactheid van de uitkomsten en de- geschiktheid voor complexe risicosituaties
25 Risicomanagement meer dan de som der delen
2.3 RisicomanagementraamwerkZoals in de inleiding (hoofdstuk 1) staat, voldoet slechts 30 tot 40 procent van alle gemeenten in Nederland aan de eisen van het BBV. Maar hoe kunnen we risicomanagement nader definiëren? Waar bestaat het uit en waar is het mee te vergelijken? Wanneer voldoet een organisatie aan de eisen van het BBV? Om deze vragen te beantwoorden en risicomanagement inzichtelijker te maken, beginnen we met het risicomanagementraamwerk. Dit bestaat uit een aantal stappen die leiden tot ontwikkeling in risicomanagement. Het genoemde raamwerk is weergegeven in figuur 2.4 waarbinnen de taken en verantwoordelijkheden van de gemeenteraad, college en management zijn weergegeven.
Het risicomanagement proces bestaat uit zes stappen, namelijk: • kaderstellingenstrategie,• risicoanalyse,• beheersmaatregelen• monitorenresultaten,• toezichtentoetsing,• verbetering.
Om een goed beeld te krijgen worden deze stappen hieronder toegelicht. 2.3.1 Kaderstelling en StrategieDe eerste keuze die een organisatie moet maken heeft te maken met beleid (kaderstelling en strategie). Welke normen gelden er? Welke risico’s zijn we bereid te accepteren en hoe pakken we op hoofdlijnen risicomanagement aan in de organisatie? Ook vraagstukken als rapportering en besluitvorming krijgen hier natuurlijk de aandacht. Een organisatie kan ervoor kiezen risicomanagement vanuit een procesinvalshoek of een programma-invalshoek te benaderen. Als
Figuur 2.4
Risicomanagement raamwerk
Doel van deze classificatie is om te komen tot een toegankelijk en transparant overzicht van de methoden die beschikbaar zijn en welke het best toepasbaar zijn voor welke organisatie.
Ook voor gemeenten is de ontwikkeling van deze ISO- en IEC-normen van belang, omdat ze de opmaat vormen voor sectorspecifieke ISO-normering en tevens een handreiking kunnen vormen voor de invulling van risicomanagement in de eigen organisatie.
Gem
eente
raad
1. Kaderstelling & Strategie
College & Management Team
5. Toezicht & Toetsing
Beginnend/Groeiend2. Risicoanalyse
3. Beh
eers
maa
treg
elen
4. M
onit
oren
res
ult
aten
6. V
erb
eter
ing
Afgebakend/Geadvanceerd
26
een organisatie de processen binnen de organisatie heeft vastgelegd is de procesinvalshoek een goede keuze. Een alternatief en meer voor de hand liggende keuze is de programinvalshoek (ook in het licht van risicomanagement als instrument tot doelbereiking, zie hoofdstuk 1). Het inventariseren van risico’s kan plaatsvinden langs een zekere hiërarchie zoals deze is te onderkennen. Zo kunnen risico’s worden bezien langs de lijnen van:• Producten• Projecten• Programma’s• Afdelingen• Processen• Activiteiten• Thema’s• Externeontwikkelingen
Het is op zich niet zo belangrijk welke ingang of volgorde wordt gekozen. Als er maar wordt gekozen voor die gebieden waarop de grootste risico’s worden gezien én waarbij nadrukkelijk wordt gekeken naar de verschillende dimensies van risico’s zoals op juridisch gebied, imago, milieu of financiën. Na het opstellen van het raamwerk is het van belang om realistische doelen te stellen.
Periodiek wordt, op basis van de 212-verordening, de kaders en strategie met betrekking tot het risicobeleid bepaald. Dit zijn de kaders, door de gemeenteraad vastgesteld, waarbinnen het college van B&W en management team (B&W/MT) mogen werken. Dit kan bijvoorbeeld door het opstellen van een nota risicomanagement. Hierin is bijvoorbeeld opgenomen wat het gewenste en geaccepteerde risicobeleid en risicoprofiel van de gemeente is, waar middelen voor zijn gereserveerd (dekkingsbeleid), wat de frequentie is van informatievoorziening over de ontwikkeling van de risico’s en op welke wijze periodieke inventarisatie en monitoring moet plaatsvinden. De planning & control documenten zoals de begroting, jaarrekening en bestuursrapportages geven periodiek weer wat de actuele stand van zaken is in dit kader en wat de voornemens zijn.
2.3.2 RisicoanalyseOp basis van de kaderstelling en strategie en de genoemde doelstellingen werkt het College van Burgemeester & Wethouders/Management Team (B&W/MT) de notitie, de acties, de risicovelden en het voorgestaan beleid in details uit. Dit is een belangrijke stap. Wat voorheen investeringen en activiteiten waren, wordt nu een risicoanalyse van de investeringen. Die moeten leiden tot het behalen van de strategiedoelstellingen. Er wordt nagegaan wat het mogelijke effect (risico) is van de investeringen en activiteiten op de organisatie. Kleven er mogelijke (negatieve) gevolgen aan? En wat is de kans daar op? Dit ligt zeer dicht tegen de beleidsafwegingen aan die de gemeenteraad maakt en het is daarom ook aan hen om dit mee te nemen. De impact vermenigvuldigd met de kans is het risico. Het totaal aan risico’s, eventueel ook nog rekening houdend met de onderlinge afhankelijkheid en beïnvloedbaarheid van de risico’s op elkaar, vormt het risicoprofiel. Ook moet hier uiteraard nog rekening worden gehouden met het mitigerend effect dat beheersmaatregelen hebben op de bruto risico’s, dus zonder maatregelen. Hierover later meer.
Organisatorisch kan op verschillende niveaus worden ingegaan op de risico’s. Zo heeft de gemeenteraad
De voorzitter van een Amsterdamse stadsdeel is opgestapt met onmiddellijke ingang na nieuwe informatie over de financiering van het stadsdeelkantoor.De bouw van het nieuwe stadsdeelkantoor gaat waarschijnlijk meer geld kosten dan de ruim acht miljoen euro dat de deelraad in november verstrekte. Verdere kosten zouden voor het risico van de aannemer zijn, benadrukte de voorzitter in november. Nu blijkt dat deze toezegging niet contractueel is vastgelegd en dat het stadsdeel nog een onbekend financieel risico loopt.
Risicoanalyse:Vaststellenvanhetwerkveld • (deelvan)organisatie • (deelvan)processen • Specifiekethema’s,projecten • Dimensies(juridisch,politiek,etc.) • OpstellendoelenhierarchieDoelstellingen • Strategisch, tactisch, operationeel • PrioriteitInventariserenrisico’s • Risicofactoren • Risico-objecten • Schade
27 Risicomanagement meer dan de som der delen
voldoende aan een globaal risicoprofiel, terwijl het management of college een meer gedetailleerd risicoprofiel wil om meer inzicht te krijgen en later ook om nadrukkelijk te kunnen sturen en te beheersen. Van belang is deze stap goed te nemen, want een vergissing of een onvoldoende inzicht kan grote politieke en financiële consequenties hebben.
Echter niet alle risico’s zijn eenvoudig te kwantificeren in omvang of kans. Het gaat in dit verband bijvoorbeeld over de indirecte schade (imago) en mogelijke aansprakelijkheidsrisico’s die bestaan vanuit de verantwoordelijkheid voor het handelen als overheid (als goede ‘huisvader’ in de sfeer van bijvoorbeeld wegbeheer en klachten). In het laatste voorbeeld is er sprake van een nog onbekende gebeurtenis met een onbekende wederpartij en van nog onbekende belangen. Het is dan ook van belang dat dergelijke risico’s zo goed mogelijk in kaart worden gebracht en door de gehele organisatie worden gevolgd. Ook is in dit kader van belang dat de analyse van risico’s continu plaatsvindt en er steeds opnieuw wordt bepaald wat de mogelijke risico’s zijn. Kortom, is er een mutatie opgetreden ten opzichte van voorgaande risico’s? Om lastig kwantificeerbare en niet direct in het oog springende risico’s in beeld te krijgen, wordt de organisatie uitgedaagd om ‘out of the box’ te denken.
De analyse van de risico’s van de organisatie begint bij het vaststellen van het werkveld. Nemen we de organisatie als geheel of analyseren we delen van de gemeentelijke organisatie? Dit is ook mede afhankelijk van de keuze tussen de verschillende invalshoeken (proces of programma).
Belangrijk voor een organisatie is te bepalen in welke mate en met welke diepgang de risicoanalyse moet worden uitgevoerd. Elk risico van de organisatie in kaart brengen kan veel inzicht bieden, maar kost veel tijd en energie en daarom ook geld. Een te globale analyse kan betekenen dat een aantal (belangrijke) risico’s over het hoofd wordt gezien. Dit kan ernstige gevolgen hebben. Er moet daarom een keuze worden gemaakt over het detailniveau (het ’werkveld’). Hierbij kan gebruik worden gemaakt van de processtappen zoals deze zijn gepresenteerd in paragraaf 1.2 en de praktijkhandreikingen zoals deze ook in de bijlagen van dit handboek aan de orde komen.
Als het werkveld is bepaald, begint het inventariseren van de risico’s. Wat zijn de risicofactoren en de risico-objecten? Wat is het eventuele (negatieve) gevolg van het risico? Afhankelijk van het werkveld en de strategie ontstaat er een overzicht van de risico’s (de risicokaart) voor de organisatie die per proces of programma zijn geselecteerd.
Een risico is niet per definitie negatief voor een project, het kan ook positief zijn. Negatief zijn bijvoorbeeld risico’s die leiden tot extra kosten of een langere doorlooptijd. Positieve risico’s zijn bijvoorbeeld kwaliteitsverbeteringen door de inzet van nieuwe technologie, mogelijk te verkrijgen subsidies. In de onderstaande tabel is een aantal voorbeelden opgenomen.
Positieve risico’s Negatieve risico’s
KwaliteitsverbeteringVersnellenTemporiserenEerste aanbieder/pionierNieuw productImagoPersoneel (aantrekkelijkheid als werkgever)Kansen
Financiële schadePolitiek/bestuurlijk/imagoPersoneelMilieu
Uit: ‘de goden verzoeken’ – Het opmerkelijk verhaal van een risico Peter L. Bernstein “In de moderne samenleving is het van cruciaal belang om te kunnen bepalen wat er in de toekomst kan gebeuren en keuze te maken uit de verschillende mogelijkheden. De gevolgen van foute beslissingen zijn verstrekkend, de kansen en uitdagingen oneindig voor wie risico durft te nemen. Op alle mogelijke maatschappelijke terreinen helpt het vermogen om risico’s te beheersen ons in onze besluitvorming: het moedigt ons aan om risico te nemen en vooruitziende keuzen te maken; het is een cruciale factor in de stuwkracht van het economisch verkeer.”
28
De risicoweging of kwantificering van risico’s kan op verschillende manieren. Meerdere systemen zijn beschikbaar op de markt om risico’s te kwantificeren. Welk systeem of methode er ook wordt gebruikt, in bijna alle gevallen is sprake van een vermenigvuldiging van kans en gevolg. Het gevolg is de eventuele schade als het risico zich daadwerkelijk voordoet. De kans is de waarschijnlijkheid uitgedrukt in een percentage dat het risico zich daadwerkelijk voordoet. De kans vermenigvuldigt met het gevolg geeft de impact van het risico weer.
In figuur 2.5 zijn de te nemen maatregelen weergegeven na weging (kans en omvang/impact) van de risico’s. Als de kans dat een risico zich voordoet en de eventuele omvang van de schade klein is, dan is het efficiënt om het risico te laten voor wat het is en risicomanagement te richten op de overige risico’s.
Als de kans groot is dat het risico zich voordoet en de omvang van de schade is ook groot, dan kan het advies zijn om de activiteit stop te zetten. Dit geldt zeker wanneer geen adequate beheersmaatregelen zijn te treffen om of de kans of de omvang van de schade te beperken. Voor de andere twee gevallen is een aanpassing van de activiteit of verzekering voldoende om het risico te dekken. Wanneer de kans klein is dat zich een schade voor gaat doen, maar de omvang is groot dan is het vermoedelijk niet rationeel om hiervoor permanente beheersmaatregelen te treffen. Deze maatregelen zouden dan veel geld kosten voor iets wat zich nagenoeg nooit manifesteert, zoals stormschade. Bij die situaties waarbij de kans groot is en de schade klein moet nagegaan worden (omdat het risico zich klaarblijkelijk vaak manifesteert) of het proces aangepast moet worden. Die zie je wanneer er zeer vaak/ veel bezwaarschriften komen bij het taxeren van de WOZ-waarde of bouwvergunningen. Aan de hand van de risicoanalyse wordt voor elk risico een kwantificering gemaakt. Hier zijn verschillende systemen voor beschikbaar.
Risicomanagement en verbonden partijen: SW -bedrijf (Sociale Werkvoorziening)In het licht van veranderende wet- en regelgeving (nieuwe WSW met ingang van 2008), teruglopende resultaten van het SW-bedrijf en een aanscherping van het risicomanagement binnen een gemeente in het midden van het land heeft de gemeente het risicomanagement rond de WSW eens kritisch tegen het licht gehouden. Hierbij is aandacht besteed aan de risico’s die te signaleren zijn, maar tevens aan de te ondernemen acties om deze risico’s af te dekken. Dit heeft geresulteerd in de volgende inzichten:• Eenrisicoprofiel:risico,kans,impact,effect,maatregelenverantwoordelijke
per risico • Eenmarsroutetotverbetering:watmoetdegemeentewanneerdoenomhet
risicomanagement op dit terrein te verbeteren?• Eengrafischrisicoprofiel
Figuur 2.5
Maatregelmatrix
groot
kans
klein verzekeren
activiteitstopzetten
processaanpassen
geen aandachtgeven
groot klein
omvang schademaatregelmatrix
Impa
ct
Kans1
1
5
Transparantie &Meerjarig perspectief
5
EfficiëntieSW
bedrijf
Autonomie
TVB
Processen
Risicoraamwerk
Prestatiesturing
MarktoperenSW-bedrijf
Financierings-relatie
Vrijheid vs gebondenheid
Bindingvanuit
gemeenten
29 Risicomanagement meer dan de som der delen
NARISNARIS, het risicomanagementinformatiesysteem van het Nederlands Adviesbureau voor Risicomanagement (NAR). NARIS is een opslagplaats waar veel gegevens van gemeenten zijn opgeslagen. Zo bevat de centrale database 80% van de bekende risico’s en maatregelen binnen de overheid. Dit heeft als voordeel dat gemeenten een overzicht krijgen gepresenteerd van bekende risico’s en de beheersmaatregelen. Het systeem dat hier voor gebruikt wordt, houdt ook wijzigingen in de gaten wat risicomanagement een meer continue inval geeft.
COELOCentrum voor Onderzoek van de Economie van de Lagere Overheden (COELO) voert verschillende onderzoeken uit op het gebied van risico’s en weerstandsvermogen bij de lagere overheden. Uit deze onderzoeken is een hulpmiddel voor weerstandsvermogen ontworpen dat gebaseerd is op een technische analyse van de onderzoeksresultaten. Zo worden gemiddelde waardes en afwijkingen over meerdere jaren bepaald van producten van een gemeente die overheden kunnen gebruiken bij het schatten van risico’s en weerstandsvermogen.
Gebruikte systemen voor risicomanagement binnen de overheidsector zijn onder anderen COELO en NARIS.
Naast deze systemen zijn er nog meerdere methoden en systemen beschikbaar, maar er zijn ook systemen die organisaties zelf kunnen opzetten en uitvoeren. Één daarvan is de berekening van kans, frequentie (het verwacht aantal keren dat een risico zich voordoet), impact (de effecten van een risico in financiële of andere zin) en gevolg schade (uitkomst van de voorgaande begrippen). Zo kunnen voor elk proces of programma verschillende scenario’s worden meegenomen in de risicoberekening. Voor een activiteit kunnen bijvoorbeeld drie verschillende hoogtes van schadeposten worden genomen: hoog, gemiddeld en laag. Onder normale omstandigheden hoort bij een hoge schadepost een lage kans en frequentie. Uit de vermenigvuldiging van kans, frequentie en schadepost komt een risicobedrag. De drie risicobedragen opgeteld, vormen het totale risicobedrag van het proces of programma. Een voorbeeld van deze berekening is gegeven in figuur 2.6. Hierbij moet er uiteindelijk wel rekening mee worden gehouden dat de geïdentificeerde en gesommeerde risico’s zich zeker niet altijd tegelijkertijd zullen voordoen. Met deze wetenschap moet ook rekening worden gehouden bij het uiteindelijk bepalen van de noodzakelijke omvang van de weerstandsvermogen.
Hieronder staat een voorbeeld dat per organisatie aangepast kan worden aan specifieke eigenschappen en/of wensen.
Risicoweging: Kwantificeringrisico’s • Kansen • Frequenties •Hoogteschade • norm(hoog,gemiddeld,laag) • kansXschade • kansXnorm • historischeafwijkingenproducten •NARISBeoordelenenselecterenrisico’s • Berekenenverwachtewaarde • Berekeningspreiding • Prioriteringrisico’s • Risicohouding
Figuur 2.7
Risicoprofiel
Figuur 2.6
Voorbeeld berekening
Etcetera
- Milieu: - Risico - Etc.
- Etcetera: - Risico - Etc.
Algemeen Juridische Zaken- Juridisch Control: - Risico - Etc.
- Beleid: - Risico - Etc.
Maatschappelijke Ontwikkeling- Werk & Inkomen: - Risico - Etc.
- Beleid: - Risico - Etc.
Financiële Planning & Control- Belasting: - Risico - Etc.
- Grondzaken: - Risico - Etc.
Risicomanager/-eenheid
kans frequentie impact = gevolg
0,1 0,2 100.000 2000
0,5 0,6 50.000 12000
0,7 1,0 20.000 14000
31000
30
2.3.3 BeheersmaatregelenZodra de risicoanalyse van de organisatie is gemaakt, moeten beheersmaatregelen en acties worden benoemd om de risico’s continu te kunnen beheersen. Deze maatregelen bestaan uit instrumenten. Dit vertaalt zich in een bewustzijn en daarna in bepaalde vaardigheden. Voorbeelden hiervan zijn: pro-activiteit, een brede blik en continue monitoring. Dit is de derde stap van het risicomanagementproces. Een gedeelte van de risico’s kan misschien makkelijk ondervangen worden door verzekeringen of uitbestedingen, voor andere risico’s dienen meer ingewikkelde oplossingen te worden gezocht. Of de gemeenteraad c.q. het college van B&W kan beslissen bewust een aantal risico’s te aanvaarden. Naarmate een organisatie meer ervaring krijgt in risicomanagement versoepelt het proces van vaardigheden ontwikkelen.
Beheersmaatregelen zijn te onderscheiden in de zogenaamde hard controls en soft controls.
De hard controls zijn te definiëren als meetbare afspraken en richtlijnen waarvan wordt vastgesteld dat deze nageleefd zijn. Het meten van deze controls is vaak objectief , omdat het afgesproken spelregels zijn binnen een organisatie.
De Heus en Stremmelaar3 hebben soft controls als volgt gedefinieerd:“Een beheersingsmaatregel die meer dan hard controls ingrijpt op c.q. appelleert aan het persoonlijk functioneren van de medewerkers. Soft controls zijn op te vatten als maatregelen die van invloed zijn op bijvoorbeeld motivatie, loyaliteit, integriteit, inspiratie en normen en waarden van medewerkers.”
Voorbeelden van hard en soft controls zijn:
Ook hiervoor worden de beheersmaatregelen ontworpen. Dit kan onder andere door middel van een administratieve organisatie (AO/IB, kwaliteit instrumentarium) waarmee een meer transparante organisatie ontstaat. Hierbinnen wordt interne controle en toezicht opgesteld. De administratieve organisatie is vooral bedoeld voor risico’s die vanuit de organisatie worden veroorzaakt. Voor onder andere externe risico’s kan men verzekeringen sluiten, bepaalde voorzieningen treffen en/of reserves opzij leggen. Voor de risico’s die niet (geheel) kunnen worden afgedekt door middel van verzekeringen, voorzieningen, contracten en prestatieafspraken kan een organisatie ervoor kiezen -naast uiteraard het treffen van de nodige beheersmaatregelen.- voor het afdekken ervan door de weerstandscapaciteit op te bouwen.
Hard controls Soft controls
ProcedurebeschrijvingenHandboekenPrikklokWetgevingFunctieprofielCode of conductBeleid nevenfuncties
UitdragenBevorderen bepaald gedragLoyaliteit en houdingRespect CompetentiesTone at the topTransparant
3“Auditen van soft controls”, R.S. de Heus, M.T.L. Stremmelaar, 2000
31 Risicomanagement meer dan de som der delen
Bijna elke beheersmaatregel heeft een financiële impact op de bedrijfsvoering. Mede hierdoor is het noodzakelijk dat voor elke maatregel een kosten-batenanalyse wordt gemaakt. Het kan voorkomen dat de beheersmaatregel dusdanig geld kost, dat het gelijk of zelfs hoger is dan het gelopen risico. Zo kan worden bepaald welke beheersmaatregel passend is binnen het beleid. Hierna wordt gekeken of de beheersmaatregelen afdoende zijn en of er nog gevolgen zijn van de risico’s, weergegeven in figuur 2.8.
Naar aanleiding van de vorige stappen dient een risicoplan te worden opgesteld. Hierin wordt aangegeven welke risico’s geïdentificeerd zijn en wat de gekozen maatregelen zijn om de risico’s te beheersen. Een risicoprofiel kan visueel worden gemaakt door waarschijnlijkheid van optreden en de financiële impact aan de risico’s te koppelen. Op deze manier ontstaat er, wanneer een complete inventarisatie is uitgevoerd, een overzicht dat in één oogopslag laat zien hoe de organisatie er voor staat. In figuur 2.9 is hiervan een voorbeeld gegeven.
Figuur 2.8
Risico’s en beheersmaatregelen.
Figuur 2.9
Risicoprofiel
Processen
� � �� �
�
�
����
�
��
Risico’s
I
H
G
F
E
D
C
B
A
1 2 3 4 5 6 7 8 9 10 11 12 13
Belangrijkste risico’s inspecifieke processen
Belangrijkste risico’s
Impa
ctH
oog
Laag
WaarschijnlijkheidLaag
Transparantie &Meerjarig perspectief
Hoog
Wet Werken bijstand
Ramp
wet enregelgeving
frauderechtmatigheid
samenwerkingsverbanden
centrumplan
liquiditeit
planning & control
schoolvervoer
veiligheid
openbare orde
grondexploitatie
wegenbeleidsplan
planschadeclaims
32
Risicobeheersing: Risico’s bij grote projectenEen gemeente heeft in het licht van stedelijke ontwikkeling het initiatief genomen tot het opzetten van een Huis van Cultuur, waarin een muziekschool, een theater, een filmhuis en een bibliotheek worden ondergebracht. Het project is politiek-bestuurlijk een beladen project: het is centraal gelegen, er is een aantal belangrijke voorzieningen betrokken, het betreft een fors investeringsbedrag en als het project slaagt, is sprake van een uitstraling naar de regio. Gezien het belang is er relatief veel aandacht besteed aan risico’s (financieel en bestuurlijk) en onderzoek. De gemeente heeft verzocht het risicomanagement rond het project te inventariseren en te bekijken of hierbij leerpunten zijn te formuleren die eventueel hun uitwerking hebben op de rest van de organisatie. Deze inventarisatie heeft geleid tot een aantal generieke aandachtspunten, maar heeft tevens geleid tot specifieke handreikingen voor het project zelf.
1. Generieke aandachtspunten en risico’s:• Behoudvankennisenexpertiseineigenhuis• Procesdefinitieenfunctiescheidinginhetproject(inbeperktemate)• Kwaliteitvanmedewerkersmoeilijkteborgen• Risicoattitudeincultuurenaanspreekgedrag• Controleenbijsturingophetprojectonvoldoendeformeelgeborgd• Ontbrekenformeelrisicomanagementraamwerk• Borgenprojectmatigwerkeninorganisatie• Ontbrekengesystematiseerderisicokwanticeringengeformuleerde
maatregelen
2. Voor het project zelf zijn de volgende risico’s geïdentificeerd:• Continuïteit:bezettinginhetprojectkenteenuitersthoogverloop• Bestuurlijkdraagvlakeneenduidigheidin‘ownership’• Devierbetrokkenpartijenopéénlijnkrijgenenhoudenvormteencontinue
uitdaging (en daarmee een afbreukrisico)• Borgingkennisenervaringenproject
De genoemde risico’s zijn tevens in een grafisch risicoprofiel opgenomen:
“Bij het aannamebeleid van nieuwe medewerkers zou risicohouding een belangrijk criterium moeten zijn” Diana Boender, Sectorcontroller Ambulancedienst ZHZ
2.3.4 Monitoren ResultatenOmdat het speelveld van de publieke sector en dus van ook van een gemeente/gemeentelijke organisatie continu verandert en daarmee ook de risico’s, moet continu een systeem van monitoring aanwezig zijn die de risico’s in beeld heeft. Nieuwe risico’s kunnen ontstaan door een wijziging in het beleid, nieuwe projecten, aanpassing van de projectscope of de omgeving. Risico’s kunnen toenemen door een verandering van de tijdsplanning, aanpassing van economische omstandigheden, enzovoort. Dit betekent dat men waakzaam moet zijn over de ontwikkeling van de risico’s, wat overigens niet inhoudt dat elk relatief klein risico continu dient te worden gecontroleerd. Wel moet men bewust zijn van het kunnen wijzigen van risico’s en dat daar op in dient te worden gespeeld. Dit is stap 4: monitoren resultaten.
Het doel van continue monitoring is om tijdig (wijzigingen in) risico’s te signaleren, adequate maatregelen te kunnen treffen en waar nodig bij te sturen. Uitgangspunt hierbij is dat hoe eerder een (wijziging in een) risico wordt gesignaleerd, hoe beter de gevolgen te beheersen zijn.
Impa
ct
Kans1
1
5
5
Bestuurlijk draagvlak
Procesdefinitie& funktiescheiding
Meerderepartijen
Projectmatig werken
Risicokwanticering
Risicoattitude & aanspreekgedrag
Risicoraamwerk
Continuiteit bezetting
Borging kennis
Controle & sturingKwaliteitsmedewerkers
33 Risicomanagement meer dan de som der delen
2.3.5 Toezicht en ToetsingGedurende het jaar wordt op verschillende data verantwoording afgelegd over de resultaten van het gevoerde beleid door het B&W/MT. Hierbij wordt aangegeven welke doelen zijn behaald, welke niet en waarom. Het antwoord op het waarom kan worden gebruikt voor nieuwe kaderstelling en strategie. Dit is de vijfde stap in het risicomanagementproces. Het is belangrijk dat vooraf, in de kaderstelling en strategie, juiste doelen met betrekking tot risicomanagement zijn geformuleerd, dit maakt de toetsingsfunctie van de gemeenteraad inzichtelijker en makkelijker. Ook toetsing in het kader van controle is hierdoor beter te realiseren: is alles geïnventariseerd, zijn de risico’s juist in kaart gebracht en zijn de adequate maatregelen genomen? Beantwoording van deze vragen moet aan de orde komen door het proces van inventariseren en verslaglegging van deze exercitie te beoordelen. Mogelijk gaat dit gepaard met het stellen van vragen door de toezichthouder, ter verduidelijking van de beeldvorming. De resultaten van het risicomanagementproces zelf staan centraal in deze stap. Het management van de gemeente dient hiertoe regelmatig de geïdentificeerde risico’s te evalueren, de gehanteerde strategieën te beoordelen, de daarmee samenhangende processen te bewaken en de prestaties ten aanzien van risicomanagement te meten. Hier ligt ook een duidelijke rol voor de controlfunctie. Deze zal kwaliteit en betrouwbaarheid aan het inventarisatie- en evaluatieproces kunnen toevoegen door vast te stellen of het proces van inventariseren, scoren en
berekenen van de risico’s adequaat is en hiermee dus een goede weergave is van de omvang van de risico’s die de organisatie loopt en de resultaten die bereikt zijn met het treffen van maatregelen.
2.3.6 Verbetering Tevens wordt de verantwoording voor de resultaten van het gevoerde beleid gebruikt als feedback voor de gemeenteraad om de kaderstelling en strategie te verbeteren voor het volgende jaar. Dit vormt de zesde stap uit het risicomanagementproces: verbetering. De centrale gedachte bij verbetering is dat er ‘lessen uit het verleden’ worden getrokken: welke gebeurtenissen met (belangrijke) negatieve gevolgen hebben zich voorgedaan, welke beheersmaatregelen hebben wel gewerkt, hebben we risico’s tijdig in beeld gehad, hoe kunnen we de risico’s in de toekomst voorkomen? Feitelijk resulteert dit in de continue verbetering van het systeem en de methodiek van risicomanagement: het is nooit af, zeker gezien het feit dat omstandigheden continu veranderen.
Doordat een organisatie voortdurend te maken heeft met in- en externe veranderingen en de prestaties van risicomanagement steeds opnieuw verbeterd moeten worden, dienen zowel de risico-eigenaren, de verantwoordelijke voor een product, proces, project of programma, als het management aandacht te besteden aan aanpassingen van de processen en de strategieën. De resultaten van de vorige stap zijn hierbij richtinggevend.
Checklist Risicomanagement
Stap Gemeenteraad College Ambtelijk
Kaderstelling & strategiebepalen kaders en strategie advies/feedback
adviseren, informatie verstrekken, opstellen
Risicoanalyse toezicht geeft opdracht en toets formuleert/voert uit/ en monitoort
Monitoren toezicht en controle ontwikkeling kaders maatregelen
informatie verstrekken en controle
Toezicht & Toetsing controle toezicht en verantwoording continu monitoren
Verbetering feedback bij verbeteren beleid advies betreffende verbetering beleid
signaleren/formuleren implementeren
34
Het toepassen van risicomanagement biedt de mogelijkheid om op een veel explicietere wijze invulling te geven aan het benodigde sturings- en beheersingsinstrumentarium van de gemeente. Dit kan, afhankelijk van de onderkende risico’s, de mogelijkheid bieden om een reductie te realiseren in de benodigde weerstandscapaciteit. Hierdoor kunnen middelen vrijkomen voor andere doeleinden.Daarnaast zijn de volgende voordelen te onderkennen:• Verhoogd(e)risicobewustzijnen–gevoeligheid• Effectievereenefficiënterebedrijfsvoering• Beterekoppelingtussenbeleidenbedrijfsvoering• Verbeterdeinternecommunicatieengrotere
betrokkenheid van medewerkers• Beteresturingenbeheersingvanverandering,
proactief/anticiperend• Meerkansophetvoorkomenvanproblemen• Risicobeheersingtegenlagerekosten• Versterkingvande(externe)verantwoording• Versterkingvanpublicgovernance
Het in de breedte toepassen van de zes stappen van de in dit handboek gepresenteerde risicomanagement raamwerk is voor veel organisaties nog een vrij nieuw concept. Mede hierom wordt risicomanagement in het volgende onderdeel gekoppeld aan governance. Governance is een beter bekend concept binnen de publieke sector en de koppeling schept meer inzicht in het idee achter risicomanagement. Onder Governance wordt verstaan: het waarborgen van de onderlinge samenhang van de wijze van sturen, beheersen en toezicht houden van een organisatie, gericht op een efficiënte en effectieve realisatie van doelstellingen, alsmede het daarover op een open wijze communiceren en verantwoording afleggen ten behoeve van belanghebbenden, waarop wij in hoofdstuk 3 nader ingaan.
“Risicomanagement: voor wie risico’s durft te nemen” Annemiek Jutte, gemeente Amersfoort
2.4 Inbedding/verankeringEen belangrijk onderdeel van risicomanagement is de inbedding ervan binnen de organisatie. De vraag is hoe dit kan worden bewerkstelligd. Eerst wordt de risicomanagementfunctie toegelicht, gevolgd door wat inbedding van risicomanagement in de organisatie inhoudt en de benodigde kennis die hier bij komt kijken.
Als risicomanagement op een optimaal niveau functioneert, wordt binnen de strategische besluitvorming mede in termen van risicomanagement gedacht. Er wordt rekening gehouden met de bedreigingen die voortvloeien uit beleidskeuzes, de mogelijke financiële impact van beleidskeuzes en het effect op het functioneren van de organisatie. Binnen besluitvorming wordt gekozen voor risicobeheersende beleidsbepaling. Niet om elk risico te vermijden, maar om risico’s inzichtelijk te maken en beheersbaar te houden.
Dit risicomanagement-denken binnen strategische besluitvorming houdt ook in dat er (idealiter) een risicobeheersplan, risiconotitie en/of risicoparagraaf wordt opgesteld binnen de organisatie. Een risicobeheersplan geeft de risico’s van het functioneren van de organisatie weer, inclusief de financiële consequenties en de beheersmaatregelen voor de risico’s. Gedurende het beleidsjaar wordt het college en de uitvoering van het beleid gecontroleerd, getoetst en eventueel bijgestuurd.
Binnen de organisatie is een document over risicomanagement opgesteld. Stakeholders worden geïnformeerd over risicomanagement, de maatregelen, methoden, technieken en hulpmiddelen. Dit verhoogt de kennis en betrokkenheid van de medewerkers . Hierbij is het van belang dat er mogelijkheid is voor opleidingen en trainingen voor de medewerkers.
Om inbedding van risicomanagement binnen de organisatie te bevorderen, is het van belang dat er een aangewezen functionaris (of zelfs afdeling) is die het proces van risicomanagement monitort en signalen geeft naar de organisatie. Deze functionaris beheerst het proces , draagt zorg voor de risicoinventarisatie en beheersmaatregelen en stimuleert de participatie van medewerkers. Risicomanagement moet integraal
35 Risicomanagement meer dan de som der delen
worden ingepast, als onderdeel van de taken van de lijnmanager.
Bij risicomanagement is ook kennis in verschillende opzichten van groot belang. In algemene vorm betreft het de kennis van de organisatie en haar omgeving, zoals de visie en de missie. Daarnaast is kennis over de risicomanagementsystemen en methodieken gewenst, alsook het bezit van inhoudelijke en technische kennis. Een goed voorbeeld hiervan zijn projecten waar de technische kennis omtrent bijvoorbeeld de risico’s rondom realisatie een voorwaarde zijn voor goed risicomanagement. Denk bijvoorbeeld aan de aanleg van de Noord-Zuidlijn waarbij issues zijn ontstaan door verzakkingen als gevolg van boren. Wanneer dergelijke technische kennis intern niet aanwezig is dan zal deze mogelijk extern aangezocht moeten worden om een risico-inventarisatie uit te voeren. Het is in deze gevallen voor de controller namelijk ondoenlijk om bijvoorbeeld op hetzelfde niveau de technische kennis te verkrijgen. Het gaat dan met name om de toetsing dat een dergelijke inventarisatie tot uitvoering is gekomen en het stellen van de juiste vragen.
Hiernaast is een kort overzicht geplaatst. Gedeeltelijk is deze informatie in een bepaalde mate aanwezig in de organisatie, maar om dit te expanderen speelt communicatie een grote rol. Continu moet een informatiestroom aanwezig zijn waar deze aspecten in worden behandeld. Vaak komt deze informatie samen in het functioneren van een projectgroep.
In het volgende hoofdstuk gaan we in op governance. Hierbij worden tevens de elementen van risicomanagement in relatie tot governance uitgediept.
Kennis over: Risicomanagement systemen en methodieken Organisatieomgeving Organisatievisie • Missie • Doelstellingen • Strategie • BesturingsfilosofieOrganisatiestructuurBedrijfsprocessenProgramma’sInstrumentarium planning & controlRisicohouding
36
37 Risicomanagement meer dan de som der delen
3. Governance
In dit hoofdstuk behandelen we governance , specifiek de vier dimensies: sturen, beheersen, toezicht en verantwoording.
3.1 Het begrip GovernanceGovernance is het waarborgen van de onderlinge samenhang van de wijze van sturen, beheersen, en toezicht houden van een organisatie, gericht op een efficiënte en effectieve realisatie van doelstellingen, alsmede het daarover op een open wijze communiceren en verantwoording afleggen ten behoeve van belanghebbenden.4
De vier dimensies van governance zijn te verdelen over twee oriëntatierichtingen: interne of externe organisatie, voor de korte of lange termijn. In elk kwadrant kan een deelproces worden geplaatst. De onderlinge samenhang is te zien in figuur 3.1.
3.2 De governance cyclusDe interne organisatie is te zien in de kwadranten sturen en beheersen. Het sturen behelst onder meer het stellen van de kaders voor het geven van richting aan de organisatie, het formuleren van doelstellingen en prestaties. Het college en de ambtelijke top zijn verantwoordelijk voor het sturen van de organisatie om zodoende de geformuleerde doelstellingen te realiseren. Bij het aspect beheersing gaat het met name om de vertaling van de gestelde kaders en doelstellingen van de organisatie naar de inrichting van de organisatie. Hoe richten we de organisatie dusdanig in dat de grootste waarborg bestaat dat de doelstellingen gerealiseerd worden? Ofwel, de aspecten van de bedrijfsvoering.
De externe organisatie bestaat uit de kwadranten verantwoorden en toezicht houden. De verantwoording heeft vanuit de interne organisatie plaats naar de externe organisatie. Deze is breed in gemeenteland. Er zijn immers vele belanghebbenden met vele verschillende belangen. Denk hierbij aan burgers, subsidieontvangers, bedrijfsleven en andere overheden. Overigens wordt de gemeenteraad als externe omgeving beschouwd. Immers, zij krijgen een verantwoording overlegd op basis van de vastgestelde doelstellingen uitmondend in een confrontatie tussen programmabegroting en programmaverantwoording.
Figuur 3.1
Dimensies Governance
4Ministerie van Financiën
Nadruk ligt op- Verantwoording- Toezicht en- Transparantie
Nadruk ligt op:- Prestatiemanagement- Planning en Control
Nadruk ligt op:- AO/IC- Risicomanagement- Planning en Control
InterneOrganisatie
ExterneStakeholders
Aan onder meer:- Gemeente- Rijksoverheid- Provincie
Governance
Inte
rne
orga
nisa
tie
Exte
rne
orga
nisa
tie
Lange termijn Korte termijn
VerantwoordenToezicht
BeheersenSturen
38
Het toezicht is te zien als de beoordeling van de uitkomsten van de verantwoordingscyclus. Een belangrijke rol spelen hierbij de gemeenteraad en provincie: zij houden binnen de gestelde kaders toezicht.Wanneer we risicomanagement beschouwen als een belangrijk aspect van de governance-cyclus dan is het schema bruikbaar om vorm en inhoud te geven aan risicomanagement. Dat risicomanagement essentieel is lijkt evident, omdat het (her)kennen van risico’s essentieel is om: • besluitentenemen:watzijndeconsequentiesvan
ons handelen? • kadersmeetegeven:welkrisicomaggelopen
worden en hoe wensen wij hierover geïnformeerd te worden?
• bijstellingenteplegen:wanneererzichtisoprisico’sof deze zich manifesteren, komt de vraag aan de orde of we maatregelen moeten nemen en zo ja, waar?
• tecommuniceren:wiewordtwanneergeïnformeerden tot op welk niveau?
Voor alle verschillende actoren in de governance-cyclus is het cruciaal om inzicht te hebben in de risico’s. De verschillende actoren kunnen namelijk hun beslissingen beter nemen als er inzicht is in de aard, de omvang en de oorzaak van mogelijke risico’s. Het kennen van de risico’s en hier bewust mee omgaan, moet resulteren in het ondernemen van acties.
Naast het kennen van de risico’s, draagt een adequaat systeem van risicomanagement ook bij aan het behalen van doelen en doelstellingen en daarmee aan het vergroten van de transparantie en het afleggen van een meer inzichtelijke en betere verantwoording. Het bewust inzichtelijk hebben van risico’s, het sturen hierop, het delen van hiermee gemoeide informatie en het nemen van maatregelen draagt bij aan het creëren van vertrouwen en openheid. Het besluitvormingsproces wordt hierdoor duidelijker.
Uit het bovenstaande voorbeeld blijkt dat er vaak verschillend gedacht wordt over risico’s, de informatie hierover, de kwantificering hiervan, de acceptatie hiervan en de maatregelen die in dit kader zijn genomen. Vaak wordt dit veroorzaakt doordat de aspecten van governance binnen een organisatie niet
Praktijkvoorbeeld: Een tweegesprek tussen wethouders over een politiek en financieel project“Het risico van dit project is onacceptabel” zegt wethouder Financiën(A). “Hoezo?”, vraagt Wethouder Ruimtelijke Ordening(B), “Welk risico bedoel je?”. Nou zegt wethouder A: “Het risico dat het project uitloopt en dat de consequenties van het uitlopen van het project voor onze rekening komt.” Wethouder B zegt: “Er is geen sprake van een risico, want de vertraging van het project is opgelost door in het contract met de andere participanten op te nemen dat zij verantwoordelijk zijn en opdraaien voor een uitloop van het project.” “Geldt dit ook voor de uitloop die wordt veroorzaakt als wij de vergunningen niet tijdig verlenen?” vraagt wethouder A. “Dat is mij niet bekend.” zegt wethouder B “Dit heb ik ook niet vernomen van de projectleider. Ik heb het over de gevolgen die het gerelateerd zijn aan de vertraging zoals deze door de andere contractpartijen worden veroorzaakt.” “Dan lijkt het er op,” zegt wethouder A, “dat onze risico’s toch groter zijn dan eerder was aangenomen. Op basis van de huidige informatie, die ik van de controller gisteren heb gekregen, schat ik de risico’s in op circa € 2,0 miljoen.” Wethouder B zegt: “Hier ben ik niet van op de hoogte en dat lijkt me ook niet de bedoeling, maar je hebt hier mogelijk wel een punt. Hier heb ik niet direct bij stilgestaan.”
39 Risicomanagement meer dan de som der delen
duidelijk zijn en niet duidelijk is welke risico’s binnen een activiteit, proces of organisatie bestaan. Het spreken van één taal en het hanteren van een gelijke set aan uitgangspunten is essentieel. In dit hoofdstuk wordt hiertoe een handreiking gedaan vanuit het perspectief van risicomanagement.
3.2.1 SturenHet sturen bestaat uit alle activiteiten, waarbij de gemeente richting geeft aan de wijze waarop wordt omgegaan met risicomanagement. Een belangrijk aspect is gelegen in de uitspraak: welk risicoprofiel wensen wij als gemeente? Wil de gemeenteraad dat er sprake is van een laag of een hoog risicoprofiel? Met andere woorden kunnen we er (om onze activiteiten en doelstellingen te realiseren) tegen dat wij aangesproken worden op bepaalde risico’s en zijn we bereid de mogelijke gevolgen, in financiële zin of in termen van te treffen beheersmaatregelen, te aanvaarden. Het treffen van beheersmaatregelen zal namelijk bijdragen aan het verlagen of terugbrengen van het risicoprofiel naar een acceptabel niveau.
Het na te streven risicoprofiel en de risicohouding zijn zeer belangrijke bouwstenen bij het bepalen en uitwerken van het beleid rondom risicomanagement. Deze houding is zeer essentieel binnen de methodiek van risicomanagement. Het gaat hierbij om de alertheid om risico’s te identificeren, bespreekbaar te maken en het vervolgens hierop maatregelen treffen. Een organisatie die risico’s mijdt, realiseert haar doelstellingen over het algemeen niet snel. Het lopen van risico’s is ten slotte inherent aan het ondernemen van activiteiten. Een organisatie moet open kunnen discussiëren over risico’s en de te nemen acties. Dit kun je nauwelijks uitwerken in formele bepalingen. Het gaat hierbij om de openheid en transparantie in de organisatie. Het is ook van belang dat het identificeren en sturen op risico’s geen kunstje is dat een paar keer per jaar wordt uitgevoerd, het moet in de ‘genen’ van de organisatie zitten. Om dit te bereiken is goede voorlichting noodzakelijk, standaard op de agenda van overleggen staan, de meerwaarde voor de sturing en beheersing van de organisatie kenbaar maken en belonen van het melden en het sturen op risico’s door medewerkers.
Bij het vormgeven van het risicobeleid zijn de volgende vragen aan de orde:• Welkestrategiehebbenwevoorhetomgaanmet
risico’s?• Opwelkewijzebrengenweonzerisico’sinbeeld?• Accepterenwerisico’s?Enzo,jatotwelkeomvang/
bandbreedte?• Welkeminimalebandbreedteaanreserveshouden
we aan om onze risico’s af te kunnen dekken?• Wieiseigenaarvanderisico’s?• Hoemakenwederisico’sbespreekbaarinde
organisatie?
Bij het bepalen van de risico’s moet duidelijk zijn wie verantwoordelijk is voor het inventariseren en beheersen van de risico’s. Er zijn risico’s die gelden voor de gehele organisatie zoals de personele bezetting. En er zijn risico’s die voor een project of een afdeling gelden. In dit hoofdstuk staan checklists die een organisatie helpen bij de inrichting van risicomanagement in relatie tot de governance-cyclus. De volgende checklist bestaat uit aandachtsgebieden over het sturen in relatie tot risicomanagement.
40
Deelproces Aandachtsgebieden Toelichting
Sturen Beleid Is er beleid rondom risicomanagement?Zijn hierin de afspraken zoals deze zijn gesteld in de verordening 212 tenminste uitgewerkt?Is de methodiek (inventariseren, periodiek rapporteren, systeem, rolverdeling, etc.) van risicomanagement duidelijk?
Houding / cultuur Wat straalt de leiding uit ten aanzien van het omgaan met risico’s?Hoe wordt omgegaan met het melden van risico’s?Bestaat er waardering voor melden van risico’s?Zijn er middelen vrijgemaakt om te werken aan risicomanagement?Worden adviezen en maatregelen om risico’s te beperken dan wel te mitigeren serieus genomen?
Prioriteitstelling Is het risicoprofiel nader uitgewerkt voor wat betreft de beleidsvelden en/of activiteiten waarop risico’s mogen worden gelopen?Is bepaald op welke wijze kwantificering en identificatie van de risico’s moet plaatsvinden?Zijn (toekomstige) middelen gealloceerd die beschikbaar zijn voor het opvangen van (specifieke) risico’s?Wat is de risicohouding bij samenwerking met derden?
Omvang Zijn spelregels opgenomen voor het kwantificeren en kwalificeren van de risicopositie? Dus, wat is een acceptabele verhouding tussen de beschikbare weerstandscapaciteit en de risico’s?Is gedefinieerd op welke wijze berekening van de omvang van de risico’s plaatsvindt?Is de minimale / maximale omvang bepaald van de weerstandscapaciteit?Zijn acties benoemd om de weerstandscapaciteit te vergroten?
Informatie / rapportage Zijn spelregels opgenomen voor de periodiciteit waarop gerapporteerd moet worden over de ontwikkeling van de risico’s en de resultaten van de beheersmaatregelen?Zijn afspraken gemaakt over de wijze waarop over de risico’s moet worden gerapporteerd? Waarbij onder meer moet worden ingegaan op:- aan wie moet de informatie worden geleverd?- welke informatie moet worden aangeleverd met betrekking tot de ontwikkeling van de risico’s?- evaluatie van de werking van de beheersmaatregelen?- nieuwe en vervallen risico’s?Is bepaald op welke wijze bij individuele voorstellen gerapporteerd moet worden over de risico’s en de hierbij getroffen maatregelen?
Bevoegdheden enverantwoordelijkheden
Is duidelijk wie eindverantwoordelijk is voor het betreffende risico?Is bepaald wie eindverantwoordelijke is voor het identificeren, sturen en verantwoorden omtrent risico’s?Is duidelijk wie bevoegd is tot het aangaan van risico’s door middel van bijvoorbeeld goedkeuren van een voorstel, afsluiten van een contract of aangaan van een (andere) verplichting?
Figuur 3.2: Aandachtsgebieden over het sturen in relatie tot risicomanagement
41 Risicomanagement meer dan de som der delen
3.2.2 BeheersenHet aspect beheersen bestaat uit een stelsel van maatregelen en procedures die worden genomen om de onderkende risico’s te ondervangen dan wel om opkomende risico’s te signaleren en het effect hiervan te beperken. Het identificeren van een risico is één, maar het vervolgens treffen van maatregelen om de risico’s binnen de perken te houden, is twee. Wanneer duidelijk is welk risicoprofiel en -houding worden aangehouden, bestaat behoefte om het geformuleerde beleid ook te toetsen aan de dagelijkse gang van zaken.
Om de risico’s in beeld te krijgen, is het allereerst van belang om te bepalen wat zijn risico’s? Deze zijn te omschrijven als: alle gebeurtenissen die het realiseren van de organisatiedoelstellingen in de weg staan. Het kan hierbij overigens ook gaan om risico’s die een positieve kans hebben. Dus risico’s die bijvoorbeeld het realiseren van een doelstelling kunnen versnellen. Het gaat bij het in beeld krijgen van de risico’s verder dan alleen het financiële component. Hoe krijg je de risico’s in beeld? Dat kan door deze per programma, project of proces (zie ook hoofdstuk 2) te inventariseren. Hiervoor zijn diverse methoden beschikbaar. Dit kan bijvoorbeeld door het houden van een workshop, het houden van interviews of het uitvoeren van een specifiek onderzoek. Ondersteuning van de berekening en het bepaling van de risico’s kan plaatsvinden door het simuleren van de risico’s (methode hierin is de Monte Carlo simulatie5) of het uitvoeren van een benchmark. Bedenk wel dat de risico’s van de ene gemeenten niet per definitie de risico’s van de andere gemeente zijn. Om een zo uniform mogelijke inventarisatie te creëren, wordt vaak gewerkt met een vast stramien van risicokaarten waarop staat welke risico’s een organisatie kan lopen.
5 Meer informatie over de werkwijze en uitgangspunten van deze methode is
te vinden op Wikipedia onder het begrip de ‘Monte Carlo Method’.
42
Een voorbeeld van een risicokaart bij grondexploitaties:
Potentieel risicogebied Omschrijving potentieel risicogebied Voorbeelden van het risico
Fasering Afwijkingen ten opzichte van de termijnen en uitgangspunten, met name op gebied van looptijd, waarmee rekening is gehouden bij de planopzet.
Verkoop van gronden of tempo van het bouwrijp maken blijft achter bij de ramingen
Markt De effecten van mogelijke (economische) omstandigheden waardoor vraag en aanbod niet direct aan elkaar gelijk zijn waardoor een mogelijk afzetrisico bestaat
Ontwikkelen van woningen in een (op dat moment) verkeerd segment, economische dip in specifieke bedrijfstak (bijvoorbeeld logistieke sector)
Looptijd/rente Als gevolg van vroegtijdige verwerving of lange doorlooptijd lopen van risico’s
Het bereiken van een maximaal aanvaardbare boekwaarde
Organisatie Plan- en productieprocessen die qua geld, tijd en/of exploitatie niet integraal in de hand worden gehouden
Uitstel van besluitvorming of door onvoldoende bewaking/ project- en procesmanagement
Fiscaliteiten Effecten als gevolg van het niet of niet geheel juist toepassen van het btw-regime
Naheffing in verband met verliesgevende complexen
Milieu De risico’s die bestaan in het kader van toepassing van milieuregelgeving in relatie tot de mogelijkheid om een bepaalde bestemming te kunnen realiseren
Bodemsanering niet geschat, tegenvallend of niet verhaalbaar op derden
Waardering Indien de verwachting bestaat dat de huidige (boekwaarde) en toekomstige investeringen in een complex niet goedgemaakt kunnen worden door werkelijke en (te) verwachte opbrengsten
Aankopen met langjarig karakter die qua beheer of ontwikkeling tegenvallen
Verwervingen Knelpunten waardoor de ontwikkeling van een plan vertraging op kan lopen, niet (geheel) gerealiseerd kan worden of economische haalbaarheid onder druk komt te staan
Grondprijsontwikkeling, onteigening en compensatie duurt langer
Planrealisatie Aanpassingen op het oorspronkelijk plan als gevolg van bezwaren of onmogelijkheden om te realiseren
Bestemmingsplanprocedure, bezwaar Raad van State, etc.
Claims Aanspraken die gedurende ontwikkeling van een plan ontstaan
Brandschade, nakoming contracten, etc. Hierbij wordt geen rekening gehouden met planschade als gevolg van vaststelling van een bestemmingsplan
Politiek Indien door afweging van belangen en doelstellingen wijzigingen in de uitvoering en realisatie van de oorspronkelijk plannen plaatsvindt
Woningdifferentiatie, inspraak burgers, etc.
Bijzonderheden in bouw Indien bij de uitvoering van een plan afwijkingen ontstaan die niet waren voorzien in het oorspronkelijk VO, DO en bestek
Ophoging van het terrein, constructie bouwwerk, kabels en leidingen, etc. is tegengevallen
Subsidies De financiële en organisatorische knelpunten die bestaan als gevolg van het niet voldoen aan de subsidievoorwaarden
Afrekening van ISV, TIPP en bodemsanering
Derden Gevolgen van het niet of niet geheel na kunnen komen van afspraken die gemaakt zijn met derden
Samenwerkingsovereenkomst,koopcontracten, leveringsvoorwaarden, etc.
Figuur 3.3: Een voorbeeld van een risicokaart bij grondexploitaties
43 Risicomanagement meer dan de som der delen
Wanneer de risico’s zijn beschreven, is het vervolgens belangrijk die risico’s te kwantificeren. Hierbij hanteren organisaties vaak verschillende niveaus van risico-inschatting : • Optimistischinschattingvanrisico’s• Realistischeinschattingvanrisico• PessimistischeinschattingvanhetrisicoEen voordeel van werken met scenario’s is dat bandbreedten worden aangegeven waarbinnen de risico’s zich kunnen manifesteren. Bij het werken met scenario’s is het (uiteraard) noodzakelijk om de verschillende veronderstellingen duidelijk vast te leggen.
Scenario’s en impact grondexploitaties
Aandachtsgebied * € 1.000 Optimistisch Realistisch Pessimistisch
Oorspronkelijk plan + 2.000 + 2.000 + 2.000
Fasering - 1.000 - 2.000 - 4.000 Wijzigen verkaveling
Markt - 1.000 - 2.000 + 6.000 Marktonderzoek samenwerking
Looptijd / Rente NVT NVT NVT NVT
Organisatie - 500 - 1.000 - 2.500 Procedures
Fiscaliteiten NVT NVT NVT NVT
Milieu NVT NVT NVT NVT
Waardering NVT NVT NVT NVT
Verwervingen + 1.000 - 2.500 - 5.000 Voorkeursrecht exploitatieovereenkomst
Planrealisatie NVT NVT - 2.500 Wijziging bestemmingsplan
Claims NVT NVT NVT NVT
Politiek NVT - 1.000 - 2.000 Overleg partijen
Bijzonderheden in bouw NVT NVT NVT NVT
Subsidies NVT NVT NVT NVT
Derden NVT NVT NVT NVT
Voorlopig Eindresultaat + 500 - 6.500 - 8.000
Figuur 3.4: Scenariobenadering NB: waar NVT staat is geen inventarisatie uitgevoerd
44
Om de risico’s inzichtelijk te krijgen, is het van belang dat er periodiek inzicht bestaat in de omvang, aard en ontwikkeling van de belangrijkste risico’s dan wel risicogebieden. Dit inzicht vormt de eerste aanzet om hierop ook concrete beheersmaatregelen te gaan treffen.
Hoe houdt u de risico’s continu in de gaten? Door enerzijds een bewuste risicohouding en -attitude in de organisatie te kweken en anderzijds door sturing op risico’s door de risico-eigenaren en het management. Periodiek dient de eindverantwoordelijke van de organisatie of een organisatieonderdeel ook inzichtelijk te maken wat de ontwikkeling is in de risicopositie van de gemeente. Die wijziging kan plaatsvinden doordat:• effectievemaatregelenzijngenomenombestaande
risico’s te beperken: de beheersmaatregelen werken• bestaanderisico’sinomvangzijntoegenomen:
beheersmaatregelen werken niet dan wel onvoldoende, wijziging in de (externe) omgeving of verandering van het activiteitenniveau
• ernieuwerisico’szijnontstaan:nieuweactiviteiten,wijziging in de (externe) omgeving of wijziging in de beheersing van de gemeente
Het is belangrijk dat de risico-inventarisatie geen momentopname is bij de reguliere planning- en controldocumenten (begroting, tussentijdse rapportages en jaarverantwoording). Het is tevens van belang dat het aspect van risico-inventarisatie en sturing wordt ingebed in het dagelijks handelen binnen de gemeente. Hierbij staat wel centraal dat ook beheersing van de risico’s plaatsvindt. Acteren in plaats van signaleren. Het is dan noodzakelijk dat ‘elk handelen’ van de gemeente in het licht staat van de eerder geconstateerde (dan wel gewijzigde) risico’s. Essentieel is dat de procesverantwoordelijke zich bewust is van de risico’s en tevens inzichtelijk heeft gemaakt of de beheersmaatregelen werken of bijgesteld moeten worden.
In de checklist in figuur 3.5 staan de belangrijkste aandachtsgebieden:
45 Risicomanagement meer dan de som der delen
Deelproces Aandachtsgebieden Toelichting
Begrippen Bestaat er een gemeenschappelijk beeld over wat wordt verstaan onder risico’s?Zijn de risicogebieden duidelijk? Is bekend op welke facetten beoordeling van (onderdeel) proces, organisatie of activiteiten plaats moet vinden?
Kennis Is binnen de organisatie voldoende kennis om risico’s te identificeren en te kwantificeren?Heeft de gemeente voldoende kennis in huis om tijdig te reageren op de wijziging van risico’s?Is voldoende kennis aanwezig over de wijze waarop omgegaan wordt met zich manifesterende risico’s?
Methode kwantificeren van risico’s?evalueren van de risico’s?formuleren van beheersmaatregelen? aanwijzen verantwoordelijke voor omgaan met de geconstateerde risico’s?
Risicoanalyse Is bekend wat de belangrijkste risicogebieden binnen de organisatie zijn door het uitvoeren van een risicoanalyse?Wordt de risicoanalyse met een dusdanige frequentie herzien dat blijvend aandacht bestaat voor de ontwikkeling van de risico’s?Bestaat voldoende aandacht voor het identificeren van nieuwe risicogebieden binnen de organisatie dan wel activiteiten van de organisatie?Wordt de opgestelde risicoanalyse gedeeld door het management?Is de uitgevoerde risicoanalyse de basis voor het treffen van maatregelen?
Organisatie Is er voldoende capaciteit aanwezig om aandacht te besteden aan het risicomanagement?Bestaat extra aandacht voor die terreinen waar de risico’s dominant zijn, omvangrijk van aard of frequent wisselen?Is in de processen het periodiek aandacht besteden aan risicomanagement bij de dagelijkse gang van zaken opgenomen?Zijn de rollen duidelijk in het proces van risicomanagement: wie moet wat en wanneer doen?
Beheersmaatregelen Is per relevant geïdentificeerd risico duidelijk of er beheersmaatregelen mogelijk zijn?Zijn de beschreven beheersmaatregelen duidelijk genoeg om deze vorm te geven?Is duidelijk wie verantwoordelijk is voor het implementeren van en het bewaken van de werking van de beheersmaatregel?Is duidelijk binnen welke termijn de beheersmaatregel tot stand moet zijn gebracht?Zijn de beschreven beheersmaatregelen geïmplementeerd?Werken de beschreven beheersmaatregelen? Dragen zijn bij aan het ondervangen van de risico’s?Zijn alternatieven onderzocht om de risico’s mogelijk anderszins op te vangen?Bestaan er scenario’s om te volgen wanneer risico’s zich daadwerkelijk manifesteren?Is bij samenwerking met derden of op afstand opererende partijen voldoende aandacht voor de ontwikkeling van de risico’s? Is er voldoende financiële ruimte aanwezig om de risico’s op te vangen?
Figuur 3.5: De belangrijkste aandachtsgebieden
46
“Risicomanagement: resultaat verlicht werken” Dick Maaskant, concerncontroller gemeente Roosendaal3.2.3 Verantwoorden Ten behoeve van de uitvoering van activiteiten en processen zijn kaders meegegeven door de gemeenteraad en het College van B&W. Zo is bepaald dat uitvoering van activiteiten binnen een bepaald budget en, planning en prestaties binnen een zekere marge uitgevoerd mogen worden. Een marge betreft de risico’s die worden gelopen. Om inzicht te geven aan diegenen die de kaders hebben gesteld wordt informatie verschaft door middel van een rapportage. Hierin wordt bekeken of gehandeld is binnen de beschreven kaders. Het identificeren en managen van risico’s is tenslotte geen statisch gebeuren. Op proactieve wijze moet worden omgegaan met het onderkennen, ondervangen en sturen op de risico’s. Dit geldt ook voor de actieve informatieplicht. Het college is gehouden om relevante informatie over de ontwikkeling van risico’s en de risicopositie tijdig en ongevraagd onder de aandacht van de raad te brengen.
Een rapportage over de verantwoording van risico’s dient antwoord te geven op de volgende vragen: • Watisdekansvanoptredenendeingeschatte
omvang van de risico’s in relatie tot de beschikbare middelen?
• Welkerisico’szijntesignalerenenwathoudenzein?• Welkemaatregelenzijntetreffen?• Inhoeverreishetsysteemvanrisicomanagement
voldoende effectief geweest om de risico’s te ondervangen? Ofwel, wat is het effect geweest van de genomen maatregelen?
• Inwelkematehebbenzichnieuwerisico’sgemanifesteerd die mogelijk impact hebben op de financiële positie dan wel organisatie van de gemeente?
Bij de rapportage over de risico’s zal sprake zijn van een gelaagdheid. Op het niveau van de dagelijkse aansturing is het logisch dat er meer inzicht is in de individuele risico’s en het effect van de maatregelen. Op bestuurlijk en politiek niveau zal een aggregatie plaats moeten vinden van de risico’s en zal een uitspraak worden gedaan over de werking en resultaten van het risicomanagementsysteem.
In de checklist in figuur 3.6 zijn de belangrijkste aandachtsgebieden rondom verantwoorden opgenomen:
47 Risicomanagement meer dan de som der delen
Deelproces Aandachtsgebieden Toelichting
Verantwoorden Inhoud Waarover vindt verantwoording plaats? Onderwerpen die hierbij aan de orde kunnen komen zijn:- Is het risicoprofiel van de organisatie gewijzigd en zo ja, wat zijn hiervan de gevolgen?- Zijn ten opzichte van de voorgaande rapportage nieuwe risico’s ontstaan en wat is hiervan de
(mogelijke financiële) impact?- Welke maatregelen zijn getroffen om eerder onderkende risico’s te ondervangen en wat is het effect
van deze maatregelen geweest? Werken de beschreven en afgesproken maatregelen?- Welke risico’s hebben zich concreet gemanifesteerd en hebben geresulteerd in een uitstroom van
middelen?- Wat is de stand van zaken met betrekking tot de omvang van de risico’s in relatie tot de beschikbare
middelen?Wordt gecontroleerd in hoeverre de activiteiten zijn uitgevoerd binnen de geformuleerde beleidskaders/afspraken?Bevat de verantwoordingsinformatie voldoende sturingsinformatie om het beheer en inzicht in de risico’s te verbeteren?Is uit de verantwoordingsinformatie duidelijk op welke aspecten de organisatie meer bewust moet zijn van onderkennen of beheersen van risico’s?
Effectiviteiten efficiency van maatregelen
Heeft de gemeente voldoende zicht op de effectiviteit van de getroffen maatregelen?- Welke risico’s hebben zich gemanifesteerd?- Wat zijn de kosten geweest voor het treffen van beheersmaatregelen in relatie tot het beperken van
de risico’s?- Voert de gemeente periodiek audits uit om na te gaan hoe effectief de beheersing van de risico’s
heeft plaatsgevonden?
Wijze onderbouwing en kwantificering
Is de wijze van kwantificering concreet genoeg om een oordeel te vormen over de wijze van verantwoording?Bestaat er voldoende inzicht omtrent de kans van optreden van een risico en de resterende onzekerheden?
Frequentie Is de frequentie van herzien van de risico’s voldoende gelet op de ontwikkeling van het risicoprofiel?Wordt rekening gehouden met de actieve informatieplicht wanneer risicopositie wijzigingen ondergaat?
Figuur 3.6: Belangrijkste aandachtsgebieden rondom verantwoorden
48
Een overzicht van een verantwoordingsrapportage kan er als volgt uitzien:
Het is ook belangrijk om inzicht te krijgen in de werking van het risicomanagement systeem: effect van de getroffen beheersmaatregelen. En ook inzicht in de mutatie van risico’s. Deels door nieuwe risico’s. Waardoor zijn ze veroorzaakt? Als laatste is het van belang om helder te krijgen wat de dekkingsgraad is van de risico’s. Hoe ontwikkelt zich de financiële positie in relatie tot de risico’s?
Onderdeel Onderdeel Uitkomst/formule Toelichting
Toelichting
A Risico’s rapportage T € 10.000.000 Huidig rapportagemomentkwantificering van de risico’s.Hierbij is gekozen voor hetgemiddelde scenario.
B Risico’s rapportage T-1 € 8.000.000 Voorgaande rapportagemoment
C Mutaties in risico’s € 2.000.000Verschil tussen (a) en (b)
Wijziging van de risicopositie
D Bestaande uit:•Nieuwerisico’s•Verminderderisico’s•Vervallenrisico’s
Uitsplitsing van (c)€ 7.000.000 +€ 4.000.000 -/-€ 1.000.000 -/-
Verandering omstandighedenWerking beheersmaatregelenStopzetten of teniet gaan
E Beschikbare weerstandscapaciteit
€ 8.000.000 Opbouw van deweerstandscapaciteit
F Dekkingsgraad risico’s 80%(e)/(a)
Dekkingsgraad. Ontwikkelingaangeven ten opzichte vanvoorgaande meting en ooktoekomstperspectief laten zien.
Figuur 3.7: Overzicht verantwoordingsrapportage
49 Risicomanagement meer dan de som der delen
Meer in detail zou een dergelijke rapportage er dan als volgt uitzien:
Onderdeel Ingeschatterisico’s T (noot1)
Ingeschatterisico’s T-1
Mutatie vanhet risico
Periode waarinrisico gelopen wordt
Belangrijkstebeheersmaatregel
Wanneer moetduidelijkheid zijn over de beheersmaatregel
Toelichtng op de mutatie van risico’s
Programma 1 1000 500 +500 2008-2012 Extra inzet en
overleg om bezwaren snel
af te handelen en mogelijk
ook plan aan te passen
2009 Fasering kan extra uitlopen
door toegenomen
bezwaren omgeving
Programma 2 1450 2000 -550 2009 Strakke bewaking op
planning en nieuwe
afspraken met aannemer
September 2009 Claim van aannemer is
deels vervallen
Actviteit 1 2000 1000 +1000 1 juni 2010 Nagaan of ambitieniveau
en afspraken bijgesteld
kunnen worden
1 januari 2010 Extra inhuur van derden
mogelijk aan de orde om
planning te halen
Actviteit 2 1000 500 +500 Planperiode
2009-2010
Nadere contractafspraken
met derde parij
Diverse
bestuursrapportages en
tussentijdse gesprekken
met bestuur van de
stichting
Aanvullende subsidie
mogelijk in verband
met tegenvallende
exploitatie-resultaten
Project 1 -2000 -1000 -1000 1 maart 2010
Besluitvorming door
Provincie
Lobby bij Provincie
om project op de
prioriteitenlijst te krijgen
Vooroverleg omtrent
mogelijke kansen in
november 2009
Mogelijkheid tot enerzijds
verhalen van onvoorziene
kosten en extra subsidie-
mogelijkheid door
Provincie in onderzoek
Project 2 2500 1500 +1000 2013 Nadere afspraken met
aannemer maken en
bezien of er nog een
versobering van plan
plaats kan vinden
Inzichtelijk deels bij
opstellen bestek
september 2009
en aanbestedings-
resultaat, januari 2010
Planschade en uitloop van
project en tegenvallende
aanbestedings-resultaat
in fase 1
--------- --------- --------- ---------
--------- --------- --------- ---------
Totaal 10.000 8.000 +2.000
Figuur 3.8: Meer gedetailleerde rapportage
Noot1: risico’s zijn ingeschat op basis van het gemiddelde scenario. Lage scenario
laat risico’s zien tot een bedrag van € 6,0 miljoen. Hoog scenario komt uit op ruim
€ 14,2 miljoen.
Bedragen in € 1.000
50
3.2.4 Toezicht houden Voor alle partijen is het van belang dat er continu een adequaat inzicht in de risico’s is. Immers, risico’s zijn niet statisch en een goed up-to-date inzicht in de ontwikkeling van het risicoprofiel en de -positie is relevant om andere beslissingen op te baseren. Wie zijn er betrokken bij het toezicht op risico’s? Dat zijn afdelingshoofden, directeuren, secretaris, college, gemeenteraad, accountant, afdeling toezicht provincie, subsidieverstrekkers en overheid. Het mag duidelijk zijn dat een zekere gelaagdheid bestaat in het toezicht dat wordt uitgeoefend. Zo niet, dan zou sprake zijn van het stapelen van het toezicht. Hiernaast is een figuur met de verschillende rollen in het risico-controlproces opgenomen.
Uit het bovenstaande blijkt dat het ambtelijk apparaat ervoor moet zorgen dat de maatregelen zijn geïncorporeerd en geïmplementeerd in de dagelijkse bedrijfsvoering (processen en systemen). Het college is verantwoordelijk voor het beleid omtrent risicomanagement en neemt beslissingen op grond van voorstellen die door het ambtelijk apparaat worden gedaan. De raad stelt de kaders met betrekking tot het risicoprofiel, het aan te houden weerstandsvermogen en neemt beslissingen op basis van gerapporteerde en gesignaleerde risico’s. De accountant en de toezichthouder nemen kennis van de diverse rapportages. Denk aan de begroting, de jaarrekening, de raadsvoorstellen, de inventarisatierisico’s, de methodiek. Dit om vast te stellen dat er een systeem bestaat en of dit werkt. Wanneer er twijfel is over de werking van het systeem dan wel de gepresenteerde uitkomsten dan zullen zij om nadere informatie vragen.Kan de toezichthouder vaststellen dat risicomanagement werkt en onderdeel is van het gedachtegoed binnen een organisatie? Belangrijke ijkpunten hiervoor zijn: • Wordtbijindividuelevoorstellengerapporteerdover
risico’s en de maatregelen die hiervoor genomen zijn dan wel kunnen worden genomen?
• Isderapportageoverrisico’snietalleenvoorbehouden aan de reguliere P&C-documenten zoals de begroting en de jaarrekening, maar bestaat aandacht voor de ontwikkeling en signalering van de risico’s bij bestuurlijke rapportages? Essentieel hierbij is de actieve informatieplicht, waarbij er dus ook informatie wordt verstrekt aan de raad wanneer er sprake is van relevante ontwikkelingen en
Figuur 3.9
Toezicht piramide
RaadKaders
Besluiten
College B&WAfweging
Prioriteitsstelling
Ambtelijk apparaatIncorporeren in bedrijfsvoering
Doen van voorstellen en analyse
AccountantToetsen, SignalerenFinanciële positie
Lokale rekenkamer& auditcommissie
Lokale rekenkamer& auditcommissie
Kennis nemen rapportages
Toetsing en reviewop hoofdlijnen
Gebruik makend van het interne
beheersingssysteemen inventarisatie
organisatie
RapportageAdviezen
Beleid enBesluitvorming
Processen ensystemen
51 Risicomanagement meer dan de som der delen
bijstellingen van de risico’s en risicoprofiel.• Isverantwoordelijkheidvoorrisicomanagementin
de organisatie belegd?• Ishetbeoordelenvanrisico’sopgenomen
in de verschillende processen en dus in de werkmethoden?
• Wordenaanhetbestuurkeuzenvoorgelegdinrelatie tot inschatting van risico’s en beschikbare geldmiddelen?
Uiteraard is het afhankelijk van de afstand van de toezichthouder, zie figuur 3.9, of alle handelingen die bovenstaand zijn aangegeven, waarneembaar zijn. In de onderstaande checklist zijn de belangrijkste aandachtsgebieden rondom het aspect toezichthouden opgenomen:
Deelproces Criteria Toelichting
Toezicht houden
Bedrijfsvoering Is duidelijk of risico-identificatie onderdeel uitmaakt van de reguliere bedrijfsprocessen?Zijn er middelen beschikbaar voor het houden van audits en bijzondere onderzoeken bij geconstateerde (aanvullende/extra hoge) risico’s?Is er ruimte in de voorstellen, formatie en werkzaamheden om (verplicht) aandacht te besteden aan risicomanagement?
Grenzen Hoe passen de risico’s binnen de door de Raad gestelde kaders?Hoe verhouden de geïdentificeerde risico’s zich tot vergelijkbare organisaties dan wel externe normen?
Toetsen Zijn er recente rapportages over de geïdentificeerde risico’s?Heeft een analyse plaatsgevonden van de mutatie in risico’s en de effectiviteit van de geïntroduceerde beheersmaatregelen?Maakt een afzonderlijke risicoparagraaf onderdeel uit van de individuele voorstellen en de P&C-documenten?
Controle Wordt het beleid ten aanzien van risicomanagement nageleefd?Wordt in de rapportage van de accountant ingegaan op het bestaan van een systeem van risicomanagement en de werking hiervan?Beschikt de toezichthouder over voldoende informatie om te kunnen controleren? Hierbij kan gedacht worden aan:- Of de risico’s goed worden gemanaged- Of de organisatie de risico’s beheerst (in control is)- Of de organisatie een solide financiële positie heeft
Financiële positie Hoe is de ontwikkeling van de (vrije) financiële positie?Is het meerjarenperspectief met betrekking tot de financiële positie sluitend?Zijn er risico’s die gesignaleerd zijn die eerder voorzien hadden kunnen/moeten worden?Is er een recente rapportage van de provincie over de financiële positie?
Figuur 3.10: De belangrijkste aandachtsgebieden rondom het aspect toezichthouden
52
3.3 Risicomanagement en het duale bestel Het duale bestel staat voor een scheiding tussen de ontwikkeling van het beleid, kaderstelling , uitvoering van het beleid en het toezicht hierop. Het duale bestel in de gemeentepolitiek heeft geleid tot een duidelijke verdeling van taken en verantwoordelijkheden tussen gemeenteraad en college van burgemeester en wethouders. Dit is weergegeven in figuur 3.11.
GemeenteraadDe gemeenteraad stelt de kaders en het college voert het beleid uit binnen de gestelde kaders. De gemeenteraad controleert vervolgens in hoeverre de uitvoering van het beleid door het college binnen de vastgestelde kaders heeft plaatsgevonden.
In het beleid kunnen gemeenteraad en college overeenkomen welke informatie de raad wanneer en op welke wijze wil hebben. Zo kan worden vastgelegd welke tussentijdse mutaties, inhoudelijk en financieel, op de plannen aan de gemeenteraad worden voorgelegd. Tevens kan in het beleid worden geanticipeerd op vooruitlopende plannen.
College van B&WHet college legt jaarlijks in de risicoparagraaf bij de begroting de beleidsvoornemens neer voor het komende jaar. Tevens kan het college in een meerjarenprogramma een overzicht presenteren van de plannen in uitvoering en voorbereiding. Hierbij gaat het zowel om tijd, geld en programma als om een actieve of voorziende betrokkenheid van de gemeente bij de plannen. Tenslotte moet het college in het kader van de actieve informatieplicht via tussentijdse rapportages melding maken van afwijkingen op de plannen. De bandbreedte voor het rapporteren over deze afwijkingen kan in het beleid worden vastgelegd.
Het is aan de gemeenteraad om te controleren of het college, bij het uitvoeren van het beleid, binnen de door de gemeenteraad vastgestelde beleidskaders is gebleven. Het college brengt daartoe periodiek (bijvoorbeeld bij de tussentijdse managementrapportage) verslag uit over het gevoerde beleid. De wijze van verslaglegging over het gevoerde beleid moet zodanig worden vormgegeven
Figuur 3.11
Duale Bestel
OrgaanTaak Governance
Beleid opstellen Gemeenteraad Kaders stellen
Uitvoeren College van B&WSturen
BeheersenVerantwoorden
Toetsen Gemeenteraad Toezicht
53 Risicomanagement meer dan de som der delen
dat de gemeenteraad in staat is haar controlerende functie naar behoren uit te voeren. De raad kan in voorkomende gevallen zelfstandig onderzoek laten doen naar het beleid en specifieke projecten of de accountant opdragen met kleinere controlemarges specifiek naar het beleid te kijken.
Zoals uit bovenstaande blijkt is er een relatie te leggen tussen risicomanagement en governance. Evenals het duale bestel heeft risicomanagement een duidelijke scheiding tussen ontwikkeling, uitvoering en verantwoording omtrent de (resultaten) van het beleid en de kaderstelling, controle en toezicht. Hiermee bestaat dus een scheiding tussen verantwoordelijkheden. Er is een controlerende taak voor de gemeenteraad. De spelregels van het duale bestel hebben als doel om zo goed mogelijk rekenschap af te kunnen leggen over de aanwending van publieke middelen. Het verschil met risicomanagement zit echter in het feit dat risicomanagement een verdiepingsslag kent. Beiden zijn gericht op scheiding van ontwikkeling en uitvoering van het beleid, maar risicomanagement gaat verder door de risico’s van de organisatie inzichtelijk te maken en hier beheersmaatregelen voor te ontwikkelen.
Management/ambtelijke organisatieDe ambtelijke organisatie voert het vastgestelde beleid uit. Het risicomanagementproces dient ingebed te worden in de reguliere processen en onderdeel uit te maken van de bedrijfsvoering. Het moet een dynamisch proces worden. Periodiek moeten alle risico’s opnieuw worden bekeken en nieuwe risico’s moeten worden ingebracht in het systeem van risicomanagement. De ambtelijke organisatie heeft vaak een goed zicht op waar zich risico’s voordoen in de bedrijfsvoering. Wel dient men ervoor te waken dat niet alle mogelijke risico’s in het systeem worden opgenomen. Voor elk niveau in de organisatie is een eigen niveau van inzicht in de risico’s vereist: een college stuurt op een ander niveau op risico’s dan een afdelingshoofd. In figuur 3.12 zijn de rollen in het kader van risicomanagement weergegeven.
Deze rollen zijn verder uitgesplitst in taken en verantwoordelijkheden in figuur 3.13. In dit figuur is te zien welke taken de gemeenteraad en het college hebben en hoe de controlefunctie werkt.
Figuur 3.12
Rollen Risicomanagement
Zie voor toezicht van de
provincie het nieuwe
“Gemeenschappelijk Toezicht
Kader” genaamd zichtbaar
toezicht van februari 2008.
Figuur 3.13
Taken Risicomanagement
Houdt toezicht
Provincie
College vanburgemeester en
wethouders
Voert uit
GemeenteraadGemeenteraadAccountant
Lokale rekenkamer
Stelt kaders Controleert
Verantwoordt
Verordeningen212
College/ ambtenaren
uitvoeren
GemeenteraadToezicht houden
Accountant
Lokale rekenkamer
Recht vanenquête
Begroting
Paragraaf Weerstandsvermogen
GemeenteraadKaderstellen
1. Weerstands-vermogen
2. Risicoprofiel
3. Weerstands-capaciteit
Beleidsnota’s:1. Risico-
beheersing2. Reserves envoorzieningen
3. Lokale heffingen4 Grondbeleid5 Verbonden
partijen6. Onderhoud
kapitaalgoederen7. Financiering
Uitvoerenbeleid
Verantwoordingafleggen
Jaarrekeningenen
tussentijdserapportages
ParagraafWeerstandsvermogen
Beleidsevaluaties
54
Als vervolg op figuur 3.13 is in figuur 3.14 weergegeven wat de verantwoordelijkheden zijn van de betrokken partijen. Een groen vlak houdt in dat de desbetreffende verantwoordelijkheid van toepassing is voor het orgaan.
3.4 Integratie risicomanagement in de governance-cyclusIn dit hoofdstuk is de governance-cyclus beschreven in relatie tot risicomanagement, nog van los van elkaar. In deze paragraaf zal worden ingegaan op nut en noodzaak van integratie van risicomanagement langs de lijnen van governance vorm te geven. Het onderkennen van risico’s en hierop actief te anticiperen is noodzakelijk om: • besluitentenemen.Watzijndeconsequentiesvan
ons handelen? Het is dan noodzakelijk om te weten waar beleid op te maken.
• kadersmeetegeven.Welkrisicomagerwordengelopen en hoe wensen we hierover geïnformeerd te worden?
• bijstellingenteplegen.Wanneererzichtisoprisico’sof deze zich manifesteren komt de vraag aan de orde: moeten we onze organisatie, procedures of instrumenten hierop aanpassen?
• tecommuniceren.Wiewordtwanneergeïnformeerd en tot op welk niveau?
Voor alle verschillende actoren in de governance-cyclus is het cruciaal om inzicht te hebben in de risico’s. De verschillende actoren zullen namelijk hun beslissingen beter kunnen nemen als inzicht bestaat in de aard, omvang en oorzaak van mogelijke risico’s. Het kennen van de risico’s en hier bewust mee omgaan, zal moeten resulteren in het ondernemen van acties.
Naast het kennen van de risico’s draagt een adequaat systeem van risicomanagement ook bij aan het vergroten van de transparantie en het afleggen van een meer inzichtelijke en betere verantwoording. Het bewust inzichtelijk hebben van risico’s, het sturen hierop, het delen van deze hiermee gemoeide informatie en het nemen van maatregelen draagt bij aan het creëren van vertrouwen en openheid. Het besluitvormingsproces wordt hierdoor namelijk duidelijker.
Figuur 3.14
Verantwoordelijkheden
Risicomanagement
De governance dimensie van risicomanagement: samenwerkingsverbandenEen organisatie in het westen van het land staat in een proces van deelnemen aan een Shared Service Center (SSC) met meerdere gemeenten. Deze organisatie staat voor de uitdaging om de invoeging in het SSC zo goed mogelijk vorm te geven. Met name het vormgeven van de relatie, de governance daarop en het managen van risico’s bleken grote vraagstukken. De volgende lessen bleken van belang: • Creëereeneenduidigesetvantaken,verantwoordelijkhedenen
bevoegdheden, ook in het licht van risicobeheersing. • Zorgvooreen‘logischevolgordederdingen’inhetproces:nieteerstplaatsen
en dan pas nadenken over taakafbakening en strategie• BesteedaandachtaanalleaspectenvanhetSSC:systemen,mensen,processen,
sturing en beheersing, financiën, etc. en benader deze aspecten integraal• Bepaalalsorganisatiewelkebalansjenastreefttussenkwaliteit,efficiencyen
wendbaarheid bij toetreding tot het SSC en zorg dat deze balans geborgd is in het SSC (afspraken)
• Zorgdatdebekende‘faalfactoren’inhetSSC-proceszijnafgedekt
Onderwerpen Ambtelijk College Raad Accountant Toezichthouder(provincie)
Risicobeleid
In kaart brengen risico’s
Monitoren
Bijstellen
Systeem
BeheersMaatregelen
Financiële vertaling
Verantwoorden
Autorisatie
Beoordelen
Adviseren
55 Risicomanagement meer dan de som der delen
Managers handelen niet altijd rationeel en dit heeft meetbare negatieve invloed op strategische beslissingen. Met Governance zou dit probleem wellicht aan te pakken zijn.De vraag is welke invloed Governance (goed ondernemingsbestuur en toezicht) kan hebben in het verminderen van de negatieve effecten van irrationeel gedrag van managers. De managers hebben een grote invloed op de investeringen en financiering van de organisaties die zij leiden. Aangezien de irrationaliteit geen bewust gedrag van managers is, blijkt dat een aantal mechanismen (dat uitstekend rationele economische problemen kan verminderen) niet werkt. Zo heeft bijvoorbeeld de beloningsstructuur naar verwachting geen invloed op het beperken van irrationele besluiten. Potentieel wel effectieve mechanismen lijken de rol van toezichthouders (gemeenteraad).
Zoals blijkt hebben risicomanagement en governance veel overeenkomsten. Beide instrumenten hebben als doelstelling een organisatie meer gecontroleerd te sturen. Hiermee wordt bedoeld dat het bestuur weet waar de kansen en risico’s van de organisatie liggen en hier de activiteiten op te baseren. Enerzijds de kansen uitbuiten en anderzijds de risico’s afschermen. Nu worden de overeenkomsten tussen governance en risicomanagement behandeld aan de hand van het risicomanagementproces.
Kaderstelling & Strategie - RisicoanalyseHet risicomanagementproces kent als eerste twee stappen kaderstelling en strategie en risicoanalyse. Deze twee stappen corresponderen met het eerste aspect van governance: sturen. Binnen sturen wordt de strategie ontwikkeld en doelen vastgelegd voor de organisatie. Het vastleggen van resultaten is een onderdeel van risicomanagement, doordat het risico van het niet behalen van de resultaten wordt uitbesteed. Er wordt nagegaan waar de risico’s liggen voor de organisatie en dit wordt uitbesteed door middel van contracten.
Vaardigheden De derde stap in het proces is het ontwikkelen van vaardigheden om de risico’s te beheersen en de organisatie tegen risico’s te beschermen. Deze derde stap correspondeert met het aspect beheersen van het governancemodel. Hierbinnen worden procedures en maatregelen ontworpen om de organisatie te beschermen tegen onzekerheden. Door middel van procedures en maatregelen probeert een organisatie het resultaat van het handelen te sturen en te richten, oftewel de onzekerheden en daarmee de risico’s te elimineren. Dit is de overeenkomst met vaardigheden ontwikkelen in het risicomanagementproces.
Monitoren resultatenDe vierde stap in het risicomanagementproces is het monitoren van de resultaten. De maatregelen die zijn genomen tegen risico’s worden gecontroleerd op effectiviteit. Heeft de organisatie onverhoopt toch risico’s gelopen ondanks de beheersmaatregelen, dan komt dit binnen het governance model overeen met toezicht. Hier is de essentie dat inhoudelijke risico’s en kwaliteit worden gecontroleerd. Het toezicht richt zich op continuïteit, met een langetermijnperspectief op de
Onderwerpen Ambtelijk College Raad Accountant Toezichthouder(provincie)
Risicobeleid
In kaart brengen risico’s
Monitoren
Bijstellen
Systeem
BeheersMaatregelen
Financiële vertaling
Verantwoorden
Autorisatie
Beoordelen
Adviseren
56
kwaliteit van de taakinvulling. De gemeente kijkt vooral naar de financiële positie.
Toezicht en ToetsingDe vijfde stap in het risicomanagementproces is toezicht en toetsing. Dit is het moment binnen het proces waar verantwoording wordt gegeven over het uitgevoerde beleid. Verantwoorden uit het governancemodel is het controleren van de effectiviteit en efficiëntie van de bestedingen. Toezicht en toetsing heeft meer diepgang door de feedbackfunctie en de controle van risico’s, maar komt grotendeels overeen met verantwoorden.
Verbetering De zesde stap uit het risicomanagementproces, continue verbetering, is niet expliciet weergegeven in het governancemodel. Dit is het grootste verschil tussen de instrumenten, maar logischerwijs leidt ervaring met governance tot verbetering van het proces. Dit is alleen niet weergegeven in het model.
Als risicomanagement en governance gezamenlijk in een model zou worden gestopt wordt figuur 3.15 gevormd. In dit model zijn de processtappen van risicomanagement in de vier dimensies van governance gezet. Dit geeft een beeld van de overeenkomsten tussen governance en risicomanagement.
RolverdelingOm een relatie te leggen tussen de verschillende actoren in het systeem van risicomanagement in relatie tot de governance-cyclus is het volgende schema opgesteld (figuur 3.16):
Figuur 3.15
Risicomanagement en Governance
STUREN BEHEERSEN
TOEZICHT VERANTWOORDING
1. Kaderstelling & Strategie
2. Risicoanalyse
3. Beheersmaatregelen
4. Monitoren resultaten 5. Toezicht & Toetsing
Gem
eente
raad
1. Kaderstelling & Strategie
College & Management Team
5. Toezicht & Toetsing
Beginnend/Groeiend2. Risicoanalyse
3. Beh
eers
maa
treg
elen
4. M
onit
oren
res
ult
aten
6. V
erb
eter
ing
Afgebakend/Geadvanceerd
6. Continue
Verbetering
57 Risicomanagement meer dan de som der delen
Actoren Dimensies van governance
Acties Besluiten
Gemeenteraad Kaderstellen en toezicht houden
Beoordelen rapportages en adviezen van het college Vaststellen uitgangspunten en methodiek risicomanagementHoogte weerstandsvermogen vaststellenVaststellen uitgangspunten projecten
College /directieraad
Sturen en toezicht Toezien op implementatie risicomanagement in projectenSturen op verantwoording van risico’s
Directie / ambtelijke top
Sturen, beheersen en Verantwoorden
Implementeren risicomanagement in projectenSturen op scenarioplanningOpdracht tot kwantificering risico’sHanteren risicomanagement als rapportage-instrument Maatregelen nemen voor het beheersen van de risico’s en hierover actieve terugkoppeling laten organiserenAanspreken op gedrag
Afdeling / project
Beheersen, verantwoorden
Implementeren beheersmaatregelen ter opvangen van de risico’sScenario analyse per product/project in beeld brengenKwantificering risico’sRapportage over ontwikkeling risico’sBouwstenen aandragen voor in beeld brengen risico’sWerken binnen geformuleerde uitgangspunten projectenBinnen het projectonderdeel maatregelen nemen voor het beheersen van de risico’s en hierover actieve terugkoppelingIn beeld brengen consequenties op financiële positie
Control financiën
Beheersen en toezicht houden
Bijdrage leveren aan de scenarioanalyseIn beeld brengen consequenties op financiële positieBijstellen methodiek/tool van risicomanagement
Figuur 3.16: Rolverdeling
58
Gem
eente
raad
1. Kaderstelling & Strategie
College & Management Team
5. Toezicht & Toetsing
Beginnend/Groeiend2. Risicoanalyse
3. Beh
eers
maa
treg
elen
3. Beh
eers
maa
treg
elen
Fase
2
Fase 1
Fase 3
4. M
onit
oren
res
ult
aten
6. V
erb
eter
ing
Leid
end
Afgebakend/Geadvanceerd
59 Risicomanagement meer dan de som der delen
4. Continue verbetering
“Risicobewustzijn hoort bij ondernemerschap en zou vanuit die invalshoek moeten worden verankerd binnen het strategisch HRM-beleid van overheden.” Erik-Jan van Genderen, Regio Zuid-Holland Zuid
Nadat in hoofdstuk 2 risicomanagement werd uitgewerkt, is governance in relatie risicomanagement in hoofdstuk 3 behandeld. In dit hoofdstuk gaan we in op het aspect van risicomanagement als instrument voor continue verbetering. Wat houdt dit in? Om risicomanagement als instrument voor continue verbetering te ontwikkelen, moet het een explicieter onderdeel worden van de bedrijfsvoering. Hoe een organisatie dit voor elkaar krijgt, wordt na de uitleg van risicomanagement als instrument voor continue verbetering behandeld. Vervolgens wordt er gekeken naar doelbereiking door middel van risicomanagement. Dit is het belangrijkste doel van risicomanagement. Afsluitend wordt er nog een aantal handreikingen gegeven die een organisatie helpt te groeien in risicomanagement.
4.1 Ontwikkeling van risicomanagementDe implementatie van risicomanagement is een groeiproces. Risicomanagement vergt een ontwikkeling en bewustwording en een aantal investeringen binnen de organisatie die een bepaalde doorlooptijd hebben. De implementatie van en groei in risicomanagement start bij het strategische beleid, met name omtrent personeel. De top van de organisatie moet zich bewust zijn van het belang van risicomanagement en dit ook uitdragen. Bij de implementatie van risicomanagement is een bepaalde ‘top-down’-druk nodig om het belang van risicomanagement te bevestigen bij de rest van de organisatie. Uiteindelijk zijn het de medewerkers die risicomanagement moeten dragen en ernaar moeten handelen. Daarom is het van belang dat het beleid qua personeel, promotie en werving en selectie ook is gericht op risicomanagement. Personeelsleden
moeten worden gestimuleerd om te werken en te denken in termen van risicomanagement. Hierbij kan worden gedacht aan de koppeling van bonussen, promotie en/of selectie aan het beheersen van risico’s. Een medewerker krijgt bijvoorbeeld een incentive aan het eind van het beleidsjaar als zijn/haar risico’s waren afgedekt en er geen negatief financieel gevolg is opgetreden. Bij werving en selectie is kennis van risicomanagement een aandachtspunt. Er zijn verschillende methoden om met behulp van het beleid risicomanagement beter geïntegreerd te krijgen in de organisatie.
Iedere organisatie doet al aan risicomanagement (verzekeringen, contracten, etc.), maar de vele risicomanagement activiteiten zijn vaak niet goed gecoördineerd en de organisatie is er zich niet altijd van bewust dat ze aan risicomanagement doen. Het vergt tijd en inspanning om de bewustwording en sturing van risico’s geïmplementeerd te krijgen binnen de organisatie. Dit groeiproces is onderverdeeld in drie fasen over het risicomanagementproces, zie figuur 4.1.
Figuur 4:1
Fase ontwikkeling risicomanagement
Gem
eente
raad
1. Kaderstelling & Strategie
College & Management Team
5. Toezicht & Toetsing
Beginnend/Groeiend2. Risicoanalyse
3. Beh
eers
maa
treg
elen
3. Beh
eers
maa
treg
elen
Fase
2
Fase 1
Fase 3
4. M
onit
oren
res
ult
aten
6. V
erb
eter
ing
Leid
end
Afgebakend/Geadvanceerd
60
Van risico-inventarisatie naar risicomanagementDe invoering van de WMO heeft voor gemeenten een nieuw terrein voor risicomanagement blootgelegd. De eerste stappen zijn vaak al gezet. Een gemeente wil het risicomanagement naar een hoger niveau tillen: van inventarisatie naar management van risico’s. Bij deze gemeente zijn risico’s globaal in kaart gebracht en er is een weerstandsvermogen opgebouwd waarmee de gemeente de risico’s, al dan niet in kaart gebracht, financieel op kan vangen. Op dit moment worden de meeste risicomaatregelen financieel beheerst. Bij een project worden de kosten van de risico’s geschat en als extra budget opgenomen. Men wil naar een situatie toe waarbij er niet alleen sprake is van inzichtelijkheid in de risico’s, maar waarbij er ook sprake is van het managen van risico’s, onder meer in verband met overschrijdingen van budgetten. Het ontwikkelpad is van risicoinzicht naar risicomanagement met behulp van diverse risicobeheersmaatregelen. Om dit te realiseren is een verdiepende inventarisatie uitgevoerd en is in een workshop gewerkt aan een risicoprofiel, waarbij kans en impact zijn gekoppeld aan risico’s en tevens beheersmaatregelen zijn benoemd. Dit risicoprofiel bevat een breder palet aan risico’s dan uit de bestaande inventarisaties komt en kent een proactief (in plaats van het reactieve karakter van de inventarisatie) karakter. Hierdoor kan beter worden geanticipeerd op de risico’s en daarmee risico’s ook worden voorkomen.
Figuur 4.2
Risicomanagement proces en
groeifasen
4.2 Risicomanagement als instrument voor continue verbetering Als een organisatie groeit op het gebied van risicomanagement, kan risicomanagement worden ingezet als instrument voor continue verbetering, fase 3 van figuur 4.2. Dit houdt in dat risicomanagement wordt ingezet om het beleid en de uitvoering van het beleid te verbeteren. Dit wordt gedaan door middel van toezicht, toetsing en feedback. Dit betekent dat het opgestelde beleid tussentijds getoetst wordt door het college. Gaat alles volgens beleid? Zijn er afwijkingen? Zijn de doelstellingen nog haalbaar? Wat is hier voor nodig? De antwoorden op deze vragen worden teruggekoppeld aan de gemeenteraad. Als het nodig is kunnen er aanpassingen aan het beleid of de uitvoering van het beleid worden gemaakt en voorgesteld of kunnen nog realistischer verwachtingen en inzichten worden geboden.
Door deze stappen periodiek te herhalen, ontstaat een proces van continue verbetering. Gemeenteraad en college hebben hierdoor een beter inzicht in de stand van zaken ten aanzien van de uitvoering van het beleid en de wijze waarop het kan worden verbeterd. De essentie is dat risicomanagement nooit af is en continu vraagt om aanpassingen en verbeteringen.
Periodiek zal het proces geanalyseerd moeten worden. Er zal nauwkeurig gekeken moeten worden waar verbeteringen op zijn plaats zijn. Het college controleert of zij op koers ligt en of de doelstellingen of het beleid moet worden aangepast en geeft dit door aan de gemeenteraad in de vorm van feedback. De gemeenteraad past eventueel het beleid en/of de doelstellingen aan. Dit geeft nieuwe sturing aan het college om het beleid uit te voeren. Binnen de kaders worden de risico’s geanalyseerd en een strategie ontworpen om deze risico’s af te dekken. Tijdens de uitvoering door het college worden vaardigheden ontwikkeld die helpen de risico’s te beperken. De resultaten van de uitvoering worden bewaakt, waarmee tussentijds feedback wordt gegeven. Op basis hiervan kan nieuwe sturing worden gegeven. Aan het eind van het boekjaar of tussentijds wordt door het college gerapporteerd aan de gemeenteraad over de resultaten van de uitvoering van het beleid. Van hieruit worden de kaders (indien nodig) aangepast.
BELE
IDSB
EPALIN
GJAN
FEB
MRT
APR
MEI
JUNJUL
AUG
SEP
OKT
NOV
DEC
Feed
back
Bijsturen
FeedbackFeedback
Bijsturen
Feed
back
Feed
back
Feed
back
Bijsturen
FeedbackFeedback
Bijsturen
Budgetcyclus
Medewerker
Organisatie
Risico-management
Fase 3Integreren
5
Knelpunten1
Fase 1 Verandering2
Eindiging3
Fase 2
Experimenteren4
1/2 discussie/communicatie2/3 communicatie3/4 workshop/trainingen4/5 trainingen
61 Risicomanagement meer dan de som der delen
Dit is risicomanagement als instrument voor continue verbetering: het inzichtelijk maken van de kwetsbaarheid van de organisatie, beheersmaatregelen hier tegen ontwikkelen en het continu verbeteren van dit proces.
Het periodieke aspect hierin houdt het college en de gemeenteraad scherp continu te zoeken naar verbeteringen. In figuur 4.3 is een voorbeeld gegeven voor deze periodieke overleggen en feedbackmomenten voor een organisatie. Tijdens elk feedbackmoment bestaat de mogelijkheid aan te geven waar medewerkers tegen aan lopen. Door continu kleine aanpassingen hier in te maken ontstaat een proces van continue verbetering dat risicomanagement op een hoger niveau tilt. Om dit te bereiken zal een organisatie risicomanagement onderdeel moeten maken van de bedrijfsvoering. Hoe een organisatie dit kan bereiken, wordt in het volgende onderdeel behandeld.
4.3 Risicomanagement als onderdeel van de bedrijfsvoeringHoe krijgt een organisatie risicomanagement tot onderdeel van de bedrijfsvoering? Wat houdt het in voor de organisatie als risicomanagement onderdeel van de bedrijfsvoering is? Om risicomanagement als onderdeel van de bedrijfsvoering te krijgen is het van essentieel belang dat risicomanagement gedragen wordt door de medewerkers en dat er een druk (‘sense of urgency’) van bovenaf is. Een belangrijke factor hierbij is het feit dat risicomanagement een middel is tot doelbereiking. Het belang van risicomanagement moet worden gedragen en uitgestraald door de gemeenteraad, college en managers. Alleen zo wordt risicomanagement onderdeel van de bedrijfsvoering. In dit onderdeel zullen we die stappen koppelen aan het verandermanagementmodel dat meer gericht is op de organisatorische kant van de bedrijfsvoering.
Het verandermanagementmodel bestaat uit vijf stappen (figuur 4.4) en zijn: knelpunten, verandering, eindiging, experimenteren en integreren. Deze stappen volgen elkaar op in het veranderproces. Deze stappen zullen nu uitgebreider worden behandeld met voorbeelden van mogelijke aanpak. De eerste stap in dit veranderproces is de realisatie en analyse van de knelpunten binnen de organisatie (fase 1). Wat is
Figuur 4.3
Periodiek overleg risicomanagement
Figuur 4.4
Verandermanagementmodel
Gem
eente
raad
1. Kaderstelling & Strategie
College & Management Team
5. Toezicht & Toetsing
Knelpunten/Verandering2. Risicoanalyse
3. V
aard
igh
eden
3. Beh
eers
maa
treg
elen
Fase
2
Fase 1
Fase 3
4. M
onit
oren
res
ult
aten
6. V
erb
eter
ing
Inte
gre
ren
Experimenten/
Eindiging
62
de situatie op dit moment en waar ondervinden we problemen?
De organisatie kan bijvoorbeeld risico’s lopen die het eigenlijk niet kan of mag? lopen, doordat de financiële middelen niet beschikbaar zijn om het risico te dekken. Dit heeft een negatief effect op het speelveld van het college. Het kan ook zijn dat er binnen de gemeente nog slechts beperkte bewustwording is van de risico’s. Deze analyse betrekt ook de knelpunten die de medewerkers ervaren binnen de organisatie. Welke processen voldoen niet aan de eisen van de organisatie en welk effect heeft dat op de bedrijfsvoering? Deze analyse kan bijvoorbeeld worden uitgevoerd door middel van discussies, vergaderingen en open communicatie over het onderwerp. De volgende stap binnen het veranderproces is het ontwikkelen van de verandering, de implementatie van risicomanagement. Dit begint bij de nadruk die de gemeenteraad en college vanuit hun rol in het duale bestel leggen op risicomanagement en daardoor de top van de ambtelijke organisatie stimuleert (vanuit hun verantwoordelijkheid voor bedrijfsvoering)volgens risicomanagement te werken. Welke processen, systemen, instrumenten of werkmethoden dienen te worden aangepast, verwijderd of aangemaakt? Wie moet zich hier verantwoordelijk voor voelen? Op deze manier betrek je risicomanagement binnen procesmanagement en kun je de risicomanagementprocessen linken aan de overige bedrijfsprocessen.
Het betrekken van alle medewerkers creëert draagvlak voor de veranderingen in de bedrijfsvoering. Immers wanneer medewerkers zich er bewust van zijn welke risico’s mogelijk worden gelopen en zij hiermee bekend zijn, is er vermoedelijk meer draagvlak om de bestaande beheersmaatregelen te veranderen en aan te passen aan de (wijzigende) omstandigheden. De derde stap binnen het veranderproces is de beëindiging van de huidige vaak ad-hoc wijze van (risico)sturing en de start van structureel, op verandering en verbetering gericht risicomanagement (fase 2). De ervaring van Deloitte leert dat het nodig is om topdown risicomanagement te stimuleren. Het is aannemelijk dat er weerstand ontstaat bij verandering en dit vereist een gedegen en doelgerichte aanpak. Het is van belang dat de eerste twee stappen rustig en goed worden doorlopen,
Van volgen naar sturen: loonsombeheersingBij een gemeente was sprake van een tweevoudige loonsomproblematiek: 1. jaarlijks wordt het loonsombudget overschreden en2. jaarlijks wordt de geraamde dekking van loonkosten in projecten (kredieten)
niet gerealiseerd.De gemeente heeft vervolgens vier maatregelen getroffen om te komen tot beheersing van de loonsombudgetten:1. Uitgangspositie is vastgesteld (loonsombudgetten per afdeling, bijpassende
formatieplannen en omzettaakstellingen op kredieten).2. Managementinformatie wordt maandelijks geleverd (formatie- en
bezettingsoverzicht, overzicht inhuur derden, overzicht omzettaakstelling).3. Verantwoordingsgesprekken worden maandelijks gehouden tussen directeur en
afdelingshoofd, in aanwezigheid van de concerncontroller (met aandacht voor de loonsom);
4. Verbijzonderde interne controle uitgevoerd door de concerncontroller ter toetsing van het werkelijkheidsgehalte van de managementinformatie.
De genoemde maatregelen hebben een goede uitwerking gehad. In het kader van risicomanagement heeft dit een extra sturingsinstrument opgeleverd.
Figuur 4.5
Risico- en
verandermanagement
63 Risicomanagement meer dan de som der delen
zodat risicomanagement sneller tot de bedrijfsvoering wordt opgenomen. Draagvlak is essentieel voor de implementatie van risicomanagement. Daarom is behalve het besef van urgentie ook het betrekken van medewerkers noodzakelijk. Dit kan bijvoorbeeld door het actief sturen, rapporteren en bevragen op de ontwikkeling en beheersing van de risico’s (daadwerkelijk navolgen van het ingezette risicomanagementraamwerk), waardoor medewerkers ook duidelijk wordt dat risicomanagement een reëel en essentieel onderdeel is van de bedrijfsvoering. Zichtbare veranderingen in de bedrijfsvoering zijn nodig om medewerkers te stimuleren nieuwe werkmethoden aan te leren. De vierde stap heet experimenteren waarin de organisatie en medewerkers een stap verder gaan in de implementatie van risicomanagement. Medewerkers gaan aan de hand van bijvoorbeeld trainingen en workshops de nieuwe bedrijfsvoering hanteren, aanpassingen worden toegepast en bewaakt binnen de organisatie. Na een overgangsperiode is het nodig dat risicomanagement volledig wordt doorgevoerd en dat er geen ruimte is voor andere methoden (fase 3).
De combinatie van het verandermanagementmodel en het risicomanagementproces is grafisch weergegeven in figuur 4.5.
4.4 Risicomanagement: de kunst van cultuur
“Risicomanagement is cultuur” Diana Boender, Sectorcontroller Ambulancedienst ZHZ4.4.1 Houding en gedragDuidelijke en uitvoerbare kaders voor risicomanagement, inzicht in risico’s, heldere en eenduidige procedures en een hoge kwaliteit van bedrijfsvoering zijn allemaal belangrijk in het kader van risicomanagement. Maar uiteindelijk zijn houding en gedrag van ambtenaren, raads- en collegeleden van doorslaggevende betekenis bij het uitdragen, naleven, implementeren en
handhaven van een methodiek, werk- en zienswijze rondom risicomanagement.
Houding en gedrag zijn sterk persoonsgebonden. Zij worden gevormd door de capaciteiten en vaardigheden, overtuigingen, identiteit en levensmissie van individuen. Het denken en handelen wordt behalve door houding en gedrag ook sterk beïnvloed door de omgeving, zoals de cultuur in de gemeentelijke organisatie. De organisatiecultuur is de gemeenschappelijke verstandhouding van de mensen in een gemeente over hoe het er in de gemeente dagelijks aan toe gaat. Het betreft het geheel van geschreven en ongeschreven regels dat het sociale verkeer tussen raads- en collegeleden en ambtenaren onderling en met de externe omgeving (burgers, instellingen, ministeries, provincies, etc.) vormgeeft. De organisatiecultuur geeft een vast patroon voor de aanpak en de oplossing van vraagstukken, zoals ook risicomanagement.
Bij de beantwoording van de vraag in hoeverre risicomanagement bij een gemeente leeft, is inzicht in houding en gedrag van ambtenaren en in de cultuur van de gemeentelijke organisatie dan ook essentieel. Risicomanagement heeft niet alleen met regeltjes te maken, bewustzijn speelt een minstens zo belangrijke rol. Om risicomanagement ‘tussen de oren’ te krijgen, zal binnen veel gemeenten niet alleen een set regels, maar een cultuurverandering nodig zijn.
Ten aanzien van risicomanagement is houding en voorbeeldgedrag van raadsleden, collegeleden en het ambtelijk management belangrijk. Wanneer zij weinig belang (lijken te) hechten aan risicomanagement, is de kans groot/aanwezig dat risicomanagement niet hoog op de agenda van ambtenaren staat. Dit geldt zeker als het bestuur of management zelf het beleid voor risicomanagement niet naleeft of daar inconsistent in is.
Welke stijlsoorten zijn er om de benodigde cultuurverandering te realiseren en hoe kan cultuurverandering bijdragen aan de verbetering van het werken aan risicomanagement? Met alleen aanpassing van de hard controls komt u er niet. Welke kritische succesfactoren zijn bepalend?
Cultuur(soft controls)
Risicobeleid(hard controls)
Denken enhandelen
Beïnvloedt
Bepaalt
Cultuur vande gemeente
Bedrijfsvoering(hard & soft
controls)
64
4.4.2 Een kwestie van stijlHouding en gedrag met betrekking tot risicomanagement kun je abstract en vaag noemen. Daarom leggen we een relatie tussen houding, cultuur en veranderingen en de invloeden op de bedrijfsvoering en risicobeleid aan de hand van de onderstaande figuur. Verder geven we een aantal voorbeelden van werkstijlen die invloed hebben op de wijze waarop met het risicomanagement-vraagstuk bij een gemeente wordt omgegaan.
Gedogen tegenover ‘zero-tolerance’Voor de manier waarop een gemeente met risicomanagement omgaat, maakt het groot verschil of ‘zero-tolerance’ het heersende gedachtegoed is of dat tamelijk gemakkelijk met risicomanagement wordt omgegaan. Wanneer afwijken van de afspraken niet wordt getolereerd, is de kans op ongedekte of niet-inzichtelijke risico’s – zeker op de langere termijn – kleiner dan wanneer dat wel zo is.
Informeel tegenover formeelEen ander cultuuraspect dat raakvlakken heeft met ‘zero-tolerance’ tegenover gedogen, is formeel tegenover informeel. In een formele organisatie heerst een sterke mate van discipline: afspraak is afspraak. Wanneer de cultuur van een gemeente formeel is, zal gedisciplineerd en gecontroleerd met risicomanagement worden omgegaan. De ambtenaren worden goed geïnstrueerd bij de uitvoering en optimalisatie van risicomanagement. Het gevaar van onvolledig of onjuist risico-inzicht neemt dan zeker af. Bij een meer informele cultuur in een gemeente is de sfeer vaak losser, de discipline en controle is minder sterk en er is vaak meer ruimte voor creativiteit (in zowel positieve als negatieve zin). Bij een informele cultuur is de kans op het niet naleven van de afspraken rond risicomanagement over het algemeen groter.
Resultaatgericht tegenover formalistischEen formalistische tegenover een resultaatgerichte cultuur heeft ook invloed op het naleven en handhaven van afspraken rond risicomanagement. In een formalistische omgeving worden risico’s gemeden. De organisatie is dan vaak normatief ingesteld. Het gaat om het juist toepassen van procedures en afspraken. Bij deze cultuur is de kans groot dat de aandacht voor risicomanagement groot is en onzuiverheden
Figuur 4.6
Invloed van cultuur, houding en gedrag
Houding, gedrag en cultuur en de impact op:
•Gedogentegenover‘zero-tolerance’
•Informeeltegenoverformeel
•Resultaatgerichttegenoverformalistisch
•Opentegenovergesloten
•Lerentegenoverafrekenen
65 Risicomanagement meer dan de som der delen
minder voorkomen. Bij deze cultuur is het echter niet ondenkbaar dat het naleven van regels en procedures belangrijker wordt gevonden dan het ‘dienen van het doel’. Wat we realiseren is dan minder belangrijk, als het maar volgens de regels gaat, lijkt dan het credo. Het gaat bij een resultaatgerichte cultuur om het bereiken van het resultaat. Procedures en regels worden gemakkelijker terzijde geschoven om een bepaald resultaat te bereiken. Bij dergelijke gemeenten wordt gezocht naar de ruimte en mogelijkheden van risicomanagementbeleid in plaats van dat de beperkingen en onmogelijkheden de boventoon voeren. Dit betekent in de praktijk nog wel eens het zoeken naar de grenzen van wat kan en mag. Dergelijke gemeenten bereiken veel, maar lopen een hoger risico.
Substance over formTwee begrippen die nauw samenhangen met formalistisch tegenover resultaatgericht zijn substance en form. Staat bij een gemeente de inhoud (substance) centraal of gaat het meer om de formaliteit (form)? Wanneer bij een gemeente de cultuur is om naar de ‘geest’ van risicobeleid te handelen, is de kans aanwezig dat goede resultaten worden bereikt, maar dat in formele zin risicobeleid niet op alle aspecten juist is toegepast. Wanneer de cultuur meer is gebaseerd op het toepassen van de ‘letter van beleid’, is de kans op onzuiverheden kleiner. Het gevaar is echter wel dat met deze wijze het doel voorbij wordt geschoten.
Open tegenover geslotenEen ander belangrijk gedragsaspect is of het bij een gemeente gebruikelijk is elkaar aan te spreken op taken en verantwoordelijkheden en dus ook op gedrag. Wanneer ambtenaren, raads- en collegeleden elkaar aanspreken op het naleven en handhaven van risicobeleid gaat risicomanagement in een organisatie ‘leven’. Dit draagt bij aan bewustwording rondom het begrip risicomanagement. Dit is een basisvoorwaarde om risicomanagement nader inhoud te geven in een gemeente. Het elkaar aanspreken op taken, verantwoordelijkheden en gedrag hangt nauw samen met een open cultuur van een gemeente. In een open cultuur zijn medewerkers ‘transparant’ en zijn er weinig drempels om elkaar te benaderen. Wanneer sprake is van een gesloten cultuur heerst er een sfeer van ‘bij jezelf houden’ met mogelijk verborgen en/
of dubbele agenda’s. Risico’s worden dan meer ‘onder de pet’ gehouden en een open discussie over taken en verantwoordelijkheden in het kader van risicomanagement ontstaat dan vaak moeizaam.
Leren tegenover afrekenenDe wijze waarop ambtenaren, raads- en collegeleden denken en handelen met betrekking tot risicomanagement wordt ook ingegeven door de mate waarin een leercultuur heerst. In een leercultuur mogen fouten worden gemaakt en durven medewerkers zich kwetsbaar en transparant op te stellen. De cultuur is gericht op het leren van fouten van jezelf en van anderen. Dat kan alleen als mensen fouten durven toe te geven. Een absolute voorwaarde voor een leercultuur is dat medewerkers zich veilig voelen in de organisatie. Tegenover een leercultuur staat een afrekencultuur. In deze cultuur staan verantwoordelijkheden en concreet, meetbare doelstellingen centraal. Wanneer dan fouten worden gemaakt, volgt een afrekening (in welke vorm dan ook).
De leer- of afrekencultuur bepaalt sterk de ontwikkeling van ‘controle’ in een gemeente. In een leercultuur is controle gericht op het voortdurend verbeteren van de organisatie. Controle draagt dan veel meer het karakter van onderzoek. In een afrekencultuur zal controle primair gericht zijn op het voorkomen van fouten en op het beoordelen van medewerkers om te kunnen belonen of straffen.
4.4.3 CultuurveranderingHouding, gedrag en werkwijze bepalen in een gemeente het denken en handelen. En dit bepaalt dus ook hoe het er in een gemeente voor staat ten aanzien van risicomanagement. Hierdoor wordt de kwaliteit bepaald, maar ook de mate van naleving en handhaving ervan. Houding, gedrag en organisatiecultuur bepalen ook de wijze waarop, indien nodig, de aanpak van het risicomanagement-vraagstuk wordt vormgegeven. Houding, gedrag en cultuur geven richting aan het verbeteren van de kwaliteit van risicomanagement en de kwaliteit van de bedrijfsvoering. Het is hierbij goed denkbaar dat daarvoor een cultuurverandering nodig is. Deze cultuuromslag zal onderdeel moeten uitmaken van de invoering van risicomanagement.
66
Cultuurbeïnvloeding en cultuurverandering is lastig. Het is niet ‘even’ bedacht en doorgevoerd. Om ervoor te zorgen dat risicomanagement wordt opgepakt en gedragen in de organisatie, is het goed managen van het veranderproces essentieel.
Omstandigheden van veranderingsprocessen zijn uniek voor elke organisatie. Er bestaat geen standaardplan. Elke organisatie is anders, kent een andere voorgeschiedenis als het gaat om veranderingen en heeft een eigen cultuur en dynamiek. Toch is er wel een aantal relaties te leggen in de stappen die moeten worden doorlopen bij een veranderingsproces. De kritische succesfactoren hierin zijn opgenomen in figuur 4.7.
4.5 Risicomanagement als instrument om je doel te bereikenIn hoofdstuk 1 is reeds benoemd dat je doel bereiken een essentieel onderdeel is van risicomanagement. In dat hoofdstuk is reeds de relatie gelegd met governance en de druk vanuit wet- en regelgeving. In deze paragraaf zal op deze doelstelling van risicomanagement nader worden ingegaan. De huidige budgetcyclus die veel gemeenten hanteren op dit moment is gericht op resultaten uit het verleden. Voor het begin van het boekjaar wordt het beleid voor het komende boekjaar opgesteld op basis van resultaten van afgelopen jaren. Vervolgens wordt er aan het eind van het boekjaar verantwoording afgelegd over de resultaten van het beleid en wordt er weer nieuw beleid opgesteld voor het komende jaar.
Het nadeel van dit systeem is dat je geen controle hebt op het succes van het beleid. Achteraf wordt het resultaat beoordeeld, wanneer er geen mogelijkheid meer is om bij te sturen. Hier komt bij dat er nog niet eens wordt gekeken naar het risico van het gevoerde beleid. Is het gekozen beleid niet onnodig risicovol geweest? Als het beleid haar doelen heeft gehaald, kan het zo zijn dat dit komt omdat de gevolgen van de gelopen risico’s niet zijn opgetreden. Als dan voor het komende boekjaar het beleid op basis van de resultaten van het vorige beleid wordt opgesteld is de mogelijkheid groter dat de gevolgen van de risico’s dit jaar wel optreden.
Figuur 4.7
kritische succesfactoren veranderproces
67 Risicomanagement meer dan de som der delen
Het risicomanagementproces: grote projecten Een gemeente is serieus bezig met risicomanagement door het vastleggen van helder beleid, verdeling van taken en verantwoordelijkheden, training van medewerkers en ondersteuning door middel van een risicomanagementinformatiesysteem. Met name het risicomanagement rond projecten verdiende extra aandacht. Het project moet leiden tot directe invoering van risicoanalyses op strategische projecten en trajecten. Door het uitvoeren van een analyse zijn de volgende bevindingen gedaan:1. Inhoudelijk - inzicht in projectrisico’s onvoldoende - regierol subsidies ontbreekt - geen totaalbeeld risico’s WMO2. Cultuur - geen eenduidig begrippen kader - angst voor communicatie over risico’s - politieke gevoeligheid3. Proces - (eerder) betrekken portefeuillehouder - vooraf investeren in kennis - politieke actualiteit - beter plannenDit heeft geresulteerd in een verdere verfijning van het risicomanagementproces, met specifieke aandacht voor projectrisico’s door het ondernemen van de volgende acties:• Opstellenbeleidsplan• Trainingworkshops/cursussen• Procesintegraalrisicomanagementuitrollen• Risicoanalysesopthema’s• Verzekeringsanalyseenprofessionaliserenbeheer• Communicatieverbredenenintensiveren
Risicomanagement biedt een ander, breder perspectief op bedrijfsvoering en haar doelen. Vooraf wordt op basis van analyses het risico van het gekozen beleid bepaald. Dit geeft inzicht in het (financiële) risico dat de organisatie loopt. Op basis van de onderkende (financiële) risico’s kunnen doelstellingen al worden aangepast en maatregelen worden bedacht om de (financiële) risico’s in te perken. Voordat het (boek)jaar is begonnen, geeft dit al meer zekerheid over de doelstellingen van de organisatie. Tussentijds worden vervolgens de risico’s en de omvang (wat is de ontwikkeling en mutatie) hiervan bijgesteld en (eventueel) nieuwe beheersmaatregelen geïntroduceerd. Zo zorgt risicomanagement voor een breder inzichtelijker perspectief op realiseren van de geformuleerde doelstellingen.
4.6 Handreikingen voor risicomanagementHieronder is een aantal handreikingen gegeven om het implementeren van risicomanagement in de organisatie te versoepelen. Deze handreikingen zijn niet exclusief en kunnen per organisatie worden gewijzigd of aangevuld.
i. RisicomanagementBepaal als organisatie wat wordt verstaan onder risicomanagement. Dit betekent dat er helderheid moet zijn over onder meer het te hanteren risicomanagementraamwerk, de te zetten stappen, de in te zetten instrumenten, de invulling van het risicomanagementbeleid, de inrichting van het risicomanagementsysteem en de doelstellingen die worden beoogd met risicomanagement. Zorg dat de organisatie helder voor ogen heeft wat er mee kan worden bereikt, wat de mogelijkheden zijn van risicomanagement. Dit voorkomt teleurstellingen en helpt de organisatie risicomanagement beter te begrijpen.
ii. DoelstellingenWat is het doel van risicomanagement? Wees realistisch in de doelstellingen. Zo is het veelal niet haalbaar om voor alle mogelijke risico’s acties te formuleren: een risico-overzicht met 500 risico’s is niet werkbaar. Het is dan ook niet raadzaam om als doelstelling 100% dekking van alle mogelijke risico’s na te streven. Onthoud dat tijd en energie een vereiste zijn voor de implementatie van risicomanagement. Bepaal wat
68
al wordt gedaan aan risicomanagement (budgetten, verzekeringen, etc.) en baseer mede hierop de gewenste situatie voor de organisatie.
iii. RisicomanagementmethodeBij het toepassen van risicomanagement heeft de organisatie een methode (van inventariseren en monitoring) nodig om haar risicoprofiel op te stellen. Kies een methode die geschikt is voor de organisatie. In hoofdstuk 2 zijn verschillende methoden van risicomanagement toegelicht. De gekozen methode moet goed passen bij de organisatie, anders wordt het ‘tussen de oren krijgen’ van risicomanagement een (te) grote uitdaging. Bepalend bij de keuze van de methode is ook de ontwikkelingsfase waarin een organisatie zich bevindt: een sterker ontwikkelde en geprofessionaliseerde organisatie kan een complexere methode van risicomanagement hanteren.
iv. RapportageVoor de organisatie is het van belang een wijze van rapportage te kiezen die past binnen het BBV. Volgens het BBV zijn provincies en gemeenten verplicht hun weerstandsvermogen (het vermogen risico’s te dekken) in kaart te brengen aan de hand van hun risicoprofiel. Dit houdt in dat jaarlijks een weerstandsparagraaf dient te worden opgesteld in de beleidsbegroting waarin de weerstandscapaciteit (de middelen om de risico’s te dekken) wordt behandeld.
v. RisicomanagerAfhankelijk van de grootte van de organisatie is het mogelijk dat een risicomanager of risico-eenheid wordt aangewezen. Dit kan, afhankelijk van het ontwikkelstadium van risicomanagement binnen de organisatie, ook worden belegd bij bijvoorbeeld de controller. Deze aangewezen medewerker (de ‘risicomanager’) of eenheid waakt over het proces van risicomanagement, onderzoekt onderliggende verbinding tussen afdelingen, beheersmaatregelen en verantwoordelijkheden. De rol van risicomanager is duidelijk een expertrol. De risicomanager adviseert, geeft handreikingen, toetst, volgt ontwikkelingen, ondersteunt bij het signaleren van risico’s, onderhoudt het risicomanagementraamwerk en jaagt het risicomanagementproces aan. In vorige hoofdstukken is de taak van de risicomanager of risico-eenheid dieper behandeld. Alertheid is geboden bij een dergelijke
hulpstructuur om de verantwoordelijkheid voor inventariseren, managen en bijsturen van de risico’s een verantwoordelijkheid is en blijft van het (lijn-) management.
vi. VerantwoordelijkheidNiet alleen voor de kwaliteit van de implementatie, maar zeker ook voor het effect van risicomanagement is het van belang dat medewerkers verantwoordelijk worden gemaakt voor risico’s. Een mogelijkheid is ook om medewerkers te belonen door bijvoorbeeld een variabel salaris te koppelen aan het succes bij het bereiken van de vooraf gestelde doelstellingen. Een belangrijke randvoorwaarde hierbij is dat de rollen helder zijn gedefinieerd in het kader van risicomanagement: iedere medewerker moet weten wat zijn of haar rol is en welke verantwoordelijkheid daarbij hoort. Gestructureerd risicomanagement is onmisbaar bij het bereiken van je doelstellingen. Het actief inventariseren en het treffen van beheersmaatregelen helpt de verantwoordelijk manager bij het realiseren van zijn doelstellingen. In ieder geval neemt het inzicht toe ten aanzien van de vraag: wat staat het realiseren van de gestelde doelen in de weg. (omdat er bepaalde risico’s zijn)
vii. Belang van draagvlakOngeacht welke aanpak de gemeente uiteindelijk kiest om te komen tot implementatie van risicomanagement, is draagvlak onontbeerlijk voor het concept. Het toepassen van risicomanagement heeft namelijk duidelijke consequenties voor de organisatie.
Dit draagvlak kan op de volgende wijze bewerkstelligd worden zowel bij aanvang als bij de verdere uitrol van risicomanagement:• Kennissessiemetambtelijkeenpolitieke
sleutelfunctionarissen• Sponsorbinnenmanagementteam(MT)(en
eventueel politiek)• Eenvoudigbeginnen(meteenpilot)• Voldoenderobuusteprojectorganisatie• Aansluitingopbestaandeinitiatieven,conceptenen
systemen
viii. Kennissessie met diverse ambtelijke (en bestuurlijke) sleutelfunctionarissen
Indien risicomanagement wordt geïnitieerd vanuit een
69 Risicomanagement meer dan de som der delen
staffunctie of een beperkt deel van het lijnmanagement is het aan te raden om in eerste instantie een kennissessie te organiseren met het voltallige MT en eventueel een afvaardiging uit het bestuur. Tijdens deze sessie kan het onderwerp verder uitgediept worden en de toegevoegde waarde inzichtelijk worden gemaakt door middel van concrete voorbeelden.
ix. Sponsor binnen MT (en eventueel bestuur)Risicomanagement is een verantwoordelijkheid van de lijn. Om deze reden is het belangrijk dat op het hoogst ambtelijk niveau binnen de organisatie een sponsor aanwezig is voor het concept. Hij of zij dient risicomanagement actief te ondersteunen in woord en daad en het (overige) management hierop aan te spreken indien noodzakelijk. Zonder een sponsor is het reële gevaar aanwezig dat dit onderwerp uiteindelijk niet serieus wordt genomen. Hierdoor wordt geen toegevoegde waarde gerealiseerd en blijft het hoogstens een instrument waar met name de staf belang aan hecht.
“Projecten zijn leuke uitdagingen voor risicomanagement” Jan Vermeule, gemeente Amersfoort
x. Eenvoudig beginnen (met een pilot)Na de kennissessie raden wij aan om de voorgestelde aanpak in eerste instantie een pilot uit te voeren. Bij voorkeur vindt deze pilot plaats bij een afdeling, sector of beleidsveld die zelf aangegeven heeft graag mee te willen doen.
Een belangrijk voordeel van een pilot is de mogelijkheid tot realisatie van ‘quick wins’ die gebruikt kunnen worden voor draagvlak bij de verdere uitrol. Bovendien kan een organisatie op deze wijze met beperkte middelen kennismaken met de nieuwe aanpak. Op basis van de ervaringen kan vervolgens bepaald worden of er bijvoorbeeld aanpassingen moeten worden doorgevoerd in de opzet danwel methodiek.
xi. Voldoende robuuste projectorganisatieEen essentiële basis voor draagvlak is een voldoende robuuste projectorganisatie. Een dergelijke projectorganisatie bestaat bij voorkeur uit een stuur- en werkgroep. De taken van deze groep zijn de volgende:• hetbeoordelenvandeuitgangspuntenvanhet
project• hetbeoordelenvandekwaliteitvande(tussentijdse)
projectresultaten in de vorm van notities, rapportages en presentaties
• hetbewakenvandevoortgangvanhetproject• hetfungerenalssponsorvoorrisicomanagement
richting de rest van de organisatie• hetzorgdragenvoordecommunicatierichtingde
rest van de organisatie
Daarnaast verdient het de voorkeur om binnen deze stuurgroep één of twee personen aan te wijzen die tussentijds beslissingen kunnen nemen. Dit is bevorderlijk voor de voortgang van een risicomanagementproject.
In de werkgroep nemen de medewerkers deel die verantwoordelijk zijn voor het daadwerkelijk uitvoeren van de activiteiten inzake risicomanagement. Externe ondersteuning is hierbij aan te raden. Het betreft namelijk nieuwe materie, waarbij specifieke kennis onontbeerlijk is. Indien deze onvoldoende binnen de organisatie beschikbaar is, dient deze van buiten aangetrokken te worden. Een belangrijke basis voor het succesvol implementeren van risicomanagement is namelijk gelegen in een succesvolle start. Indien dit niet lukt, wordt het erg moeilijk om alsnog resultaten te boeken.
Indien steun van buitenaf wordt ingeroepen, is het verstandig een gezamenlijke werkgroep in te stellen. Op deze wijze kan namelijk gedurende het traject een optimale kennisoverdracht plaatsvinden.
xii. Aansluiting op bestaande initiatieven, concepten en systemen
Om de belasting van de organisatie zoveel mogelijk te beperken, is het sterk aan te raden om risicomanagement aan te laten sluiten bij reeds bestaande initiatieven, concepten en systemen. Zo kan overwogen worden om risicomanagement te koppelen aan projecten ter verbetering van de kwaliteit van de
70
organisatie (bijvoorbeeld INK-positiebepalingen). Tevens kan gedacht worden aan het benutten van natuurlijke momenten in de planning & controlcyclus. Bij het opstellen van de begroting of jaarplan is het namelijk voor de hand liggend om naast de doelstellingen, plannen en financiën tevens na te denken over de risico’s die mogelijkerwijs een belemmering kunnen vormen bij de realisatie.
71 Risicomanagement meer dan de som der delen
72
EconomischPolitiekJuridischMilieuFinanciële houdingGarantieverplichting
Weerstandsvermogen
+
=
Verzekeringen VoorzieningenBeheersmaatregelen
Algemene ReserveOnbenutte Belasting-capaciteitStille ReservePost OnvoorzienGrondexploitatiesRente over Reserves
Risico’s Weerstandscapaciteit
73 Risicomanagement meer dan de som der delen
5. Weerstandsvermogen
Een belangrijk onderdeel van risicomanagement is het weerstandsvermogen. In dit hoofdstuk wordt een korte definitie gegeven van de opbouw van weerstandsvermogen en de elementen die daaraan zijn gekoppeld. Risicomanagement wordt gedefinieerd als het identificeren en kwantificeren van risico’s en het bepalen van activiteiten die de kans van optreden en/of de gevolgen van risico’s beheersbaar houdt/maakt. Deze activiteiten worden beheersmaatregelen genoemd. Een onderdeel van de beheersmaatregelen wordt gevormd door het op niveau houden van de financiële positie door het opbouwen van weerstandsvermogen. Door risico’s in kaart te brengen binnen de gemeente en maatregelen te treffen ter beheersing van deze risico’s kan de benodigde weerstandscapaciteit worden verlaagd. Doordat de weerstandscapaciteit wordt verlaagd kan uw gemeente dit geld voor andere doeleinden in uw organisatie inzetten.
De weerstandscapaciteit van een organisatie is het geheel van middelen en mogelijkheden om niet begrote, onverwachte en substantiële kosten te dekken.
5.1 DefinitieDe weerstandscapaciteit kan zowel incidenteel als structureel zijn. Incidentele weerstandscapaciteit is het vermogen om calamiteiten en andere eenmalige tegenvallers op te vangen zonder dat dit invloed heeft op de voortzetting van het bestaande beleid.
Bij het bepalen van het weerstandvermogen zijn twee elementen belangrijk, namelijk risico’s en weerstandscapaciteit. Een risico is de kans op een gebeurtenis die een (negatief) effect heeft op de bedrijfsvoering en/of de financiële positie, vermenigvuldigd met de impact (omvang)
Figuur 5.1
Methodiek
Weerstandsvermogen
van de gebeurtenis. Belangrijk hierbij is dat de organisatie zich bewust is van risico’s zodat zij tijdig noodzakelijke maatregelen kan nemen en kan sturen op de risico’s. De weerstandscapaciteit bestaat uit de middelen die een organisatie heeft om de negatieve gevolgen te kunnen dekken, bijvoorbeeld reserves, bezuinigingsmogelijkheden en onbenutte belastingscapaciteit. Dit is geïllustreerd in figuur 5.1 die is gebaseerd op een model uit ‘Handreiking Weerstandsvermogen voor Raadsleden’ van het ministerie van Binnenlandse Zaken en Koninkrijksrelaties.
Financiële positie
Sluitende begroting Weerstandsvermogen
Risico’s Weerstandscapaciteit
Financiële positie
Sluitende begroting Weerstandsvermogen
Risico’s Weerstandscapaciteit
statisch <1 j.
dynamisch >1 j.
74
5.2 Financiële positieDe financiële positie is het vermogen van een organisatie, in relatie tot de exploitatie en met inachtneming van de risico’s, haar beleidsvoornemens te kunnen uitvoeren, zowel op de korte als lange termijn. De financiële positie van een gemeente kan worden bepaald op basis van financiële ijkpunten, zoals onder meer de omvang van het vermogen en de belastingdruk als vangnet voor risico’s. Om inzicht te krijgen in de daadwerkelijke financiële positie van een gemeente is het van belang dat wordt gekeken naar het huidige voorzieningenniveau binnen de gemeente en/of de structurele en incidentele lasten daaruit zijn opgenomen in de begroting en het meerjarenperspectief. Daar tegenover kan een minimaal voorzieningenniveau worden gezet dat op langere termijn gewenst is. Dit gewenste voorzieningenniveau (indien dit afwijkt van het huidige voorzieningenniveau) kan een rol (gaan) spelen bij het bepalen van de benodigde financiële positie van een gemeente.
5.3 WeerstandsvermogenHet weerstandsvermogen is de mate waarin onverwachte financiële tegenvallers kunnen worden opgevangen. Hierbij wordt de weerstandscapaciteit afgezet tegen de risico’s die een gemeente loopt. Weerstandsvermogen kan zowel een statisch als een dynamisch karakter hebben. Statisch weerstandsvermogen is het vermogen om tegenvallers op te vangen zonder dat dit tot beleidswijzigingen in het begrotingsjaar zelf leidt. Dynamisch weerstandsvermogen is het vermogen om tegenvallers op te vangen zonder dat dit consequenties heeft voor het beleid in meerdere begrotingsjaren. Weerstandsvermogen bestaat uit beschikbare weerstandscapaciteit gedeeld door de benodigde weerstandscapaciteit.
Allereerst moet worden gesteld dat de wetgever geen absolute norm heeft gesteld. In de toelichting op artikel 11 van het BBV is aangegeven dat gemeenten zelf een beleidslijn en normering moeten bepalen. Als argumentatie wordt hiervoor gegeven dat het identificeren en ook manifesteren van risico’s dusdanig specifiek is per gemeente dat hiervoor geen algemene norm is te geven.
Beoordelingstabel weerstandsvermogen
Categorie Ratio weerstandsvermogen Betekenis
A > 2 Uitstekend
B 1,4 < X < 2 Ruim voldoende
C 1,0 < X < 1,4 Voldoende
D 0,8 < X < 1,0 Matig
E 0,6 < X < 0,8 Onvoldoende
F < 0,6 Ruim onvoldoende
Figuur 5.2: Financiële positie
Figuur 5.3: Weerstandsvermogen
Figuur 5.4: Beoordelingstabel weerstandsvermogen
75 Risicomanagement meer dan de som der delen
Door het Nederlands Adviesbureau voor Risicomanagement (NAR) is in een artikel in B&G6 een uitspraak gedaan over verschillende klassen van aan te houden weerstandsvermogen in relatie tot zich manifesterende risico’s. Hierbij is de volgende kwalificatie gegeven van de omvang van het weerstandsvermogen in relatie tot geïdentificeerde risico’s:
Gelet op het bovenstaande zou een weerstandsvermogen van 1,0 net als voldoende worden gekwalificeerd. Toch moet enige nuancering bij dit getal worden aangebracht. Op basis van het in het artikel gehanteerde uitgangspunt zou er sprake van zijn dat er voldoende weerstandsvermogen is > 1,0. Deze zienswijze lijkt conservatief. Immers, op basis hiervan zou voor elk risico tenminste meer dan het risico aan financiële middelen aanwezig moeten zijn. De inschatting van de huidige risico’s is gebaseerd op een inschatting van de risico’s bij het beoordelen van de toekomstige exploitatie, programma’s en projecten. Hierop zijn dus vaak nog diverse mogelijkheden tot bijsturing aanwezig. Immers, de risico’s zijn te beïnvloeden door het treffen van beheersmaatregelen of aanpassing van plan- en besluitvorming. Bovendien is het niet waarschijnlijk dat alle risico’s zich (tegelijk) zullen gaan manifesteren. Aan de andere kant zullen risico’s bestaan dan wel gaan ontstaan die op dit moment nog niet ingeschat zijn.
5.4 Risico’sRisico’s zijn te omschrijven als al die gebeurtenissen die het realiseren van de organisatiedoelstellingen in de weg staan: latent aanwezige, ongewenste implicaties van onzekerheid, zoals:
i. onzekerheid van getroffen object ii. onzekerheid van gebeurtenis (risicofactoren) iii. onzekerheid van aard en omvang gevolgen (schade)
Uitgangspunt hierbij is dat bekende risico’s veelal beheersbaar zijn en dat onbekende risico’s veelal onbeheersbaar zijn. Onbekende risico’s zijn vervolgens in te delen in vooraf onbekende risico’s en achteraf onbekende risico’s. Vooraf onbekende risico’s zijn die
risico’s die aan de voorkant buiten de risicoinventarisatie blijven. Dit betekent dat men het bestaan ervan kent (of tenminste vermoedt), maar deze niet of onvoldoende in beeld (c.q. gekwantificeerd) krijgt. Achteraf onbekende risico’s zijn die risico’s die buiten de risico-inventarisatie blijven, omdat ze onbekend zijn en zich onverwacht openbaren (men vermoedde het bestaan niet).
Risico’s zijn in te delen in verschillende groepen of velden. De meest voorkomende groepen risico’s voor gemeenten zijn:
• Operationeel:procedures,systemen• Imago/politiek/bestuurlijk:crisis,imago,vallen
college, aftreden wethouder• Markttechnisch:vraag,prijs,kwaliteit,conjunctuur• Juridisch:zorgplicht,aansprakelijkheid• Krediettechnisch:solvabiliteit,rentegevoeligheid• Menselijk:zorgeloosheid,‘gedogen’,fraude• Financieel:verliesfinanciëlemiddelen• Bedrijfsproces:onvolkomenhedeninproces,zoals
signalering risico’s• Informatie/strategie:eenduidigheidstrategie,
volledigheid en juistheid informatie• Product:continuïteitwerkzaamhedenof
aansprakelijkheid• Letsel/veiligheid:veiligheidmedewerkers• Milieu:bodemverontreiniging,luchtkwaliteiten
voortgang plannen
6 Een norm voor weerstandsvermogen – B&G
oktober 2006 – D. Smorenberg
Financiële positie
Sluitende begroting Weerstandsvermogen
Risico’s Weerstandscapaciteit
Figuur 5.5: Risico’s
76
5.5 WeerstandscapaciteitHet totaal aan risico’s bepaalt de benodigde weerstandscapaciteit. Dit is een optelsom van alle risico’s (kans x financieel gevolg). Ondersteuning van de berekening en bepaling van de benodigde weerstandscapaciteit kan bijvoorbeeld plaatsvinden door het simuleren van de risico’s (Monte Carlo-simulatie). Omdat niet alle risico’s in een jaar in hun maximale omvang optreden, gebruiken veel gemeenten een dergelijk simulatieprogramma. Dit programma rekent op basis van het risicoprofiel de benodigde weerstandscapaciteit uit.
De beschikbare weerstandscapaciteit van een organisatie wordt gedefinieerd als het geheel van middelen en mogelijkheden om niet begrote, onvoorziene en (mogelijk) substantiële kosten te dekken. De weerstandscapaciteit kan zowel incidenteel als structureel van aard zijn. Bij weerstandscapaciteit kan een onderscheid worden gemaakt in incidentele en structurele weerstandscapaciteit. Onder incidentele weerstandscapaciteit wordt het vermogen verstaan om calamiteiten en andere eenmalige tegenvallers op te vangen zonder dat dit invloed heeft op de voortzetting van het bestaande beleid. Structurele weerstandscapaciteit wordt gevormd door de middelen die permanent kunnen worden ingezet om (mogelijke) tegenvallers in de lopende exploitatie te dekken, zonder dat dit ten koste gaat van de uitvoering van programma’s. De volgende aspecten van de begroting kunnen tot de beschikbare weerstandscapaciteit behoren. Deze aspecten worden ook kort toegelicht.
1. Algemene reservesBinnen de reserves wordt onderscheid gemaakt naar de algemene reserve (artikel 43 BBV) de en bestemmingsreserve. De algemene reserve heeft een algemeen karakter en is vrij aanwendbaar . Voor het gebruik van deze algemene reserve is, zoals voor alle reserves, altijd een expliciet raadsbesluit vereist.
De algemene reserve vormt het vrij besteedbare eigen vermogen van de gemeente.
De algemene reserve heeft als belangrijkste functie het vormen van een buffer voor financiële tegenvallers en is per definitie niet geoormerkt of bestemd.
Het nieuw ‘Gemeenschappelijk Financieel Toezichtkader’ (GTK), genoemd ‘zichtbaar toezicht’, van februari 2008 van de provincie kent minder expliciete bepalingen dan het huidig (provinciaal) toezichtkader en stelt geen hoogte meer t.a.v. voluit schrijven de algemene reserve en geen norm meer m.b.t. voluit schrijven de post onvoorzien. Het nieuw GTK versterkt de rol van de gemeenteraad en daarbij past ‘een meer op afstand toezicht’ van de provincie .
Weerstandscapaciteit:• AlgemeneReserve• FlexibiliteitBegroting• PostOnvoorzien• Renteeigenfinancieringsmiddelen• Onbenuttebelastingcapaciteit• StilleReserves• MogelijkheidGrondexploitatie
Financiële positie
Sluitende begroting Weerstandsvermogen
Risico’s Weerstandscapaciteit
structureel incidenteel
Figuur 5.6: Weerstandscapaciteit
77 Risicomanagement meer dan de som der delen
Tekorten en overschotten op de jaarrekening komen in het algemeen ten laste respectievelijk ten gunste van de algemene reserve. De voorheen gehanteerde term ‘saldireserve’ is met het BBV opgegaan in de naamgeving ‘algemene reserve’. De noodzakelijke hoogte van de algemene reserve wordt mede bepaald aan de hand van het benodigde en de beschikbare weerstandscapaciteit van de gemeente. De provincie toetst formeel of de algemene reserve het gewenste niveau heeft. Bestemmingsreserves zijn in beginsel niet vrij aanwendbaar. De gemeenteraad heeft namelijk een concrete bestemming aan het bedrag gegeven. Zolang er geen concrete verplichtingen zijn aangegaan, kan de gemeenteraad de bestemming nog wijzigen en de bestemmingsreserve toevoegen aan de algemene reserve.
2. Post onvoorzienIn het BBV zijn regels opgenomen voor de ‘post onvoorzien’ in de begroting en de jaarrekening. Deze post is bedoeld als dekking voor lasten die niet in de begroting opgenomen zijn.
Volgens het BBV zijn gemeenten verplicht een ‘post onvoorzien’ op te nemen; de plaats waar dat moet gebeuren is ook voorgeschreven. De gemeenteraad kan in verordening 212 aanvullende regels hieromtrent formuleren. De gemeenteraad zou bijvoorbeeld kunnen bepalen dat de post onvoorzien alleen gebruikt mag worden voor eenmalige lasten en niet voor structurele lasten. Zo zou de post onvoorzien tot de weerstandscapaciteit kunnen worden gerekend. 3. Rente eigen financieringsmiddelenHiermee wordt rente over reserves en voorzieningen van de gemeente bedoeld, dat niet is geoormerkt en derhalve vrij aanwendbaar is. De rente wordt in de praktijk dus bijgeschreven bij de reserves en kan voor alternatieve doeleinden, dus ook voor het afdekken van risico’s, worden aangewend.
4. Onbenutte belastingcapaciteitHet verschil tussen de fictieve (toegestane) opbrengsten bij maximale heffings- en belastingtarieven en de begrote opbrengsten (op basis van feitelijke
belastingdruk) vormt de onbenutte belastingcapaciteit. Bij dreigende tekorten beschikt de gemeenteraad over mogelijkheden om deze onbenutte belastingcapaciteit in te zetten door de belastingdruk te verhogen.
5. Stille reservesDe waarde van de bezittingen van de gemeente is opgenomen in de balans. Deze waarde is veelal gebaseerd op de historische kostprijs: de oorspronkelijke aanschafwaarde minus afschrijvingen.In de praktijk kan de werkelijke waarde van bezittingen anders zijn. Als de werkelijke waarde lager is dan de boekwaarde moet de boekwaarde via een eenmalige afschrijving worden aangepast. De waarde kan ook hoger zijn. Dit komt bijvoorbeeld vaak voor bij onroerend goed (panden) en bij aandelen. Is de waarde hoger, dan mag de boekwaarde vaak niet worden aangepast. Het verschil tussen de werkelijke waarde en de boekwaarde is in een dergelijk geval een ‘stille reserve’. Deze stille reserve kan worden aangewend als weerstandscapaciteit en wordt in de begroting en de jaarrekening zichtbaar gemaakt in de paragraaf over het weerstandsvermogen.
6. Flexibiliteit begrotingOnder de Algemene Uitkering ligt een toedeling aan verschillende beleidsclusters. In de praktijk zijn de feitelijke uitgaven soms afwijkend ten opzichte van de toedeling vanuit de Algemene Uitkering. Als er (per saldo) sprake is van een ‘overschot’ in de Algemene Uitkering betekent dit dat er sprake kan zijn van een zekere ‘ruimte’ in de begroting. Deze ruimte kan worden aangemerkt als onderdeel van de weerstandscapaciteit.
7. Mogelijkheden grondexploitatie cum suisDe mogelijkheid tot het exploiteren van gronden, objecten en projecten binnen de gemeentegrenzen biedt de gemeente soms de mogelijkheid de verwachte winst in te zetten voor de weerstandscapaciteit. Veel gemeenten exploiteren grond commercieel, wat vaak leidt tot extra financiële speelruimte, maar vooral ook toegenomen weerstandscapaciteit.
Goed2
2
2
2
Neutraal3
3
3
Zwak4
4
4
4
Onvol-doende
5
5
5
Uitstekend1
1
1
1
Indicator
Flexibiliteit begrotingOnvoorzienIncidentele baten en lastenRente eigen financieringsmiddelenStille reserveAlgemene reserveBestemmingsreserveVoorzieningenDekkendheid tarievenGespaard voor onderhoudVervangingsinvesteringenHardheid investeringsplanningenResultaten grondexploitaties
78
Casuïstiek beoordeling financiële positie van een gemeenteIn figuur 5.7 is een voorbeeld opgenomen van een beoordelingsmethodiek van een aantal van de eerder genoemde elementen van de weerstandscapaciteit. Het kan gezien worden als een soort van scan omtrent inzicht en samenstelling van de financiële positie. In dit voorbeeld wordt een aantal aanvullende indicatoren genoemd, dat in feite een verdere verfijning van de hiervoor genoemde indicatoren geeft. In de tabel staan de kleuren voor de mate waarin de positie wordt beoordeeld (zie ook de toelichting voorafgaand aan figuur 5.7). De cijfers in de vakjes geven de scores nogmaals weer.
Wanneer deze indicatoren zijn gekwantificeerd en gekwalificeerd, ontstaat een inzichtelijk beeld van de financiële positie van de gemeente. Door de analyse en kwalificatie van deze indicatoren jaarlijks consistent te actualiseren ontstaat over een langere periode een overzicht van de ontwikkeling van de financiële positie van de gemeente. De verschillende indicatoren moeten wel in onderlinge samenhang worden beoordeeld, ze staan immers niet los van elkaar. Een ‘dashboard’ (zie figuur 5.7) kan hierbij helpen. Een indicator krijgt dan bijvoorbeeld de kwalificatie uitstekend (blauw), goed (groen), neutraal, (wit), zwak (oranje) of onvoldoende (rood). Het voorbeelddashboard in de onderstaande figuur laat zien welke indicatoren aandacht vereisen, waar sturing mogelijk of wenselijk is en waarover duidelijke beleidsuitspraken noodzakelijk zijn.
Figuur 5.7: Dashboard beoordeling financiële positie
79 Risicomanagement meer dan de som der delen
80
81 Risicomanagement meer dan de som der delen
6. Valkuilen uit de praktijk
In de voorgaande hoofdstukken is vanuit verschillende invalshoeken beschreven hoe risicomanagement vorm kan krijgen binnen een gemeentelijke organisatie. Het goed opzetten van risicomanagement is één, maar de uitvoering in de praktijk is (helaas al te vaak) iets anders. In dit hoofdstuk wordt een aantal valkuilen beschreven. Dit hoofdstuk is niet uitputtend, maar schetst een aantal vaak voorkomende valkuilen.
6.1 De objectiviteit van het risicomanagement instrumentariumZoals uit de voorgaande hoofdstukken is gebleken, dient bij het bepalen van het risicoprofiel – en daarvan afgeleid het risicomanagementraamwerk – na een inventarisatie van de risico’s ook een bepaling te worden gegeven van kans en impact. Kan de score op deze beide velden objectief worden vastgesteld? In de praktijk doen zich zeer eenvoudig meetproblemen voor. Veel risico’s en hun effecten (denk bijvoorbeeld aan imagoschade, politieke gevoeligheid, bestuurlijke impact) laten zich in veel gevallen niet gemakkelijk meten. En als het gaat om de invloed die het gemeentelijk handelen hierop heeft gehad, wordt het helemaal ingewikkeld. Andere risico’s laten zich daarentegen zeer goed uitdrukken in kwantitatieve elementen. Maar dan is de vraag of er een juiste weging aan wordt gegeven? Ten slotte: op welke gronden en met welke belangen wordt een bepaalde weging (en daarmee omvang en impact van een risico) gegeven? Hoe behapbaar is risicomanagement uiteindelijk voor een risicomanager, als in principe voor alle onderdelen van een gemeente risico’s in kaart dienen te worden gebracht?
Vaak wordt volstaan met het voortbouwen op de inventarisaties en indicaties uit de verschillende diensten op globaal niveau en aangeleverd vanuit de diensten en afdelingen zelf. Hierbij wordt in beperkte mate getoetst op volledigheid, juistheid en integriteit. Dit is ook lastig te realiseren, gezien de omvang van inventarisaties. Zeker in het geval dat er binnen de organisatie op verschillende niveaus en bij verschillende diensten afwijkende beelden over de invulling van risicomanagement en de interpretatie van risico’s bestaan. Het is dan ook van groot belang dat risicomanagement (en specifiek de invulling en het begrip ervan) breed en diep in de organisatie wordt verankerd. Methoden om dit te realiseren zijn onder meer training, workshops en in het begin gezamenlijk invullen van risicografieken. Een valkuil is met name dat het instrumentarium als volledig objectief wordt beschouwd, terwijl onmiskenbaar schakels in het risicomanagementproces zitten die in meer of mindere mate als subjectief te bestempelen zijn. Uiteindelijk kan gewerkt worden met verschillende scenario’s. Het feit dat je een risico niet exact kan kwantificeren, is niet erg als het maar in beeld is en er dus bewustzijn is waardoor maatregelen getroffen kunnen worden. Het getal is dus niet zaligmakend.
82
6.2 De keuze van objecten van risicomanagementIn hoeverre sprake is van objectiviteit en subjectiviteit wordt ook beïnvloed door de mate waarin duidelijk is naar welke onderwerpen de aandacht uit gaat (of uit dient te gaan) en op welke wijze naar een onderwerp wordt gekeken. Vaak is in het kader van risicomanagement wel duidelijk op welke hoofdthema’s moet worden ingezoomd. Echter, de detaillering en accentuering in de onderliggende onderwerpen is niet altijd helder en eenduidig. Het is daarom verstandig op voorhand te bepalen op welke onderwerpen en met accentuering moet worden geïnventariseerd. Hierbij geldt eigenlijk hetzelfde als voor het bepalen van de doelstellingen van risicomanagement: leg de lat niet te hoog en kies accenten die passen bij de volwassenheid van de organisatie.
Figuur 6.1
aandachtspunten voor risicomanagement bij de
verschillende mogelijke aandachtsgebieden
Externe risico’s
1. Leiderschap & cultuur
- Burger tevredenheid- Relatie met belang- hebbenden- Technologische innovatie- Afhankelijkheid van derden
- Leiderschapsstijl- Organisatiestructuur- Waarden en normen
- Bevoegdheden en verantwoordelijkheden- Vermogen tot veranderen
- Privatisering- Nieuwe wet- en regelgeving- Politiek signatuur en structuur - Rijksoverheid
- Politiek signatuur en structuur lokale - overheid- Conflicterend overheidsbeleid- Rampzalig verlies
- Managementfraude- Communicatie- Management informatie
3. Medewerkers
- Vermogen tot veranderen- Integriteit- Reputatie- Veiligheid medewerkers- Gezonde medewerkers- Welzijn medewerkers- Arbeidsvoorwaarden- Werknemersfraude- Kwantiteit personeel medewerkers- Arbeidsomstandigheden- Productiviteit- Motivatie
5. Processen
- Efficiency- Uitbesteding- Projectmanagement- Product/dienstenkwaliteit- Doelmatigheid- Productiecapaciteit- Interne communicatie & samenwerking
- Klant/burgercommunicatie- Milieu- Grondstoffen- Logistieke kanalen- Privacy- Samenwerking- Naleving wet- en regelgeving
- Imago- Productontwikkeling- Kennisdeling- Tevredenheid burger- Rolconflict- Fraudegevoeligheid
2. Strategie & Beleid
- Beleidsvorming- Beleidsformulering- Beleidshaalbaarheid- Beleidsontwikkeling- Verantwoordings- rapportages- Prestatie-indicatoren- Strategische planning- Managementrapportage- Toezicht op beleidsuitvoering- Aansluiting - Budgettering/begroting- Beleidsdocumenten- Omgeving- Meten(strategisch)- Investeringen- Prijs producten- Inschattingen- Bedrijfsportfolio
4. Middelen
FINANCIEEL- Contractering- Apparaatkosten Terugvordering subsidies- Kredietrisico- Koersrisico- Liquiditeitrisico- Renterisico- Financiële instrumenten- Onderpand
ICT- Beschikbaarheid- Aansluiting infrastructuur ketenpertners- Effectiviteit- Tijdigheid- Integriteit- Betrouwbaarheid- Relevantie- Toegang
TECHNISCH- Inzet- Gebruik- Veiligheid- Levensduur- Onderhoud
83 Risicomanagement meer dan de som der delen
6.3 Mate van detailleringAls iets lastig is bij het invullen van risicomanagement in een organisatie dan is dat het bepalen van de mate van detaillering. De keuze op welk niveau en met welke detaillering risico’s in kaart moeten worden gebracht, is lastig. Er bestaan verschillende inzichten op verschillende niveaus in de organisaties. Er bestaan voorbeelden van risicokaarten waar gemeenten vele honderden risico’s hebben benoemd, met allemaal ten minste twee maatregelen en bijbehorende verantwoordelijken. Bij een dergelijke invulling van risicomanagement bestaat het risico van micromanagement en onbeheersbaarheid. Het is dan ook van groot belang dat het niveau en de detaillering helder zijn en dat de inventarisatie wordt begrensd, zodat uiteindelijk een beheersbaar raamwerk ontstaat en de aandacht uit kan gaan naar de belangrijkste risico’s. Het bepalen van een ondergrens (omvang, impact en hoogte van de risico’s) en het uitwerken van de risico’s met een bepaald profiel (kans en impact) geniet hierbij de voorkeur.
“Rampen- en crisisbeheersing vormen een belangrijk taakveld van onze regio. In dat taakveld gaat het in het primaire proces ook over risicomanagement. Daarbij leer je dat een incident zich altijd anders voordoet dan gedacht, maar je moet wel je draaiboek klaar hebben liggen en veel oefenen.” Erik-Jan van Genderen, Regio Zuid-Holland Zuid
6.4 Het feitelijk doenEen overduidelijke valkuil is dat risicomanagement een ‘speeltje van Financiën’ wordt. Centraal wordt veel tijd en energie gestoken in een prachtig sluitend risicomanagementraamwerk, maar de rest van de organisatie is totaal niet aangehaakt. Dit leidt ertoe dat bij de periodieke inventarisaties door de organisatie (min of meer) gewillig wordt meegewerkt en mooie diagnoses worden gesteld. Wanneer het aankomt op het formuleren van acties, het specifiek aanwijzen van verantwoordelijken en het navolgen van beheersmaatregelen geeft men niet thuis. Te vaak blijft men steken op prachtige lijstjes met risicokaarten, risicoplannen en risicomanagementprocessen, zonder dat het feitelijk landt in de organisatie.
Een praktische handreiking is om stapsgewijs te beginnen: start bijvoorbeeld met één programma, één proces of één project en voer daar risicomanagement in. Bewijs nut en noodzaak in de praktijk en kom zo tot een steeds bredere invoering.
6.5 Andere vaak voorkomende valkuilen en succesfactorenNaast de genoemde valkuilen in de voorgaande paragrafen zijn er verschillende valkuilen, waar veel organisaties mee te maken krijgen bij de invoering (en ook uitvoering) van risicomanagement. In het onderstaande overzicht is een aantal belangrijke overige valkuilen in de praktijk op een rij gezet:• Tegrootmaken:hetapartorganiserenvan
risicomanagement en niet of onvoldoende integreren van risicomanagement in de bestaande P&C-cyclus. Het profileren van risicomanagement als iets extra’s (‘extra ballast’)
• Verkeerdepositionering:risicomanagementals toezichtfunctie in plaats van beheerfunctie positioneren.
• Teweinigcommuniceren:onvoldoendeen/ofslechts eenmalige interne communicatie over de achtergronden, betekenis en doelstellingen van integraal risicomanagement.
• Bijéénpersoonbeleggen:risico’swordenoverhethoofd gezien of juist benoemd terwijl dit achteraf helemaal geen risico’s blijken te zijn. De kans hierop is groter als het risicomanagement als taak bij één persoon is belegd.
• Standaardchecklists:diezijnbijrisicomanagement
84
niet meer dan een inspiratiebron. Het is onwaarschijnlijk dat deze standaardrisico’s precies van toepassing zijn op uw organisatie.
• Nadrukophardeaspecten:teveelnadrukopinstrumentele en technologische aspecten van risicomanagement met veronachtzaming van de zeker zo belangrijke culturele en gedragsaspecten daarvan.
• Bagatelliseren:‘Hetvaltwelmee’.Hetisdekunstrisico’s tot reële proporties terug te brengen.
• Het-ligt-nooit-aan-mij-syndroom:risico’srakensoms gevoelige onderwerpen, het is de kunst dit bespreekbaar te maken.
• Aanwijzenschuldigen:risicomanagementwordtgebruikt en men wijst ‘schuldigen’ aan, in plaats van te zoeken van naar oorzaken en te leren.
• Teweinigtijd:inhetmeestgunstigegevalloopteenprojectleider aan het begin van zijn project een lijst met mogelijke risico’s af en vergeet die vervolgens door zijn dagelijkse beslommeringen.
• Verslappingvanaandacht:verslappingvanaandacht na uitvoering risicoanalyses. De grootste winst van risicomanagement wordt namelijk pas gerealiseerd door de daaropvolgend te bedenken en te implementeren verbeteringen van de beheersing van sturings-, beheers- en operationele-processen. Daarvoor is (zelf-) discipline en een lange aandachtscurve vereist.
• Teambitieuzedoelstellingenwaardoorbasisprincipesvan risicomanagement onvoldoende gelegenheid krijgen te beklijven.
• Misbruikvantransparantie:hetdoorhetmanagement misbruiken van de als gevolg van risicomanagement verhoogde transparantie van de interne organisatie voor directere bemoeienis met operaties en het aanwijzen van ‘schuldigen’. Dit in tegenstelling tot het zoeken van oorzaken en oplossingen- voor eventuele nieuwe knelpunten die daardoor zichtbaar worden.
• Het‘silo-denken’:demeesteorganisatieskennen tenminste tien verschillende risicomanagementfuncties die goeddeels onafhankelijk van elkaar opereren.
• Tebeperktecapaciteit:eeninverhoudingtothetambitieniveau onvoldoende inzet van met name personele capaciteit.
De factoren die een positief effect hebben op de succesvolle implementatie van integraal risicomanagement zijn:• Krachtigeenzichtbareondersteuningvanuit
het (top-)management van de organisatie. Dit onder andere door op een gedisciplineerde en betrokken wijze invulling te geven aan de eigen taken en verantwoordelijkheden binnen het risicomanagementsysteem en ook anderen, zowel collectief als persoonlijk, aan te spreken op die van hen.
• Snelleontwikkelingvaneengemeenschappelijketaalen referentiekader voor integraal risicomanagement.
• Aanstellenvaneen‘internerisicokampioen’met voldoende kaliber en enthousiasme die het implementatieproces kan helpen aanjagen en inhoudelijk kan ondersteunen.
• Nadrukopvoordelenvanrisicomanagementvooralrichten op het eigen functioneren van lijnmanagers en hun medewerkers.
• Bijdrageophetgebiedvanrisicomanagementexpliciet betrekken in de beoordeling en beloning van medewerkers.
• Hechteintegratievanrisicomanagementinzowelsturings- en beheers- als operationele processen. Daarbij risicomanagement positioneren als een versterking daarvan, in plaats van als een toevoeging daaraan. Risicomanagement moet als het ware in die processen ‘ingeschroefd’ en niet ‘opgeschroefd’ worden.
• Hetzoveelmogelijk‘importeren’vankennisenervaringen van andere organisaties met integraal risicomanagement.
• Eenop‘evolutie’inplaatsvaneenop‘revolutie’gericht implementatieproces waarbij (vroege) successen daarmee intern steeds breed de aandacht krijgen.
85 Risicomanagement meer dan de som der delen
86
87 Risicomanagement meer dan de som der delen
In het proces van totstandkoming van dit handboek is bij een aantal gemeenten een casus uitgewerkt, waarin aan de hand van een praktijkvoorbeeld risicomanagement is getoetst. Dit heeft geleid tot een diversiteit aan voorbeelden. In dit hoofdstuk worden deze voorbeelden nader toegelicht: welke onderwerpen kennen een hoog risico, en waaruit bestaat dat risico. Per casus is ook een aantal handreikingen tot verbetering opgenomen.
7.1 Risicomanagement en Shared ServicesEen organisatie staat in een proces van deelnemen aan een Shared Service Center (SSC) met meerdere gemeenten. Deze organisatie staat voor de uitdaging om de invoeging in het SSC zo goed mogelijk vorm te geven. Met name het vormgeven van de relatie, de governance daarop en het managen van risico’s bleken grote vraagstukken. De volgende lessen bleken van belang: • Creëereeneenduidigezetvantaken,
verantwoordelijkheden en bevoegdheden, ook in het licht van risicobeheersing.
• Zorgvooreen‘logischevolgordederdingen’inhetproces: niet eerst plaatsen en dan pas nadenken over taakafbakening en strategie
• BesteedaandachtaanalleaspectenvanhetSSC: systemen, mensen, processen, sturing en beheersing, financiën, etc. en benader deze aspecten integraal
• Bepaalalsorganisatiewelkebalansjenastreefttussen kwaliteit, efficiency en wendbaarheid bij toetreding tot het SSC en zorg dat deze balans geborgd is in het SSC (afspraken)
• Zorgdatdebekende‘faalfactoren’inhetSSC-proceszijn afgedekt
• Creëermogelijkhedenomintegrijpeninhetprocesals aan de randvoorwaarden niet wordt voldaan.
• BewaakdatinhetontwerpvanhetSSCrechtwordtde gedaan aan de specifieke kenmerken van de werkzaamheden van de eigen organisatie: u moet erop vooruit gaan
• Er zijn geen shortcuts: neem de tijd!
Een specifiek element dat van belang is in het kader van risicomanagement bij Shared Services is het inrichten van de contractrelatie. Hiermee worden afspraken concreet en meetbaar en kan ook expliciet worden gemaakt wie waarvoor verantwoordelijk
is. Dit resulteert vervolgens in een basis voor het bepalen van risico’s en de mate waarin een organisatie verantwoordelijk is voor bepaalde risico’s. Het inrichten van de contractrelatie kent een aantal specifieke aandachtspunten:• Eigenaarschapen‘klantschap’:deeigenaar
heeft een andere invalshoek (continuïteit) dan de klant (prijs/kwaliteit). Onze ervaring is dat door het scheiden van beide rollen de prikkel voor doelmatigheid zuiver kan worden ingevuld, waarbij de klant zich vooral richt op een zo goed mogelijke kwaliteit tegen een zo laag mogelijke prijs en de eigenaar aandacht besteedt aan een gezond portfolio van het SSC en een positief resultaat en vermogen.
• MonopolieSSC:deprikkeltotdoelmatigheidwordtnegatief beïnvloed op het moment dat de klant geen alternatief heeft. Het alternatief voor de klant kan bestaan uit het zelf doen of de mogelijkheid een ander (eventueel extern) SSC te kiezen. Gedwongen winkelnering wordt overigens ook vanuit het SSC als een last ervaren. Doordat de klant geen mogelijkheid heeft om te kiezen, kan het gevoel ontstaan dat het buiten beter is.
• Opzettenservicelevelmanagement:hetopzettenvan een SSC vraagt ook veel van de klantorganisatie. Zij moet haar opdrachtgeverrol professioneel invulling geven. Is hiervan geen sprake, dan is de kans aanwezig dat het SSC zelf kan bepalen wat het doet zonder dat het daarop wordt aangesproken.
• Vertrouwelijkheidenbetrouwbaarheidvangegevens: het gebruik van een SSC vraagt ook om een sterke vertrouwensbasis. De klant moet erop kunnen vertrouwen dat zijn gegevens nergens anders terechtkomen.
• AccountfunctieSSC:ookbijhetSSCishetopzettenvan een goede en professionele accountfunctie een kritieke succesfactor. Heldere afspraken over rapportages en eventueel hoe wordt omgegaan met het niet nakomen van gemaakte afspraken (bijvoorbeeld kortingen op tarieven) zorgen voor een zakelijke cultuur.
• ProductenSSC:welkeproductenhetSSCvoert.Zijn dit operationele uitvoerende taken of houdt het SSC zich ook bezig met bijvoorbeeld het toetsen van de naleving van het beleid? Het risico van belangenverstrengeling is daarbij aanwezig (bijvoorbeeld het controleren of beleidsrichtlijnen
7. Risicomanagement in de praktijk: casuïstiek
88
goed worden nageleefd). Het is van cruciaal belang dit vooraf helder te hebben en ook met de opdrachtgever af te stemmen.
Figuur 7.1: Inrichten contractrelatie SSC
Geschattevolumes
Prestatieincl.
Prestatie -Afspraken
Prestatie -verantwoor-
ding
Benchmark
PDCPrijzenKostenVastgesteld
SLA
PerformanceManagement
overleg
Overeen-stemmingte leverendiensten
DienstenActiviteiten
PDC doelenFinanciëlerapportage
Verevening
Vraagplanning& overleg
0. Prijsstelling
Kom tot een Product/Dienst Catalogus..
..die een zinvolle afstemming enplanning van SLA’s mogelijk maakt..
..dat weer een basis vormt voorPrestatiemeting en verbetering
1. Vraagbeheersing 2. SLA Management3. Service Performance
Management & Rapportage4. Verevening
7.2 Risicomanagement en WSWIn het licht van veranderende wet- en regelgeving (nieuwe WSW met ingang van 2008), teruglopende resultaten van het SW-bedrijf en een aanscherping van het risicomanagement, heeft een gemeente het risicomanagement rond de WSW eens kritisch tegen het licht gehouden. Hierbij is aandacht besteed aan de risico’s die te signaleren zijn, maar tevens aan de te ondernemen acties om deze risico’s af te dekken. Dit heeft geresulteerd in de volgende inzichten:
89 Risicomanagement meer dan de som der delen
Een risicoprofiel: risico, kans, impact, effect, maatregel en verantwoordelijke per risico
Thema
Organisatie &
processen
Mensen &
cultuur
Instrumen-
tarium & P&C
Risico-
kwantificering &
financiën
Risico’s
• Taken,Verantwoordelijk-
heden en Bevoegdheden
op onderdelen onhelder
(Dubbele petten, rollen,
etc.)
• Marktopereren
• Efficiëntiebetrokken
organisaties niet in beeld
• Stroomlijningprocessen
• Vrijheidversusgebon-
denheid
• Sterkautonoomdenken
WSW organisatie
• Beperktgevoelvanbinding
vanuit gemeenten met
uitvoering
• Doelstellingenenprestaties
onvoldoende vastgelegd
(prestatiesturing)
• Transparantie(tussentijds
en meerjarig inzicht)
• Financieringsrelatie
(gemeenten draaien op
voor verliezen)
• Onvoldoenderisico-
raamwerk
• Beperktinzichtinmeerjarig
perspectief
Kans
5
5
3
5
4
4
2
5
3
3
4
3
Impact
1
4
2
2
2
3
3
3
4
5
4
4
Effect
• Sturingopuitvoering
beperkt mogelijk
• Geeninvloedop
marktopereren
maar wel financiële
verantwoordelijkheid
• Inefficiëntiesinde
betrokken organisaties zijn
van invloed op de kosten
• Proceseigenarenbeperktte
identificeren en daarmee is
verantwoordelijkheid lastig
te benoemen
• Disbalansonafhankelijkheid
BV en gebondenheid aan
gemeenten
• Teweinigtransparantie
en daarmee
sturingsmogelijkheden van
gemeenten
• TegrotevrijheidvanSW
bedrijf in uitvoering met alle
risico’s van dien
• Stuurbaarheidbeperkten
tijdig signaleren van risico’s
daardoor lastig
• Financiëlerisico’s
• Incombinatiemet
autonomie en beperkte
transparantie risico van
grote verliezen
• Risico’snietinbeeld(zeker
niet financieel)
• Financiëlesturingzeer
beperkt mogelijk
Maatregelen
• Functiescheidingdoorvoeren
• HetbestuurvandeWSW-organisatie‘dualistisch’inrichten:
RvT bestaat uit andere mensen dan het DB, RvB of directie
• Opambtelijkniveauaangevenenvastleggenwiede
rapportages beoordeelt en wie de rapportages voor de
gemeenteraad opstelt
• Benodigdecompetentieprofielenencapaciteitvastleggen
voor een goede beoordeling en sturing vanuit de gemeente
(het accent ligt hierbij op de gemeente)
• Afsprakenmakenoverwie,wanneertussentijdsesturing
mag uitvoeren (en hoe dit mag gebeuren) vastleggen in een
contract
• Afsprakenmakenoverderealisatievandoelstellingen,
prestaties en financiële randvoorwaarden (ook in relatie tot
marktopereren)
• Invullingtaken,verantwoordelijkhedenenbevoegdheden
goed vastleggen
• Mandatentevensgoedvastleggen
• Maximalezittingstermijnencompetentieprofielenvoor
toezichthouders vaststellen
• PeriodiekeevaluatiefunctionerenWSW-organisatiedoor
college en raad en rekenkamer
• Ontwikkelensterkeeneenduidigevisieopinvulling
uitvoering WSW
• Meerenstructurelereafsprakenmakenrondtussentijdse
informatievoorziening – frequentie en inhoud – en deze
vastleggen in een contract
• Naastfinanciëleinformatieookaandachtbesteden
aan informatie over kengetallen met betrekking tot
doelstellingen en prestaties
• Benchmarkopkengetallenuitvoeren
• Periodiekdekwaliteitvandiensten,organisatieen
kostenniveau laten toetsen
• Periodiekecontrolevanderekenkamerop
beleidseffectiviteit en doelmatigheid.
• RapportagesinbeddenindereguliereP&C-cyclus
• Gemeenteraadformatlatenvaststellenvoortussentijdse
informatievoorziening
• WSW-organisatiejaarlijkseenrisicoinventarisatielaten
opstellen
• WSW-organisatierapporteertjaarlijksopwelkewijze
risicomanagement in de eigen organisatie is ingebed en
wordt toegepast
90
Maatregelen 0 – 6 mnd 6 – 12 mnd 12 mnd en verder
Functiescheiding doorvoerenHet bestuur van de WSW-organisatie ‘dualistisch’ inrichten: RvT bestaat uit andere mensen dan het DB, RvB of directie•Opambtelijknievauaangevenenvastleggenwiederapportagesbeoordeeltenwiederapportages
voor de gemeenteraad opstelt•Benodigdecompetentieprofielenencapaciteitvastleggenvooreengoedebeoordelingensturing
vanuit de gemeente•Afsprakenmakenoverwie,wanneerenhoetussentijdsesturingmagplaatsvindenvastleggenin
een contract•Afsprakenmakenmetbetrekkingtotderealisatievandoelstellingen,prestatiesenfinanciële
randvoorwaarden (ook in relatie tot marktopereren)
X
XXXX
XX
X
XX
•Invullingtaken,verantwoordelijkhedenenbevoegdhedengoedvastleggen•Mandatentevensgoedvastleggen•Maximalezittingstermijnencompetentieprofielenvoortoezichthoudersvaststellen•PeriodiekeevaluatiefunctionerenWSW-organisatiedoorcollegeenraadenrekenkamer•OntwikkelensterkeeneenduidigevisieopinvullinguitvoeringWSW
X
X
XXXXX
XX
X
•Afsprakenmakenrondtussentijdseinformatievoorziening–frequentieeninhoud–endezevastleggen in een contract
•Naastfinanciëleinformatieookaandachtbestedenaaninformatieoverkengetallenmetbetrekkingtot doelstellingen en prestaties
•Benchmarkopkengetallenuitvoeren•Periodiekdekwaliteitvandiensten,organisatieenkostenniveaulatentoetsen•Periodiekecontrolevanderekenkameropbeleidseffectiviteitendoelmatigheid.•RapportagesinbeddenindereguliereP&C-cyclus•Gemeenteraadformatlatenvaststellenvoortussentijdseinformatievoorziening
X XX
XX
XXX
•WSW-organisatiejaarlijkseenrisicoinventarisatielatenopstellen•WSW-organisatierapporteertjaarlijksopwelkewijzerisicomanagementindeeigenorganisatieis
ingebed en wordt toegepast
XX
XX
Impa
ct
Kans1
1
5
Transparantie &Meerjarig perspectief
5
EfficiëntieSW
bedrijf
Autonomie
TVB
Processen
Risicoraamwerk Prestatiesturing
MarktoperenSW-bedrijf
Financierings-relatie
Gedwongen winkelnering
Bindingvanuit
gemeenten
Figuur 7.2: Een grafisch risicoprofiel
Een plan tot verbetering: wat moet de gemeente wanneer doen om het risicomanagement op dit terrein te verbeteren?
91 Risicomanagement meer dan de som der delen
7.3 Risicomanagement en grote projecten
7.3.1 Huis van cultuurEen gemeente heeft in het licht van stedelijke ontwikkeling het initiatief genomen tot het opzetten van een Huis van Cultuur, waarin muziekschool, theater, filmhuis en bibliotheek worden ondergebracht. Het project is politiek-bestuurlijk een beladen project: het is centraal gelegen, er is een aantal belangrijke voorzieningen betrokken, het betreft een fors investeringsbedrag en als het project slaagt is er tevens sprake van een grote uitstraling naar de regio. Gezien het belang is er relatief veel aandacht besteed aan risico’s (financieel en bestuurlijk) en onderzoek. De gemeente heeft verzocht het risicomanagement rond het project te inventariseren en te bezien of hierbij leerpunten zijn te formuleren die eventueel hun uitwerking kunnen hebben op de rest van de organisatie. Deze inventarisatie heeft geleid tot een aantal generieke aandachtspunten, maar tevens geleid tot specifieke handreikingen voor het project zelf.• Generiekeaandachtspuntenenrisico’s:• Behoudvankennisenexpertiseineigenhuis• Procesdefinitieenfunctiescheidinginhetproject(in
beperkte mate)• Kwaliteitvanmedewerkersmoeilijkteborgen• Risicoattitudeincultuurenaanspreekgedrag• Controleenbijsturingophetprojectonvoldoende
formeel geborgd• Ontbrekenformeelrisicomanagementraamwerk• Borgenprojectmatigwerkeninorganisatie• Ontbrekengesystematiseerderisicokwanticeringen
geformuleerde maatregelen
Voor het project zelf zijn de volgende risico’s geïdentificeerd:• Continuïteit:bezettinginhetprojectkenteenuiterst
hoog verloop• Bestuurlijkdraagvlakeneenduidigheidin
‘ownership’• Devierbetrokkenpartijenopéénlijnkrijgenen
houden vormt een continue uitdaging (en daarmee een afbreukrisico)
• Borgingkennisenervaringenproject
De genoemde risico’s zijn tevens in een grafisch risicoprofiel opgenomen, zie figuur 7.3:
Impa
ct
Kans1
1
5
Bestuurlijkdraagvlak
5
Risico-attitude
& aanspreek-gedrag
Meerderepartjen
Procesdefinitie& functiescheiding
Projectwerken
Risicoraamwerk
Controle ensturing
Borging kennis
Continuïteitbezetting
Kwaliteitmedewerkers
Risico-kwantificering
Figuur 7.3: Een grafisch risicoprofiel
92
7.3.2 Governance en inrichten risicomanagementproces op grote projectenEen gemeente is bezig met risicomanagement door het vastleggen van helder beleid, verdeling van taken en verantwoordelijkheden, training van medewerkers en ondersteuning door middel van een risicomanagementinformatiesysteem. Met name het risicomanagement rond projecten verdiende extra aandacht. Het project moet leiden tot directe invoering van risicoanalyses op strategische projecten en trajecten. Door het uitvoeren van een analyse zijn de volgende bevindingen gedaan:
1. Inhoudelijk - inzicht in projectrisico’s onvoldoende - regierol subsidies ontbreekt - geen totaalbeeld risico’s WMO
2. Cultuur - geen eenduidig begrippenkader - angst voor communicatie over risico’s - politieke gevoeligheid
3. Proces - (eerder) betrekken portefeuillehouder - vooraf investeren in kennis - politieke actualiteit - beter plannen
Dit heeft geresulteerd in een verdere verfijning van het risicomanagementproces, met specifieke aandacht voor projectrisico’s door het ondernemen van de volgende acties:• Opstellenbeleidsplan• Trainingworkshops/cursussen• Procesintegraalrisicomanagementuitrollen• Risicoanalysesopthema’s• Verzekeringsanalyseenprofessionaliserenbeheer• Communicatieverbredenenintensiveren
7.4 Risicomanagement en loonsombeheersingBij een gemeente was sprake van een tweevoudige loonsomproblematiek: 1. jaarlijks wordt het loonsombudget overschreden en2. jaarlijks wordt de geraamde dekking van loonkosten in projecten (kredieten) niet gerealiseerd.De gemeente heeft vervolgens vier maatregelen getroffen om te komen tot beheersing van de loonsombudgetten:
1. Uitgangspositie is vastgesteld (loonsombudgetten per afdeling, bijpassende formatieplannen en omzettaakstellingen op kredieten).
2. Managementinformatie wordt maandelijks geleverd (formatie- en bezettingsoverzicht, overzicht inhuur derden, overzicht omzettaakstelling. Zie figuur 7.4 voor een voorbeeld).
3. Verantwoordingsgesprekken worden maandelijks gehouden tussen directeur en afdelingshoofd, in aanwezigheid van de concerncontroller (met aandacht voor de loonsom);
4. Verbijzonderde interne controle uitgevoerd door de concerncontroller ter toetsing van het werkelijkheidsgehalte van de managementinformatie.
De genoemde maatregelen hebben een goede uitwerking gekend. In het kader van risicomanagement heeft dit een extra sturingsinstrument opgeleverd. Hierbij is een aantal belangrijke succesfactoren te benoemen:• Bindendestructuur:Erisbijhetaanpakkenvande
loonsomproblematiek gekozen voor een breuk met het verleden. Bewust heeft de gemeente gekozen voor een bindende structuur van verantwoording. Zo zijn er maandelijks verantwoordingsgesprekken voor de integraal managers met directeur en concerncontroller en wordt ook maandelijks een actueel overzicht opgesteld van de budgetuitputting op de loonsom.
• Taken,verantwoordelijkhedenenbevoegdheden:In de aanpak van de loonsomproblematiek is tevens expliciet benoemd en vastgelegd wie nu eigenlijk waarvoor verantwoordelijk is. In het verleden ‘leunden’ integraal managers wel eens op financiën. De nieuwe benadering stelt de rol van de integraal managers, maar ook de rol van het concern scherp. Hier wordt ook actief op gestuurd.
• Uniformiteit:Deinformatievoorzieningissterkergeüniformeerd en tevens in overleg met de integraal managers vastgesteld. Uiteraard is niet iedereen volledig tevreden met de informatievoorziening, maar de uniformiteit maakt sturing eenvoudiger. Hierbij speelt voor veel integraal managers ook dat zij sterk vertrouwen op de kwaliteiten van de financieel consulenten. De financieel consulenten worden vanuit concern zo goed mogelijk gefaciliteerd.
budget bezetting prognose
vacature ruimte
open gestelde
vacatures
inhuur ten laste van loonsom
loonsom ruimte per
afdeling
resul taat omzet
resultaat tlv
jaarrek
a b c= a-b d e f= c-d-e g h=f-g
afdeling
directie 213.000 101.565 111.435 33.900 82.840 -5.305 0 -5.305
bestuur en strategie 1.980.343 1.943.563 36.780 54.723 157.873 -175.816 80.000 -95.816
fysieke ontwikkeling 2.545.547 2.316.267 229.280 9.100 111.616 108.565 -200.000 -91.436
maatschappelijke ontwikkeling 947.943 925.345 22.598 20.700 1.898 -40.000 -38.102
A FORMATIE EN BEZETTING 200X peildatum 1 juli 200X
93 Risicomanagement meer dan de som der delen
• ‘Ombuigen’vanweerstand:doordeheldere,maarook strakke lijn die de gemeente heeft gekozen in de aanpak van het loonsomvraagstuk is in eerste instantie de nodige weerstand ontstaan. Wat bij het ‘ombuigen’ van deze weerstand heeft geholpen is: - het bestuurlijk draagvlak- de rol van de directie: eendrachtig en ferm- volhouden
• Relatiemetconcerncontrol:eenanderebelangrijkerandvoorwaarde voor een succesvolle aanpak van de loonsomproblematiek is gebleken dat de integraal managers en concerncontrol beide hebben geïnvesteerd in een goede verstandhouding met elkaar. Hierdoor ontstaat een constructieve sfeer en houding. Dit komt uiteindelijk het resultaat (beheersing van de loonsombudgetten) ten goede.
• ‘Partnersincrime’:Inhetverledenisvaakbijhetaanpakken van budgetteringsvraagstukken een ‘wij/zij’-cultuur ontstaan. In de aanpak van de loonsomproblematiek heeft de gemeente (en met name concerncontrol) veel energie gestoken in het transparant maken van het vraagstuk en daarmee het probleem ook een gedeeld probleem te maken (en dus niet alleen een probleem van concerncontrol). Dit heeft zeer goed uitgewerkt.
• Instrumentarium:voordeloonsombeheersingiseen handzaam instrumentarium ontwikkeld, dat maandelijks wordt geleverd aan integraal managers om op te sturen en over te verantwoorden. Dit instrumentarium koppelt een aantal essentiële
elementen in het loonsomvraagstuk:- Formatie (begroot) inclusief, budget- Inhuur- Feitelijke formatieve bezetting - Vacatures- Omzet (dekking)
• Periodiciteit:erisbewustgekozenvooreen‘dwingend’ ritme in de verantwoording: maandelijkse verantwoordingsgesprekken. Dit biedt concern en integraal managers de tijd om in en vroeg stadium over- en onderschrijdingen te signaleren en hier maatregelen op te treffen.
• ‘Eigenprobleem’:integenstellingtothetverledenisin de nieuwe benadering het loonsomvraagstuk een ‘probleem’ van de integraal managers. Waar in het verleden regelmatig aan het eind van het jaar werd gemeld dat sprake was van een (forse) overschrijding op het loonsombudget en of het concern dit even kon regelen, wordt in de nieuwe benadering de (financiële) verantwoordelijkheid bij de integraal managers gelegd. De afspraken die aan het begin van het jaar worden gemaakt zijn ‘dwingend’.
• Routine:indeloopvandetijdblijkteenzekereroutine te ontstaan in de sturing en verantwoording op de loonsombudgetten. Dit resulteert in een steeds soepeler verantwoordingstraject.
• Kwantificering:doordegekozensystematiekendedaaraan gekoppelde periodiciteit is de kwantificering van de ‘risico’s’ moet goed op orde zijn.
Figuur 7.4: Loonsombeheersing
94
95 Risicomanagement meer dan de som der delen
In het handboek worden meerdere methoden behandeld om risicomanagement toe te passen. Hieronder volgen NARIS, COELO, en scenarioanalyse.
NARISNARIS, het risicomanagement informatie systeem van het Nederlands Adviesbureau voor Risicomanagement (NAR), is een soort van benchmark. NARIS is een opslagplaats waar veel gegevens van gemeenten zijn opgeslagen. Zo bevat de centrale database 80% van de bekende risico’s en maatregelen binnen de overheid. Dit heeft als voordeel dat gemeenten een overzicht krijgen gepresenteerd van bekende risico’s en de beheersmaatregelen. Het systeem dat hier voor gebruikt houdt ook wijzigingen in de gaten wat risicomanagement een meer continue inval geeft.
COELOCentrum voor Onderzoek van de Economie van de Lagere Overheden (COELO) heeft verschillende onderzoeken op het gebied van risico’s en weerstandsvermogen verricht bij de lagere overheden. Uit deze onderzoeken is een hulpmiddel voor weerstandsvermogen ontworpen wat gebaseerd is op een technische analyse van de onderzoeksresultaten. Zo worden gemiddelde waardes en afwijkingen bepaald die overheden kunnen gebruiken bij het schatten van risico’s en weerstandsvermogen
ScenarioanalyseScenarioanalyse begint bij het analyseren van de eigen organisatie wat is weergegeven bij punt 1. Vervolgens worden de risico’s geïdentificeerd en gekwantificeerd. Op basis van deze gegevens worden scenario’s ontwikkeld die zijn uitgewerkt in onderstaand tabel.
1. Risicoanalyse• Vaststellenvanhetwerkveld - (deel van) organisatie - (deel van) processen - Specifieke thema’s, projecten - Dimensies (juridisch, politiek, etc.) • Opstellendoelenhiërarchie - Doelstellingen - Strategisch, tactisch, operationeel - Prioriteit• Inventariserenrisico’s - Risicofactoren - Risico-objecten - Schade
2. Risicoweging• Kwantificeringrisico’s - Kansen - Frequenties - Hoogte schade - kans X schade - kans X norm - norm (hoog, gemiddeld, laag) - historische afwijkingen producten• Beoordelenenselecterenrisico’s - Berekenen verwachte waarde - Berekening spreiding - Prioritering risico’s - Risicohouding
Bijlage 1: Systemen van risicomanagement
96
Scenario’s en impact grondexploitaties
Aandachtsgebied * € 1.000
Scenario 1 Laag Scenario 2 Midden Scenario 3 Hoog Mogelijke Beheersmaatregelen
Oorspronkelijk plan + 2.000 + 2.000 + 2.000
Fasering - 1.000 - 2.000 - 4.000 Wijzigen Verkaveling
Markt - 1.000 - 2.000 + 6.000 Marktonderzoek Samenwerking
Looptijd / Rente NVT NVT NVT NVT
Organisatie - 500 - 1.000 - 2.500 Procedures
Fiscaliteiten NVT NVT NVT NVT
Milieu NVT NVT NVT NVT
Waardering NVT NVT NVT NVT
Verwervingen + 1.000 - 2.500 - 5.000 Voorkeursrecht Exploitatieovereenkomst
Planrealisatie - 2.500 Wijziging Bestemmingsplan
Claims NVT NVT NVT NVT
Politiek - 1.000 - 2.000 Overleg parijen
Bijzonderheden in bouw NVT NVT NVT NVT
Subsidies NVT NVT NVT NVT
Derden NVT NVT NVT NVT
Voorlopig Eindresultaat + 500 - 6.500 - 8.000
97 Risicomanagement meer dan de som der delen
Bijlage 2: Voorbeeld risicoprofiel
Onderstaand is een voorbeeld opgenomen van een risicoprofiel van een gemeente. Dit is een generiek voorbeeld. Uiteraard kan het risicoprofiel nog verder worden uitgebreid met beheersmaatregelen, verantwoordelijken en data.
Risico Invloed in % Kans Gevolg Risico score
1 Lagere algemene uitkering gemeentefonds door wijziging in herverdelingsmaatstaven en/of bezuiniging Rijk
10% 4 5 20
2 Grond voor kantoorrruimte wordt te laat betaald, waardoor een lager resultaat wordt gerealiseerd dan waar op is gerekend
5% 2 5 10
3 Risico’s Project X 4% 4 5 20
4 Risico’s Project Y 4% 4 5 20
5 Invoering van het BTW compensatiefonds leidt tot een nadeel 4% 4 5 20
6 De Rijksvergoeding in verband met de uitvoering van de WWB is onvoldoende. Daarnaast wordt risico gelopen in de omvang van de uitkeringslasten
3% 3 5 15
7 Risico’s Project Z 2% 4 4 16
8 Plankosten Project XX 2% 4 4 16
9 Lagere specifieke uitkering doordat bezuinigingen van het Rijk worden afgewenteld op de gemeente
2% 5 4 20
10 Door tragere verkoop is het Project YY een jaar verlengd en bestaat de kans dat dit nog meer verlengd moet worden.
2% 3 5 15
98
In deze bijlage is een aantal voorbeelden opgenomen van een risicokaart. Deze kaart is veelal de resultante van kans en gevolg, die grafisch worden weergegeven. Voorbeeld 1: grafisch op basis van kans gevolg berekening
Om een grafische risicokaart samen te stellen zou de kans-gevolg-berekening eerst gemaakt moeten worden:
Voorbeeld kans-gevolg berekening
Bijlage 3: Voorbeelden risicokaart
Risico Invloed in % Kans Gevolg Risico score
1 Lagere algemene uitkering gemeentefonds door wijziging in herverdelingsmaatstaven en/of bezuiniging Rijk
10% 4 5 20
2 Grond voor kantoorrruimte wordt te laat betaald, waardoor een lager resultaat wordt gerealiseerd dan waar op is gerekend
5% 2 5 10
3 Risico’s Project X 4% 4 5 20
4 Risico’s Project Y 4% 4 5 20
5 Invoering van het BTW compensatiefonds leidt tot een nadeel 4% 4 5 20
6 De Rijksvergoeding in verband met de uitvoering van de WWB is onvoldoende. Daarnaast wordt risico gelopen in de omvang van de uitkeringslasten
3% 3 5 15
7 Risico’s Project Z 2% 4 4 16
8 Plankosten Project XX 2% 4 4 16
9 Lagere specifieke uitkering doordat bezuinigingen van het Rijk worden afgewenteld op de gemeente
2% 5 4 20
10 Door tragere verkoop is het Project YY een jaar verlengd en bestaat de kans dat dit nog meer verlengd moet worden.
2% 3 5 15
In nevenstaande grafische weergave zijn de risico’s die in het rode vlak vallen de risico’s die meestal met hoge prioriteit opgepakt worden om te beheersen. Dit zijn namelijk de risico’s die een kans hebben om veel voor te komen en/of die een aanzienlijk gevolg hebben als zij zullen optreden. Door het weergeven in een grafische kaart worden samenhang en prioriteiten snel(ler) duidelijk.
99 Risicomanagement meer dan de som der delen
Voorbeeld 2: grafisch op basis van kans gevolg berekening
1. Onvoldoende financiering
2. Gebrek aan samenwerking
3. Onvoldoende vrijwilligers
4. Ontbreken integraliteit
5. Aanbestedingen
6. Onvoldoende regievoering
7. Kwaliteit personeel
8. Verandervermogen
9. Communicatiestructuur
10. Financiële ramingen
11. Stuurinformatie
12. Financiële dekking
13. ICT koppelingen
14. Stuurinformatie op doel
15. Interne samenwerking
16. Externe communicatie
17. Toetsbaar subsidiekader
18. Bestuurlijke verhoudingen
Voorbeeld 1
Voorbeeld 3: grafisch op basis van kans gevolg berekening
Gev
olg
Kans54321
1
2
3
4
56/10 1/3/4/5
7/8 9
2
Impa
ct
Kans91
1
9
2 3 4 6 7 85
69
16, 181
8, 16
23
1 105
134
14 711
17
5
8
7
6
4
3
2
22,2
31,2
51,2
Impa
ctH
oog
Laag
WaarschijnlijkheidLaag
Transparantie &Meerjarig perspectief
Hoog
Imago
Arbo
Leiderschap wet enregelgeving
HumanResources
communicatie
uitbestedingtaken
Samenwerkingmet derden
ToegangIT-systemen
Efficiency
Efficiency
100
Bijlage 4: Voorbeeld grafisch risico-overzicht
Onderstaand is een voorbeeld opgenomen van een grafisch risico-overzicht. Dit overzicht ken een andere invalshoek dan de grafische risicoprofielen die in bijlage 3 zijn opgenomen.
Bedr
ijfsp
roce
s
Fina
ncie
el
Imag
o/po
litie
k
Info
rmtie
/str
ateg
ie
Jurid
isch
/aan
spra
kelij
k
Lets
el/v
eilig
heid
Mat
erie
el
Mili
eu
Pers
onee
l/arb
o
Prod
uct0
15
30
45
60
75
90
105
120
aantal risico’s
gemiddeld risico voor maatregelen
gemiddelde risicoreductie
aantal maatregelen
gemiddeld risico na maatregelen
Mat
erie
el
Jurid
isch
/ aa
nspr
akel
ijkhe
id
Prod
uct
/ die
nst
Fina
ncie
el
Mili
eu
Lets
el/ V
eilig
heid
Bedr
ijfsp
roce
s
Imag
o / p
oli>
ek
Pers
onee
l / A
rbo
Info
rmat
ie /
stra
tegi
e
Bestuursorganen 2 2 3 2
Regionale samenwerking 3 1 1
Strategisch beleid 3 1
Burgerzaken 1 2 1
Openbare Orde en Veiligheid 1 1 1 1 4 3 1
Wegenbeheer 3 6 4 4
Waterkering en afwatering 1
Deelnemingen 11 2 1
Sociale Werkvoorziening 4 1 1
Economische Zaken 2
Onderwijs 4 1
Sport 1 1
Jeugd-en jongerenwerk 1 1
Beheer openbare Ruimte 2 4 1
Sociale uitkeringen 1 1 5 1 2
Afvalbeheer 1
Riolering en zuivering 1 2
Milieubeheer 2 1 1 1 1 1
Bodembescherming en sanering 1
Aanbestedingen 2 1 6 1 1
Ruimtelijk ordening 1 1 1 2
Stadsvernieuwing en woningbouw 2
Aanleg infrastructuur 1 2 1
Belastingen 4 3
101 Risicomanagement meer dan de som der delen
Bijlage 5: Voorbeeld risicomatrix
In de risicomatrix worden alle risico’s in aantallen weergegeven. De cijfers staan voor het aantal geïdentificeerde risico’s. De risicomatrix kan worden gebruikt als instrument om het aantal risico’s snel te onderkennen en te beoordelen per activiteit/ beleidsveld of anderszins.
De risicomatrix is opgebouwd uit risicogebieden (verticale as) en risicocategorieën (horizontale as). Een risicogebied is een samenhangend cluster van activiteiten binnen de organisatie. Een risicocategorie geeft aan om welk soort risico het gaat. Definities van wat onder de risicocategorieën moet worden verstaan, worden na de risicomatrix weergegeven.
102
Risicogebied: dit zijn clusters van samenhangende activiteiten om risico’s te kunnen ordenen naar hogere abstractieniveaus.
Risicocategorie: dit zijn soorten risico’s.
BedrijfsprocesAantasting van de productiecapaciteit vanwege gehele of gedeeltelijke bedrijfsstilstand en de daaruit voortvloeiende planningsproblemen.
FinancieelDirecte aantasting van de vermogenspositie van de organisatie.
Imago/politiek risicoAantasting van het vertrouwen in de organisatie als gevolg van negatieve publiciteit.
Informatie/strategieSchade door onvoldoende of niet juiste informatie, waardoor geen of niet juiste besluiten worden genomen.
Juridisch/aansprakelijkheidAantasting van de vermogenspositie van de organisatie door claims van derden als gevolg van wettelijke- of contractuele aansprakelijkheid (materiële schade, letselschade, vermogensschade).
Letsel/veiligheidHet oproepen van gevoelens van (sociale) onveiligheid, eventueel gevolgd door bedreiging of lichamelijke schade aan personen.
MaterieelBeschadiging of verlies van gebouwen, installaties, bedrijfsinventaris, transportmiddelen en goederen.
MilieuAantasting van lucht, bodem, water of leefomgeving.
Personeel/arboSchade door aantasting van de arbeidscapaciteit en kwaliteit van arbeid.
Product/dienstAantasting van de afzetcapaciteit, doordat producten en diensten niet aan de door de afnemer gestelde kwaliteitseisen voldoen.
103 Risicomanagement meer dan de som der delen
Bijlage 6: Veel voorkomende risico’s
In deze bijlage is een overzicht opgenomen van de meest voorkomende risico’s, die kunnen spelen binnen gemeenten. Deze risico’s zijn geclusterd naar interne risico’s en externe risico’s.Interne risico’s
LEIDERSCHAP
Naam Omschrijving
Leiderschapsstijl Het risico dat het management of het bestuur door haar stijl van leidinggeven medewerkers niet voldoende stimuleert en motiveert haar werkzaamheden te verrichten.
Organisatiestructuur Het risico dat de structuur van de organisatie onvoldoende aansluit op het geformuleerde beleid, de communicatielijnen en de verantwoordelijkheden en bevoegdheden.
Bevoegdheden en verantwoordelijkheden
Het risico dat gedelegeerde bevoegdheden en verantwoordelijkheden onduidelijk zijn en niet helder zijn vastgelegd.
Waarden en normen Het risico dat er geen eenduidige, binnen de organisatie gedeelde, set van waarden en normen wordt gecommuniceerd en door management en personeel in de bedrijfsvoering worden geïntegreerd.
Managementfraude Het risico dat het management binnen de organisatie opzettelijk de (financiële) resultaten op een verkeerde wijze rapporteert aan stakeholders.
MEDEWERKERS
Naam Omschrijving
Vermogen tot veranderen Het risico dat de organisatie niet over de cultuur of het vermogen beschikt om de organisatie te transformeren.
Kwaliteit personeel Het risico dat de aanwezige kennis, vaardigheden en ervaring van medewerkers niet voldoen aan de hieraan te stellen eisen.
Integriteit Het risico dat werknemers het persoonlijk belang laten prevaleren boven het maatschappelijk of het organisatiebelang.
Reputatie Het risico dat door handelen van medewerkers de reputatie van de organisatie en haar producten/diensten negatief wordt beïnvloed.
Motivatie Het risico dat werknemers onvoldoende gemotiveerd zijn.
Kwantiteit personeel Het risico dat een mismatch bestaat tussen het aantal beschikbare en benodigde medewerkers (onder- of overbezetting).
Illegale activiteiten medewerkers
Het risico dat medewerkers zich schuldig maken aan fraude of andere onwettige handelingen.
Arbeidsomstandigheden Het risico dat de arbeidsomstandigheden de motivatie, gezondheid, of productiviteit van de medewerkers negatief beïnvloeden.
Productiviteit Het risico dat medewerkers onvoldoende productief zijn en dat hierdoor beleidsdoelstellingen niet worden behaald.
Incentives Het risico dat medewerkers onvoldoende incentives (beloning, promotiekansen etc.) krijgen, waardoor de manier waarop medewerkers handelen negatief wordt beïnvloed.
104
STRATEGIE EN BELEID
Naam Omschrijving
Beleidsvorming Het risico dat het geformuleerd beleid niet binnen de kaders van wet en Collegebeleid valt, of niet aansluit op veranderingen in de omgeving.
Interactieve beleidsvorming Het risico dat het geformuleerde beleid tot stand komt zonder afdoende inspraak van anderen (stakeholders).
Beleidsformulering Het risico dat het beleid onzorgvuldig (niet SMART en richtinggevend) geformuleerd wordt.
Beleidshaalbaarheid Het risico dat het geformuleerde beleid in de praktijk moeilijk realiseerbaar is door de verschillende betrokken partijen.
Verantwoordingsrapportages Het risico dat verantwoordingsrapportages aan de gemeente en/of externe partijen (gemeentebestuur, ministerie) niet volledig, juist, tijdig en/of nauwkeurig zijn.
Toezicht op beleidsuitvoering
Het risico dat bij beleidsuitvoering door derden onvoldoende controle bestaat op de naleving van de contractafspraken over de te leveren prestaties.
Prestatie-indicatoren Het risico dat onvoldoende en/of onbetrouwbare (relevant, consistent) meetinstrumenten aanwezig zijn voor het meten van prestaties.
Managementrapportage Het risico dat managementrapportages binnen de organisatie structureel niet tijdig, betrouwbaar of inzichtelijk zijn, of dat er intern helemaal geen verantwoording wordt afgelegd.
Aansluiting doelen Het risico dat de afdelingsdoelen en bedrijfsprocessen onvoldoende aansluiten op de algehele organisatiedoelstellingen en het geformuleerde beleid.
Financiële en operationele informatie
Het risico dat onvoldoende integratie plaatsvindt tussen financiële en operationele informatie.
Budgettering/begroting Het risico dat de budgettering/begrotingssystematiek niet aansluit op de geformuleerde beleid en doelstellingen van de organisatie.
MIDDELEN
Naam Omschrijving
Contractering Het risico dat afspraken met derden onvoldoende worden vastgelegd in een contract.
Apparaatkosten Het risico dat als gevolg van een ineffectieve en inefficiënte bedrijfsvoering apparaatkosten hoger uitvallen dan begroot.
Verplichtingen Het risico dat onvoldoende inzicht bestaat in de verplichtingen als gevolg waarvan onder andere financiële tegenvallers (te) laat inzichtelijk worden.
Programmakosten Het risico dat programmakosten hoger uitvallen dan begroot.
Werking Infrastructuur Het risico dat de IT-infrastructuur (hardware en software) van de organisatie veelvuldig buiten werking is of niet functioneert.
Aansluiten infrastructuur ketenpartners
Het risico dat de IT-infrastructuur (hardware en software) van de organisatie niet aansluit op de IT-infrastructuur van de overige ketenpartners.
Tijdigheid Het risico dat medewerkers van de organisatie niet tijdig beschikken over de benodigde informatie.
Beveiliging Het risico dat onbevoegden toegang hebben tot informatie van de organisatie.
Betrouwbaarheid Het risico dat de benodigde informatie binnen de organisatie structureel onbetrouwbaar is (onvolledig en/of onjuist).
Relevantie Het risico dat de benodigde informatie niet aansluit bij de informatiebehoefte van de medewerkers van de organisatie.
Toepasbaarheid Het risico dat de IT-infrastructuur (hardware en software) niet aansluit op de processen binnen de organisatie.
105 Risicomanagement meer dan de som der delen
PROCESSEN
Naam Omschrijving
Efficiency Het risico dat processen binnen de organisatie inefficiënt verlopen, waardoor de realisatie van het beleid in gevaar kan komen.
Projectmanagement Het risico dat er geen goed (totaal)inzicht bestaat in de lopende interne projecten binnen de organisatie en/of dat projecten niet goed beheerst worden.
Product/dienstenkwaliteit Het risico dat gebrekkige product/dienstenkwaliteit een negatieve invloed heeft op de vraag naar de geleverde producten/diensten van de organisatie en op de reputatie van de organisatie.
Interne communicatie en samenwerking
Het risico dat communicatiekanalen binnen de organisatie ineffectief zijn en dat samenwerking in onvoldoende mate plaatsvindt.
Cliënt/burgercommunicatie Het risico dat de organisatie niet open, duidelijk en/of integer communiceert met haar cliënten/burgers.
Samenwerking ministeries Het risico dat de samenwerking met een ministerie (bijv. OC&W, BZK) ineffectief of inefficiënt is.
Samenwerking college B&W Het risico dat de samenwerking met het college van B&W Rotterdam ineffectief of inefficiënt is.
Samenwerking overige GD voluit schrijven
Het risico dat de samenwerking met gemeentelijke diensten ineffectief of inefficiënt is.
Samenwerking uitvoeringsinstanties
Het risico dat de samenwerking met overige externe partijen en aanbieders/uitvoeringsinstanties ineffectief of inefficiënt is.
Naleving beleid en procedures
Het risico dat medewerkers niet voldoen aan het door de organisatie voorgeschreven beleid en de procedures.
Naleving wet- en regelgeving Het risico dat medewerkers en/of directieleden de wet- en regelgeving niet naleven.
Imago Het risico dat het imago van de organisatie een negatieve invloed uitoefent op het realiseren van het beleid en de doelstellingen van de organisatie.
Productontwikkeling Het risico dat verminderde innovativiteit en snelheid van de productontwikkeling een negatieve invloed heeft op de mogelijkheden van de organisatie, om op de lange termijn aan de eisen en wensen van cliënten/burgers te voldoen.
Kennisdeling Het risico dat binnen de organisatie geen systematische vastlegging en deling van kennis plaatsvindt.
Tevredenheid cliënt/burgers Het risico van onvoldoende kennis van en focus op behoeften en wensen van cliënten en burgers.
Externe risico’s
MAATSCHAPPELIJKE RISICO’S
Naam Omschrijving
Verwachtingen cliënt/burger Het risico dat veranderingen in de behoeften/wensen van cliënten niet (tijdig) door de organisatie worden gesignaleerd.
Belanghebbenden/ stakeholders
Het risico dat de relatie met (externe) belanghebbenden verandert, waardoor de mogelijkheden voor de organisatie (al dan niet in financiële zin) worden beïnvloed.
Technologische innovatie Het risico dat de organisatie zich niet bewust is of notie neemt van veranderingen in de technologie (bijv. internet), waardoor eventuele voordelen onbenut blijven.
Afhankelijkheid van derden Het risico dat de informatieverstrekking vanuit derden (bijv. uitvoeringsinstanties), waarvan de organisatie afhankelijk is, niet tijdig, juist en/of volledig plaatsvindt.
106
POLITIEK BESTUURLIJKE EN LEGISLATIEVE RISICO’S
Naam Omschrijving
Nieuwe wet- en regelgeving Het risico dat de snelheid en kwaliteit van veranderingen in de wet- en regelgeving zodanig is dat het een negatieve invloed heeft op onder andere de mogelijkheden van de organisatie om specifiek beleid en activiteiten vorm te geven en te implementeren.
Politieke signatuur (rijks)overheid
Het risico dat veranderingen in de politieke signatuur van de landelijke of lokale overheid een negatieve invloed hebben op de missie, doelstellingen en beleid van de organisatie.
Naleving beleid/ procedures door uitvoerders
Het risico dat het geformuleerde beleid en de voorgeschreven procedures niet door derden, waarmee de organisatie samenwerkt, worden nageleefd.
Conflicterend overheidsbeleid
Het risico dat het conflict tussen het landelijke en het lokale overheidsbeleid het behalen van de organisatiedoelstellingen in gevaar brengt.
107 Risicomanagement meer dan de som der delen
Bijlage 7: Voorbeelden praktijkcasussen risicomanagement
Hieronder zijn alle gebruikte voorbeelden in het handboek weergegeven per hoofdstuk. Hoofdstuk 7 bestaat enkel uit voorbeelden en is om deze reden niet herhaald.
Hoofdstuk 2
Risicomanagement en verbonden partijen: SW-bedrijfIn het licht van veranderende wet- en regelgeving (nieuwe WSW met ingang van 2008), teruglopende resultaten van het SW-bedrijf en een aanscherping van het risicomanagement binnen een gemeente in het midden van het land heeft de gemeente het risicomanagement rond de WSW eens kritisch tegen het licht gehouden. Hierbij is aandacht besteed aan de risico’s die te signaleren zijn, maar tevens aan de te ondernemen acties om deze risico’s af te dekken. Dit heeft geresulteerd in de volgende inzichten:• Eenrisicoprofiel:risico,kans,impact,effect,maatregelenverantwoordelijkeperrisico• Eenmarsrouteanderwoordkiezentotverbetering:watmoetdegemeentewanneerdoenomhet
risicomanagement op dit terrein te verbeteren?• Eengrafischrisicoprofiel
Impa
ct
Kans1
1
5
Transparantie &Meerjarig perspectief
5
EfficiëntieSW
bedrijf
Autonomie
TVB
Processen
Risicoraamwerk
Prestatiesturing
MarktoperenSW-bedrijf
Financierings-relatie
Vrijheid vs gebondenheid
Bindingvanuit
gemeenten
108
Risicobeheersing: Risico’s bij grote projectenEen gemeenten heeft in het licht van stedelijke ontwikkeling het initiatief genomen tot het opzetten van een Huis van Cultuur, waarin
muziekschool, theater, filmhuis en bibliotheek worden ondergebracht. Het project is politiek-bestuurlijk een beladen project: het is centraal gelegen, er is een aantal belangrijke voorzieningen betrokken, het betreft een fors investeringsbedrag en als het project slaagt is er tevens sprake van een grote uitstraling naar de regio. Gezien het belang is er relatief veel aandacht besteed aan risico’s (financieel en bestuurlijk) en onderzoek. De gemeente heeft verzocht het risicomanagement rond het project te inventariseren en te bezien of hierbij leerpunten zijn te formuleren die eventueel hun uitwerking kunnen hebben op de rest van de organisatie. Deze inventarisatie heeft geleid tot een aantal generieke aandachtspunten, maar tevens geleid tot specifieke handreikingen voor het project zelf.
1. Generieke aandachtspunten en risico’s:• Behoudvankennisenexpertiseineigenhuis• Procesdefinitieenfunctiescheidinginhetproject(inbeperktemate)• Kwaliteitvanmedewerkersmoeilijkteborgen• Risicoattitudeincultuurenaanspreekgedrag• Controleenbijsturingophetprojectonvoldoendeformeelgeborgd• Ontbrekenformeelrisicomanagementraamwerk• Borgenprojectmatigwerkeninorganisatie• Ontbrekengesystematiseerderisicokwanticeringengeformuleerdemaatregelen
2. Voor het project zelf zijn de volgende risico’s geïdentificeerd:• Continuïteit:bezettinginhetprojectkenteenuitersthoogverloop• Bestuurlijkdraagvlakeneenduidigheidin‘ownership’• Devierbetrokkenpartijenopéénlijnkrijgenenhoudenvormteencontinueuitdaging(endaarmeeeenafbreukrisico)• Borgingkennisenervaringenproject
De genoemde risico’s zijn tevens in een grafisch risicoprofiel opgenomen:
Impa
ct
Kans1
1
5
5
Meerdere partijenRisicoattitude& aanspreekgedrag
Risicoraamwerk
Bestuurlijkdraagvlak
Continuiteit bezetting
Borging kennis
Controle & sturing
Risicokwanticering
Procesdefinitie& funktiescheiding
Projectmatig werken
Kwaliteit medewerkers
109 Risicomanagement meer dan de som der delen
Hoofdstuk 3
Praktijkvoorbeeld: Een tweegesprek tussen wethouders over een politiek en financieel project
“Het risico van dit project is onacceptabel” zegt wethouder Financiën(A). “Hoezo?”, vraagt Wethouder Ruimtelijke Ordening (B), “Welk risico bedoel je?”. Nou zegt wethouder A: “Het risico dat het project uitloopt en dat de consequenties van het uitlopen van het project voor onze rekening komt.” Wethouder B zegt: “Er is geen sprake van een risico, want de vertraging van het project is opgelost door in het contract met de andere participanten op te nemen dat zij verantwoordelijk zijn en opdraaien voor een uitloop van het project.” “Geldt dit ook voor de uitloop die wordt veroorzaakt als wij de vergunningen niet tijdig verlenen?” vraagt wethouder A. “Dat is mij niet bekend.” zegt wethouder B “Dit heb ik ook niet vernomen van de projectleider. Ik heb het over de gevolgen die het gerelateerd zijn aan de vertraging zoals deze door de andere contractpartijen worden veroorzaakt.” “Dan lijkt het er op,” zegt wethouder A, “dat onze risico’s toch groter zijn dan eerder was aangenomen. Op basis van de huidige informatie, die ik van de controller gisteren heb gekregen, schat ik de risico’s in op circa € 2,0 miljoen.” Wethouder B zegt: “Hier ben ik niet van op de hoogte en dat lijkt me ook niet de bedoeling, maar je hebt hier mogelijk wel een punt. Hier heb ik niet direct bij stilgestaan.”
Managers handelen niet altijd rationeel en dit heeft meetbare negatieve invloed op strategische beslissingen. Met governance zou dit probleem wellicht aan te pakken zijn.
De vraag is welke invloed Governance (goed ondernemingsbestuur en toezicht) kan hebben in het verminderen van de negatieve effecten van irrationeel gedrag van managers.
De managers hebben een grote invloed op de investeringen en financiering van de organisaties die zij leiden. Aangezien de irrationaliteit geen bewust gedrag van managers is, blijkt dat een aantal mechanismen (dat uitstekend rationele economische problemen kan verminderen) niet werkt. Zo heeft bijvoorbeeld de beloningsstructuur naar verwachting geen invloed op het beperken van irrationele besluiten. Potentieel wel effectieve mechanismen lijken de rol van toezichthouders (gemeenteraad).
De governance dimensie van risicomanagement: samenwerkingsverbandenEen organisatie staat in een proces van deelnemen aan een Shared Service Center (SSC) met meerdere gemeenten. Deze organisatie staat voor de uitdaging om de invoeging in het SSC zo goed mogelijk vorm te geven. Met name het vormgeven van de relatie, de governance daarop en het managen van risico’s bleken grote vraagstukken. De volgende lessen bleken van belang: • Creëereeneenduidigezetvantaken,verantwoordelijkhedenenbevoegdheden,ookinhetlichtvanrisicobeheersing.• Zorgvooreen‘logischevolgordederdingen’inhetproces:nieteerstplaatsenendanpasnadenkenovertaakafbakeningenstrategie• BesteedaandachtaanalleaspectenvanhetSSC:systemen,mensen,processen,sturing&beheersing,financiën,etc.enbenaderdeze
aspecten integraal• Bepaalalsorganisatiewelkebalansjenastreefttussenkwaliteit,efficiencyenwendbaarheidbijtoetredingtothetSSCenzorgdatdeze
balans geborgd is in het SSC (afspraken)• Zorgdatdebekende‘faalfactoren’inhetSSC-proceszijnafgedekt• Creëermogelijkhedenomintegrijpeninhetprocesalsaanderandvoorwaardennietwordtvoldaan.• BewaakdatinhetontwerpvanhetSSCrechtwordtdegedaanaandespecifiekekenmerkenvandewerkzaamhedenvandeeigen
organisatie: u moet erop vooruit gaan• ERZIJNGEENSHORTCUTS:NEEMDETIJD!
110
Hoofdstuk 4
Van risico-inventarisatie naar risicomanagementDe invoering van de WMO heeft voor gemeenten weer een nieuw terrein voor risicomanagement blootgelegd. De eerste stappen zijn vaak gezet. Een gemeente wil het risicomanagement op een hoger plan tillen: van inventarisatie naar management van risico’s. Bij deze gemeente zijn risico’s globaal in kaart gebracht en er is een weerstandsvermogen opgebouwd waarmee de gemeente de risico’s, al dan niet in kaart gebracht, financieel op kan vangen. Op dit moment worden de meeste risicomaatregelen financieel beheerst. Bij een project worden de kosten van de risico’s geschat en als extra budget opgenomen. Men wil naar een situatie toe waarbij er niet alleen sprake is van inzichtelijkheid in de risico’s maar waarbij er ook sprake is van het managen van risico’s, onder meer in verband met overschrijdingen van budgetten. Het ontwikkelpad is van risico inzicht naar risicomanagement met behulp van diverse risicobeheersmaatregelen. Om dit te realiseren is een verdiepende inventarisatie uitgevoerd en is in een workshop gewerkt aan een risicoprofiel, waarbij kans en impact zijn gekoppeld aan risico’s en tevens beheersmaatregelen zijn benoemd. Dit risicoprofiel bevat een breder palet aan risico’s dan uit de bestaande inventarisaties komt en kent een proactief (in plaats van het reactieve karakter van de inventarisatie) karakter. Hierdoor kan beter worden geanticipeerd op de risico’s en daarmee risico’s ook worden voorkomen.
Van volgen naar sturen: loonsombeheersingBij een gemeente was sprake van een tweevoudige loonsomproblematiek: 1 jaarlijks wordt het loonsombudget overschreden en2 jaarlijks wordt de geraamde dekking van loonkosten in projecten (kredieten) niet gerealiseerd.
De gemeente heeft vervolgens vier maatregelen getroffen om te komen tot beheersing van de loonsombudgetten:1 Uitgangspositie is vastgesteld (loonsombudgetten per afdeling, bijpassende formatieplannen en omzettaakstellingen op kredieten).2 Managementinformatie wordt maandelijks geleverd (formatie- en bezettingsoverzicht, overzicht inhuur derden, overzicht
omzettaakstelling).3 Verantwoordingsgesprekken worden maandelijks gehouden tussen directeur en afdelingshoofd, in aanwezigheid van de concerncontroller
(met aandacht voor de loonsom);4 Verbijzonderde interne controle uitgevoerd door de concerncontroller ter toetsing van het werkelijkheidsgehalte van de
managementinformatie.De genoemde maatregelen hebben een goede uitwerking gekend. In het kader van risicomanagement heeft dit een extra sturingsinstrument opgeleverd.
111 Risicomanagement meer dan de som der delen
Het risicomanagement proces: grote projectenEen gemeente is serieus bezig met risicomanagement door het vastleggen van helder beleid, verdeling van taken en verantwoordelijkheden, training van medewerkers en ondersteuning door middel van een risicomanagement informatiesysteem. Met name het risicomanagement rond projecten verdiende extra aandacht Het project moet leiden tot directe invoering van risicoanalyses op strategische projecten en trajecten. Door het uitvoeren van een analyse zijn de volgende bevindingen gedaan:1. Inhoudelijk - inzicht in projectrisico’s onvoldoende - regierol subsidies ontbreekt - geen totaalbeeld risico’s WMO
2. Cultuur - geen eenduidig begrippen kader - angst voor communicatie over risico’s - politieke gevoeligheid
3. Proces - (eerder) betrekken portefeuillehouder - vooraf investeren in kennis - politieke actualiteit - beter plannen
Dit heeft geresulteerd in een verdere verfijning van het risicomanagementproces, met specifieke aandacht voor projectrisico’s door het ondernemen van de volgende acties:• Opstellenbeleidsplan• Trainingworkshops/cursussen• Procesintegraalrisicomanagementuitrollen• Risicoanalysesopthema’s• Verzekeringsanalyseenprofessionaliserenbeheer• Communicatieverbredenenintensiveren
112
In deze bijlage is per onderdeel van de governance-cyclus een overzicht gegeven van de aandachtspunten.
Bijlage 8: Aandachtspuntenlijst per onderdeel van de governance-cyclus
Deelproces Aandachtsgebieden Toelichting
Sturen Beleid Is er beleid rondom risicomanagement?Zijn hierin de afspraken zoals deze zijn gesteld in de verordening 212 tenminste uitgewerkt?Is de methodiek (inventariseren, periodiciteit rapporteren, systeem, rolverdeling, etc.) van risicomanagement duidelijk?
Houding/ Cultuur Wat straalt de leiding uit ten aanzien van het omgaan met risico’s?Hoe wordt omgegaan met het melden van risico’s?Bestaat er waardering voor melden van risico’sZijn middelen vrijgemaakt om te werken aan risicomanagementWorden adviezen en maatregelen om risico’s te beperken dan wel te mitigeren serieus genomen?
Prioriteitstelling Maakt risicoanalyse en -signalering onderdeel uit van de reguliere P&C-cyclus en de voorstellenIs het risicoprofiel nader uitgewerkt voor wat betreft de beleidsvelden en/of activiteiten waarop risico’s mogen worden gelopen?Is bepaald op welke wijze kwantificering en identificatie van de risico’s moet plaatsvinden?Zijn (toekomstige) middelen gealloceerd die beschikbaar zijn voor het opvangen van (specifieke) risico’s?Wat is de risicohouding bij samenwerking met derden partijen?
Omvang Zijn spelregels opgenomen voor het kwantificeren en kwalificeren van de risicopositie? Met andere woorden wat is een acceptabele verhouding tussen de beschikbare weerstandscapaciteit en de risico’s?Is gedefinieerd op welke wijze berekening van de omvang van de risico’s plaatsvindt?Is de minimale / maximale omvang bepaald van de weerstandscapaciteit?Zijn acties benoemd om de weerstandscapaciteit te vergroten?
Informatie / rapportage Zijn spelregels opgenomen voor de periodiciteit waarop gerapporteerd moet worden over de ontwikkeling van de risico’s en de resultaten van de beheersmaatregelen?Zijn er afspraken gemaakt over de wijze waarop over de risico’s moet worden gerapporteerd waarbij onder meer moet worden ingegaan op:- aan wie moet de informatie worden geleverd?- welke informatie moet worden aangeleverd met betrekking tot de ontwikkeling van de risico’s?- evaluatie van de werking van de beheersmaatregelen- nieuwe en vervallen risico’sIs bepaald op welke wijze bij individuele voorstellen gerapporteerd moet worden over de risico’s en de hierbij getroffen maatregelen?
Bevoegdheden enverantwoordelijkheden
Is duidelijk wie eindverantwoordelijk is voor het betreffende risico?Is bepaald wie eindverantwoordelijke is voor het identificeren, sturen en verantwoorden omtrent risico’s?Is duidelijk wie bevoegd is tot het aangaan van risico’s door middel van bijvoorbeeld goedkeuren van een voorstel, afsluiten van een contract of aangaan van een (andere) verplichting?
Tabel Bijlage 8-1: deelproces sturen bij risicomanagement: de risicohouding
113 Risicomanagement meer dan de som der delen
Deelproces Aandachtsgebieden Toelichting
Beheersen Begrippen Bestaat er een gemeenschappelijk beeld over wat verstaan wordt onder risico’s?Zijn de risicogebieden duidelijk? Dus is bekend op welke facetten beoordeling van (onderdeel) proces, organisatie of activiteiten plaats moet vinden?
Kennis Is binnen de organisatie voldoende kennis om risico’s te identificeren en te kwantificeren?Heeft de gemeente voldoende kennis om tijdig te reageren op de wijziging van risico’s?Is voldoende kennis aanwezig omtrent de wijze waarop omgegaan moet worden met zich manifesterende risico’s?
Methode Is er een duidelijke methodiek voor het in beeld brengen, houden en sturen rondom risico’s?Is deze methode in de organisatie bekend?Is de methode geïncorporeerd in de dagelijkse operationele procesgang?Is duidelijk wanneer en welke maatregelen worden getroffen Bestaat in de methode voldoende aandacht voor:- omschrijven van de risico’s- kwantificeren van risico’s- evalueren van de risico’s- formuleren van beheersmaatregelen en - aanwijzen verantwoordelijke voor omgaan met de geconstateerde risico’s
Risicoanalyse Is bekend wat de belangrijkste risicogebieden binnen de organisatie zijn door het uitvoeren van een risicoanalyse?Wordt de risicoanalyse met een dusdanige frequentie herzien dat blijvend aandacht bestaat voor de ontwikkeling van de risico’s?Bestaat voldoende aandacht voor het identificeren van nieuwe risicogebieden binnen de organisatie dan wel activiteiten van de organisatie?Wordt de opgestelde risicoanalyse gedeeld door het management?Is de uitgevoerde risicoanalyse de basis voor het treffen van maatregelen?
Organisatie Is er voldoende capaciteit aanwezig om aandacht te besteden aan risicomanagement?Bestaat extra organisatorische aandacht voor die terreinen waar de risico’s dominant zijn, omvangrijk van aard dan wel frequent wisselen?Is er aandacht in de processen voor het periodiek aandacht besteden aan risicomanagement bij de dagelijkse gang van zakenZijn de rollen duidelijk in het proces van risicomanagement: wie moet wat wanneer doen?
Beheersmaatregelen Is per relevant geïdentificeerd risico duidelijk of er beheersmaatregelen mogelijk zijn?Zijn de beschreven beheersmaatregelen duidelijk genoeg om deze vorm te geven?Is duidelijk wie verantwoordelijk is voor het implementeren van en het bewaken van de werking van de beheersmaatregel?Is duidelijk binnen welke termijn de beheersmaatregel tot stand moet zijn gebracht?Zijn de beschreven beheersmaatregelen geïmplementeerd?Werken de beschreven beheersmaatregelen? Met andere woorden dragen zij bij aan het ondervangen van de risico’s?Zijn er alternatieven onderzocht om de risico’s mogelijk anderszins op te vangen?Is er bij samenwerking met derden dan wel op afstand opererende partijen voldoende aandacht voor de ontwikkeling van de risico’s? Door de afstand heeft de belanghebbende geen dagelijks inzicht in de ontwikkeling van de risico’s.Bestaan er scenario’s om te volgen wanneer risico’s zich daadwerkelijk manifesterenIs er voldoende financiële ruimte aanwezig om de risico’s op te vangen?
Tabel Bijlage 8-2: deelproces beheersen bij risicomanagement: de methodiek
114
Deelproces Aandachtsgebieden Toelichting
Verantwoorden Inhoud Waarover vindt verantwoording plaats? Onderwerpen die hierbij aan de orde kunnen komen zijn:- Is het risicoprofiel van de organisatie gewijzigd en zo, ja wat zijn hiervan de gevolgen?- Hebben zich ten opzichte van de voorgaande rapportage nieuwe risico’s voortgedaan en wat is
hiervan de mogelijke (financiële) impact?- Welke maatregelen zijn getroffen om eerder onderkende risico’s te ondervangen en wat is het effect
van deze maatregelen geweest? Werken de beschreven en afgesproken maatregelen?- Welke risico’s hebben zich concreet gemanifesteerd en hebben geresulteerd in een uitstroom van
middelen?- Wat is de stand van zaken met betrekking tot de omvang van de risico’s in relatie tot de beschikbare
middelen?Wordt gecontroleerd in hoeverre de activiteiten zijn uitgevoerd binnen de geformuleerde beleidskaders/ afspraken?Bevat de verantwoordingsinformatie voldoende sturingsinformatie om het beheer en inzicht in de risico’s te verbeteren?Is uit de verantwoordingsinformatie duidelijk op welke aspecten de organisatie meer bewust moet zijn van onderkennen of beheersen van risico’s?
Effectiviteit en efficiency van maatregelen
Heeft de gemeente voldoende zicht op de effectiviteit van de getroffen maatregelen:- Welke risico’s hebben zich gemanifesteerd?- Wat zijn de kosten geweest voor het treffen van beheersmaatregelen in relatie tot het beperken van
de risico’s?- Voert de gemeente periodiek audits uit om na te gaan hoe effectief de beheersing van de risico’s
heeft plaatsgevonden?
Wijze onderbouwing en kwantificering
Is de wijze van kwantificering concreet genoeg om een oordeel te vormen over de wijze van verantwoording?Bestaat voldoende inzicht omtrent de kans van optreden van een risico en de resterende onzekerheden?
Frequentie Is de frequentie van herzien van de risico’s voldoende gelet op de ontwikkeling van het risicoprofiel?Wordt rekening gehouden met de actieve informatieplicht wanneer risicopositie wijzigingen ondergaat?
Tabel Bijlage 8-3: deelproces verantwoorden bij risicomanagement: de rapportage
115 Risicomanagement meer dan de som der delen
Deelproces Aandachtsgebieden Toelichting
Toezicht houden
Bedrijfsvoering Is duidelijk of risico-identificatie onderdeel uitmaakt van de reguliere bedrijfsprocessen?Zijn middelen beschikbaar voor het houden van audits en bijzondere onderzoeken bij geconstateerde (aanvullende/ extra hoge) risico’s?Is ruimte in de voorstellen, formatie en werkzaamheden om (verplicht) aandacht te besteden aan risicomanagement?
Grenzen Hoe passen de risico’s binnen de door de raad gestelde kaders?Hoe verhouden de geïdentificeerde risico’s zich tot vergelijkbare organisaties dan wel externe normen?
Toetsen Zijn er recente rapportage over de geïdentificeerde risico’s?Heeft een analyse plaatsgevonden van de mutatie in risico’s en de effectiviteit van de geïntroduceerde beheersmaatregelen?Maakt een afzonderlijke risicoparagraaf onderdeel uit van de individuele voorstellen en de P&C-documenten?
Controle Wordt het beleid ten aanzien van risicomanagement nageleefd?Wordt in de rapportage van de accountant ingegaan op het bestaan van een systeem van risicomanagement en de werking hiervan?Beschikt de toezichthouder over voldoende informatie om te kunnen controleren, hierbij kan gedacht worden aan:- Of de risico’s goed worden gemanaged- Of de organisatie de risico’s beheerst (in control is)- Of de organisatie een solide financiële positie heeft
Financiële positie
Tabel Bijlage 8-4: deelproces toezicht houden bij risicomanagement: de meting
116
Bijlage 9: Vragenlijst risicogesprek
In deze bijlage wordt een aantal handreikingen gegeven om een gesprek te starten binnen de eigen organisatie in het kader van risicomanagement. Voor velen zullen de vragen voor de hand liggen, maar in de praktijk blijkt een aantal organisaties te worstelen met de vraag hoe een risicogesprek met een lijnverantwoordelijke op een constructieve en positieve manier kan worden ingestoken.
In onze optiek zijn er twee invalshoeken mogelijk voor een dergelijk gesprek: benaderd vanuit doelstellingen of vanuit processen. De eerste benadering leent zich vooral als de betrokkene meer werkt vanuit doelstellingen (denk aan bijvoorbeeld beleidsafdelingen). De tweede benadering is veelal geschikt als de betrokkene werkt in een productieomgeving (denk aan bijvoorbeeld administratieve of registratieve processen, zoals burgerzaken). Belangrijk is dat de gekozen invalshoek aansluit bij de belevingswereld van de betrokkene.
Benaderd vanuit doelstellingen:• Watzijnjedoelstellingenvoorhetkomendejaar?Welkeonzekerhedenspeleneen
rol bij het bereiken van deze doelstellingen?• Welkerisico’skomenuiteerdereinventarisatie?Zijndezenogsteedsvankracht?• Welkegevolgenheeftdekredietcrisisvoorjouwafdeling?• Zijnernieuwethema’sdieinhetkomendejaareenrolspelen?Kunnenwehier
extra op inzoomen? Bijvoorbeeld invoering van nieuwe wetgeving?• Welkemaatregelentrefjeenzijnmogelijkopdegenoemderisico’s?
Benaderd vanuit processen:• Watzijnjouwbelangrijksteprocessen?• Welkeknelpuntensignaleerjehierin?• Hoevaakdoendezeknelpuntenzichvoor?• Zijndezeknelpuntenooktevertalennaarrisico’s?• Watisdemogelijkeomvangvandezerisico’s?• Welkemaatregelennamjetotophedenomdezerisico’shethoofdtebieden?• Zijndezemaatregelenafdoende?Welkeadditionelemaatregelenzouje(kunnen)
nemen?
117 Risicomanagement meer dan de som der delen
Bijlage 10: Rolverdeling in het risicomanagementproces
In het handboek zijn meerdere figuren gepresenteerd met daarin een overzicht van de rolverdeling die bij risicomanagement van toepassing is. Deze figuren zijn onder andere gericht op de raden en colleges. Hieronder zijn de figuren gezamenlijk geplaatst.
Rolverdeling vanuit de Governance insteek
Actoren Rollen Acties/Besluiten
Gemeenteraad Sturen en toezicht houden
Vaststellen uitgangspunten en methodiek risicomanagementoogte weerstandsvermogen vaststellenVaststellen uitgangspunten projectenBeoordelen rapportages en adviezen van het College
College/Directieraad
Sturen en toezicht Toezien op implementatie risicomanagement in projectenSturen op verantwoording van risico’s
Directie / Ambtelijke top
Sturen en Verantwoorden
Implementeren risicomanagement in projectenSturen op scenarioplanningOpdracht tot kwantificering risico’sHanteren risicomanagement als rapportage-instrumentMaatregelen nemen voor het beheersen van de risico’s en hierover actieve terugkoppeling laten organiserenAanspreken op gedrag
Afdeling / project
Beheersen Implementeren beheersmaatregelen ter opvangen van de risico’sScenario analyse per product / project in beeld brengenKwantificering risico’sRapportage over ontwikkeling risico’sBouwstenen aandragen voor in beeld brengen risico’sWerken binnen geformuleerde uitgangspunten projectenBinnen het projectonderdeel maatregelen nemen voor het beheersen van de risico’s en hierover actieve terugkoppelingIn beeld brengen consequenties op financiële positie
Control Financiën
Beheersen en toezicht houden
Bijdrage leveren aan de scenario analyseIn beeld brengen consequenties op financiële positieBijstellen methodiek / tool van risicomanagement
118
Rolverdeling vanuit Toezicht & Toetsing
Checklist Risicomanagement
Stap Gemeenteraad College Ambtelijk
Kaderstelling & strategiebepalen kaders en strategie advies/feedback
adviseren, info verstrekken, opstellen
Risicoanalyse toezicht geeft opdracht en toets formuleert/voert uit/ en monitoort
Monitoren toezicht en controle ontwikkeling kaders maatregelen
info verstrekken en controle
Toezicht & Toetsing controle toezicht en verantwoording continu monitoren
Verbetering feedback bij verbeteren beleid advies betreffende verbetering beleid
signaleren/formuleren implementeren
119 Risicomanagement meer dan de som der delen
Bijlage 11: Voorbeeld Beleidsnota Risicomanagement en Weerstandsvermogen
Inhoudsopgave1. Inleiding 1.1. Aanleiding1.2. Doelstelling en reikwijdte 1.3. Het begrip risico 2. Van risicobeleid naar risicomanagement 2.1. Huidig risicobeleid 2.2 Toekomstig risicomanagement 3. Weerstandscapaciteit en weerstandsvermogen 3.1. Weerstandscapaciteit 3.2. Weerstandsvermogen 4. Uitvoering van het risicomanagement 4.1. Kader is de BBV-cyclus 4.2. Kwaliteit van de risicobepaling 4.3. Omvang van het weerstandsvermogen 4.4. Top 10 risico’s 4.5. Verankering in de organisatie (inclusief informatievoorziening en verankering) 4.6. Risicoprofiel perspectiefnota 20XX
120
1. Inleiding
1.1. AanleidingToenemende complexiteit van de samenleving en van projecten waar de gemeenten in het algemeen bij betrokken zijn en veranderende wet- en regelgeving dwingen tot een groter risicobewustzijn. In dit kader is het van belang om zicht te hebben op de risico’s die zich manifesteren bij de uitvoering van de gemeentelijke taken, de oorzaken op te sporen en om daarbij passende maatregelen te treffen. In veel gevallen is er bij daadwerkelijk optreden van het risico ook sprake van financiële schade voor de gemeente.
Meer toegespitst op dat laatste aspect, bepaalt het besluit Begroting en Verantwoording (BBV, art. 11) dat gemeenten beleid moeten formuleren omtrent de weerstandscapaciteit en de risico’s. De bedoeling daarvan is dat jaarlijks via de paragraaf weerstandsvermogen in de stadsbegroting en -rekening een oordeel kan worden gegeven over de toereikendheid van het weerstandsvermogen. Aan deze verplichting wordt invulling gegeven via de financiële beheersverordening van de gemeente X (ex. art. 212 Gemeentewet). In deze verordening is vastgelegd dat ons college tenminste eenmaal per vier jaar een notitie voorlegt aan uw raad, waarin uiteengezet wordt wat de uitgangspunten zijn met betrekking tot het financiële beleid en waarin aandacht wordt geschonken aan risicomanagement, weerstandscapaciteit, en de systematiek waar langs het weerstandsvermogen wordt berekend. Bij de behandeling van de nota reserves en voorzieningen op X heeft uw raad besloten ons college te vragen in de perspectiefnota X een actueel en realistisch risicoprofiel op te nemen, in relatie tot het vermogen deze risico’s op te vangen. Daarnaast hebben wij naar aanleiding van de behandeling van de jaarrekening X toegezegd nog voor het einde van X een nota risicomanagement en weerstandsvermogen aan uw raad aan te bieden. Deze leggen wij hierbij aan u voor.
1.2. Doelstelling en reikwijdteMet deze nota willen wij onze visie op risicomanagement en weerstandsvermogen voorleggen, en de uitvoering daarvan. Achtereenvolgens zullen wij ingaan op: • hetbegrippenkader;-dedoelstellingenenreikwijdte
van risicomanagement; • hetbeleidtenaanzienvanhetgewenste
weerstandsvermogen, mede in relatie tot het raadsbesluit inzake reserves en voorzieningen;
•spelregelsvoordeuitvoeringvanhetrisicobeleid.Het is duidelijk dat risicomanagement een wezenlijk onderdeel deel is van de sturing en beheersing van de gemeente. Wij streven nu echter niet naar de implementatie van een modieus management control model, dat de capaciteit van de organisatie overstijgt. Wij kiezen, vanuit een realistisch beeld van wat de organisatie aan kan, voor een praktische aanpak. Deze keuze is mede gebaseerd op ervaringen in andere grote gemeenten.
1.3. Het begrip risicoVan belang zijn de begrippen risico, weerstandscapaciteit en weerstandsvermogen (hierop komen we terug in 3.1./3.2.). Het Besluit Begroting en Verantwoording (BBV) laat gemeenten vrij in het inkleuren van deze begrippen. Welke risico’s in gemeenten relevant zijn en wat tot de weerstandscapaciteit wordt gerekend, kan niet in zijn algemeenheid worden aangegeven. Gemeenten dienen de risico’s en de capaciteit zelf na te lopen en in kaart te brengen. Doordat de risico’s per gemeente verschillen, is het niet mogelijk een algemene norm te stellen voor een goede relatie tussen risico’s en weerstandscapaciteit. Het is aan de gemeente zelf een beleidslijn te formuleren over de in de organisatie noodzakelijk geachte weerstandscapaciteit in relatie tot de risico’s. Het begrip risico definiëren we als volgt: - Risico = een onzekere ongewenste gebeurtenis, waardoor het realiseren van de organisatiedoelstellingen en -strategie in gevaar komt. Dat betekent dat: - als er zekerheid bestaat over het optreden van de gebeurtenis er geen sprake meer is van een risico. Dat heeft gevolgen voor de wijze waarop met de (financiële) gevolgen moet worden omgegaan.• alsdegebeurtenisgeengevolgenheeftvoorhet
realiseren van de organisatiedoelen, er ook geen sprake is van risico. Dat betekent dat het altijd gaat om substantiële zaken.
• hetmissenvaneenkansisookeenrisico.
121 Risicomanagement meer dan de som der delen
2. Van risicobeleid naar risicomanagement
2.1. Huidig risicobeleidHet huidig risicobeleid binnen de gemeente X is vastgelegd met een raadsbesluit van X met betrekking tot vermogenspositie en gewenste hoogte van de vrije reserves, voor een deel geactualiseerd met het raadsbesluit van X inzake de nota reserves en voorzieningen. Sindsdien wordt inhoud gegeven aan risicobeleid door bij de opstelling van de verschillende BBV-producten, met name begroting, jaarrekening en Voortgangsrapportage Grote Projecten (VGP), melding te maken van risico’s en eventuele maatregelen voor te stellen om risico’s te beperken. Vanuit de risico’s is er steeds een relatie gelegd naar de gewenste hoogte van de reserves. Vanaf X gebeurt dat met de in het BBV voorgeschreven paragraaf Weerstandsvermogen. In X is een gemeentebrede risico-inventarisatie uitgevoerd. Maar risico’s veranderen, de wereld staat niet stil, periodiek onderhoud van de uitkomsten van risicoanalyse is nodig. Dit wordt bemoeilijkt door het ontbreken van ondersteuning in de vorm van een passend informatiesysteem. Daarnaast wordt, onder meer in het kader van rechtmatigheid, via de controlprogramma’s van de verschillende directies aandacht besteed aan risico’s. Het gaat daarbij voornamelijk om het identificeren van procesrisico’s en het treffen van maatregelen om deze te minimaliseren, gevolgd door interne controle op de werking van de maatregelen.
2.2 Toekomstig risicomanagemenWat is risicomanagementRisicomanagement is het effectief omgaan met de kansen en bedreigingen die derealisatie van organisatiedoelstellingen kunnen beïnvloeden. Met andere woorden: het is gericht op proactief handelen in plaats van reactief. Risicomanagement is, als normaal onderdeel van de verantwoordelijkheid van het management, een periodiek terugkerend proces dat bestaat uit een aantal onderdelen:• Identificerenvanrisico’s• Kwantificerenvanrisico’s• Definiërenenimplementerenvan
beheersmaatregelen• Financieelafdekkenvanrisico’sOnderstaan lichten wij dit nader toe. Door een
koppeling aan te brengen met de BBV-cyclus (zie 4.1) willen we benadrukken dat er sprake is van een cyclisch proces.
Identificeren van risico’sIn deze fase worden alle potentiële risico’s geïnventariseerd. Daarbij wordt naar risico’s gezocht binnen alle risicogebieden, dat zijn samenhangende clusters van activiteiten van de gemeente. De risico’s worden bezien vanuit verschillende invalshoeken, risicogroepen en risicocategorieën. Risicogroepen zijn bij voorbeeldprogramma’s. Voorbeelden van risicocategorieën zijn aansprakelijkheidsrisico, procesrisico, financieel risico, milieurisico, arbeidsrisico.
Kwantificeren van risico’sDe analyse bestaat uit een inschatting van de kans dat een gebeurtenis optreedt, en wat daarvan de gevolgen zullen zijn. Met behulp van beoordelingstechnieken kanworden afgewogen hoe groot het risico is. Ieder individueel risico wordt bepaald als: Kans x Gevolg. Doel is om de hoge risico’s te identificeren. Het waarderen van risico’s behoort zoals gezegd tot de normale managementverantwoordelijkheid. In zijn aard is het een proces van taxeren en inschatten, en heeft daarmee altijd in bepaalde mate een subjectief karakter. Deze subjectiviteit beperken we zoveel mogelijk, door enerzijds er voor te zorgen dat er altijd meerdere personen bij het proces betrokken zijn, en anderzijds waar mogelijk gebruik risicoprofielen van andere gemeenten te gebruiken als spiegel voor onze eigen inschattingen.
Definiëren en implementeren van beheersmaatregelenEr worden beheersmaatregelen gedefinieerd die zijn gericht op het beheersen van de risico’s. Beheersmaatregelen kunnen preventief van aard zijn, gericht op het voorkomen van de gebeurtenis. Voorbeelden daarvan zijn procedures, herinrichting van processen en zorgsystemen. Maatregelen kunnen ook curatief zijn, gericht op het beperken van de gevolgen. Voorbeelden daarvan zijn een rampenorganisatie, risicofinanciering en verzekering. Het is van belang dat de beheersmaatregel in verhouding staat tot de omvang van het risico. Op grond van een kosten-batenanalyse kan ook worden besloten dat bepaalde risico’s moeten worden geaccepteerd.
122
Financieel afdekken van risico’sTot slot kan dan op grond van deze analyses bepaald worden hoeveel middelen gereserveerd moeten worden ter afdekking van deze risico’s. Het gaat daarbij om de restrisico’s. Daarmee wordt bedoeld dat de mate waarin de getroffen beheersmaatregelen het oorspronkelijke risico terugdringen, moet worden meegewogen. De uitkomsten hiervan moet afgezet worden tegen de middelen die de organisatie beschikbaar heeft.
3. Weerstandscapaciteit en weerstandsvermogen
3.1. WeerstandscapaciteitDe weerstandcapaciteit is te omschrijven als de omvang van de direct beschikbare financiële middelen om onverwachte financiële tegenvallers op te vangen. Het is als het ware een buffer om er voor te zorgen dat bestaand beleid en voorzieningen niet in gevaar komen, als risico’s werkelijkheid worden. De weerstandscapaciteit bestaat uit:• Algemenereserve;• Bestemmingsreserves(inclusiefX);• Stillereserves;• Postonvoorzien;• Flexibiliteitvanbudgetten,waaronderdeonbenutte
belastingcapaciteit.De mate waarin deze posten kunnen bijdragen aan de weerstandscapaciteit zal steeds opnieuw moeten worden bezien. Hierin wordt voorzien via de paragraaf Weerstandsvermogen in de begroting en de jaarrekening.
3.2. WeerstandsvermogenHet weerstandsvermogen bestaat uit de relatie tussen de beschikbare weerstandscapaciteit en de voor afdekking van de risico’s benodigde weerstandscapaciteit (middelen). De benodigde weerstandscapaciteit wordt bepaald door het risicoprofiel van de gemeente als geheel, waarbij de waarschijnlijkheid en de omvang van ieder risico afzonderlijk is gewaardeerd (zie 2.2). Deze relatie drukken we uit in een verhoudingsgetal
4. Uitvoering van het risicomanagement
4.1. Kader is de BBV-cyclusDoor de bepalingen van het BBV, de verplichte paragraaf Weerstandsvermogen, is risicomanagement onlosmakelijk verbonden aan de BBV-cyclus. Dat betekent dat wij minimaal twee maal per jaar, via begroting en jaarrekening, een integraal beeld geven van de risico’s, de aanwezige weerstandscapaciteit en het weerstandsvermogen, en de ontwikkelingen ten opzichte van de voorgaande rapportage. In de tussentijdse bestuursrapportages zullen wij steeds ingaan op de ontwikkelingen ten aanzien van de top-10 risico’s (zie 4.4).
4.2. Kwaliteit van de risicobepalingIn de geschetste methodiek van risicomanagement worden risico’s individueel beoordeeld op kans van optreden en het daarmee gepaard gaande gevolg. Daarmee bereiken we dat we beschikken over een meer betrouwbaar beeld van het totale risiconiveau dan tot nu toe in de paragraaf weerstandsvermogen, omdat daarin werd uitgegaan van een algemeen gemiddelde kans. Dit moet ertoe leiden dat er betere uitspraken kunnen worden gedaan over het weerstandsvermogen van de gemeente.Daarmee wordt een belangrijk bezwaar weggenomen, dat via het aanvaarde amendement op het raadsvoorstel Reserves en voorzieningen naar voren werd gebracht. Maar feit blijft dat risico’s zich in de tijd ontwikkelen, daar is geen ontkomen aan.
4.3. Omvang van het weerstandsvermogenOp basis van de gepresenteerde waarderingstabel weerstandsvermogen streven wij naar een ratio weerstandsvermogen van minimaal 1,0, daarmee krijgt het weerstandsvermogen de kwalificatie “voldoende”, en dat is in onze visie goed genoeg. Via onze programma’s, productgroepen, producten, projecten en planexploitaties sturen wij immers op maximale beheersing. Daarbij zullen wij zo nodig voorzieningen creëren. Verder benadrukken we nog eens dat we iedere risico afzonderlijk wegen, en de daarbij benodigde beheersmaatregelen bepalen. Het uiteindelijke risicoprofiel bevat dan de restrisico’s die overblijven nadat de beheersmaatregelen zijn getroffen. Met het raadsbesluit van X is vastgelegd dat omvang van de algemene reserve wordt genormeerd
123 Risicomanagement meer dan de som der delen
op minimaal € XX per inwoner en maximaal € XX per inwoner. De algemene reserve is een belangrijk bestanddeel van de weerstandscapaciteit. Met het normeren van de algemene reserve wordt dus ook de weerstandscapaciteit genormeerd. Dit kan in een situatie waarin het totale risicoprofiel zich ongunstig ontwikkeld, spanning opleveren met het streven naar een voldoende weerstandsvermogen. Wij zullen in dat geval via de paragraaf weerstandsvermogen voorstellen doen voor de wijze waarop daarmee kan worden omgegaan, en uw raad vragen om daar een uitspraak over te doen.
4.4. Top 10 risico’sErvaringen in andere gemeenten leren dat als risico’s systematisch worden geïnventariseerd, er al snel een lange lijst van risico’s ontstaat. Dat is ook het beeld van onze eigen risico-inventarisatie uit XXX. Een deel van deze risico’s heeft slechts beperkte financiële gevolgen. Wij zullen in de weerstandsparagraaf uitgebreid ingaan op de top 10 risico’s. De overige risico’s zullen wij in financiële zin samenbrengen en worden onder de noemer “overige risico’s” meegewogen in het weerstandsvermogen.
4.5. Verankering in de organisatie (inclusief informatievoorziening en evaluatie)Risicomanagement behoort tot de normale managementverantwoordelijkheden. Dat betekent dat iedere directeur, programmamanager, afdelingshoofd, projectleider etc. verantwoordelijk is voor het risicomanagement met betrekking tot de aan hem/haar toegewezen taken. Door in de BBV-cyclus systematisch aandacht te besteden aan risico’s willen wij het risicobewustzijn in de organisatie verder vergroten. Er zal het nodige in gang worden gezet om risicomanagement op een hoger plan te brengen. Wij zien daarvoor een belangrijke rol weggelegd voor de controlorganisatie: stadscontrol en directiecontrollers. Zij zullen het voortouw nemen in het proces, en de onder 2.2. geschetste activiteiten gaan organiseren. Er is binnen de concernstaf een procesontwerp gemaakt dat zal dienen als basis voor de verankering van risicomanagement in de organisatie. Tot het moment dat risicomanagement voldoende is geïnstitutionaliseerd zullen de directiecontrollers op directieniveau, en de stadscontroller op concernniveau fungeren als risicocoördinator. Wij zullen op zoek gaan naar een informatiesysteem dat ons daarbij kan ondersteunen.
De informatievoorziening zal maandelijks plaatsvinden door middel van een maandelijkse risicorapportage. In deze rapportage zal een overzicht worden gegeven van de belangrijkst (actuele) risico’s en de daarop geformuleerde maatregelen. Tevens wordt een inschatting gegeven van kans en impact van de verschillende risico’s. Tenslotte staat opgenomen wie verantwoordelijk is.
Tevens zal ieder jaar een evaluatie worden uitgevoerd van het risicomanagement systeem.
4.6. Risicoprofiel Perspectiefnota XWij zullen, conform het raadsbesluit van X, in de perspectiefnota X een geactualiseerd risicoprofiel opstellen. Wij zullen dat zo veel als mogelijk doen op basis van de hierboven geschetste methodiek, die geheel tegemoet komt aan de wens van uw raad om de risico’s en de gevolgen van risico’s individueel te waarderen. Daarbij zullen wij, eveneens op de hiervoor beschreven wijze, een relatie leggen met het weerstandsvermogen. Omdat de werkzaamheden grotendeels in het eerste kwartaal X moeten plaatsvinden, concurreren deze met de werkzaamheden voor het opstellen van de jaarrekening. Daarnaast is het nog onzeker of wij daarbij al kunnen beschikken over een ondersteunend informatiesysteem, en zo ja in welke mate de organisatie al in staat zal zijn om met dat systeem te werken. Zo nodig vallen wij terug op de methodiek die is gehanteerd bij de risico-inventarisatie in 20XX/20XX. Hierdoor is het niet geheel zeker dat het risicoprofiel al over de volle breedte zal voldoen aan de daaraan op termijn te stellen eisen.
124
Bijlage 12: Begrippenlijst
BBV Besluit begroting en verantwoording provincies en gemeenten
Beheersmaatregelen Het stelsel van maatregelen en procedures die worden genomen om de onderkende risico’s te ondervangen dan wel om opkomende risico’s te signaleren en het effect hiervan te beperken
COELO Centrum voor Onderzoek van de Economie van de Lagere Overheden (COELO) heeft verschillende onderzoeken op het gebied van risico’s en weerstandsvermogen verricht bij de lagere overheden. Uit deze onderzoeken is een hulpmiddel voor weerstandsvermogen ontworpen wat gebaseerd is op een technische analyse van de onderzoeksresultaten.
Continue Verbetering Binnen het proces van risicomanagement ervaringen implementeren om steeds scherper risico’s te identificeren en kwantificeren zodoende betere beheersmaatregelen te ontwikkelen
Cultuurverandering Proces van implementatie en acceptatie van risicomanagement
Financiële Positie De financiële positie is het vermogen van een organisatie - in relatie tot de exploitatie en met inachtneming van de risico’s - haar beleidsvoornemens te kunnen uitvoeren, zowel op de korte als lange termijn.
FrequentieGovernance
het verwacht aantal keren dat een risico zich voordoetHet waarborgen van de onderlinge samenhang van de wijze van sturen, beheersen, en toezicht houden van een organisatie, gericht op een efficiënte en effectieve realisatie van doelstellingen, alsmede het daarover op een open wijze communiceren en verantwoording afleggen ten behoeve van belanghebbenden
Governance-cyclus Viertal processen (sturen, beheersen, verantwoorden en toezicht) gericht op de interne en externe organisatie voor de lange en korte termijn
Impact De effecten van een risico in financiële of andere zin
Kans De kans dat een risico zich voordoet
NAR Nederlands Adviesbureau voor Risicomanagement die een risicomanagement systeem he eft ontwikkeld gebaseerd op benchmark genaamd NARIS
Risico Een risico wordt gedefinieerd als de kans op een gebeurtenis die een negatief effect heeft op de (continuïteit van de) bedrijfsvoering: een latent aanwezige, ongewenste implicatie van onzekerheid
Risicoanalyse Het identificeren en kwantificeren van risico’s
Risicobeheersing Door middel van beheersmaatregelen de risico's acceptabel houden zodat het niet de continuïteit in gevaar brengt.
Risicomanagement Het identificeren en kwantificeren van risico’s en het bepalen van activiteiten die de kans van optreden en/of de gevolgen van risico’s beheersbaar houdt
Risicomanagement proces De activiteiten behorende tot risicomanagement in een proces met opeenvolgende stappen: kaderstelling & strategie, risicoanalyse, vaardigheden, monitoren resultaten, toezicht & toetsing en verbetering
125 Risicomanagement meer dan de som der delen
Risicomanagement systeem Systeem van elkaar opvolgende stappen om risicomanagement uit te voeren: risicoanalyse, risicoweging, risicobeheersing, resterende risico’s en dekking door weerstandscapaciteit
Risicoprofiel Een overzicht van de risico's dat een organisatie loopt met daaraan gekoppeld het financiële resultaat.
Risicoweging Een financiële waarde toekennen aan het risico dat in overeenstemming is met de kans dat het risico zich voordoet: kans * gevolg
Schade De uitkomst van de som kans x frequentie x impact
Sturen Alle activiteiten waarbij de gemeente richting geeft aan de methodiek en systeem van risicomanagement
Toezicht Alle activiteiten waarbij controle wordt uitgevoerd over de binnen de kaders gestelde activiteiten
Verantwoorden Verantwoording afleggen over de activiteiten die zijn uitgevoerd binnen de kaders die zijn opgesteld onder beheersen
Weerstandscapaciteit De weerstandscapaciteit van een organisatie wordt gedefinieerd als het geheel van middelen en mogelijkheden om niet begrote, onvoorziene en (mogelijk) substantiële kosten te dekken. De weerstandscapaciteit kan zowel incidenteel als structureel van aard zijn
Weerstandsvermogen Het weerstandsvermogen is de mate waarin financiële tegenvallers kunnen worden opgevangen. Hierbij wordt de weerstandscapaciteit afgezet tegen de risico’s die een gemeente loopt. Weerstandsvermogen kan zowel een statisch als een dynamisch karakter hebben. Statisch weerstandsvermogen is het vermogen om tegenvallers op te vangen zonder dat dit tot beleidswijzigingen in het begrotingsjaar zelf leidt. Dynamisch weerstandsvermogen is het vermogen om tegenvallers op te vangen zonder dat dit consequenties heeft voor het beleid in meerdere begrotingsjaren
126
Diana Boender, ambulancedienst ZHZDiana Boender was van 1990 tot en met 2006 werkzaam bij Deloitte accountants. Sinds haar indiensttreding bij Deloitte is zij betrokken geweest bij controles van gemeenten, variërend in grootte van 10.000 tot 40.000+ inwoners. In haar cliëntenportefeuille bevonden zich naast gemeenten ook woningbouwverenigingen en stichtingen. Binnen de vestiging Dordrecht Rijnmond-Rivierenland was zij het aanspreekpunt op het gebied van risicomanagement. In die hoedanigheid heeft zij een cursus ‘risicomanagement / weerstandsvermogen en de toezichthouder’ ontwikkeld welke landelijk aan alle toezichthouders (ministerie van Binnenlandse Zaken en Koninkrijksrelaties en alle provincies) is aangeboden.
Sinds januari 2007 is Diana werkzaam bij de Regio Zuid-Holland Zuid. Een gemeenschappelijke regeling van 19 gemeenten, waarin de regionale brandweer, de milieudienst, GGD en Regionale Ambulancevoorziening zijn ondergebracht. Zij is daar werkzaam als sectorcontroller voor de Regionale Ambulancevoorziening en verricht projectmatige opdrachten voor de Regiostaf.
René Janssen, gemeente Enschede/gemeente AlmereRené Janssen is werkzaam bij de gemeente Almere als concerncontroller. Daarvoor was hij jarenlang concerncontroller voor de gemeente Enschede. Bij de gemeente Enschede heeft hij zich actief bezig gehouden met de ontwikkeling en implementatie van risicomanagement. Zijn ervaringen op dit gebied heeft hij actief uitgedragen in lezingen, presentaties en bijeenkomsten rond risicomanagement bij gemeenten.
Rob Janssens, gemeente DoetinchemRob Janssens is sinds 2001 concerncontroller van de gemeente Doetinchem. Als hoofd van de eenheid is hij direct verantwoordelijk voor de omvorming van de middelenafdelingen tot vraaggerichte en vakdeskundige afdelingen die ondersteunend zijn aan integraal management en voor de ontwikkeling van de controlfunctie binnen de gemeentelijke organisatie.
Tevens is hij in die rol direct verantwoordelijk voor de actualisering van de planning en controlinstrumenten vanwege invoering van het dualisme en vanwege de (interne) organisatieontwikkeling. Doel: versterking sturende rol gemeentebestuur (college en raad) en ontwikkeling stuurbare organisatie algemeen.
Voordat Rob Janssens in dienst trad van de gemeente Doetinchem was hij werkzaam bij de gemeente IJsselsteinalsDirecteurCentraleStafMiddelen/Concerncontroller.
Bert de Jong, gemeente AmersfoortBert de Jong heeft zich de afgelopen jaren actief bezig gehouden met risicomanagement binnen de gemeente Amersfoort. Eén van de terreinen waarop hij risicomanagement vorm heeft gegeven is dat van de Sociale Zekerheid. Gezien het feit dat dit een veld is dat volop in beweging is (waaronder de nieuwe Wet Sociale Werkvoorziening), is het vraagstuk van risicomanagement zeer actueel te noemen.
Bijlage 13: Beknopte CV’s van de deelnemers aan het Handboek
127 Risicomanagement meer dan de som der delen
Annemieke Jutte, gemeente AmersfoortAnnemieke Jutte is beleidsadviseur gemeentebrede bedrijfsvoering bij de gemeente Amersfoort. Zij houdt zich voornamelijk bezig met de ontwikkeling en uitvoering van risicomanagement bij de gemeente Amersfoort. Zo is zij medeontwikkelaar van het raamwerk risicomanagement van de gemeente Amersfoort. Tevens verzorgt zij regelmatig lezingen en presentaties over risicomanagement in de publieke sector.
Corné Kuijpers, gemeente OosterhoutCorné Kuijpers is werkzaam bij de gemeente Oosterhout als Senior Auditor bij het onderdeel Bestuur Control & Advies. Vanuit deze functie treedt hij op als adviseur voor onder meer de inrichting van risicomanagement binnen de gemeente Oosterhout. De gemeente Oosterhout is actief op verschillende ontwikkelterreinen, zoals gebiedsontwikkeling en samenwerking. Vanuit die optiek is een effectief systeem van risicomanagement cruciaal te noemen.
Dick Maaskant, gemeente RoosendaalSinds 2000 is Dick Maaskant werkzaam bij de gemeente Roosendaal als Concerncontroller. Vanuit die functie is hij verantwoordelijk voor de bedrijfsvoering van de gemeente. Hij is tevens lid van het Nederlands Netwerk Risicomanagement (NNR), de Kenniskring Risicomanagement en Weerstandsvermogen en Kenniskring Auditing Door Overheid (KADO). Ook neemt Dick Maaskant deel aan het PRIMO: het netwerk voor risicomanagers in de publieke sector.
Bij de gemeente Roosendaal is hij verantwoordelijk voor de inrichting en uitwerking van risicomanagement.
Kees Traas, gemeente Roosendaal Kees Traas is sinds 1985 werkzaam bij de gemeente Roosendaal. Op dit moment vervult hij depositie van Financieel adviseur. Vanuit deze functie is hij nauw betrokken bij de ontwikkeling van risicomanagement binnen de gemeente. Ook is hij betrokken bij PRIMO Nederland.
Jan Vermeule, gemeente AmersfoortJan Vermeule is werkzaam bij de gemeente Amersfoort en houdt zich actief bezig met bedrijfsvoering en risicomanagement. Hij is als adviseur betrokken bij het sturen op risicomanagement en houdt zich tevens bezig met andere aspecten van de bedrijfsvoering binnen de gemeente Amersfoort.
Erik-Jan van Genderen, Regio ZHZErik-Jan van Genderen is sinds 2005 concerncontroller en tevens waarnemend directeur regiostaf bij de Regio Zuid-Holland Zuid. Daarvoor was hij werkzaam bij de Milieudienst Zuid-Holland Zuid die later is opgegaan in de regio. Als concerncontroller moet hij in een samenwerkingsverband van 19 gemeenten laveren tussen de deelbelangen van deze gemeenten en het collectieve belang, het borgen zorgvuldigheid van processen, het creëren van draagvlak en verbinden (zowel in- als extern). Tussen 1995 en 2004 is Erik-Jan van Genderen werkzaam geweest bij Deloitte Accountants.
128
Hans Voesenek, gemeente BredaHans Voesenek is bij de gemeente Breda werkzaam als hoofd van de afdeling Planeconomie. Deze afdeling houdt zich bezig met het opstellen van haalbaarheidsanalyses, grondexploitaties opstellen, beheersen en bewaken. Vanuit die functie is hij verantwoordelijk voor onder meer de risicobeheersing en –verantwoording op grote infrastructurele projecten en gebiedsontwikkeling binnen de gemeente Breda. Hij is onder meer verantwoordelijk voor de invulling van risicomanagement op dit gebied en is actief betrokken geweest bij de (door)ontwikkeling van risicomanagement binnen de gemeente Breda.
René Wiersma, gemeente BredaRené Wiersma werkt bij de gemeente Breda als teamleider Control op het terrein van gebiedsontwikkeling. De gemeente Breda is zeer actief op het terrein van gebiedsontwikkeling en is onder meer vanuit dat werkgebied intensief bezig met risicomanagement. Hij is tevens betrokken bij de gemeentebrede ontwikkeling van risicomanagement in Breda.
Arie Wijten, gemeente Pijnacker-NootdorpSinds 2005 vervult Arie Wijten de positie van concerncontroller/directeur Middelen voor de gemeente Pijnacker-Nootdorp. Daarvoor bekleedde hij verschillende posities bij gemeenten, waaronder die van concerncontroller/hoofd concernstaf van de gemeente Westland. Vanuit die posities is hij actief betrokken bij de ontwikkeling van de bedrijfsvoering bij gemeenten en heeft hij invulling gegeven aan risicomanagement, zowel aan de instrumentele kant als ook aan de implementatiekant.
Naast zijn werk als concerncontroller is hij tevens fractievoorzitter en gemeenteraadslid bij de gemeente Westland voor het CDA. In die positie houdt hij zich ook bezig met de portefeuille bedrijfsvoering.
Ministerie van Binnenlandse Zaken en KoninkrijksrelatiesHet ministerie is ook betrokken geweest bij de ontwikkeling en discussie rondom de totstandkoming van de publicatie. Zij is ook aanwezig geweest bij de rondetafelgesprekken met de deelnemers.
129 Risicomanagement meer dan de som der delen
De auteurs
Frank van Kuijck, gevolmachtigde Deloitte Frank is Partner bij Deloitte Accountants BV. In de dagelijkse praktijk is Frank vanaf 1992 betrokken bij organisatie in het Lokaal Bestuur (gemeenten en provincies). Tot zijn cliënten behoren dan wel behoorden gemeenten van circa 25.000 tot 200.000 inwoners. Frank heeft een ruime ervaring en affiniteit met advisering op het terrein van risicomanagement, projectbeheersing en opzet en uitwerking van grondbeleid en –verslaggeving en verantwoording. Daarnaast is Frank sinds 2006 eindverantwoordelijk voor het Public Sector deel van het Accounting & Auditing Center (AAC) van Deloitte in Rotterdam. Bij het AAC worden de collega’s in de dagelijkse praktijk voorzien van richtlijnen, instructies en informatie op behulpzaam te zijn bij de veelheid aan wijzigingen in de Public Sector bij onder meer gemeenten, provincies, zorg, onderwijs, wonen en ruimte, rijksoverheid, waterschappen, openbare orde en veiligheid en stichtingen en verenigingen. Frank is als docent verbonden aan de Universiteit van Tilburg. Ook heeft Frank diverse publicaties op zijn naam staan met betrekking tot BBV, verslaggeving, rechtmatigheid, governance reeks en project control. Frank is medeauteur van de Deloitte-uitgaven: ‘Een boekje open over rechtmatigheid’, ‘Vooruit met rechtmatigheid’, ‘Een wijze raad’ en ‘Auditcommissie: de ogen en oren van de gemeenteraad’, Grond(ig) beleid en eindredacteur diverse handboeken jaarrekening (Gemeenten, Onderwijs, Woningbouw en Zorg).
Rein-Aart van Vugt, gevolmachtigde Deloitte Rein-Aart van Vugt is auditpartner bij Deloitte Accountants B.V. Sinds 1991 is hij betrokken bij de controle van onder andere gemeenten. Tot zijn cliënten behoren gemeenten variërend in grootte van 10.000 tot 130.000 inwoners, Gemeenschappelijke Regelingen, shared service centra, woningcorporaties, welzijnsinstellingen, waterschappen en cliënten in de profitsector.
Rein-Aart was betrokken bij adviesopdrachten op het gebied van planning&control, Gemeenschappelijke Regelingen, samenwerkingsovereenkomsten, verbetertrajecten, productbegrotingen en grondexploitaties. Daarnaast heeft Rein-Aart diverse publicaties op zijn naam staan over rechtmatigheid, Besluit begroting en verantwoording, de financiële verordening ex. Artikel 212 Gemeentewet, fraude, audit commissies en verbonden partijen. Hij is medeauteur van de Deloitte-uitgaven ‘Een boekje open over Rechtmatigheid’, ‘Vooruit met rechtmatigheid’, ‘Een wijze raad’ en uit de serie Gemeente Governance is hij medeauteur van het ‘Handboek Verbonden partijen’, het ‘Handboek Fraude Gemeenten’ en ‘De jaarrekening. Over al deze onderwerpen spreekt hij regelmatig op seminars en congressen.
Rein-Aart is lid van het Platform Rechtmatigheid Provincies en Gemeenten (PRPG) en participeert in verschillende werkgroepen inzake governance, verslaggeving en rechtmatigheid. Binnen Deloitte is Rein-Aart lid van de kerngroep lokaal bestuur en voorzitter van de branchegroep waterschappen.
130
Arie Elsenaar, gevolmachtigde Deloitte Arie Elsenaar is auditpartner bij Deloitte Accountants B.V. Tot zijn cliënten behoren gemeenten variërend in grootte van 25.000 tot 300.000 inwoners, provincie Gelderland en een aantal gemeenschappelijke regelingen. Arie is tevens voorzitter van de industrygroep lokaal bestuur en binnen Deloitte verantwoordelijk voor gemeenten, provincies, waterschappen, sociale zekerheid en openbare orde en veiligheid. Vanuit die functie onderhoudt hij de contacten met koepelorganisaties, belangenverenigingen, Ministeries etc. Hij heeft tal van publicaties op zijn naam staan.
Rob Dubbeldeman, director Deloitte Rob Dubbeldeman is director binnen Deloitte Consulting. Binnen Deloitte Consulting is Rob verantwoordelijk voor de dienstverlening in het Lokaal en Midden Bestuur. Het betreft hier de dienstverlening voor gemeenten en provincies en enkele uitvoeringsorganisaties van departementen. Rob vult deze functie in vanuit zijn ruime werkervaring in het publieke domein.
Naast de commerciÎle verantwoordelijkheid voor de sector vult Rob tevens een actieve rol in bij het projectmanagement van adviesopdrachten. Het betreft doorgaans de rol van projectleiding of kwaliteitsborging. Rob heeft een achtergrond in bedrijfsvoeringsopdrachten, risicomanagement, benchmarking en prestatiemanagement.
Rob Dubbeldeman heeft een groot aantal 100.000+ gemeenten mogen ondersteunen in herstructureringsvragen binnen de ondersteunende functies. Met name de financiÎle functie, P&O-functie en facilitaire zaken. In het merendeel van de opdrachten fungeerde de concerncontroller/ directeur concern als opdrachtgever. De achtergrond van de opdrachten ligt vaak in een gewenste kwaliteitsverbetering in combinatie met een doelmatigheidsverbetering.
De geleverde ondersteuning beslaat het proces van analyse/ontwerp tot aan het effectueren en implementeren van voorgestelde herstructureringsmaatregelen. In de analyse c.q. ontwerpfase wordt uitvoerig stilgestaan bij het organisatiemodel, procesinrichting, formatieve bezetting en benodigde competenties.
Roelant Reijmerink, senior manager Deloitte Roelant heeft ruime ervaring in de publieke sector met vraagstukken op het gebied van bedrijfsvoering, samenwerking en Shared Services. Hij is belast met de leiding van zeer uiteenlopende opdrachten in de publieke sector. Opdrachten veelal gericht op integrale verbetering van de bedrijfsvoering inclusief informatievoorzienig, planning & control en optimalisatie van de informatievoorziening (w.ol digitalisering). Daarnaast is Roelant een ervaren onderzoeker en trekker op het terrein van shared services in de publieke sector en samenwerking. Bedreven in het begeleiden van bestuurlijke besluitvorming en organisatieverandering.
Arjen Heinen, business analyst Deloitte Arjen Heinen is Business Analyst bij Deloitte Consulting. Hij maakt deel uit van de service line Shared Services van Deloitte’s Consulting praktijk in Nederland. Arjen houdt zich voornamelijk bezig met opdrachten in de publieke sector. Hij heeft verschillende opdrachten uitgevoerd voor gemeenten op het gebied van shared services en samenwerking. Hij is tevens betrokken bij het internationale netwerk voor shared services voor Deloitte. Arjen heeft Financieel Management gestudeerd aan Nyenrode Business Universiteit te Breukelen en heeft tevens Commerciële Economie gestudeerd in Utrecht. Hij is lid van Kennis Kring Amsterdam.
131 Risicomanagement meer dan de som der delen
Deloitte verwijst naar Deloitte Touche Tohmatsu, een Swiss Verein, en haar netwerk van memberfirms. Elke memberfirm is een zelfstandige juridische eenheid. Zie www.deloitte.com/about voor een gedetailleerde beschrijving van de juridische structuur van Deloitte Touche Tohmatsu en haar memberfirms.
Deloitte is met ongeveer 5.000 medewerkers en kantoren in heel Nederland de grootste organisatie op het gebied van accountancy, belastingadvies, consultancy en financiële advisering. Deloitte Nederland is een onafhankelijke memberfirm van Deloitte Touche Tohmatsu, met 165.000 medewerkers en vestigingen in meer dan 140 landen.
De medewerkers van Deloitte zijn verbonden in een samenwerkingscultuur waarin integriteit, uitmuntende waarde voor markten en cliënten, betrokkenheid bij elkaar en kracht door culturele diversiteit worden aangemoedigd. Hierin staan permanente educatie, uitdagende ervaringen en verrijkende carrièremogelijkheden centraal. De medewerkers van Deloitte zetten zich met volle overtuiging in om maatschappelijk verantwoord ondernemen te versterken, publiek vertrouwen op te bouwen en hun gemeenschappen positief te beïnvloeden.
© 2009 Deloitte, Member of Deloitte Touche Tohmatsu
Designed and produced by MCBD at Deloitte, Rotterdam. 9.00
1.02
7
Deloitte Consulting B.V.Orteliuslaan 10413528 BE UtrechtPostbus 851043508 AC Utrecht
Tel: (030) 2995500Fax: (030) 2995512www.deloitte.nl