Add to collection(s) Add to saved
  1. Bedrijfsleven
  2. Management

Risicomanagement meer dan de som der delen

advertisement 
Risicomanagement
meer dan de som der delen
Niet alleen inzicht in risico’s en €’s maar ook een driver voor organisatieontwikkeling
Een praktisch handboek
Auteurs en redactie:
drs. R. Dubbeldeman
drs. A. Heinen
drs. R.F.J. Reijmerink
F.A.J. van Kuijck RA RO EMIA
drs. R.M.J. van Vugt RA
2
Inhoud
Ten geleide
Samenvatting
Voorwoord Risicomanagement: op het grensvlak van werelden
5
7
11
1. Inleiding
1.1 Waarom dit handboek?
1.2 Wat is risicomanagement?
1.3 Leeswijzer
1.4 Wat is interessant voor welke doelgroep?
15
16
16
20
21
2. Risicomanagement
2.1 Wet- en regelgeving: eisen in het kader van risicomanagement
2.2 Risicomanagement en ISO
2.3 Risicomanagementraamwerk
2.3.1 Kaderstelling en Strategie
2.3.2 Risicoanalyse
2.3.3 Beheersmaatregelen
2.3.4 Monitoren Resultaten
2.3.5 Toezicht en Toetsing
2.3.6 Verbetering
2.4 Inbedding/verankering
23
23
23
25
25
26
30
32
33
33
34
3. Governance
3.1 Het begrip Governance
3.2 De governance cyclus
3.2.1 Sturen
3.2.2 Beheersen
3.2.3 Verantwoorden
3.2.4 Toezicht houden
3.3 Risicomanagement en het duale bestel
3.4 Integratie risicomanagement in de governancecyclus
37
37
37
39
41
46
50
52
54
4. Continue verbetering
4.1 Ontwikkeling van risicomanagement
4.2 Risicomanagement als instrument voor continue verbetering
4.3 Risicomanagement als onderdeel van de bedrijfsvoering
4.4 Risicomanagement: de kunst van cultuur
4.4.1 Houding en gedrag
4.4.2 Een kwestie van stijl
4.4.3 Cultuurverandering
4.5 Risicomanagement als instrument om je doel te bereiken
4.6 Handreikingen voor risicomanagement
59
59
60
61
63
63
64
65
66
67
5. Weerstandsvermogen
5.1 Definitie
5.2 Financiële postie
5.3 Weerstandsvermogen
5.4 Risico’s
5.5 Weerstandscapaciteit
73
73
74
74
75
76
Risicomanagement meer dan de som der delen
3
4
6. Valkuilen uit de praktijk
6.1 De objectiviteit van het risicomanagement instrumentarium
6.2 De keuze van objecten van risicomanagement
6.3 Mate van detaillering
6.4 Het feitelijk doen
6.5 Andere vaak voorkomende valkuilen en succesfactoren
81
81
82
83
83
83
7. Risicomanagement in de praktijk: casuïstiek
7.1 Risicomanagement en Shared Services
7.2 Risicomanagement en WSW
7.3 Risicomanagement en grote projecten
7.3.1 Huis van cultuur
7.3.2 Governance & inrichten risicomanagementproces op grote projecten
7.4 Risicomanagement en loonsombeheersing
87
87
88
91
91
92
92
Bijlage 1: Systemen van risicomanagement
Bijlage 2: Voorbeeld risicoprofiel
Bijlage 3: Voorbeelden risicokaart
Bijlage 4: Voorbeeld grafisch risico-overzicht
Bijlage 5: Voorbeeld risicomatrix
Bijlage 6: Veel voorkomende risico’s
Bijlage 7: Praktijkcasussen risicomanagement
Bijlage 8: Aandachtspuntenlijst per onderdeel van de governancecyclus
Bijlage 9: Vragenlijst risicogesprek
Bijlage 10: Rolverdeling in het risicomanagementproces
Bijlage 11: Voorbeeld Beleidsnota Risicomanagement & Weerstandsvermogen
Bijlage 12: Begrippenlijst
Bijlage 13: Beknopte CV’s van de deelnemers aan het Handboek
95
97
98
100
101
103
107
112
116
117
119
124
126
Ten geleide
Risicomanagement is een onderwerp dat zich steeds
meer kan verheugen op een warme belangstelling.
Beursgenoteerde ondernemingen, midden- en klein
bedrijf, maar ook de overheid maken meer en meer
werk van risicomanagement. Het houdt ons dagelijks
bezig. Het gaat dan echter vaak niet zozeer over het
opzetten van een dergelijk risicomanagementsysteem,
maar juist over het ons verdedigen bij het falen of
het ontbreken van een dergelijk systeem. Kranten
berichten bijna dagelijks hierover. De kredietcrisis,
schandalen in de vastgoedsector, fraude, etc. worden
één op één gelinkt aan het ontbreken van een
goed risicomanagementsysteem of aan het falen
van de juiste werking ervan. Gelukkig zijn er ook
voorbeelden van organisaties die echt werk maken van
risicomanagement.
Dit boek biedt de nodige handvatten voor
gemeentelijke organisaties, en ook andere organisaties,
om een dergelijk systeem op te zetten en in te richten.
De kunst is om juist die elementen te kiezen die relevant
zijn voor uw organisatie. U wordt daarbij geholpen door
praktische voorbeelden van vergelijkbare organisaties
waar (delen van) een risicomanagementsysteem
succesvol is/zijn geïmplementeerd.
De vraag die zich voordoet is “Wat is een goed
risicomanagementsysteem? Een goed systeem van
risicomanagement is te zien als een ‘permanente’
alertheid op wijzigingen in uw organisatie en haar
omgeving zodat u hierop kan inspelen. Hierdoor, zo ben
ik overtuigd, ontstaan kansen en voordelen wanneer
u hierop inspeelt. Risicomanagement kan hierdoor
een belangrijke impuls geven aan het realiseren van
doelstellingen en biedt voordelen bij de verandering en
ontwikkeling van uw organisatie.
Dit boek brengen wij uit in de ‘governancereeks
gemeenten’ omdat risicomanagement een peiler is
waar het proces van sturen, beheersen, verantwoording
afleggen en toezicht houden op rust. Ik hoop echter
dat de inhoud van dit boek u juist onrustig maakt en u
verdere prikkels en inspiratie geeft om verder te komen
in het proces van implementatie van een op uw maat
gesneden risicomanagementsysteem. Ik wens u veel
leesplezier en inspiratie toe.
Vaak wordt de nadruk gelegd op de instrumentele kant
van risicomanagementsystemen, maar deze systemen
staan of vallen met de juiste werking ervan. Dat kan
alleen wanneer er ook aandacht besteed wordt aan de
cultuurkant van risicomanagementsystemen. De wil en
het vermogen van mensen om dergelijke systemen ook
effectief te kunnen laten werken. Met toekijken hoe iets
in het honderd loopt komt u niet veel verder. Ook het
optuigen van duizend en één maatregelen helpt u vaak
niet in de sfeer van creativiteit en ondernemerschap.
Immers het is een utopie dat alle risico’s voorzienbaar
en te voorkomen zijn. Adequaat signaleren (alertheid)
en handelen is dan het devies. Met name het vorm en
inhoud geven aan de cultuurkant is zo mogelijk nog
belangrijker dan de instrumentele kant. Voorwaar geen
eenvoudige opgave.
Wij zijn verheugd dat een aantal gemeenten bereid is
gevonden om dit project mede te ondersteunen en
mee te werken aan de totstandkoming van dit boek.
Daarnaast zijn er tal van organisaties en personen,
waaronder Primo Nederland en Primo Europe, die
veel energie stoppen in het op de kaart zetten van
risicomanagement bij gemeenten.
Arie Elsenaar
Voorzitter industry lokaal bestuur Deloitte
Risicomanagement meer dan de som der delen
5
6
Samenvatting
Als we even teruggaan naar 2004 dan vinden we daar
het begin van wat we nu risicomanagement noemen.
Toen werd het Besluit Begroting en Verantwoording
provincies en gemeenten (BBV) van kracht. Dit hield
in dat elke provincie en gemeente in Nederland
hun weerstandsvermogen (het vermogen risico’s
te dekken) in kaart brengt aan de hand van haar
risico’s en deze jaarlijks weergeeft in een paragraaf
Weerstandsvermogen in haar beleidsbegroting en
jaarverantwoording. Mogelijk zijn de risico’s reeds
weergegeven in de andere paragrafen. Met deze
verplichting dient elke provincie en gemeente zich met
risicomanagement bezig te houden.
Anno 2009 geven veel gemeenten inderdaad vorm aan
risicomanagement. Ze lopen daarbij echter wel tegen
problemen aan. Het belangrijkste vraagstuk luidt: hoe
zorg ik ervoor dat het een werkend systeem wordt?
En dat is de reden van deze uitgave. Dit handboek
moet voor u een handreiking zijn bij het invoeren en
vervolgens verder verfijnen van een systeem voor
risicomanagement.
Deloitte ziet risicomanagement als een proces van
een systematische analyse van de risico’s waaraan een
organisatie bloot staat. Daarbij horen de verbeteringen
als gevolg van het aanpassen van de maatregelen.
Natuurlijk is dit niet een eenmalige activiteit. Het is
een continu proces, alleen al omdat de actualiteit
en het treffen van maatregelen in veranderende
omstandigheden dit van ons eist. Denk maar aan
de huidige economische crisis. In praktijk zal dan
ook blijken dat de risico’s scherper ingeschat en
afgedekt worden naarmate men er langer mee bezig
is. Wanneer een gemeente er in slaagt om sneller en
met meer effect te reageren op zich manifesterende
risico’s dan bestaat de mogelijkheid dat een lager
1. Kaderstelling &
Strategie
Risicoanalyse
2. Risicoanalys
e
t re g e l e n
Risicobeheersing
he
4. M
o n i t o re n
R esultaten
Resterende risico’s
Weerstands
capaciteit
Be
5. Toezicht &
Toetsing
Be-
maa
College &
Management Team
ers
6. Verbetering
Risicoweging
Gemeenteraad
Het handboek dat voor u ligt, is de zesde op rij uit
onze uitgaven onder het thema Governance. In dit
handboek richten we ons op risicomanagement. Wat
is eigenlijk risicomanagement? We omschrijven het als
het identificeren en kwantificeren van risico’s en het
bepalen van activiteiten die de kans van optreden en/of
de gevolgen van risico’s beheersbaar houdt. Met andere
woorden: risicomanagement is niets meer of minder
dan een zeer belangrijk instrument om doelstellingen
te realiseren en een driver voor de ontwikkeling van uw
organisatie.
3.
Gebeurtenissen
weerstandsvermogen aan de orde is. Een lager
weerstandsvermogen heeft weer direct consequenties
voor de ruimte die bestaat ten aanzien van bestedingen.
Het proces van risicomanagement bestaat uit
verschillende fasen: kaderstelling en strategie,
risicoanalyse, treffen van beheersmaatregelen,
monitoren van de resultaten, toezicht en toetsing en
het zonodig treffen van maatregelen ter verbetering.
Elke organisatie doorloopt deze stappen. In dit
handboek benoemen we deze stappen uitgebreid en
geven we aan wanneer welke stap genomen moet
worden.
Een belangrijk aspect dat onlosmakelijk met
risicomanagement verbonden is, is governance. We
hebben het dan over het borgen van de onderlinge
samenhang van de wijze van sturen, beheersen,
en toezicht houden van een organisatie. Beide
instrumenten, governance en risicomanagement,
hebben als doelstelling een organisatie meer
gecontroleerd te sturen. Hiermee bedoelen we dat
uiteindelijk helder is waar de kansen en risico’s van de
organisatie liggen en dat hier de beheersmaatregelen
en activiteiten op worden gericht. Zo kun je enerzijds
de kansen benutten - risico’s zijn immers niet alleen
negatief van aard - en anderzijds de risico’s afdekken
of de effecten hiervan verminderen. Op meer punten
vind je overeenkomsten tussen risicomanagement en
governance. Wat risicomanagement een eigen karakter
geeft, is die continue verandering. Daarom gaan
we daar in dit handboek dieper op in. Bijvoorbeeld,
wanneer een organisatie groeit in zijn ontwikkelingen
op het gebied van risicomanagement, dan kun je het
direct inzetten om het beleid en de uitvoering daarvan
te verbeteren.
Het mooie resultaat is een proces van continue
verbetering van de organisatie. Immers door het bewust
Risicomanagement meer dan de som der delen
7
en bekend zijn met de risico’s worden maatregelen
getroffen die ervoor zorgen dat risico’s kunnen
worden beperkt. Dit proces van bewustwording en
onderkenning is essentieel voor het bekend zijn met
de veranderingen in de interne en externe omgeving.
Daarnaast krijgen gemeenteraad en college een beter
inzicht in de uitvoering van het beleid en de wijze
waarop dat kan worden verbeterd, krijgen zij meer
inzicht en vertrouwen omtrent de wijze waarop doelen
worden gerealiseerd en bestaat transparantie over de
risico’s die worden gelopen, de maatregelen die hier
betrekking op hebben en de verantwoording hierover.
Wat maakt een organisatie succesvol op het gebied van risicomanagement?
Risicomanagement is nooit af en het is daarom
essentieel dat dit proces gedragen wordt door de
organisatie. Dan praten we over houding en gedrag
en dat geldt voor alle betrokkenen. Dus voor zowel
raadsleden, als collegeleden en ambtenaren. Het is
misschien wel de sleutel tot succes. Begrijpelijk is
dat organisaties zoeken naar de juiste manier om
risicomanagement te implementeren. We doen in deze
uitgave een groot aantal handreikingen (hoofdstuk 4.6).
Regel in ieder geval, denk na over….
Naast een duidelijk en herkenbaar proces van risicomanagement, een adequate
governance cyclus (sturen, beheersen, verantwoorden, toezicht houden) en een
goede mix van hard- en soft controls zijn belangrijke overige ingrediënten voor een
goede implementatie, duidelijke werkwijze en draagvlak:
1. Risicomanagementmethode: Bij het toepassen van risicomanagement heeft
de organisatie een methode (van inventariseren en monitoring) nodig om haar
risicoprofiel op te stellen. Kies een methode die past bij de organisatie.
2. Verantwoordelijkheid: Niet alleen voor de kwaliteit van de implementatie,
maar zeker ook voor het effect van risicomanagement is het van belang dat
medewerkers in de lijnorganisatie verantwoordelijk worden gemaakt voor het
inschatten van, beheersen van en verantwoording afleggen over risico’s.
3. Belang van draagvlak: Ongeacht welke aanpak de gemeente uiteindelijk kiest
om te komen tot implementatie van risicomanagement, is draagvlak van vooral
de directie en het college van burgemeester en wethouders voor het concept
onontbeerlijk.
4. Kennissessie met diverse ambtelijke (en bestuurlijke) sleutelfunctionarissen:
Indien risicomanagement wordt geïnitieerd vanuit een staffunctie of een
beperkt deel van het lijnmanagement is het aan te raden om in eerste instantie
een kennissessie te organiseren met het voltallige management en eventueel
een afvaardiging uit het bestuur. Tijdens deze sessie kan het onderwerp verder
uitgediept worden en de toegevoegde waarde inzichtelijk worden gemaakt
door middel van concrete voorbeelden.
5. Sponsor binnen het management (en eventueel bestuur): Risicomanagement
is een verantwoordelijkheid van de lijn. Om deze reden is het belangrijk dat op
het hoogste ambtelijk niveau binnen de organisatie een sponsor aanwezig is
voor het concept.
6. Eenvoudig beginnen (met een pilot): Na de kennissessie raden wij aan om de
voorgestelde aanpak in eerste instantie een pilot uit te voeren.
7. Voldoende robuuste projectorganisatie: Een essentiële basis voor draagvlak is
een voldoende robuuste projectorganisatie.
8. Aansluiting op bestaande initiatieven, concepten en systemen: Om de belasting
van de organisatie zoveel mogelijk te beperken, is het sterk aan te raden
om risicomanagement aan te laten sluiten bij reeds bestaande initiatieven,
concepten en systemen.
Uiteindelijk, wanneer men beseft dat risicomanagement
meer is dan alleen het financieel kwantificeren
en identificeren van risico’s, dat het juist een zeer
belangrijke driver is voor de ontwikkeling van de
organisatie, dan komt het systeem tot volledige
wasdom. En dat is echt een positief risico!
8
Meer dan de som der delen
Het serieus invullen van risicomanagement is geen simpele optelsom van de
risico’s. Ten eerste zijn risico’s inderdaad niet altijd te kwantificeren, zijn risico’s niet
exact maar binnen een bepaalde bandbreedte te kwantificeren en is ten derde
de kwantificering van risico’s de uitkomst van een permanent proces. Het proces
zoals dat eerder is aangegeven. Het enkel kwantificeren van de risico’s wekt eerder
de indruk van een boekhoudkundige en rekenkundige benadering dan dat de
identificatie het startpunt is voor het doen van aanpassingen van de organisatie,
processen, werkwijzen en houding en gedrag.
Risicomanagement meer dan de som der delen
9
10
Voorwoord
Risicomanagement:
op het grensvlak van werelden
Het managen van risico’s is zonder enige twijfel één
van de grootste uitdagingen geworden voor de
publieke sector. Dachten wij een jaar geleden nog dat
de financiële perikelen in de Verenigde Staten zouden
overwaaien, nu zitten we middenin een economische
crisis. Weinigen lijken te weten, wat ons te wachten
staat. De onzekerheid in de voorspellingen is groot,
blijkens de maandelijkse bijstellingen van tal van
prognoses. Elke dag presenteren bestuurders nieuwe
feiten of relativeren wat komen gaat. Sterker nog, velen
verkondigen dat we het ergste hebben gehad, terwijl
anderen somber weer verwachten voor de komende
10 jaar.
Ik denk dat hier de essentie ligt van waar het bij
risicomanagement om gaat: het onbekend zijn met
en het onderschatten van risico’s om ons heen en in
onszelf. Risico’s zijn lastig en passen vaak niet binnen de
politieke en bestuurlijke ambities. Risicomanagement
heeft bij ons Nederlanders, het volk van controle, dan
ook vaak een negatieve klank. Risicomanagers hebben
het imago van remmers in algemene dienst. Alsof het
mensen zijn die ‘moeilijk doen’ bij sprankelende plannen
en projecten.
Het tegenovergestelde echter is waar. Immers, er zijn
zoveel projecten en plannen waar de Nederlandse
samenleving mee aan de slag is en er zijn velen
daarvan die niet uitkomen, flinke overschrijdingen te
zien geven, niet het effect lijken te sorteren dat was
beoogd en zelfs niet uitvoerbaar blijken. Daarbij zijn het
de grensvlakken tussen hogere en lagere overheden,
maar ook tussen politici, bestuurders, managers en
specialisten waar de risico’s ontstaan. Het dualistisch
bestel werkt daarbij vooralsnog niet louterend, omdat
rollen en taakopvattingen sterk uiteenlopen en nog
immer worden bediscussieerd. Het lijkt me dat een
samenleving als de onze het zich niet kan permitteren
kwistig om te springen met mensen en middelen voor
doelen die niet bereikt kunnen worden. Zeker in tijden
van crisis moet elke klap raak zijn.
Cruciaal daarbij is dat stakeholders met elkaar praten
en dan bedoel ik echt praten. In dit licht zie ik de
handreiking die voor u ligt als een prachtige set
van instrumenten om deze dialoog aan te gaan.
Het weerstandsvermogen is daarbij een ‘objectief’,
gemeenschappelijk referentiekader waarbij raad,
college, samenleving en management met elkaar
kunnen spreken over de risico’s en ook kansen. Het
weerstandsvermogen kan daarbij dienen als een soort
AEX-index die de uitkomsten van dit debat weergeeft.
Het gaat niet zozeer om de ratio, maar veeleer om het
debat.
Het is duidelijk dat er veel factoren zijn die het
weerstandsvermogen bepalen. Het getal van de ratio
van het feitelijke vermogen is hierbij uiteindelijk geen
doel op zich. Nee, de mythe van dit getal is zeker
niet zaligmakend. Nee, het is eerder het vermogen
van organisaties om met open vizier en transparant
en vooral met lef de risico’s en onzekerheden te
benoemen. En als we het daar over hebben, mag
duidelijk zijn dat iedereen zijn eigen definities en regels
hanteert, zodat het weerstandsvermogen vaker dan
eens een schijnwerkelijkheid vertegenwoordigt.
De handreiking die voor u ligt, is daarom een
enorme stap in de goede richting. Het beoogt te
standaardiseren, waardoor de dialoog beter wordt.
Hierdoor neemt het gedeelde en geobjectiveerde
collectieve besef van risico’s toe, evenals het inzicht
in de mogelijkheden deze te minimaliseren. Het
resultaat hiervan is een hogere kwaliteit van besluiten.
Daarbij draagt zij bij aan de verbeteringen in het
functioneren van organisaties en aan de verbetering
van het openbaar bestuur. Het omvat de balans van
hard- en soft controls, van cijfermatige en rationele
benaderingen enerzijds en van openheid en eerlijkheid
van bestuurders en managers anderzijds.
Het systematisch borgen van de benaderingen van
risico’s in organisaties is een uitdaging en staat nog
maar in de kinderschoenen. Het met scherp leren
schieten in de zeer complexe samenleving, met veel
belangen en partijen, is een wetenschap, wellicht een
kunst die we nog onvoldoende beheersen. Of is het
nog iets wat wij beter kunnen inbedden in onze cultuur
van besturen en beslissen. Ik ben er van overtuigd dat
dit zo is. De handreiking helpt ons op weg, de ratio zet
de maat en kwaliteit van het debat met als neerslag het
weerstandsvermogen. De wijze waarop vertaling in uw
organisaties plaats kan vinden zal mede bepalend zijn en
zal ons tonen hoe snel de boeg door het water kan.
Risicomanagement meer dan de som der delen
11
Want dat is het grote verschil met traditionele control:
risico’s doen zich voor aan de boeg, terwijl de
traditionele control zich in de machinekamer afspeelt.
Aan de boeg doen zich de veranderingen voor. Als we
dus scherp aan de wind willen varen of willen dat de
boeg effectief door de golven snijdt is het duidelijk
dat we de zekerheden en onzekerheden goed moeten
kennen. Het zijn daarmee ‘drivers’ geworden voor
veranderingen. Kennis en het managen van risico’s legt
daarmee in belangrijke mate de basis voor innovatie en
creativiteit.
De handreiking is dan ook een goede eerste aanzet
tot een nieuwe vorm van control. Één waarbij kansen
en innovaties worden meegewogen, waarbij de
maatschappelijke omgeving, de natuurlijke omgeving en
de kennis van menselijk handelen, een veel dominantere
rol speelt dan nu. Weerstandsvermogen gaat niet over
geld. Nee, het gaat over bedrijfsvoering in brede zin en
het gaat om externe focus op en kennis van netwerken
in het bijzonder. Controllers zijn niet meer sec financiële
experts. Controllers zijn we vanaf vandaag allemaal.
En alleen door elkaars kennis te bundelen, worden we
samen intelligenter.
Deze handreiking beschouw ik als een eerste stap naar
deze collectieve intelligentie!
Voorzitter en oprichter van PRIMO (Public Risk
Management Organisation) Nederland (april 2006 april 2009)
President PRIMO Europe
Gemeentesecretaris gemeente Roosendaal
Ir. Jack P. Kruf
12
Risicomanagement meer dan de som der delen
13
14
1.Inleiding
“Risicomanagement is
voor mij een vorm van
kwaliteitsmonitoring en –
verbetering.” Jan Vermeule,
gemeente Amersfoort
Een effectieve bedrijfsvoering en een goede beheersing
van risico’s is een essentiële randvoorwaarde voor
het management om haar doelstellingen te halen.
Proactiviteit richting de voorkant van de organisatie
wordt steeds belangrijker om op die manier tijdig
en adequaat ontwikkelingen en risico’s te kunnen
signaleren en acties te kunnen benoemen. Het
instrument risicomanagement biedt handvatten voor
gemeenten om hun doelen te bereiken en aan de
voorkant tijdig bij te sturen door risico’s in beeld te
hebben en te houden. Governance is in dit verband
de drijvende kracht achter risicomanagement.
Kernthema’s zijn hierbij transparantie, verantwoording
en zeggenschap. In onze transparante maatschappij
worden bestuurders en management in toenemende
mate afgerekend indien er iets in hun organisatie fout
gaat. Het probleem is dat positief nieuws over het
algemeen snel de directie bereikt, maar het potentiële
slechte nieuws vaak in de managementlagen blijft
hangen of van buiten komt. Voorkomen is in die
gevallen beter dan genezen omdat externe druk
vaak ongewilde en ad hoc reacties tot gevolg heeft.
Beheersen van risico’s aan de voorkant draagt bij aan
het verkleinen van de kans van externe druk waardoor
de gemeente zelf in ‘control’ blijft.
Het identificeren van risicomanagement als een
instrument tot doelrealisatie is – onder meer in het
kader van public governance – ook onderkend door
de wetgever. De Gemeentewet en Provinciewet van
2004 schrijft voor dat elke gemeente en provincie
in Nederland verantwoordingsdocumenten en
begrotingsdocumenten opstelt. Dit is vastgelegd
in het Besluit begroting en verantwoording
provincies en gemeenten (BBV 2004). Volgens dit
besluit zijn provincies en gemeenten verplicht hun
weerstandsvermogen (het vermogen risico’s te dekken)
in kaart te brengen aan de hand van een overzicht
van de risico’s (door het definiëren en uitwerken van
één of meerdere risicoprofielen). Dit houdt in dat
jaarlijks een paragraaf weerstandsvermogen dient te
worden opgesteld in de beleidsbegroting waarin de
weerstandscapaciteit (de middelen om de risico’s te
dekken) wordt behandeld. Dit dient ertoe een beter
en meer tijdig inzicht te geven in de risico’s waar
gemeenten mee te maken hebben, opdat deze beter
beheersbaar worden. Uit onderzoek blijkt dat sinds
2004 slechts 30 tot 40 procent van de gemeenten
voldoet aan de eisen van het BBV1. Het grootste
knelpunt dat naar voren komt, is dat gemeenten veelal
niet in staat zijn hun risico’s te kwantificeren. Ervaringen
leren dat gemeenten veelal hun risicomanagement
beperken tot ’lijstjes maken en doorsturen van
overzichten’. Gemeenten buiten de Randstad, en met
name de relatief kleinere gemeenten, hebben een nog
lager percentage dat voldoet aan de eisen van het BBV.
Het Besluit begroting en verantwoording provincies
en gemeenten richt zich op zowel gemeenten als
provincies in Nederland.
Cultuur en een helder omschreven risicomanagementproces zijn noodzakelijk om potentiële verrassingen
vroegtijdig naar boven te krijgen.
Smorenberg, O. 2006. Een norm voor
1
het weerstandsvermogen. B&G 4, 27-30
Risicomanagement meer dan de som der delen
15
Risicomanagement wordt
gedefinieerd als het
identificeren en kwantificeren
van risico’s en het bepalen
van activiteiten die de
kans van optreden en/
of de gevolgen van risico’s
beheersbaar houdt/maakt.
1.1 Waarom dit handboek?
Dit handboek is de zesde in een serie van andere
handboeken zoals die door Deloitte zijn uitgegeven
rond het thema Governance. Als aansluiting en vervolg
op de eerder uitgegeven handboeken is dit boek
geschreven. Andere boeken in de reeks Gemeente
Governance zijn Verbonden Partijen, Grond(ig) beleid,
Fraude, Auditcommissie en De Jaarrekening.
Veel literatuur is reeds beschikbaar met betrekking
tot risicomanagement, maar deze literatuur is vooral
theoretisch van aard. Dit handboek beoogt een
meer praktische benadering te hanteren en is door
en voor gemeenten geschreven. Samen met een
aantal gemeenten is gesproken over de praktische
vraagstukken rond risicomanagement. Hierbij heeft
elke deelnemende gemeente een casus ingediend
dat is gebruikt als onderbouwing en illustratie voor
dit handboek. Gezamenlijk hebben deze casussen
geholpen om te komen tot een uniforme denkwijze
over risicomanagement die is verwerkt in dit
handboek. Onder de deelnemers vallen het ministerie
Lokaal Bestuur
Managen van frauderisico’s geeft voorsprong!
Met dit handboek willen we de bewustwording
van risicomanagement bij gemeenten bevorderen
door middel van een heldere en praktisch
toepasbare beschrijving van risicomanagement,
weerstandsvermogen, risicomanagement in relatie
tot governance en de cultuuromslag in het kader
van risicomanagement. Dit wordt aangevuld met
praktijkvoorbeelden. Een beleid met een oog voor het
aspect risicomanagement geeft houvast en richting aan
een organisatie en helpt om voorbereid te zijn op de
mogelijke negatieve gevolgen van risico’s.
1.2 Wat is risicomanagement?
Veel gemeenten zijn op dit moment bezig met
het vormgeven van risicomanagement in de eigen
organisatie. Dit levert in de praktijk vaak veel
uitdagingen op. Sommige uitdagingen zijn heel
specifiek, maar een groot deel is voor veel gemeenten
vergelijkbaar. Dit is dan ook de aanleiding geweest om
dit handboek te schrijven: het delen van ervaringen
uit de praktijk en het geven van handreikingen om
verschillende problemen en vraagstukken rond
risicomanagement het hoofd te bieden.
Een centraal thema bij het vormgeven van
risicomanagement in de praktijk is niet – zoals
misschien verwacht zou worden – het ontwikkelen van
instrumentarium en het berekenen van de risico’s, maar
juist het thema van implementatie en het verkrijgen
van draagvlak voor het thema van risicomanagement.
Lokaal Bestuur
Gemeente Governance
Grond(ig) beleid
Grondbeleid, grondexploitaties
en grondbedrijven grondig bekeken
Deloitte
Wilgenbos 4
3311 JX Dordrecht
Postbus 1165
3300 BD Dordrecht
Telefoonnummer:
Faxnummer:
www.deloitte.nl
+31 (0)78 611 25 00
+31 (0)78 611 25 77
Deloitte refers to one or more of Deloitte Touche Tohmatsu, a Swiss Verein, and its network of member firms, each of which is a legally
separate and independent entity. Please see www.deloitte.com/about for a detailed description of the legal structure of Deloitte
Touche Tohmatsu and its member firms.
Deloitte provides audit, tax, consulting, and financial advisory services to public and private clients spanning multiple industries. With a
globally connected network of member firms in 140 countries, Deloitte brings world class capabilities and deep local expertise to help
clients succeed wherever they operate. Deloitte’s 165,000 professionals are committed to becoming the standard of excellence.
Deloitte’s professionals are unified by a collaborative culture that fosters integrity, outstanding value to markets and clients, commitment
to each other, and strength from cultural diversity. They enjoy an environment of continuous learning, challenging experiences, and
enriching career opportunities. Deloitte’s professionals are dedicated to strengthening corporate responsibility, building public trust,
and making a positive impact in their communities.
© 2009 Deloitte, Member of Deloitte Touche Tohmatsu
Designed and produced by MCBD at Deloitte, Rotterdam.
16
Gemeente Governance - De jaarrekening
Driedimensionaal bekeken
Gemeente Governance
Fraude
van Binnenlandse Zaken en Koninkrijksrelaties en
de gemeenten Amersfoort, Barendrecht, Breda,
Doetinchem, Enschede, Middelburg, Oosterhout,
Pijnacker-Nootdorp, Roosendaal en de Regio
Zuid-Holland Zuid.
Gemeente Governance
De jaarrekening
Driedimensionaal bekeken
1. Kaderstelling &
Strategie
BEHEERSEN
1. Kaderstelling & Strategie
3. Beheersmaatregelen
6. Continue
Verbetering
4. Monitoren resultaten
TOEZICHT
6. Verbetering
Gemeenteraad
2. Risicoanalyse
innend/Groe
Beg
i en
d
2. Risicoanalys
e
College &
Management Team
5. Toezicht & Toetsing
VERANTWOORDING
Hoe geef je risicomanagement ‘handen en voeten’ in
de organisatie (instrumentele borging) en hoe krijgen
we risicomanagement ‘tussen de oren’ van mensen. Dit
thema heeft een sterke cultuurveranderingscomponent.
In dit handboek zullen we naast de handreikingen
voor (instrumentele) invulling van risicomanagement
in de organisatie derhalve ruime aandacht besteden
(voornamelijk in hoofdstuk 4) aan cultuurverandering.
Het risicomanagementproces begint met het benoemen
van doelstellingen, het bepalen van de structuur en
het inrichten van processen. Hierna volgt men de zes
stappen van het risicomanagementproces (figuur 1.1).
Zo wordt een gedegen, continu proces opgebouwd
ten gunste van de verbetering van risicomanagement.
Dit model vormt de leidraad van ons boek en wordt als
uitwerking gepresenteerd in het boek.
Waarom risicomanagement? De belangrijkste reden
voor risicomanagement is om je doel te bereiken.
Veelal bestaat het beeld dat het invoeren van
risicomanagement een zware (extra) belasting vormt
voor de organisatie. Door echter beheersmaatregelen
te benoemen en deze uit te voeren voordat risico’s
zich voordoen, is de kans groter dat uiteindelijk de
doelstellingen worden bereikt. Bovendien zorgt een
systeem van risicomanagement ervoor dat risico’s
en beheersmaatregelen niet op een willekeurige,
maar op een gestructureerde wijze worden
geïnventariseerd. Hierdoor zal een completer beeld
van de risico’s ontstaan en dit zorgt ook voor een
deugdelijke implementatie en onderkenning van
beheersmaatregelen. De kans om risico’s te missen
wordt kleiner door de aandacht voor risico’s en een
deugdelijke inventarisatie ervan. Juist door de alertheid
5. Toezicht &
Toetsing
op en het inzicht in risico’s zal een organisatie meer
ondernemerschap aan de dag kunnen leggen en
hierdoor ook grotere risico’s, want meer beheerst,
kunnen nemen. Of minder risico’s lopen waardoor
er een kleiner beslag zal worden gelegd op het
weerstandsvermogen.
o
Be nito
he ren r
esultaten
ers
maa
t re g e l e n
STUREN
Afg e
b ak e n d/
G ead
vanceerd
4.
M
3.
Figuur 1.1
Risicomanagement proces in
relatie tot Governance
Het risicomanagementproces raakt zowel de
financiële als de niet-financiële risico’s (wetgeving
over bijv. milieu, ruimtelijke ordening, arbo). Het
risicomanagementproces dient niet alleen om financiële
en niet-financiële risico’s in kaart te brengen. Ook
risico’s voortvloeiend uit externe ontwikkelingen
en de bedrijfsvoering dienen te worden ingebed in
het risicomanagement proces. Risico’s kunnen dus
betrekking hebben op een breed pallet. Het kan gaan
om risico’s in de reguliere exploitatie en bedrijfsvoering,
risico’s binnen processen, risico’s van projecten, risico’s
in de diverse programma’s en risico’s die van buiten
komen. Het risicomanagementproces, zoals dat bij
figuur 1.1 is weergegeven, is echter niet anders bij deze
verschillende risicogebieden.
De ervaring leert dat risicomanagement uitstekend
te combineren is met andere initiatieven die moeten
leiden tot doelbereiking en tevens verbeteringen in de
kwaliteit van de bedrijfsvoering. Hierbij kan bijvoorbeeld
gedacht worden aan prestatiemanagement en het
INK-managementmodel. Deze twee concepten
bespreken wij kort alvorens de samenhang met
risicomanagement nader toe te lichten.
Prestatiemanagement
Bij prestatiemanagement worden de strategische
beleidsdoelstellingen doorvertaald naar sturingsRisicomanagement meer dan de som der delen
17
en verantwoordingsinformatie. Op het hoogste
(organisatie)niveau binnen de gemeente betekent dit
dat allereerst per doelstelling antwoord wordt gegeven
op de volgende vragen:
• Wanneer is de doelstelling bereikt? en
• Welke inspanningen zijn daarvoor kritisch?
Visie, Missie,
Strategie
Strategische
doelstellingen
Functionele
doelstellingen
De antwoorden op beide vragen zijn kritische
succesfactoren (KSF’en). Deze kwalitatieve begrippen
worden vervolgens vertaald in kwantitatieve kritische
prestatie-indicatoren (KPI’s) (zie figuur 1.2)
INK-managementmodel
De INK-methodiek is erop geënt de organisatie te
laten leren en (her)in te richten naar aanleiding van
de uitkomsten van gekozen maatstaven. Hierdoor
wordt een verbetercyclus in gang gezet. Het model
bestaat uit een vijftal organisatiegebieden, een
viertal resultaatgebieden en een feedback-lus (zie
figuur 1.3). Hierbij is de wijze van invulling van de
organisatiegebieden bepalend voor de mate waarin de
resultaten van de organisatie worden behaald.
Operationele doelstelling
KSF
KPI
KSF
KPI
KSF
KPI
Management
rapportage
Operationele
informatie
Cruciale bedrijfsactiviteiten
Figuur 1.2
Model prestatiesturing
Samenhang risicomanagement,
prestatiemanagement en INK-managementmodel
De onderlinge samenhang tussen risicomanagement,
prestatiemanagement en het INK-managementmodel
komen tot uitdrukking in figuur 1.4.
De gedachtengang achter deze figuur laat zich als
volgt vertalen. Hoewel het INK-managementmodel
een goede basis biedt om te komen tot verbetering
in de bedrijfsvoering, laat de praktijk vaak zien dat
(overheids)organisaties moeite hebben met het
operationaliseren van dit model. Vaak komt dit door
de (ervaren) complexiteit en het integrale karakter dat
het INK-model draagt. Het vraagt een scherp inzicht
in de samenhang van de genoemde elementen.
Risicomanagement biedt hiervoor een uiterst
efficiënte, effectieve en vooral praktische oplossing.
De essentie van de koppeling van de drie modellen is
dat door risicomanagement als integraal onderdeel
van governance te zien het een structurelere en meer
geborgde positie krijgt dan wanneer risicomanagement
alleen in het kader van INK zou worden ingericht of
enkel om het verkregen van een inzicht in de financiële
positie. Door de koppeling van de verschillende
modellen ontstaat een integraal beeld.
18
Waardering
door
personeel
Medewerkers
Leiderschap
Beleid &
strategie
Middelenmanagement
Management
van processen
Waardering
door
klanten
Eindresultaten
Waardering
door
maatschappij
Feedback
Organisatiegebieden
Figuur 1.3
INK-model
Resultaatgebieden
Visie, Missie,
Strategie
STUREN
Strategische
doelstellingen
BEHEERSEN
1. Kaderstelling & Strategie
3. Beheersmaatregelen
2. Risicoanalyse
Functionele
doelstellingen
KSF
KPI
KSF
KPI
KSF
KPI
Management
rapportage
6. Continue
Verbetering
Operationele doelstelling
4. Monitoren resultaten
TOEZICHT
Operationele
informatie
5. Toezicht & Toetsing
Cruciale bedrijfsactiviteiten
VERANTWOORDING
Waardering
door
personeel
Medewerkers
Leiderschap
Beleid &
strategie
Management
van processen
Waardering
door
klanten
Eindresultaten
Waardering
door
maatschappij
Middelenmanagement
Figuur 1.4
Feedback
Risicomanagement als
instrument van doelbereiking
Organisatiegebieden
Resultaatgebieden
Externe risico’s
De interne risico’s uit het (te ontwikkelen)
gemeenschappelijke risicotaal kunnen worden
toegewezen aan de vijf organisatiegebieden van het
INK-managementmodel, aangevuld met een extra veld
voor de externe risico’s (zie figuur 1.5). Dit resulteert in
een overzicht waarin per organisatiegebied de mogelijk
voorkomende risico’s worden weergegeven.
Maatschappelijke risico’s
-
Verwachtingen cliënt/burger
Belanghebbenden/stakeholders
Technologische innovatie
Afhankelijkheid van derden
Politiek bestuurlijke en legislatieve risico’s
- Nieuwe wet- en regelgeving
- Politiek signatuur (rijks)overheid
- Naleving beleid/procedures door
uitvoerders
- Conflicterend overheidsbeleid
Leiderschap
Op basis hiervan kunnen vervolgens de belangrijke
risico’s geïdentificeerd worden, die het behalen van
de doelstellingen en prestaties - al dan niet vastgelegd
in managementcontracten - kunnen belemmeren
(resultaatgebieden van het INK-managementmodel).
Het in kaart brengen van de oorzaken en consequenties
van deze risico’s biedt vervolgens de basis om te
komen tot verbeteracties. De verbetercyclus van de
INK-methodiek krijgt op deze wijze een praktische en
concrete invulling. Tevens wordt duidelijk inzichtelijk
gemaakt wat de mogelijke gevolgen zijn van de risico’s
op de te behalen prestaties en doelstellingen.
Kortom, risicomanagement is een uitstekend
instrument tot doelbereiking dat relatief eenvoudig
gecombineerd kan worden met andere (bestaande)
managementconcepten die leiden tot een verbetering
van de bedrijfsvoering.
Figuur 1.5
- Leiderschapsstijl
- Organisatiestructuur
- Bevoegdheden
en verantwoordelijkheden
- Waarden en normen
- Managementfraude
Medewerkers
Strategie & Beleid
Middelen
-
- Beleidsvorming
- Interactieve
beleidsvorming
- Beleidsformulering
- Beleidshaalbaarheid
- Verantwoordingsrapportages
- Toezicht op
beleidsuitvoering
- Prestatie-indicatoren
- Managementrapportage
- Aansluiting doelen
- Financiële en
operationele informatie
Budgettering/begroting
FINANCIEEL
- Contractering
- Apparaatkosten
- Verplichtingen
- Programmakosten
Vermogen tot veranderen
Kwaliteit personeel
Integriteit
Reputatie
Motivatie
Kwantiteit personeel
Illegale activiteiten
medewerkers
- Arbeidsomstandigheden
- Productiviteit
- Incentives
beleidsuitvoering
INFORMATIETECHNOLOGIE
- Werking infrastructuur
- Aansluiting infrastructuur
ketenpertners
- Tijdigheid
- Beveiliging
- Betrouwbaarheid
- Relevantie
- Toepasbaarheid
Processen
-
Efficiency
Projectmanagement
Product/dienstenkwaliteit
Interne communicatie
en samenwerking
- Cliënt/burgercommunicatie
- Samenwerking ministeries
- Samenwerking
college B&W
- Samenwerking overige GD
- Samenwerking
uitvoeringsinstanties
- Naleving beleid en
procedures
- Naleving wet- en
regelgeving
- Imago
- Productontwikkeling
- Kennisdeling
- Tevredenheid cliënt/
burger
Risico’s per organisatiegebied
Risicomanagement meer dan de som der delen
19
Waarom willen we de uitkomsten van het
risicomanagement vertalen naar een concreet
bedrag, zijnde het weerstandsvermogen? Vaak
stellen raadsleden en wethouders de vraag: hoe
staan we ervoor als gemeente en hoe vermogend
zijn we? Het antwoord op deze vragen blijft vaak uit,
omdat het inzicht er onvoldoende blijkt te zijn. Het
antwoord wordt bepaald door de financiële positie
van uw gemeente in relatie tot het risicoprofiel van
de gemeente. Hierbij moet opgemerkt worden
dat enerzijds niet alle risico’s zijn te vertalen naar
concrete geldbedragen. Anderzijds is het summum
van risicomanagement niet de rekensom: hoeveel geld
moeten we hebben voor het afdekken van de risico’s?
Nee, gelukkig is het veel meer. Een degelijk systeem
zorgt voor het werken aan een structurele verbetering
en toename van beheersing, mede door krijgen van een
beter inzicht van uw organisatie.
Gebeurtenissen van de laatste jaren laten zien hoe
belangrijk het is dat bekend is hoe de gemeente
er voor staat wat betreft de risico’s en het
weerstandsvermogen. Er zijn vele voorbeelden
van gemeenten die geconfronteerd werden met
onvoorziene risico’s met grote financiële consequenties.
Een in het oog springend voorbeeld is de NoordZuid-lijn in Amsterdam. Dergelijke majeure projecten en
hiermee samenhangende risico’s kunnen een aanzienlijk
effect hebben op de financiële beleidsvrijheid van de
gemeente, maar ook op het imago en de inrichting van
de (project-)organisatie. Immers dergelijke majeure en
unieke projecten vragen om een specifieke inrichting en
aansturing.
Hoe krijg je risicomanagement tussen de oren?
Om risicomanagement ingebed te krijgen in het
handelen van medewerkers is het van belang om
risicomanagement explicieter onderdeel te laten
uitmaken van de reguliere bedrijfsvoering. Een
organisatie moet duidelijk voor ogen hebben wat
risicomanagement inhoudt en wat het oplevert
om risicomanagement te bedrijven. Dit vraagt
om een cultuuromslag binnen veel organisaties.
Dit cultuurelement is in onze optiek één van de
belangrijkste kritische succesfactoren voor het
succesvol implementeren en werkend houden van
risicomanagement. Zie hiervoor ook hoofdstuk 4.4 en
hoofdstuk 6.
20
Wat levert risicomanagement op? Eén van de
belangrijkste voordelen is dat risicomanagement inzicht
creëert in het functioneren van de organisatie: hoe snel
reageert zij op wijzigende omstandigheden? Daarnaast
draagt een adequaat risicomanagement bij aan het
inzicht in en de realisatie van de gestelde doelen. Inzicht
in risico’s en eventuele negatieve gevolgen hiervan
kan zorgen voor een stabielere organisatie met een
inzichtelijker toekomst en een beter beheerst beleid.
Naast inzicht, creëert risicomanagement transparantie
en beheersbaarheid. Transparantie in de risico’s die
een organisatie loopt en beheersbaarheid hiervan. Niet
geheel onbelangrijk levert risicomanagement ook geld
op. Als je de risico’s van je organisatie vroegtijdig erkent
en adequate maatregelen neemt kunnen negatieve
gevolgen van bepaalde activiteiten worden voorkomen.
Met dit handboek hebben wij tot doel om op een
praktische wijze een start te maken met het invullen
van risicomanagement binnen uw organisatie.
Door middel van een overzichtelijke definiëring
en praktische handreikingen kan dit handboek u
helpen bij het bepalen wat risicomanagement voor
uw organisatie betekent. Daarnaast kan het nuttig
zijn bij het benoemen van wat uw organisatie wil
bereiken met risicomanagement. Het kiezen van
een praktische methode voor risicomanagement,
de wijze van implementatie in de dagelijkse gang
van zaken in uw gemeente en het bepalen van de
wijze van rapportage, zijn belangrijke kaders bij de
vormgeving van risicomanagement. Verder blijken in
de praktijk het benoemen van een risicomanager en
het verantwoordelijk maken van (integraal) managers
verantwoordelijk voor zijn/haar risico’s versterkend te
werken voor de effectiviteit van risicomanagement. Ook
druk vanuit de ‘top’ van de organisatie helpt hierbij.
Het gaat hierbij niet alleen om ‘systeemdruk’ (druk
door middel van regels), maar risicomanagement kent
tevens een belangrijk cultuurelement. Er moet anders
gekeken worden naar de organisatie en de processen
die daarbinnen vormkrijgen.
1.3 Leeswijzer
In de volgende hoofdstukken wordt u als lezer geleid
door de elementen van een adequaat en werkend
systeem van risicomanagement. Aan het eind van dit
handboek is een duidelijk beeld ontstaan van elk van
de elementen voor een succesvolle opzet, rolverdeling,
implementatie, werking en de toegevoegde waarde van
een systeem van risicomanagement.
Na een korte omschrijving van risicomanagement
(onder meer als instrument tot doelbereiking) en
weerstandsvermogen in de inleiding wordt in hoofdstuk
2 dieper ingegaan op risicomanagement. In hoofdstuk 3
worden de governance-dimensies bij risicomanagement
verder uitgewerkt. Gericht wordt ingegaan op sturing,
beheersing, verantwoording en toezicht houden,
de vier dimensies van governance. Op basis van de
theorie wordt in dit hoofdstuk de basis gelegd voor
risicomanagement. Veelal wordt gekeken naar de
verbanden tussen risicomanagement en governance,
het duale bestel, rechtmatigheid, rolverdeling en
randvoorwaarden.
Hoofdstuk 4 laat de stappen zien na implementatie.
Hoe zorgt een organisatie voor een continu proces
van verbetering? Hoe wordt risicomanagement een
explicieter onderdeel van de bedrijfsvoering? Hoe kan
vorm worden gegeven aan de cultuuromslag?
1.4 Wat is interessant voor welke doelgroep?
Dit is een boekwerk geworden dat voor verschillende
doelgroepen interessant is: gemeenteraden, colleges
van B&W, gemeentesecretarissen, controllers en
lijnorganisatie. Om het handboek toegankelijk te
maken, hebben we in het onderstaande overzicht
weergegeven welke hoofdstukken of paragrafen
interessant zijn voor welke doelgroep. Het is uiteraard
niet bedoeld om u te weerhouden het handboek in zijn
geheel door te nemen.
Doelgroep
Interessante hoofdstukken/paragrafen
Gemeenteraad
1, 2.1, 2.2, 2.3 en 3
Bijlagen: 5, 8, 10, 11 en 12
College van B&W
1, 2.1, 2.2, 2.3, 3.3, 4.1 en 4.2
Bijlagen: 5, 8, 10, 11 en 12
Controller/
risicomanager/-coördinator
1, 2, 3, 4, 5, 6 en 7
Bijlagen: 1 -12
Lijnorganisatie/ambtelijke
organisatie
1, 2.1, 2.2, 2.3, 4.2, 4.3, 4.4, 4.5, 4.6, 5, 6 en 7
Bijlagen: 1-12
In hoofdstuk 5 wordt nader ingegaan op
weerstandsvermogen. Wat wordt hieronder verstaan?
Welke onderdelen spelen hierbij een rol? Wat zijn de
mogelijkheden voor gemeenten om hier invulling aan te
geven? Welke speelruimte ligt er binnen de elementen
van weerstandsvermogen?
Nadat de belangrijke elementen bij de invoering van
risicomanagement zijn behandeld, laat hoofdstuk 6 de
valkuilen in de praktijk zien. Waar lopen organisaties
tegen aan? Wat kan er mis gaan en hoe is dit te
ondervangen?
Vervolgens worden in hoofdstuk 7 aan de hand van
een aantal thema’s voorbeelden geschetst van hoe
risicomanagement vorm kan krijgen in de praktijk.
Tenslotte bevat dit handboek een flink aantal bijlagen
met praktische voorbeelden, handreikingen, checklists
en overzichten die behulpzaam kunnen zijn bij het
verder vormgeven van risicomanagement in uw eigen
organisatie.
Risicomanagement meer dan de som der delen
21
22
2. Risicomanagement
In dit hoofdstuk gaan we dieper in op de term
risicomanagement. Hierna behandelen we de aspecten
van governance, het gebruik van risicomanagement
voor continue verbetering, de bepaling van het
weerstandsvermogen, de valkuilen in de praktijk en
het weergeven van casuïstiek. Dit hoofdstuk richt zich
bovendien op de risicomanagementsystemen en doelen
en doelgroepen.
Risicomanagement wordt gedefinieerd als het
identificeren en kwantificeren van risico’s en het
bepalen van activiteiten die de kans van optreden en/of
de gevolgen van risico’s beheersbaar houdt/maakt.
Conform artikel 11 BBV dient in de paragraaf
weerstandsvermogen in ieder geval te worden
opgenomen:
a) een inventarisatie van de (weerstands)capaciteit,
b) een inventarisatie van de risico’s en
c) het beleid omtrent de (weerstands)capaciteit en
de risico’s.
In figuur 2.1 wordt de mogelijke opbouw van
de paragraaf weerstandsvermogen getoond.
Uiteindelijk dienen slechts de risico’s van materiële
(belangrijke financiële) betekenis te worden afgezet
tegen de weerstandscapaciteit. Risico’s waar
beheersingsmaatregelen (verzekeringen, maatregelen
in de AO-IC) tegenover staan en die concreet in
geld kunnen worden uitgedrukt en vervolgens zijn
geconcretiseerd door middel van een voorziening
dienen buiten beschouwing te blijven.
Model financiële verordening:
- Weerstandscapaciteit
- Toereikendheid weerstandscapaciteit bij schade en
verliezen als gevolg van risico’s van
materieel belang
Beheers
Maatregelen
Doelstellingen
Bruto
risico
Reguliere
risico’s
Kwantificeerbaar
Niet goed
Kwantificeerbaar
Netto
risico
NietReguliere
risico’s
Kwantificeerbaar
Voorziening
Van geringe
betekenis
Materiële
betekenis
Voorziening
Weerstandscapaciteit
2.1 Wet- en regelgeving: eisen in het kader
van risicomanagement
Met het inwerking treden van het Besluit Begroting en
Verantwoording Provincies en Gemeenten (BBV) per 1
januari 2004, zijn gemeenten verplicht om aandacht te
besteden aan het risicoprofiel van de gemeente en dit
te plaatsen in relatie tot het weerstandsvermogen. Deze
nieuwe regelgeving met betrekking tot begroting en
verantwoording verplicht gemeenten om een duidelijke
koppeling te maken tussen de risico’s die worden
gelopen en het aanhouden van een financiële buffer
(beschikbare weerstandscapaciteit).
BBV:
- Inventarisatie weerstandscapaciteit
- Inventarisatie risico’s
- Beleid omtrent weerstandscapaciteit en risico’s
Figuur 2.1: Opbouw weerstandsvermogen
2.2 Risicomanagement en ISO
Ook in internationaal perspectief staat
risicomanagement sterk in de belangstelling. De
International Organization for Standardization (ISO)
en de International Electrotechnical Commission (IEC)
bereiden drie richtlijnen voor op dit gebied. Het betreft
de volgende aspecten:
• termen en definities (ISO/IEC Guide 73),
• richtlijnen voor de implementatie (ISO 31000) en
• methoden voor risicobeoordeling (IEC 31010).
De beide organisaties hebben twee doelstellingen
met het formuleren van deze normering: het bieden
van een normenkader voor de implementatie van
risicomanagement en het creëren van een ‘kapstok’
voor sectorspecifieke ISO-normen.
Belangrijk aan deze ontwikkeling is vooral dat de drie
aspecten samen worden ontwikkeld: de definities
moeten aansluiten op de richtlijnen voor implementatie
en de methoden voor risicobeoordeling. Hiermee wordt
in de ISO-normen een handvat gecreëerd voor integraal
risicomanagement.
Risicomanagement meer dan de som der delen
23
De essentie van de invulling van termen en definities,
is dat risico’s breder moeten worden gedefinieerd
dan ‘oorzaak’ en ‘gevolg’ en ‘kans x gevolg’. In
de navolgende hoofdstukken wordt dit dan ook
als leidraad uitgewerkt: het gaat verder dan een
mathematische exercitie.
Bij de uitwerking van de richtlijnen wordt een
onderscheid gemaakt tussen de principes, het
raamwerk en het proces. De samenhang tussen deze
onderdelen en de kernbegrippen zijn vanuit ISO-31000:
(Zie figuur 2.2)
De elf basisprincipes van ISO 310002 die leidend zijn:
1 Risicomanagement creëert waarde
2 Het is een integraal onderdeel van de
bedrijfsprocessen
3 Het is onderdeel van de besluitvorming
4 Het richt zich expliciet op onzekerheden
5 Het is systematisch, gestructureerd en tijdig
6 Het is gebaseerd op de best beschikbare
informatie
7 Het is op maat gesneden
8 Het houdt rekening met menselijke en culturele
omstandigheden
9 Het is transparant en overal aanwezig
10Het is dynamisch, interactief en reageert op
verandering
11Het faciliteert voortdurende verbetering en
versterking van de organisatie
Vervolgens wordt aan de hand van het Risk
Management Framework van ISO-31000 uitgewerkt
hoe het raamwerk en het proces vorm kan krijgen. In
essentie sluiten de uitgangspunten van deze ISO-norm
aan bij de uitgangspunten van dit handboek.
De methoden worden op twee manieren
geclassificeerd. Ten eerste: op welke stappen van het
risicobeoordelingsproces hebben ze betrekking? Ten
tweede wordt gekeken naar de volgende parameters:
benodigde middelen en expertise, de mate van
zekerheid en exactheid van de uitkomsten en de
geschiktheid voor complexe risicosituaties. Op die
manier ontstaat een handig spoorboekje om een weg
te vinden in de vele methoden en technieken van
risicobeoordeling. (Zie figuur 2.3)
2
ISO Norm risicomanagement, de Accountant April 2009
24
Mandaat en commitment
Ontwerp van het raamwerk
- Begrijpen van de organisatie en haar context
- Risicomanagementbeleid
- Integratie in de processen van de organisatie
- Toerekenbaarheid (accountability)
- Middelen
- Vaststellen van mechanismen voor interne en externe
communicatie en consultatie
Continue verbetering van het raamwerk
Implementeren van risicomanagement
- Implementeren van het raamwerk
- Implementeren van de
risicomanagementprocessen
Monitoring en review van het raamwerk
Figuur 2.2:
11 Principes in samenhang
Stappen in
risicomanangement proces
- risico-identificatie
- effectanalyse,
- kansanalyse,
- risicoschatting en
- risico-evaluatie
- benodigde
middelen en expertise,
- de mate van zekerheid
en exactheid van de
uitkomsten en de
- geschiktheid voor
complexe
risicosituaties
Figuur 2.3
Classificatie langs twee lijnen
Methoden
van
risicomanagement
2.3 Risicomanagementraamwerk
Zoals in de inleiding (hoofdstuk 1) staat, voldoet
slechts 30 tot 40 procent van alle gemeenten in
Nederland aan de eisen van het BBV. Maar hoe
kunnen we risicomanagement nader definiëren? Waar
bestaat het uit en waar is het mee te vergelijken?
Wanneer voldoet een organisatie aan de eisen van
het BBV? Om deze vragen te beantwoorden en
risicomanagement inzichtelijker te maken, beginnen
we met het risicomanagementraamwerk. Dit bestaat
uit een aantal stappen die leiden tot ontwikkeling
in risicomanagement. Het genoemde raamwerk is
weergegeven in figuur 2.4 waarbinnen de taken en
verantwoordelijkheden van de gemeenteraad, college
en management zijn weergegeven.
5. Toezicht &
Toetsing
o
Be nito
h e re n r
esultaten
ers
maa
t re g e l e n
6. Verbetering
Ook voor gemeenten is de ontwikkeling van deze
ISO- en IEC-normen van belang, omdat ze de opmaat
vormen voor sectorspecifieke ISO-normering en tevens
een handreiking kunnen vormen voor de invulling van
risicomanagement in de eigen organisatie.
innend/Groe
Beg
i en
d
2. Risicoanalys
e
1. Kaderstelling &
Strategie
Gemeenteraad
Doel van deze classificatie is om te komen tot een
toegankelijk en transparant overzicht van de methoden
die beschikbaar zijn en welke het best toepasbaar zijn
voor welke organisatie.
College &
Management Team
Afg e
b ak e n d/
G ead
vanceerd
4.
M
3.
Figuur 2.4
Risicomanagement raamwerk
Het risicomanagement proces bestaat uit zes stappen,
namelijk:
• kaderstelling en strategie,
• risicoanalyse,
• beheersmaatregelen
• monitoren resultaten,
• toezicht en toetsing,
• verbetering.
Om een goed beeld te krijgen worden deze stappen
hieronder toegelicht.
2.3.1Kaderstelling en Strategie
De eerste keuze die een organisatie moet maken
heeft te maken met beleid (kaderstelling en strategie).
Welke normen gelden er? Welke risico’s zijn we bereid
te accepteren en hoe pakken we op hoofdlijnen
risicomanagement aan in de organisatie? Ook
vraagstukken als rapportering en besluitvorming krijgen
hier natuurlijk de aandacht. Een organisatie kan ervoor
kiezen risicomanagement vanuit een procesinvalshoek
of een programma-invalshoek te benaderen. Als
Risicomanagement meer dan de som der delen
25
een organisatie de processen binnen de organisatie
heeft vastgelegd is de procesinvalshoek een goede
keuze. Een alternatief en meer voor de hand liggende
keuze is de programinvalshoek (ook in het licht van
risicomanagement als instrument tot doelbereiking,
zie hoofdstuk 1). Het inventariseren van risico’s kan
plaatsvinden langs een zekere hiërarchie zoals deze is te
onderkennen. Zo kunnen risico’s worden bezien langs
de lijnen van:
• Producten
• Projecten
• Programma’s
• Afdelingen
• Processen
• Activiteiten
• Thema’s
• Externe ontwikkelingen
Het is op zich niet zo belangrijk welke ingang of
volgorde wordt gekozen. Als er maar wordt gekozen
voor die gebieden waarop de grootste risico’s worden
gezien én waarbij nadrukkelijk wordt gekeken naar de
verschillende dimensies van risico’s zoals op juridisch
gebied, imago, milieu of financiën. Na het opstellen van
het raamwerk is het van belang om realistische doelen
te stellen.
Periodiek wordt, op basis van de 212-verordening, de
kaders en strategie met betrekking tot het risicobeleid
bepaald. Dit zijn de kaders, door de gemeenteraad
vastgesteld, waarbinnen het college van B&W en
management team (B&W/MT) mogen werken. Dit
kan bijvoorbeeld door het opstellen van een nota
risicomanagement. Hierin is bijvoorbeeld opgenomen
wat het gewenste en geaccepteerde risicobeleid en
risicoprofiel van de gemeente is, waar middelen voor
zijn gereserveerd (dekkingsbeleid), wat de frequentie
is van informatievoorziening over de ontwikkeling van
de risico’s en op welke wijze periodieke inventarisatie
en monitoring moet plaatsvinden. De planning &
control documenten zoals de begroting, jaarrekening
en bestuursrapportages geven periodiek weer wat
de actuele stand van zaken is in dit kader en wat de
voornemens zijn.
26
De voorzitter van een Amsterdamse stadsdeel is opgestapt met onmiddellijke
ingang na nieuwe informatie over de financiering van het stadsdeelkantoor.
De bouw van het nieuwe stadsdeelkantoor gaat waarschijnlijk meer geld kosten
dan de ruim acht miljoen euro dat de deelraad in november verstrekte. Verdere
kosten zouden voor het risico van de aannemer zijn, benadrukte de voorzitter in
november. Nu blijkt dat deze toezegging niet contractueel is vastgelegd en dat het
stadsdeel nog een onbekend financieel risico loopt.
2.3.2Risicoanalyse
Op basis van de kaderstelling en strategie en de
genoemde doelstellingen werkt het College van
Burgemeester & Wethouders/Management Team
(B&W/MT) de notitie, de acties, de risicovelden
en het voorgestaan beleid in details uit. Dit is een
belangrijke stap. Wat voorheen investeringen en
activiteiten waren, wordt nu een risicoanalyse van de
investeringen. Die moeten leiden tot het behalen van
de strategiedoelstellingen. Er wordt nagegaan wat
het mogelijke effect (risico) is van de investeringen
en activiteiten op de organisatie. Kleven er mogelijke
(negatieve) gevolgen aan? En wat is de kans daar op?
Dit ligt zeer dicht tegen de beleidsafwegingen aan die
de gemeenteraad maakt en het is daarom ook aan hen
om dit mee te nemen. De impact vermenigvuldigd met
de kans is het risico. Het totaal aan risico’s, eventueel
ook nog rekening houdend met de onderlinge
afhankelijkheid en beïnvloedbaarheid van de risico’s op
elkaar, vormt het risicoprofiel. Ook moet hier uiteraard
nog rekening worden gehouden met het mitigerend
effect dat beheersmaatregelen hebben op de bruto
risico’s, dus zonder maatregelen. Hierover later meer.
Organisatorisch kan op verschillende niveaus worden
ingegaan op de risico’s. Zo heeft de gemeenteraad
Risicoanalyse:
Vaststellen van het werkveld
Doelstellingen
Inventariseren risico’s
•
•
•
•
•
•
•
•
•
•
(deel van) organisatie
(deel van) processen
Specifieke thema’s, projecten
Dimensies (juridisch, politiek, etc.)
Opstellen doelenhierarchie
Strategisch, tactisch, operationeel
Prioriteit
Risicofactoren
Risico-objecten
Schade
voldoende aan een globaal risicoprofiel, terwijl het
management of college een meer gedetailleerd
risicoprofiel wil om meer inzicht te krijgen en later ook
om nadrukkelijk te kunnen sturen en te beheersen. Van
belang is deze stap goed te nemen, want een vergissing
of een onvoldoende inzicht kan grote politieke en
financiële consequenties hebben.
Echter niet alle risico’s zijn eenvoudig te kwantificeren
in omvang of kans. Het gaat in dit verband bijvoorbeeld
over de indirecte schade (imago) en mogelijke
aansprakelijkheidsrisico’s die bestaan vanuit de
verantwoordelijkheid voor het handelen als overheid
(als goede ‘huisvader’ in de sfeer van bijvoorbeeld
wegbeheer en klachten). In het laatste voorbeeld is
er sprake van een nog onbekende gebeurtenis met
een onbekende wederpartij en van nog onbekende
belangen. Het is dan ook van belang dat dergelijke
risico’s zo goed mogelijk in kaart worden gebracht
en door de gehele organisatie worden gevolgd. Ook
is in dit kader van belang dat de analyse van risico’s
continu plaatsvindt en er steeds opnieuw wordt
bepaald wat de mogelijke risico’s zijn. Kortom, is er
een mutatie opgetreden ten opzichte van voorgaande
risico’s? Om lastig kwantificeerbare en niet direct in het
oog springende risico’s in beeld te krijgen, wordt de
organisatie uitgedaagd om ‘out of the box’ te denken.
De analyse van de risico’s van de organisatie begint
bij het vaststellen van het werkveld. Nemen we de
organisatie als geheel of analyseren we delen van de
gemeentelijke organisatie? Dit is ook mede afhankelijk
van de keuze tussen de verschillende invalshoeken
(proces of programma).
Belangrijk voor een organisatie is te bepalen in welke
mate en met welke diepgang de risicoanalyse moet
worden uitgevoerd. Elk risico van de organisatie in
kaart brengen kan veel inzicht bieden, maar kost veel
tijd en energie en daarom ook geld. Een te globale
analyse kan betekenen dat een aantal (belangrijke)
risico’s over het hoofd wordt gezien. Dit kan ernstige
gevolgen hebben. Er moet daarom een keuze worden
gemaakt over het detailniveau (het ’werkveld’). Hierbij
kan gebruik worden gemaakt van de processtappen
zoals deze zijn gepresenteerd in paragraaf 1.2 en de
praktijkhandreikingen zoals deze ook in de bijlagen van
dit handboek aan de orde komen.
Uit: ‘de goden verzoeken’ – Het opmerkelijk verhaal van een risico Peter L. Bernstein
“In de moderne samenleving is het van cruciaal belang om te kunnen bepalen
wat er in de toekomst kan gebeuren en keuze te maken uit de verschillende
mogelijkheden. De gevolgen van foute beslissingen zijn verstrekkend, de kansen
en uitdagingen oneindig voor wie risico durft te nemen. Op alle mogelijke
maatschappelijke terreinen helpt het vermogen om risico’s te beheersen ons in
onze besluitvorming: het moedigt ons aan om risico te nemen en vooruitziende
keuzen te maken; het is een cruciale factor in de stuwkracht van het economisch
verkeer.”
Als het werkveld is bepaald, begint het inventariseren
van de risico’s. Wat zijn de risicofactoren en de risicoobjecten? Wat is het eventuele (negatieve) gevolg van
het risico? Afhankelijk van het werkveld en de strategie
ontstaat er een overzicht van de risico’s (de risicokaart)
voor de organisatie die per proces of programma zijn
geselecteerd.
Een risico is niet per definitie negatief voor een project,
het kan ook positief zijn. Negatief zijn bijvoorbeeld
risico’s die leiden tot extra kosten of een langere
doorlooptijd. Positieve risico’s zijn bijvoorbeeld
kwaliteitsverbeteringen door de inzet van nieuwe
technologie, mogelijk te verkrijgen subsidies. In
de onderstaande tabel is een aantal voorbeelden
opgenomen.
Positieve risico’s
Negatieve risico’s
Kwaliteitsverbetering
Versnellen
Temporiseren
Eerste aanbieder/pionier
Nieuw product
Imago
Personeel (aantrekkelijkheid als werkgever)
Kansen
Financiële schade
Politiek/bestuurlijk/imago
Personeel
Milieu
Risicomanagement meer dan de som der delen
27
In figuur 2.5 zijn de te nemen maatregelen
weergegeven na weging (kans en omvang/impact)
van de risico’s. Als de kans dat een risico zich voordoet
en de eventuele omvang van de schade klein is, dan is
het efficiënt om het risico te laten voor wat het is en
risicomanagement te richten op de overige risico’s.
Als de kans groot is dat het risico zich voordoet en
de omvang van de schade is ook groot, dan kan het
advies zijn om de activiteit stop te zetten. Dit geldt
zeker wanneer geen adequate beheersmaatregelen
zijn te treffen om of de kans of de omvang van de
schade te beperken. Voor de andere twee gevallen
is een aanpassing van de activiteit of verzekering
voldoende om het risico te dekken. Wanneer de kans
klein is dat zich een schade voor gaat doen, maar de
omvang is groot dan is het vermoedelijk niet rationeel
om hiervoor permanente beheersmaatregelen te
treffen. Deze maatregelen zouden dan veel geld kosten
voor iets wat zich nagenoeg nooit manifesteert, zoals
stormschade. Bij die situaties waarbij de kans groot is
en de schade klein moet nagegaan worden (omdat
het risico zich klaarblijkelijk vaak manifesteert) of het
proces aangepast moet worden. Die zie je wanneer
er zeer vaak/ veel bezwaarschriften komen bij het
taxeren van de WOZ-waarde of bouwvergunningen.
Aan de hand van de risicoanalyse wordt voor elk risico
een kwantificering gemaakt. Hier zijn verschillende
systemen voor beschikbaar.
Risicomanagement en verbonden partijen: SW -bedrijf (Sociale Werkvoorziening)
In het licht van veranderende wet- en regelgeving (nieuwe WSW met ingang
van 2008), teruglopende resultaten van het SW-bedrijf en een aanscherping van
het risicomanagement binnen een gemeente in het midden van het land heeft
de gemeente het risicomanagement rond de WSW eens kritisch tegen het licht
gehouden. Hierbij is aandacht besteed aan de risico’s die te signaleren zijn, maar
tevens aan de te ondernemen acties om deze risico’s af te dekken. Dit heeft
geresulteerd in de volgende inzichten:
• Een risicoprofiel: risico, kans, impact, effect, maatregel en verantwoordelijke
per risico
• Een marsroute tot verbetering: wat moet de gemeente wanneer doen om het
risicomanagement op dit terrein te verbeteren?
• Een grafisch risicoprofiel
5
Marktoperen
SW-bedrijf
Transparantie &
Prestatiesturing
Meerjarig perspectief
Risicoraamwerk
Binding
FinancieringsEfficiëntie
Autonomie
vanuit
relatie
SW
gemeenten
bedrijf
Vrijheid vs gebondenheid
Impact
De risicoweging of kwantificering van risico’s kan
op verschillende manieren. Meerdere systemen zijn
beschikbaar op de markt om risico’s te kwantificeren.
Welk systeem of methode er ook wordt gebruikt, in
bijna alle gevallen is sprake van een vermenigvuldiging
van kans en gevolg. Het gevolg is de eventuele schade
als het risico zich daadwerkelijk voordoet. De kans is
de waarschijnlijkheid uitgedrukt in een percentage
dat het risico zich daadwerkelijk voordoet. De kans
vermenigvuldigt met het gevolg geeft de impact van
het risico weer.
Processen
TVB
1
1
Kans
maatregelmatrix
omvang schade
groot
klein
groot
activiteit
stopzetten
process
aanpassen
klein
verzekeren
geen aandacht
geven
kans
Figuur 2.5
Maatregelmatrix
28
5
Gebruikte systemen voor risicomanagement binnen de
overheidsector zijn onder anderen COELO en NARIS.
Naast deze systemen zijn er nog meerdere methoden
en systemen beschikbaar, maar er zijn ook systemen
die organisaties zelf kunnen opzetten en uitvoeren.
Één daarvan is de berekening van kans, frequentie
(het verwacht aantal keren dat een risico zich
voordoet), impact (de effecten van een risico in
financiële of andere zin) en gevolg schade (uitkomst
van de voorgaande begrippen). Zo kunnen voor elk
proces of programma verschillende scenario’s worden
meegenomen in de risicoberekening. Voor een activiteit
kunnen bijvoorbeeld drie verschillende hoogtes van
schadeposten worden genomen: hoog, gemiddeld en
laag. Onder normale omstandigheden hoort bij een
hoge schadepost een lage kans en frequentie. Uit de
vermenigvuldiging van kans, frequentie en schadepost
komt een risicobedrag. De drie risicobedragen
opgeteld, vormen het totale risicobedrag van het
proces of programma. Een voorbeeld van deze
berekening is gegeven in figuur 2.6. Hierbij moet er
uiteindelijk wel rekening mee worden gehouden dat
de geïdentificeerde en gesommeerde risico’s zich zeker
niet altijd tegelijkertijd zullen voordoen. Met deze
wetenschap moet ook rekening worden gehouden bij
het uiteindelijk bepalen van de noodzakelijke omvang
van de weerstandsvermogen.
Hieronder staat een voorbeeld dat per organisatie
aangepast kan worden aan specifieke eigenschappen
en/of wensen.
Risicoweging:
Kwantificering risico’s
Beoordelen en selecteren risico’s
• Kansen
• Frequenties
• Hoogte schade
• norm (hoog, gemiddeld, laag)
• kans X schade
• kans X norm
• historische afwijkingen producten
• NARIS
• Berekenen verwachte waarde
• Berekening spreiding
• Prioritering risico’s
• Risicohouding
NARIS
NARIS, het risicomanagementinformatiesysteem van het Nederlands Adviesbureau
voor Risicomanagement (NAR). NARIS is een opslagplaats waar veel gegevens
van gemeenten zijn opgeslagen. Zo bevat de centrale database 80% van de
bekende risico’s en maatregelen binnen de overheid. Dit heeft als voordeel
dat gemeenten een overzicht krijgen gepresenteerd van bekende risico’s en
de beheersmaatregelen. Het systeem dat hier voor gebruikt wordt, houdt ook
wijzigingen in de gaten wat risicomanagement een meer continue inval geeft.
COELO
Centrum voor Onderzoek van de Economie van de Lagere Overheden
(COELO) voert verschillende onderzoeken uit op het gebied van risico’s en
weerstandsvermogen bij de lagere overheden. Uit deze onderzoeken is een
hulpmiddel voor weerstandsvermogen ontworpen dat gebaseerd is op een
technische analyse van de onderzoeksresultaten. Zo worden gemiddelde waardes
en afwijkingen over meerdere jaren bepaald van producten van een gemeente die
overheden kunnen gebruiken bij het schatten van risico’s en weerstandsvermogen.
Risicomanager/-eenheid
kans
frequentie
impact
= gevolg
0,1
0,2
100.000
2000
0,5
0,6
50.000
12000
0,7
1,0
20.000
14000
31000
Algemeen
Juridische Zaken
- Juridisch Control:
- Risico
- Etc.
Maatschappelijke
Ontwikkeling
- Werk & Inkomen:
- Risico
- Etc.
Financiële
Planning & Control
- Belasting:
- Risico
- Etc.
Etcetera
- Beleid:
- Risico
- Etc.
- Beleid:
- Risico
- Etc.
- Grondzaken:
- Risico
- Etc.
- Etcetera:
- Risico
- Etc.
Figuur 2.6
Figuur 2.7
Voorbeeld berekening
Risicoprofiel
- Milieu:
- Risico
- Etc.
Risicomanagement meer dan de som der delen
29
2.3.3Beheersmaatregelen
Zodra de risicoanalyse van de organisatie is gemaakt,
moeten beheersmaatregelen en acties worden
benoemd om de risico’s continu te kunnen beheersen.
Deze maatregelen bestaan uit instrumenten. Dit
vertaalt zich in een bewustzijn en daarna in bepaalde
vaardigheden. Voorbeelden hiervan zijn: pro-activiteit,
een brede blik en continue monitoring. Dit is de derde
stap van het risicomanagementproces. Een gedeelte
van de risico’s kan misschien makkelijk ondervangen
worden door verzekeringen of uitbestedingen, voor
andere risico’s dienen meer ingewikkelde oplossingen
te worden gezocht. Of de gemeenteraad c.q. het
college van B&W kan beslissen bewust een aantal
risico’s te aanvaarden. Naarmate een organisatie meer
ervaring krijgt in risicomanagement versoepelt het
proces van vaardigheden ontwikkelen.
Beheersmaatregelen zijn te onderscheiden in de
zogenaamde hard controls en soft controls.
De hard controls zijn te definiëren als meetbare
afspraken en richtlijnen waarvan wordt vastgesteld dat
deze nageleefd zijn. Het meten van deze controls is
vaak objectief , omdat het afgesproken spelregels zijn
binnen een organisatie.
De Heus en Stremmelaar3 hebben soft controls als volgt
gedefinieerd:
“Een beheersingsmaatregel die meer dan hard
controls ingrijpt op c.q. appelleert aan het persoonlijk
functioneren van de medewerkers. Soft controls zijn
op te vatten als maatregelen die van invloed zijn op
bijvoorbeeld motivatie, loyaliteit, integriteit, inspiratie
en normen en waarden van medewerkers.”
3
“Auditen van soft controls”, R.S. de Heus, M.T.L. Stremmelaar, 2000
30
Voorbeelden van hard en soft controls zijn:
Hard controls
Soft controls
Procedurebeschrijvingen
Handboeken
Prikklok
Wetgeving
Functieprofiel
Code of conduct
Beleid nevenfuncties
Uitdragen
Bevorderen bepaald gedrag
Loyaliteit en houding
Respect
Competenties
Tone at the top
Transparant
Ook hiervoor worden de beheersmaatregelen
ontworpen. Dit kan onder andere door middel van
een administratieve organisatie (AO/IB, kwaliteit
instrumentarium) waarmee een meer transparante
organisatie ontstaat. Hierbinnen wordt interne controle
en toezicht opgesteld. De administratieve organisatie
is vooral bedoeld voor risico’s die vanuit de organisatie
worden veroorzaakt. Voor onder andere externe risico’s
kan men verzekeringen sluiten, bepaalde voorzieningen
treffen en/of reserves opzij leggen. Voor de risico’s
die niet (geheel) kunnen worden afgedekt door
middel van verzekeringen, voorzieningen, contracten
en prestatieafspraken kan een organisatie ervoor
kiezen -naast uiteraard het treffen van de nodige
beheersmaatregelen.- voor het afdekken ervan door de
weerstandscapaciteit op te bouwen.
1
2
3
4
5
6
7
8
9
10
11
12
13
A
�
B
C
D
� �
�
�
�
�
�
�
�
�
�
Processen E
F
G
H
I
�
�
Belangrijkste risico’s
Belangrijkste risico’s in
specifieke processen
Figuur 2.8
Hoog
Risico’s en beheersmaatregelen.
Ramp
rechtmatigheid
fraude
centrumplan
wegen
samenwerkings
Transparantie beleidsplan
&
verbanden
Meerjarig perspectief
planschade
grond
claims
exploitatie
Wet Werk
en bijstand
Impact
Naar aanleiding van de vorige stappen dient een
risicoplan te worden opgesteld. Hierin wordt
aangegeven welke risico’s geïdentificeerd zijn en wat de
gekozen maatregelen zijn om de risico’s te beheersen.
Een risicoprofiel kan visueel worden gemaakt door
waarschijnlijkheid van optreden en de financiële impact
aan de risico’s te koppelen. Op deze manier ontstaat
er, wanneer een complete inventarisatie is uitgevoerd,
een overzicht dat in één oogopslag laat zien hoe de
organisatie er voor staat. In figuur 2.9 is hiervan een
voorbeeld gegeven.
Risico’s
wet en
regelgeving
openbare orde
veiligheid
planning & control
liquiditeit
Laag
Bijna elke beheersmaatregel heeft een financiële
impact op de bedrijfsvoering. Mede hierdoor is het
noodzakelijk dat voor elke maatregel een kostenbatenanalyse wordt gemaakt. Het kan voorkomen
dat de beheersmaatregel dusdanig geld kost, dat
het gelijk of zelfs hoger is dan het gelopen risico.
Zo kan worden bepaald welke beheersmaatregel
passend is binnen het beleid. Hierna wordt gekeken
of de beheersmaatregelen afdoende zijn en of er nog
gevolgen zijn van de risico’s, weergegeven in figuur 2.8.
Laag
schoolvervoer
Waarschijnlijkheid
Hoog
Figuur 2.9
Risicoprofiel
Risicomanagement meer dan de som der delen
31
Risicobeheersing: Risico’s bij grote projecten
Een gemeente heeft in het licht van stedelijke ontwikkeling het initiatief genomen
tot het opzetten van een Huis van Cultuur, waarin een muziekschool, een
theater, een filmhuis en een bibliotheek worden ondergebracht. Het project is
politiek-bestuurlijk een beladen project: het is centraal gelegen, er is een aantal
belangrijke voorzieningen betrokken, het betreft een fors investeringsbedrag
en als het project slaagt, is sprake van een uitstraling naar de regio. Gezien het
belang is er relatief veel aandacht besteed aan risico’s (financieel en bestuurlijk) en
onderzoek. De gemeente heeft verzocht het risicomanagement rond het project te
inventariseren en te bekijken of hierbij leerpunten zijn te formuleren die eventueel
hun uitwerking hebben op de rest van de organisatie. Deze inventarisatie heeft
geleid tot een aantal generieke aandachtspunten, maar heeft tevens geleid tot
specifieke handreikingen voor het project zelf.
1.
•
•
•
•
•
•
•
•
Generieke aandachtspunten en risico’s:
Behoud van kennis en expertise in eigen huis
Procesdefinitie en functiescheiding in het project (in beperkte mate)
Kwaliteit van medewerkers moeilijk te borgen
Risicoattitude in cultuur en aanspreekgedrag
Controle en bijsturing op het project onvoldoende formeel geborgd
Ontbreken formeel risicomanagement raamwerk
Borgen projectmatig werken in organisatie
Ontbreken gesystematiseerde risicokwanticering en geformuleerde
maatregelen
2. Voor het project zelf zijn de volgende risico’s geïdentificeerd:
• Continuïteit: bezetting in het project kent een uiterst hoog verloop
• Bestuurlijk draagvlak en eenduidigheid in ‘ownership’
• De vier betrokken partijen op één lijn krijgen en houden vormt een continue
uitdaging (en daarmee een afbreukrisico)
• Borging kennis en ervaringen project
5
Continuiteit bezetting
Borging kennis
Risicoraamwerk
Impact
Kwaliteitsmedewerkers
Risicoattitude &
aanspreekgedrag
Meerdere
partijen
Controle & sturing
Risicokwanticering
Projectmatig werken
Procesdefinitie
& funktiescheiding
1
1
32
Kans
2.3.4Monitoren Resultaten
Omdat het speelveld van de publieke sector en dus
van ook van een gemeente/gemeentelijke organisatie
continu verandert en daarmee ook de risico’s, moet
continu een systeem van monitoring aanwezig
zijn die de risico’s in beeld heeft. Nieuwe risico’s
kunnen ontstaan door een wijziging in het beleid,
nieuwe projecten, aanpassing van de projectscope
of de omgeving. Risico’s kunnen toenemen door een
verandering van de tijdsplanning, aanpassing van
economische omstandigheden, enzovoort. Dit betekent
dat men waakzaam moet zijn over de ontwikkeling van
de risico’s, wat overigens niet inhoudt dat elk relatief
klein risico continu dient te worden gecontroleerd. Wel
moet men bewust zijn van het kunnen wijzigen van
risico’s en dat daar op in dient te worden gespeeld. Dit
is stap 4: monitoren resultaten.
Het doel van continue monitoring is om tijdig
(wijzigingen in) risico’s te signaleren, adequate
maatregelen te kunnen treffen en waar nodig bij te
sturen. Uitgangspunt hierbij is dat hoe eerder een
(wijziging in een) risico wordt gesignaleerd, hoe beter
de gevolgen te beheersen zijn.
De genoemde risico’s zijn tevens in een grafisch risicoprofiel opgenomen:
Bestuurlijk
draagvlak
“Bij het aannamebeleid van
nieuwe medewerkers zou
risicohouding een belangrijk
criterium moeten zijn” Diana
Boender, Sectorcontroller
Ambulancedienst ZHZ
5
Checklist Risicomanagement
Stap
Gemeenteraad
College
Ambtelijk
bepalen kaders en strategie
advies/feedback
adviseren, informatie
verstrekken, opstellen
Risicoanalyse
toezicht
geeft opdracht en toets
formuleert/voert uit/ en
monitoort
Monitoren
toezicht en controle
ontwikkeling kaders
maatregelen
informatie verstrekken
en controle
Toezicht & Toetsing
controle
toezicht en verantwoording continu monitoren
Verbetering
feedback bij verbeteren beleid advies betreffende
verbetering beleid
Kaderstelling & strategie
2.3.5Toezicht en Toetsing
Gedurende het jaar wordt op verschillende data
verantwoording afgelegd over de resultaten van het
gevoerde beleid door het B&W/MT. Hierbij wordt
aangegeven welke doelen zijn behaald, welke niet en
waarom. Het antwoord op het waarom kan worden
gebruikt voor nieuwe kaderstelling en strategie. Dit is
de vijfde stap in het risicomanagementproces. Het is
belangrijk dat vooraf, in de kaderstelling en strategie,
juiste doelen met betrekking tot risicomanagement
zijn geformuleerd, dit maakt de toetsingsfunctie
van de gemeenteraad inzichtelijker en makkelijker.
Ook toetsing in het kader van controle is hierdoor
beter te realiseren: is alles geïnventariseerd, zijn de
risico’s juist in kaart gebracht en zijn de adequate
maatregelen genomen? Beantwoording van deze
vragen moet aan de orde komen door het proces van
inventariseren en verslaglegging van deze exercitie
te beoordelen. Mogelijk gaat dit gepaard met het
stellen van vragen door de toezichthouder, ter
verduidelijking van de beeldvorming. De resultaten van
het risicomanagementproces zelf staan centraal in deze
stap. Het management van de gemeente dient hiertoe
regelmatig de geïdentificeerde risico’s te evalueren, de
gehanteerde strategieën te beoordelen, de daarmee
samenhangende processen te bewaken en de prestaties
ten aanzien van risicomanagement te meten. Hier ligt
ook een duidelijke rol voor de controlfunctie. Deze zal
kwaliteit en betrouwbaarheid aan het inventarisatieen evaluatieproces kunnen toevoegen door vast te
stellen of het proces van inventariseren, scoren en
signaleren/formuleren
implementeren
berekenen van de risico’s adequaat is en hiermee
dus een goede weergave is van de omvang van de
risico’s die de organisatie loopt en de resultaten
die bereikt zijn met het treffen van maatregelen.
2.3.6Verbetering
Tevens wordt de verantwoording voor de resultaten
van het gevoerde beleid gebruikt als feedback voor
de gemeenteraad om de kaderstelling en strategie te
verbeteren voor het volgende jaar. Dit vormt de zesde
stap uit het risicomanagementproces: verbetering. De
centrale gedachte bij verbetering is dat er ‘lessen uit
het verleden’ worden getrokken: welke gebeurtenissen
met (belangrijke) negatieve gevolgen hebben zich
voorgedaan, welke beheersmaatregelen hebben wel
gewerkt, hebben we risico’s tijdig in beeld gehad, hoe
kunnen we de risico’s in de toekomst voorkomen?
Feitelijk resulteert dit in de continue verbetering van het
systeem en de methodiek van risicomanagement: het
is nooit af, zeker gezien het feit dat omstandigheden
continu veranderen.
Doordat een organisatie voortdurend te maken heeft
met in- en externe veranderingen en de prestaties
van risicomanagement steeds opnieuw verbeterd
moeten worden, dienen zowel de risico-eigenaren, de
verantwoordelijke voor een product, proces, project
of programma, als het management aandacht te
besteden aan aanpassingen van de processen en de
strategieën. De resultaten van de vorige stap zijn hierbij
richtinggevend.
Risicomanagement meer dan de som der delen
33
Het toepassen van risicomanagement biedt de
mogelijkheid om op een veel explicietere wijze
invulling te geven aan het benodigde sturings- en
beheersingsinstrumentarium van de gemeente. Dit kan,
afhankelijk van de onderkende risico’s, de mogelijkheid
bieden om een reductie te realiseren in de benodigde
weerstandscapaciteit. Hierdoor kunnen middelen
vrijkomen voor andere doeleinden.
Daarnaast zijn de volgende voordelen te onderkennen:
• Verhoogd(e) risicobewustzijn en –gevoeligheid
• Effectievere en efficiëntere bedrijfsvoering
• Betere koppeling tussen beleid en bedrijfsvoering
• Verbeterde interne communicatie en grotere
betrokkenheid van medewerkers
• Betere sturing en beheersing van verandering,
proactief/anticiperend
• Meer kans op het voorkomen van problemen
• Risicobeheersing tegen lagere kosten
• Versterking van de (externe) verantwoording
• Versterking van public governance
Het in de breedte toepassen van de zes stappen van
de in dit handboek gepresenteerde risicomanagement
raamwerk is voor veel organisaties nog een vrij nieuw
concept. Mede hierom wordt risicomanagement in
het volgende onderdeel gekoppeld aan governance.
Governance is een beter bekend concept binnen de
publieke sector en de koppeling schept meer inzicht in
het idee achter risicomanagement. Onder Governance
wordt verstaan: het waarborgen van de onderlinge
samenhang van de wijze van sturen, beheersen en
toezicht houden van een organisatie, gericht op een
efficiënte en effectieve realisatie van doelstellingen,
alsmede het daarover op een open wijze communiceren
en verantwoording afleggen ten behoeve van
belanghebbenden, waarop wij in hoofdstuk 3 nader
ingaan.
“Risicomanagement: voor
wie risico’s durft te nemen”
Annemiek Jutte, gemeente
Amersfoort
34
2.4 Inbedding/verankering
Een belangrijk onderdeel van risicomanagement is de
inbedding ervan binnen de organisatie. De vraag is
hoe dit kan worden bewerkstelligd. Eerst wordt de
risicomanagementfunctie toegelicht, gevolgd door
wat inbedding van risicomanagement in de organisatie
inhoudt en de benodigde kennis die hier bij komt kijken.
Als risicomanagement op een optimaal niveau
functioneert, wordt binnen de strategische
besluitvorming mede in termen van risicomanagement
gedacht. Er wordt rekening gehouden met de
bedreigingen die voortvloeien uit beleidskeuzes, de
mogelijke financiële impact van beleidskeuzes en het
effect op het functioneren van de organisatie. Binnen
besluitvorming wordt gekozen voor risicobeheersende
beleidsbepaling. Niet om elk risico te vermijden, maar
om risico’s inzichtelijk te maken en beheersbaar te
houden.
Dit risicomanagement-denken binnen strategische
besluitvorming houdt ook in dat er (idealiter) een
risicobeheersplan, risiconotitie en/of risicoparagraaf
wordt opgesteld binnen de organisatie. Een
risicobeheersplan geeft de risico’s van het functioneren
van de organisatie weer, inclusief de financiële
consequenties en de beheersmaatregelen voor de
risico’s. Gedurende het beleidsjaar wordt het college en
de uitvoering van het beleid gecontroleerd, getoetst en
eventueel bijgestuurd.
Binnen de organisatie is een document over
risicomanagement opgesteld. Stakeholders worden
geïnformeerd over risicomanagement, de maatregelen,
methoden, technieken en hulpmiddelen. Dit verhoogt
de kennis en betrokkenheid van de medewerkers .
Hierbij is het van belang dat er mogelijkheid is voor
opleidingen en trainingen voor de medewerkers.
Om inbedding van risicomanagement binnen de
organisatie te bevorderen, is het van belang dat er een
aangewezen functionaris (of zelfs afdeling) is die het
proces van risicomanagement monitort en signalen
geeft naar de organisatie. Deze functionaris beheerst
het proces , draagt zorg voor de risicoinventarisatie
en beheersmaatregelen en stimuleert de participatie
van medewerkers. Risicomanagement moet integraal
worden ingepast, als onderdeel van de taken van de
lijnmanager.
Bij risicomanagement is ook kennis in verschillende
opzichten van groot belang. In algemene vorm betreft
het de kennis van de organisatie en haar omgeving,
zoals de visie en de missie. Daarnaast is kennis over de
risicomanagementsystemen en methodieken gewenst,
alsook het bezit van inhoudelijke en technische kennis.
Een goed voorbeeld hiervan zijn projecten waar de
technische kennis omtrent bijvoorbeeld de risico’s
rondom realisatie een voorwaarde zijn voor goed
risicomanagement. Denk bijvoorbeeld aan de aanleg
van de Noord-Zuidlijn waarbij issues zijn ontstaan door
verzakkingen als gevolg van boren. Wanneer dergelijke
technische kennis intern niet aanwezig is dan zal deze
mogelijk extern aangezocht moeten worden om een
risico-inventarisatie uit te voeren. Het is in deze gevallen
voor de controller namelijk ondoenlijk om bijvoorbeeld
op hetzelfde niveau de technische kennis te verkrijgen.
Het gaat dan met name om de toetsing dat een
dergelijke inventarisatie tot uitvoering is gekomen en
het stellen van de juiste vragen.
Kennis over:
Risicomanagement systemen en methodieken
Organisatieomgeving
Organisatievisie
•
Missie
•
Doelstellingen
•
Strategie
•
Besturingsfilosofie
Organisatiestructuur
Bedrijfsprocessen
Programma’s
Instrumentarium planning & control
Risicohouding
Hiernaast is een kort overzicht geplaatst. Gedeeltelijk
is deze informatie in een bepaalde mate aanwezig
in de organisatie, maar om dit te expanderen speelt
communicatie een grote rol. Continu moet een
informatiestroom aanwezig zijn waar deze aspecten in
worden behandeld. Vaak komt deze informatie samen
in het functioneren van een projectgroep.
In het volgende hoofdstuk gaan we in op
governance. Hierbij worden tevens de elementen van
risicomanagement in relatie tot governance uitgediept.
Risicomanagement meer dan de som der delen
35
36
3.1 Het begrip Governance
Governance is het waarborgen van de onderlinge
samenhang van de wijze van sturen, beheersen, en
toezicht houden van een organisatie, gericht op een
efficiënte en effectieve realisatie van doelstellingen,
alsmede het daarover op een open wijze communiceren
en verantwoording afleggen ten behoeve van
belanghebbenden.4
De vier dimensies van governance zijn te verdelen
over twee oriëntatierichtingen: interne of externe
organisatie, voor de korte of lange termijn. In elk
kwadrant kan een deelproces worden geplaatst. De
onderlinge samenhang is te zien in figuur 3.1.
Nadruk ligt op
- Verantwoording
- Toezicht en
- Transparantie
Externe
Stakeholders
Toezicht
Aan onder meer:
- Gemeente
- Rijksoverheid
- Provincie
Verantwoorden
Governance
Sturen
Interne
organisatie
In dit hoofdstuk behandelen we governance , specifiek
de vier dimensies: sturen, beheersen, toezicht en
verantwoording.
Externe
organisatie
3.Governance
Nadruk ligt op:
- Prestatiemanagement
- Planning en Control
Lange termijn
Beheersen
Interne
Organisatie
Nadruk ligt op:
- AO/IC
- Risicomanagement
- Planning en Control
Korte termijn
Figuur 3.1
Dimensies Governance
3.2 De governance cyclus
De interne organisatie is te zien in de kwadranten
sturen en beheersen. Het sturen behelst onder meer
het stellen van de kaders voor het geven van richting
aan de organisatie, het formuleren van doelstellingen
en prestaties. Het college en de ambtelijke top zijn
verantwoordelijk voor het sturen van de organisatie
om zodoende de geformuleerde doelstellingen te
realiseren. Bij het aspect beheersing gaat het met
name om de vertaling van de gestelde kaders en
doelstellingen van de organisatie naar de inrichting
van de organisatie. Hoe richten we de organisatie
dusdanig in dat de grootste waarborg bestaat dat de
doelstellingen gerealiseerd worden? Ofwel, de aspecten
van de bedrijfsvoering.
De externe organisatie bestaat uit de kwadranten
verantwoorden en toezicht houden. De
verantwoording heeft vanuit de interne organisatie
plaats naar de externe organisatie. Deze is breed in
gemeenteland. Er zijn immers vele belanghebbenden
met vele verschillende belangen. Denk hierbij aan
burgers, subsidieontvangers, bedrijfsleven en andere
overheden. Overigens wordt de gemeenteraad als
externe omgeving beschouwd. Immers, zij krijgen een
verantwoording overlegd op basis van de vastgestelde
doelstellingen uitmondend in een confrontatie tussen
programmabegroting en programmaverantwoording.
4
Ministerie van Financiën
Risicomanagement meer dan de som der delen
37
Het toezicht is te zien als de beoordeling van de
uitkomsten van de verantwoordingscyclus. Een
belangrijke rol spelen hierbij de gemeenteraad en
provincie: zij houden binnen de gestelde kaders
toezicht.
Wanneer we risicomanagement beschouwen als een
belangrijk aspect van de governance-cyclus dan is het
schema bruikbaar om vorm en inhoud te geven aan
risicomanagement. Dat risicomanagement essentieel
is lijkt evident, omdat het (her)kennen van risico’s
essentieel is om:
• besluiten te nemen: wat zijn de consequenties van
ons handelen?
• kaders mee te geven: welk risico mag gelopen
worden en hoe wensen wij hierover geïnformeerd te
worden?
• bijstellingen te plegen: wanneer er zicht is op risico’s
of deze zich manifesteren, komt de vraag aan de
orde of we maatregelen moeten nemen en zo ja,
waar?
• te communiceren: wie wordt wanneer geïnformeerd
en tot op welk niveau?
Voor alle verschillende actoren in de governance-cyclus
is het cruciaal om inzicht te hebben in de risico’s. De
verschillende actoren kunnen namelijk hun beslissingen
beter nemen als er inzicht is in de aard, de omvang en
de oorzaak van mogelijke risico’s. Het kennen van de
risico’s en hier bewust mee omgaan, moet resulteren in
het ondernemen van acties.
Naast het kennen van de risico’s, draagt een adequaat
systeem van risicomanagement ook bij aan het behalen
van doelen en doelstellingen en daarmee aan het
vergroten van de transparantie en het afleggen van
een meer inzichtelijke en betere verantwoording.
Het bewust inzichtelijk hebben van risico’s, het
sturen hierop, het delen van hiermee gemoeide
informatie en het nemen van maatregelen draagt bij
aan het creëren van vertrouwen en openheid. Het
besluitvormingsproces wordt hierdoor duidelijker.
Uit het bovenstaande voorbeeld blijkt dat er vaak
verschillend gedacht wordt over risico’s, de informatie
hierover, de kwantificering hiervan, de acceptatie
hiervan en de maatregelen die in dit kader zijn
genomen. Vaak wordt dit veroorzaakt doordat de
aspecten van governance binnen een organisatie niet
38
Praktijkvoorbeeld: Een tweegesprek tussen wethouders over een politiek en
financieel project
“Het risico van dit project is onacceptabel” zegt wethouder Financiën(A). “Hoezo?”,
vraagt Wethouder Ruimtelijke Ordening(B), “Welk risico bedoel je?”. Nou zegt
wethouder A: “Het risico dat het project uitloopt en dat de consequenties van het
uitlopen van het project voor onze rekening komt.” Wethouder B zegt: “Er is geen
sprake van een risico, want de vertraging van het project is opgelost door in het
contract met de andere participanten op te nemen dat zij verantwoordelijk zijn en
opdraaien voor een uitloop van het project.” “Geldt dit ook voor de uitloop die
wordt veroorzaakt als wij de vergunningen niet tijdig verlenen?” vraagt wethouder
A. “Dat is mij niet bekend.” zegt wethouder B “Dit heb ik ook niet vernomen
van de projectleider. Ik heb het over de gevolgen die het gerelateerd zijn aan de
vertraging zoals deze door de andere contractpartijen worden veroorzaakt.” “Dan
lijkt het er op,” zegt wethouder A, “dat onze risico’s toch groter zijn dan eerder
was aangenomen. Op basis van de huidige informatie, die ik van de controller
gisteren heb gekregen, schat ik de risico’s in op circa € 2,0 miljoen.” Wethouder
B zegt: “Hier ben ik niet van op de hoogte en dat lijkt me ook niet de bedoeling,
maar je hebt hier mogelijk wel een punt. Hier heb ik niet direct bij stilgestaan.”
duidelijk zijn en niet duidelijk is welke risico’s binnen een
activiteit, proces of organisatie bestaan.
Het spreken van één taal en het hanteren van een
gelijke set aan uitgangspunten is essentieel. In dit
hoofdstuk wordt hiertoe een handreiking gedaan vanuit
het perspectief van risicomanagement.
3.2.1Sturen
Het sturen bestaat uit alle activiteiten, waarbij de
gemeente richting geeft aan de wijze waarop wordt
omgegaan met risicomanagement. Een belangrijk
aspect is gelegen in de uitspraak: welk risicoprofiel
wensen wij als gemeente? Wil de gemeenteraad dat er
sprake is van een laag of een hoog risicoprofiel? Met
andere woorden kunnen we er (om onze activiteiten en
doelstellingen te realiseren) tegen dat wij aangesproken
worden op bepaalde risico’s en zijn we bereid de
mogelijke gevolgen, in financiële zin of in termen van te
treffen beheersmaatregelen, te aanvaarden. Het treffen
van beheersmaatregelen zal namelijk bijdragen aan het
verlagen of terugbrengen van het risicoprofiel naar een
acceptabel niveau.
Bij het vormgeven van het risicobeleid zijn de volgende
vragen aan de orde:
• Welke strategie hebben we voor het omgaan met
risico’s?
• Op welke wijze brengen we onze risico’s in beeld?
• Accepteren we risico’s? En zo, ja tot welke omvang/
bandbreedte?
• Welke minimale bandbreedte aan reserves houden
we aan om onze risico’s af te kunnen dekken?
• Wie is eigenaar van de risico’s?
• Hoe maken we de risico’s bespreekbaar in de
organisatie?
Bij het bepalen van de risico’s moet duidelijk zijn
wie verantwoordelijk is voor het inventariseren en
beheersen van de risico’s. Er zijn risico’s die gelden
voor de gehele organisatie zoals de personele
bezetting. En er zijn risico’s die voor een project of
een afdeling gelden. In dit hoofdstuk staan checklists
die een organisatie helpen bij de inrichting van
risicomanagement in relatie tot de governance-cyclus.
De volgende checklist bestaat uit aandachtsgebieden
over het sturen in relatie tot risicomanagement.
Het na te streven risicoprofiel en de risicohouding
zijn zeer belangrijke bouwstenen bij het bepalen en
uitwerken van het beleid rondom risicomanagement.
Deze houding is zeer essentieel binnen de methodiek
van risicomanagement. Het gaat hierbij om de
alertheid om risico’s te identificeren, bespreekbaar te
maken en het vervolgens hierop maatregelen treffen.
Een organisatie die risico’s mijdt, realiseert haar
doelstellingen over het algemeen niet snel. Het lopen
van risico’s is ten slotte inherent aan het ondernemen
van activiteiten. Een organisatie moet open kunnen
discussiëren over risico’s en de te nemen acties. Dit
kun je nauwelijks uitwerken in formele bepalingen.
Het gaat hierbij om de openheid en transparantie in de
organisatie. Het is ook van belang dat het identificeren
en sturen op risico’s geen kunstje is dat een paar keer
per jaar wordt uitgevoerd, het moet in de ‘genen’
van de organisatie zitten. Om dit te bereiken is goede
voorlichting noodzakelijk, standaard op de agenda
van overleggen staan, de meerwaarde voor de sturing
en beheersing van de organisatie kenbaar maken en
belonen van het melden en het sturen op risico’s door
medewerkers.
Risicomanagement meer dan de som der delen
39
Deelproces Aandachtsgebieden
Toelichting
Sturen
Beleid
Is er beleid rondom risicomanagement?
Zijn hierin de afspraken zoals deze zijn gesteld in de verordening 212 tenminste uitgewerkt?
Is de methodiek (inventariseren, periodiek rapporteren, systeem, rolverdeling, etc.) van
risicomanagement duidelijk?
Houding / cultuur
Wat straalt de leiding uit ten aanzien van het omgaan met risico’s?
Hoe wordt omgegaan met het melden van risico’s?
Bestaat er waardering voor melden van risico’s?
Zijn er middelen vrijgemaakt om te werken aan risicomanagement?
Worden adviezen en maatregelen om risico’s te beperken dan wel te mitigeren serieus genomen?
Prioriteitstelling
Is het risicoprofiel nader uitgewerkt voor wat betreft de beleidsvelden en/of activiteiten waarop risico’s
mogen worden gelopen?
Is bepaald op welke wijze kwantificering en identificatie van de risico’s moet plaatsvinden?
Zijn (toekomstige) middelen gealloceerd die beschikbaar zijn voor het opvangen van (specifieke)
risico’s?
Wat is de risicohouding bij samenwerking met derden?
Omvang
Zijn spelregels opgenomen voor het kwantificeren en kwalificeren van de risicopositie? Dus, wat is een
acceptabele verhouding tussen de beschikbare weerstandscapaciteit en de risico’s?
Is gedefinieerd op welke wijze berekening van de omvang van de risico’s plaatsvindt?
Is de minimale / maximale omvang bepaald van de weerstandscapaciteit?
Zijn acties benoemd om de weerstandscapaciteit te vergroten?
Informatie / rapportage
Zijn spelregels opgenomen voor de periodiciteit waarop gerapporteerd moet worden over de
ontwikkeling van de risico’s en de resultaten van de beheersmaatregelen?
Zijn afspraken gemaakt over de wijze waarop over de risico’s moet worden gerapporteerd? Waarbij
onder meer moet worden ingegaan op:
- aan wie moet de informatie worden geleverd?
- welke informatie moet worden aangeleverd met betrekking tot de ontwikkeling van de risico’s?
- evaluatie van de werking van de beheersmaatregelen?
- nieuwe en vervallen risico’s?
Is bepaald op welke wijze bij individuele voorstellen gerapporteerd moet worden over de risico’s en de
hierbij getroffen maatregelen?
Bevoegdheden en
verantwoordelijkheden
Is duidelijk wie eindverantwoordelijk is voor het betreffende risico?
Is bepaald wie eindverantwoordelijke is voor het identificeren, sturen en verantwoorden omtrent
risico’s?
Is duidelijk wie bevoegd is tot het aangaan van risico’s door middel van bijvoorbeeld goedkeuren van
een voorstel, afsluiten van een contract of aangaan van een (andere) verplichting?
Figuur 3.2: Aandachtsgebieden over het sturen in relatie tot risicomanagement
40
3.2.2Beheersen
Het aspect beheersen bestaat uit een stelsel van
maatregelen en procedures die worden genomen om
de onderkende risico’s te ondervangen dan wel om
opkomende risico’s te signaleren en het effect hiervan
te beperken. Het identificeren van een risico is één,
maar het vervolgens treffen van maatregelen om de
risico’s binnen de perken te houden, is twee. Wanneer
duidelijk is welk risicoprofiel en -houding worden
aangehouden, bestaat behoefte om het geformuleerde
beleid ook te toetsen aan de dagelijkse gang van zaken.
Om de risico’s in beeld te krijgen, is het allereerst van
belang om te bepalen wat zijn risico’s? Deze zijn te
omschrijven als: alle gebeurtenissen die het realiseren
van de organisatiedoelstellingen in de weg staan. Het
kan hierbij overigens ook gaan om risico’s die een
positieve kans hebben. Dus risico’s die bijvoorbeeld het
realiseren van een doelstelling kunnen versnellen. Het
gaat bij het in beeld krijgen van de risico’s verder dan
alleen het financiële component. Hoe krijg je de risico’s
in beeld? Dat kan door deze per programma, project of
proces (zie ook hoofdstuk 2) te inventariseren. Hiervoor
zijn diverse methoden beschikbaar. Dit kan bijvoorbeeld
door het houden van een workshop, het houden
van interviews of het uitvoeren van een specifiek
onderzoek. Ondersteuning van de berekening en het
bepaling van de risico’s kan plaatsvinden door het
simuleren van de risico’s (methode hierin is de Monte
Carlo simulatie5) of het uitvoeren van een benchmark.
Bedenk wel dat de risico’s van de ene gemeenten
niet per definitie de risico’s van de andere gemeente
zijn. Om een zo uniform mogelijke inventarisatie te
creëren, wordt vaak gewerkt met een vast stramien van
risicokaarten waarop staat welke risico’s een organisatie
kan lopen.
Meer informatie over de werkwijze en uitgangspunten van deze methode is
5
te vinden op Wikipedia onder het begrip de ‘Monte Carlo Method’.
Risicomanagement meer dan de som der delen
41
Een voorbeeld van een risicokaart bij grondexploitaties:
Potentieel risicogebied
Omschrijving potentieel risicogebied
Voorbeelden van het risico
Fasering
Afwijkingen ten opzichte van de termijnen en
uitgangspunten, met name op gebied van looptijd,
waarmee rekening is gehouden bij de planopzet.
Verkoop van gronden of tempo van het bouwrijp maken
blijft achter bij de ramingen
Markt
De effecten van mogelijke (economische)
omstandigheden waardoor vraag en aanbod niet direct
aan elkaar gelijk zijn waardoor een mogelijk afzetrisico
bestaat
Ontwikkelen van woningen in een (op dat moment)
verkeerd segment, economische dip in specifieke
bedrijfstak (bijvoorbeeld logistieke sector)
Looptijd/rente
Als gevolg van vroegtijdige verwerving of lange
doorlooptijd lopen van risico’s
Het bereiken van een maximaal aanvaardbare
boekwaarde
Organisatie
Plan- en productieprocessen die qua geld, tijd en/of
exploitatie niet integraal in de hand worden gehouden
Uitstel van besluitvorming of door onvoldoende
bewaking/ project- en procesmanagement
Fiscaliteiten
Effecten als gevolg van het niet of niet geheel juist
toepassen van het btw-regime
Naheffing in verband met verliesgevende complexen
Milieu
De risico’s die bestaan in het kader van toepassing van
milieuregelgeving in relatie tot de mogelijkheid om een
bepaalde bestemming te kunnen realiseren
Bodemsanering niet geschat, tegenvallend of niet
verhaalbaar op derden
Waardering
Indien de verwachting bestaat dat de huidige
(boekwaarde) en toekomstige investeringen in een
complex niet goedgemaakt kunnen worden door
werkelijke en (te) verwachte opbrengsten
Aankopen met langjarig karakter die qua beheer of
ontwikkeling tegenvallen
Verwervingen
Knelpunten waardoor de ontwikkeling van een plan
vertraging op kan lopen, niet (geheel) gerealiseerd kan
worden of economische haalbaarheid onder druk komt
te staan
Grondprijsontwikkeling, onteigening en compensatie
duurt langer
Planrealisatie
Aanpassingen op het oorspronkelijk plan als gevolg van
bezwaren of onmogelijkheden om te realiseren
Bestemmingsplanprocedure, bezwaar Raad van State,
etc.
Claims
Aanspraken die gedurende ontwikkeling van een plan
ontstaan
Brandschade, nakoming contracten, etc. Hierbij wordt
geen rekening gehouden met planschade als gevolg van
vaststelling van een bestemmingsplan
Politiek
Indien door afweging van belangen en doelstellingen
wijzigingen in de uitvoering en realisatie van de
oorspronkelijk plannen plaatsvindt
Woningdifferentiatie, inspraak burgers, etc.
Bijzonderheden in bouw
Indien bij de uitvoering van een plan afwijkingen
ontstaan die niet waren voorzien in het oorspronkelijk
VO, DO en bestek
Ophoging van het terrein, constructie bouwwerk, kabels
en leidingen, etc. is tegengevallen
Subsidies
De financiële en organisatorische knelpunten die
bestaan als gevolg van het niet voldoen aan de
subsidievoorwaarden
Afrekening van ISV, TIPP en bodemsanering
Derden
Gevolgen van het niet of niet geheel na kunnen komen
van afspraken die gemaakt zijn met derden
Samenwerkingsovereenkomst,koopcontracten,
leveringsvoorwaarden, etc.
Figuur 3.3: Een voorbeeld van een risicokaart bij grondexploitaties
42
Wanneer de risico’s zijn beschreven, is het vervolgens
belangrijk die risico’s te kwantificeren. Hierbij hanteren
organisaties vaak verschillende niveaus van risicoinschatting :
• Optimistisch inschatting van risico’s
• Realistische inschatting van risico
• Pessimistische inschatting van het risico
Een voordeel van werken met scenario’s is dat
bandbreedten worden aangegeven waarbinnen de
risico’s zich kunnen manifesteren.
Bij het werken met scenario’s is het (uiteraard)
noodzakelijk om de verschillende veronderstellingen
duidelijk vast te leggen.
Scenario’s en impact grondexploitaties
Aandachtsgebied * € 1.000
Optimistisch Realistisch
Pessimistisch
Oorspronkelijk plan
+
2.000
+
2.000
+
2.000
Fasering
-
1.000
-
2.000
-
4.000
Wijzigen verkaveling
Markt
-
1.000
-
2.000
+
6.000
Marktonderzoek samenwerking
NVT
NVT
2.500
Procedures
Looptijd / Rente
Organisatie
NVT
-
500
NVT
-
1.000
-
Fiscaliteiten
NVT
NVT
NVT
NVT
Milieu
NVT
NVT
NVT
NVT
Waardering
NVT
NVT
NVT
NVT
Verwervingen
+
1.000
-
2.500
-
5.000
Voorkeursrecht exploitatieovereenkomst
-
2.500
Wijziging bestemmingsplan
NVT
NVT
2.000
Overleg partijen
Planrealisatie
NVT
NVT
Claims
NVT
NVT
Politiek
NVT
Bijzonderheden in bouw
NVT
NVT
NVT
NVT
Subsidies
NVT
NVT
NVT
NVT
Derden
NVT
NVT
NVT
NVT
Voorlopig Eindresultaat
+
500
-
-
1.000
6.500
-
-
8.000
Figuur 3.4: Scenariobenadering NB: waar NVT staat is geen inventarisatie uitgevoerd
Risicomanagement meer dan de som der delen
43
Om de risico’s inzichtelijk te krijgen, is het van belang
dat er periodiek inzicht bestaat in de omvang, aard
en ontwikkeling van de belangrijkste risico’s dan wel
risicogebieden. Dit inzicht vormt de eerste aanzet om
hierop ook concrete beheersmaatregelen te gaan
treffen.
Hoe houdt u de risico’s continu in de gaten? Door
enerzijds een bewuste risicohouding en -attitude in de
organisatie te kweken en anderzijds door sturing op
risico’s door de risico-eigenaren en het management.
Periodiek dient de eindverantwoordelijke van de
organisatie of een organisatieonderdeel ook inzichtelijk
te maken wat de ontwikkeling is in de risicopositie van
de gemeente. Die wijziging kan plaatsvinden doordat:
• effectieve maatregelen zijn genomen om bestaande
risico’s te beperken: de beheersmaatregelen werken
• bestaande risico’s in omvang zijn toegenomen:
beheersmaatregelen werken niet dan wel
onvoldoende, wijziging in de (externe) omgeving of
verandering van het activiteitenniveau
• er nieuwe risico’s zijn ontstaan: nieuwe activiteiten,
wijziging in de (externe) omgeving of wijziging in de
beheersing van de gemeente
44
Het is belangrijk dat de risico-inventarisatie geen
momentopname is bij de reguliere planning- en
controldocumenten (begroting, tussentijdse
rapportages en jaarverantwoording).
Het is tevens van belang dat het aspect van risicoinventarisatie en sturing wordt ingebed in het dagelijks
handelen binnen de gemeente. Hierbij staat wel
centraal dat ook beheersing van de risico’s plaatsvindt.
Acteren in plaats van signaleren. Het is dan noodzakelijk
dat ‘elk handelen’ van de gemeente in het licht staat
van de eerder geconstateerde (dan wel gewijzigde)
risico’s. Essentieel is dat de procesverantwoordelijke
zich bewust is van de risico’s en tevens inzichtelijk
heeft gemaakt of de beheersmaatregelen werken of
bijgesteld moeten worden.
In de checklist in figuur 3.5 staan de belangrijkste
aandachtsgebieden:
Deelproces
Figuur 3.5: De
Aandachtsgebieden
Toelichting
Begrippen
Bestaat er een gemeenschappelijk beeld over wat wordt verstaan onder risico’s?
Zijn de risicogebieden duidelijk? Is bekend op welke facetten beoordeling van (onderdeel) proces,
organisatie of activiteiten plaats moet vinden?
Kennis
Is binnen de organisatie voldoende kennis om risico’s te identificeren en te kwantificeren?
Heeft de gemeente voldoende kennis in huis om tijdig te reageren op de wijziging van risico’s?
Is voldoende kennis aanwezig over de wijze waarop omgegaan wordt met zich manifesterende risico’s?
Methode
kwantificeren van risico’s?
evalueren van de risico’s?
formuleren van beheersmaatregelen?
aanwijzen verantwoordelijke voor omgaan met de geconstateerde risico’s?
Risicoanalyse
Is bekend wat de belangrijkste risicogebieden binnen de organisatie zijn door het uitvoeren van een
risicoanalyse?
Wordt de risicoanalyse met een dusdanige frequentie herzien dat blijvend aandacht bestaat voor de
ontwikkeling van de risico’s?
Bestaat voldoende aandacht voor het identificeren van nieuwe risicogebieden binnen de organisatie dan
wel activiteiten van de organisatie?
Wordt de opgestelde risicoanalyse gedeeld door het management?
Is de uitgevoerde risicoanalyse de basis voor het treffen van maatregelen?
Organisatie
Is er voldoende capaciteit aanwezig om aandacht te besteden aan het risicomanagement?
Bestaat extra aandacht voor die terreinen waar de risico’s dominant zijn, omvangrijk van aard of
frequent wisselen?
Is in de processen het periodiek aandacht besteden aan risicomanagement bij de dagelijkse gang van
zaken opgenomen?
Zijn de rollen duidelijk in het proces van risicomanagement: wie moet wat en wanneer doen?
Beheersmaatregelen
Is per relevant geïdentificeerd risico duidelijk of er beheersmaatregelen mogelijk zijn?
Zijn de beschreven beheersmaatregelen duidelijk genoeg om deze vorm te geven?
Is duidelijk wie verantwoordelijk is voor het implementeren van en het bewaken van de werking van de
beheersmaatregel?
Is duidelijk binnen welke termijn de beheersmaatregel tot stand moet zijn gebracht?
Zijn de beschreven beheersmaatregelen geïmplementeerd?
Werken de beschreven beheersmaatregelen? Dragen zijn bij aan het ondervangen van de risico’s?
Zijn alternatieven onderzocht om de risico’s mogelijk anderszins op te vangen?
Bestaan er scenario’s om te volgen wanneer risico’s zich daadwerkelijk manifesteren?
Is bij samenwerking met derden of op afstand opererende partijen voldoende aandacht voor de
ontwikkeling van de risico’s? Is er voldoende financiële ruimte aanwezig om de risico’s op te vangen?
belangrijkste aandachtsgebieden
Risicomanagement meer dan de som der delen
45
“Risicomanagement:
resultaat verlicht
werken” Dick Maaskant,
concerncontroller gemeente
Roosendaal
3.2.3Verantwoorden
Ten behoeve van de uitvoering van activiteiten
en processen zijn kaders meegegeven door de
gemeenteraad en het College van B&W. Zo is bepaald
dat uitvoering van activiteiten binnen een bepaald
budget en, planning en prestaties binnen een zekere
marge uitgevoerd mogen worden. Een marge betreft
de risico’s die worden gelopen. Om inzicht te geven
aan diegenen die de kaders hebben gesteld wordt
informatie verschaft door middel van een rapportage.
Hierin wordt bekeken of gehandeld is binnen de
beschreven kaders. Het identificeren en managen
van risico’s is tenslotte geen statisch gebeuren. Op
proactieve wijze moet worden omgegaan met het
onderkennen, ondervangen en sturen op de risico’s.
Dit geldt ook voor de actieve informatieplicht. Het
college is gehouden om relevante informatie over de
ontwikkeling van risico’s en de risicopositie tijdig en
ongevraagd onder de aandacht van de raad te brengen.
46
Een rapportage over de verantwoording van risico’s
dient antwoord te geven op de volgende vragen:
• Wat is de kans van optreden en de ingeschatte
omvang van de risico’s in relatie tot de beschikbare
middelen?
• Welke risico’s zijn te signaleren en wat houden ze in?
• Welke maatregelen zijn te treffen?
• In hoeverre is het systeem van risicomanagement
voldoende effectief geweest om de risico’s te
ondervangen? Ofwel, wat is het effect geweest van
de genomen maatregelen?
• In welke mate hebben zich nieuwe risico’s
gemanifesteerd die mogelijk impact hebben op
de financiële positie dan wel organisatie van de
gemeente?
Bij de rapportage over de risico’s zal sprake zijn van
een gelaagdheid. Op het niveau van de dagelijkse
aansturing is het logisch dat er meer inzicht is in de
individuele risico’s en het effect van de maatregelen. Op
bestuurlijk en politiek niveau zal een aggregatie plaats
moeten vinden van de risico’s en zal een uitspraak
worden gedaan over de werking en resultaten van het
risicomanagementsysteem.
In de checklist in figuur 3.6 zijn de belangrijkste
aandachtsgebieden rondom verantwoorden
opgenomen:
Deelproces
Aandachtsgebieden
Verantwoorden Inhoud
Toelichting
Waarover vindt verantwoording plaats? Onderwerpen die hierbij aan de orde kunnen komen zijn:
- Is het risicoprofiel van de organisatie gewijzigd en zo ja, wat zijn hiervan de gevolgen?
- Zijn ten opzichte van de voorgaande rapportage nieuwe risico’s ontstaan en wat is hiervan de
(mogelijke financiële) impact?
- Welke maatregelen zijn getroffen om eerder onderkende risico’s te ondervangen en wat is het effect
van deze maatregelen geweest? Werken de beschreven en afgesproken maatregelen?
- Welke risico’s hebben zich concreet gemanifesteerd en hebben geresulteerd in een uitstroom van
middelen?
- Wat is de stand van zaken met betrekking tot de omvang van de risico’s in relatie tot de beschikbare
middelen?
Wordt gecontroleerd in hoeverre de activiteiten zijn uitgevoerd binnen de geformuleerde beleidskaders/
afspraken?
Bevat de verantwoordingsinformatie voldoende sturingsinformatie om het beheer en inzicht in de
risico’s te verbeteren?
Is uit de verantwoordingsinformatie duidelijk op welke aspecten de organisatie meer bewust moet zijn
van onderkennen of beheersen van risico’s?
Effectiviteiten efficiency Heeft de gemeente voldoende zicht op de effectiviteit van de getroffen maatregelen?
van maatregelen
- Welke risico’s hebben zich gemanifesteerd?
- Wat zijn de kosten geweest voor het treffen van beheersmaatregelen in relatie tot het beperken van
de risico’s?
- Voert de gemeente periodiek audits uit om na te gaan hoe effectief de beheersing van de risico’s
heeft plaatsgevonden?
Wijze onderbouwing
en kwantificering
Is de wijze van kwantificering concreet genoeg om een oordeel te vormen over de wijze van
verantwoording?
Bestaat er voldoende inzicht omtrent de kans van optreden van een risico en de resterende
onzekerheden?
Frequentie
Is de frequentie van herzien van de risico’s voldoende gelet op de ontwikkeling van het risicoprofiel?
Wordt rekening gehouden met de actieve informatieplicht wanneer risicopositie wijzigingen ondergaat?
Figuur 3.6: Belangrijkste aandachtsgebieden rondom verantwoorden
Risicomanagement meer dan de som der delen
47
Een overzicht van een verantwoordingsrapportage kan er als volgt uitzien:
A
Onderdeel
Onderdeel Uitkomst/
formule Toelichting
Toelichting
Risico’s rapportage T
€ 10.000.000
Huidig rapportagemoment
kwantificering van de risico’s.
Hierbij is gekozen voor het
gemiddelde scenario.
B
Risico’s rapportage T-1
€ 8.000.000
Voorgaande rapportagemoment
C
Mutaties in risico’s
€ 2.000.000
Verschil tussen (a) en (b)
Wijziging van de risicopositie
D
Bestaande uit:
• Nieuwe risico’s
• Verminderde risico’s
• Vervallen risico’s
Uitsplitsing van (c)
€ 7.000.000 +
€ 4.000.000 -/€ 1.000.000 -/-
Verandering omstandigheden
Werking beheersmaatregelen
Stopzetten of teniet gaan
E
Beschikbare
weerstandscapaciteit
€ 8.000.000
Opbouw van de
weerstandscapaciteit
F
Dekkingsgraad risico’s
80%
(e)/(a)
Dekkingsgraad. Ontwikkeling
aangeven ten opzichte van
voorgaande meting en ook
toekomstperspectief laten zien.
Figuur 3.7: Overzicht verantwoordingsrapportage
Het is ook belangrijk om inzicht te krijgen in de werking van het risicomanagement
systeem: effect van de getroffen beheersmaatregelen. En ook inzicht in de mutatie
van risico’s. Deels door nieuwe risico’s. Waardoor zijn ze veroorzaakt? Als laatste is
het van belang om helder te krijgen wat de dekkingsgraad is van de risico’s. Hoe
ontwikkelt zich de financiële positie in relatie tot de risico’s?
48
Meer in detail zou een dergelijke rapportage er dan als volgt uitzien:
Bedragen in € 1.000
Onderdeel
Ingeschatte Ingeschatte Mutatie Periode waarin Belangrijkste
risico’s T
risico’s T-1 van
risico gelopen beheersmaatregel
(noot1)
het risico wordt
Wanneer moet
duidelijkheid
zijn over de
beheersmaatregel
Toelichtng op
de mutatie van
risico’s
Programma 1
1000
2009
Fasering kan extra uitlopen
500
+500
2008-2012
Extra inzet en
overleg om bezwaren snel
door toegenomen
af te handelen en mogelijk
bezwaren omgeving
ook plan aan te passen
Programma 2
1450
2000
-550
2009
September 2009
Strakke bewaking op
Claim van aannemer is
deels vervallen
planning en nieuwe
afspraken met aannemer
Actviteit 1
2000
1000
+1000
1 juni 2010
Nagaan of ambitieniveau
1 januari 2010
planning te halen
kunnen worden
Actviteit 2
1000
500
+500
Extra inhuur van derden
mogelijk aan de orde om
en afspraken bijgesteld
Planperiode
Nadere contractafspraken
Diverse
Aanvullende subsidie
2009-2010
met derde parij
bestuursrapportages en
mogelijk in verband
tussentijdse gesprekken
met tegenvallende
met bestuur van de
exploitatie-resultaten
stichting
Project 1
-2000
-1000
-1000
1 maart 2010
Lobby bij Provincie
Vooroverleg omtrent
Mogelijkheid tot enerzijds
Besluitvorming door
om project op de
mogelijke kansen in
verhalen van onvoorziene
Provincie
prioriteitenlijst te krijgen
november 2009
kosten en extra subsidiemogelijkheid door
Provincie in onderzoek
Project 2
2500
1500
+1000
---------
---------
---------
---------
---------
---------
---------
---------
Totaal
10.000
8.000
+2.000
2013
Nadere afspraken met
Inzichtelijk deels bij
Planschade en uitloop van
aannemer maken en
opstellen bestek
project en tegenvallende
bezien of er nog een
september 2009
aanbestedings-resultaat
versobering van plan
en aanbestedings-
in fase 1
plaats kan vinden
resultaat, januari 2010
Figuur 3.8: Meer gedetailleerde rapportage
Noot1: risico’s zijn ingeschat op basis van het gemiddelde scenario. Lage scenario
laat risico’s zien tot een bedrag van € 6,0 miljoen. Hoog scenario komt uit op ruim
€ 14,2 miljoen.
Risicomanagement meer dan de som der delen
49
3.2.4Toezicht houden
Voor alle partijen is het van belang dat er continu
een adequaat inzicht in de risico’s is. Immers, risico’s
zijn niet statisch en een goed up-to-date inzicht in
de ontwikkeling van het risicoprofiel en de -positie is
relevant om andere beslissingen op te baseren. Wie
zijn er betrokken bij het toezicht op risico’s? Dat zijn
afdelingshoofden, directeuren, secretaris, college,
gemeenteraad, accountant, afdeling toezicht provincie,
subsidieverstrekkers en overheid. Het mag duidelijk zijn
dat een zekere gelaagdheid bestaat in het toezicht dat
wordt uitgeoefend. Zo niet, dan zou sprake zijn van
het stapelen van het toezicht. Hiernaast is een figuur
met de verschillende rollen in het risico-controlproces
opgenomen.
Uit het bovenstaande blijkt dat het ambtelijk
apparaat ervoor moet zorgen dat de maatregelen
zijn geïncorporeerd en geïmplementeerd in de
dagelijkse bedrijfsvoering (processen en systemen).
Het college is verantwoordelijk voor het beleid omtrent
risicomanagement en neemt beslissingen op grond van
voorstellen die door het ambtelijk apparaat worden
gedaan. De raad stelt de kaders met betrekking tot het
risicoprofiel, het aan te houden weerstandsvermogen
en neemt beslissingen op basis van gerapporteerde
en gesignaleerde risico’s. De accountant en de
toezichthouder nemen kennis van de diverse
rapportages. Denk aan de begroting, de jaarrekening,
de raadsvoorstellen, de inventarisatierisico’s, de
methodiek. Dit om vast te stellen dat er een systeem
bestaat en of dit werkt. Wanneer er twijfel is over de
werking van het systeem dan wel de gepresenteerde
uitkomsten dan zullen zij om nadere informatie vragen.
Kan de toezichthouder vaststellen dat risicomanagement
werkt en onderdeel is van het gedachtegoed binnen
een organisatie? Belangrijke ijkpunten hiervoor zijn:
• Wordt bij individuele voorstellen gerapporteerd over
risico’s en de maatregelen die hiervoor genomen
zijn dan wel kunnen worden genomen?
• Is de rapportage over risico’s niet alleen
voorbehouden aan de reguliere P&C-documenten
zoals de begroting en de jaarrekening, maar bestaat
aandacht voor de ontwikkeling en signalering van
de risico’s bij bestuurlijke rapportages? Essentieel
hierbij is de actieve informatieplicht, waarbij er dus
ook informatie wordt verstrekt aan de raad wanneer
er sprake is van relevante ontwikkelingen en
50
Lokale rekenkamer
& auditcommissie
Accountant
Toetsen, Signaleren
Financiële positie
Gebruik makend van
het interne
beheersingssysteem
en inventarisatie
organisatie
Kennis nemen rapportages
Lokale rekenkamer
& auditcommissie
Rapportage
Adviezen
Beleid en
Besluitvorming
Processen en
systemen
Figuur 3.9
Toezicht piramide
Raad
Kaders
Besluiten
College B&W
Afweging
Prioriteitsstelling
Ambtelijk apparaat
Incorporeren in bedrijfsvoering
Doen van voorstellen en analyse
Toetsing en review
op hoofdlijnen
bijstellingen van de risico’s en risicoprofiel.
• Is verantwoordelijkheid voor risicomanagement in
de organisatie belegd?
• Is het beoordelen van risico’s opgenomen
in de verschillende processen en dus in de
werkmethoden?
• Worden aan het bestuur keuzen voorgelegd in
relatie tot inschatting van risico’s en beschikbare
geldmiddelen?
Uiteraard is het afhankelijk van de afstand van de
toezichthouder, zie figuur 3.9, of alle handelingen die
bovenstaand zijn aangegeven, waarneembaar zijn.
In de onderstaande checklist zijn de belangrijkste
aandachtsgebieden rondom het aspect toezichthouden
opgenomen:
Deelproces
Criteria
Toelichting
Toezicht
houden
Bedrijfsvoering
Is duidelijk of risico-identificatie onderdeel uitmaakt van de reguliere bedrijfsprocessen?
Zijn er middelen beschikbaar voor het houden van audits en bijzondere onderzoeken bij geconstateerde
(aanvullende/extra hoge) risico’s?
Is er ruimte in de voorstellen, formatie en werkzaamheden om (verplicht) aandacht te besteden aan
risicomanagement?
Grenzen
Hoe passen de risico’s binnen de door de Raad gestelde kaders?
Hoe verhouden de geïdentificeerde risico’s zich tot vergelijkbare organisaties dan wel externe normen?
Toetsen
Zijn er recente rapportages over de geïdentificeerde risico’s?
Heeft een analyse plaatsgevonden van de mutatie in risico’s en de effectiviteit van de geïntroduceerde
beheersmaatregelen?
Maakt een afzonderlijke risicoparagraaf onderdeel uit van de individuele voorstellen en de
P&C-documenten?
Controle
Wordt het beleid ten aanzien van risicomanagement nageleefd?
Wordt in de rapportage van de accountant ingegaan op het bestaan van een systeem van
risicomanagement en de werking hiervan?
Beschikt de toezichthouder over voldoende informatie om te kunnen controleren? Hierbij kan gedacht
worden aan:
- Of de risico’s goed worden gemanaged
- Of de organisatie de risico’s beheerst (in control is)
- Of de organisatie een solide financiële positie heeft
Financiële positie
Hoe is de ontwikkeling van de (vrije) financiële positie?
Is het meerjarenperspectief met betrekking tot de financiële positie sluitend?
Zijn er risico’s die gesignaleerd zijn die eerder voorzien hadden kunnen/moeten worden?
Is er een recente rapportage van de provincie over de financiële positie?
Figuur 3.10: De
belangrijkste aandachtsgebieden rondom het aspect toezichthouden
Risicomanagement meer dan de som der delen
51
3.3 Risicomanagement en het duale bestel
Het duale bestel staat voor een scheiding tussen de
ontwikkeling van het beleid, kaderstelling , uitvoering
van het beleid en het toezicht hierop. Het duale bestel
in de gemeentepolitiek heeft geleid tot een duidelijke
verdeling van taken en verantwoordelijkheden tussen
gemeenteraad en college van burgemeester en
wethouders. Dit is weergegeven in figuur 3.11.
Gemeenteraad
De gemeenteraad stelt de kaders en het college
voert het beleid uit binnen de gestelde kaders. De
gemeenteraad controleert vervolgens in hoeverre de
uitvoering van het beleid door het college binnen de
vastgestelde kaders heeft plaatsgevonden.
In het beleid kunnen gemeenteraad en college
overeenkomen welke informatie de raad wanneer en
op welke wijze wil hebben. Zo kan worden vastgelegd
welke tussentijdse mutaties, inhoudelijk en financieel,
op de plannen aan de gemeenteraad worden
voorgelegd. Tevens kan in het beleid worden geanticipeerd op
vooruitlopende plannen.
College van B&W
Het college legt jaarlijks in de risicoparagraaf bij
de begroting de beleidsvoornemens neer voor
het komende jaar. Tevens kan het college in een
meerjarenprogramma een overzicht presenteren van de
plannen in uitvoering en voorbereiding. Hierbij gaat het
zowel om tijd, geld en programma als om een actieve
of voorziende betrokkenheid van de gemeente bij de
plannen. Tenslotte moet het college in het kader van
de actieve informatieplicht via tussentijdse rapportages
melding maken van afwijkingen op de plannen.
De bandbreedte voor het rapporteren over deze
afwijkingen kan in het beleid worden vastgelegd.
Het is aan de gemeenteraad om te controleren
of het college, bij het uitvoeren van het beleid,
binnen de door de gemeenteraad vastgestelde
beleidskaders is gebleven. Het college brengt
daartoe periodiek (bijvoorbeeld bij de tussentijdse
managementrapportage) verslag uit over het
gevoerde beleid. De wijze van verslaglegging over het
gevoerde beleid moet zodanig worden vormgegeven
52
Taak
Orgaan
Governance
Beleid opstellen
Gemeenteraad
Kaders stellen
Uitvoeren
College van B&W
Sturen
Beheersen
Verantwoorden
Toetsen
Gemeenteraad
Toezicht
Figuur 3.11
Duale Bestel
dat de gemeenteraad in staat is haar controlerende
functie naar behoren uit te voeren. De raad kan in
voorkomende gevallen zelfstandig onderzoek laten
doen naar het beleid en specifieke projecten of de
accountant opdragen met kleinere controlemarges
specifiek naar het beleid te kijken.
Zoals uit bovenstaande blijkt is er een relatie te
leggen tussen risicomanagement en governance.
Evenals het duale bestel heeft risicomanagement
een duidelijke scheiding tussen ontwikkeling,
uitvoering en verantwoording omtrent de (resultaten)
van het beleid en de kaderstelling, controle en
toezicht. Hiermee bestaat dus een scheiding tussen
verantwoordelijkheden. Er is een controlerende taak
voor de gemeenteraad. De spelregels van het duale
bestel hebben als doel om zo goed mogelijk rekenschap
af te kunnen leggen over de aanwending van publieke
middelen. Het verschil met risicomanagement zit echter
in het feit dat risicomanagement een verdiepingsslag
kent. Beiden zijn gericht op scheiding van ontwikkeling
en uitvoering van het beleid, maar risicomanagement
gaat verder door de risico’s van de organisatie
inzichtelijk te maken en hier beheersmaatregelen voor
te ontwikkelen.
Management/ambtelijke organisatie
De ambtelijke organisatie voert het vastgestelde beleid
uit. Het risicomanagementproces dient ingebed te
worden in de reguliere processen en onderdeel uit te
maken van de bedrijfsvoering. Het moet een dynamisch
proces worden. Periodiek moeten alle risico’s opnieuw
worden bekeken en nieuwe risico’s moeten worden
ingebracht in het systeem van risicomanagement. De
ambtelijke organisatie heeft vaak een goed zicht op
waar zich risico’s voordoen in de bedrijfsvoering. Wel
dient men ervoor te waken dat niet alle mogelijke
risico’s in het systeem worden opgenomen. Voor elk
niveau in de organisatie is een eigen niveau van inzicht
in de risico’s vereist: een college stuurt op een ander
niveau op risico’s dan een afdelingshoofd. In figuur
3.12 zijn de rollen in het kader van risicomanagement
weergegeven.
Deze rollen zijn verder uitgesplitst in taken en
verantwoordelijkheden in figuur 3.13. In dit figuur is
te zien welke taken de gemeenteraad en het college
hebben en hoe de controlefunctie werkt.
Houdt toezicht
Provincie
Gemeenteraad
Gemeenteraad
Stelt kaders
Accountant
Lokale rekenkamer
Controleert
College van
burgemeester en
wethouders
Verantwoordt
Voert uit
Figuur 3.12
Rollen Risicomanagement
Zie voor toezicht van de
provincie het nieuwe
“Gemeenschappelijk Toezicht
Kader” genaamd zichtbaar
toezicht van februari 2008.
Gemeenteraad
Kaderstellen
1. Weerstandsvermogen
College/
ambtenaren
uitvoeren
Jaarrekeningen
en
tussentijdse
rapportages
Verordeningen
212
Begroting
Paragraaf
Weerstands
vermogen
Gemeenteraad
Toezicht houden
Uitvoeren
beleid
Paragraaf
Weerstands
vermogen
2. Risicoprofiel
3. Weerstandscapaciteit
Beleidsnota’s:
1. Risicobeheersing
2. Reserves en
voorzieningen
3. Lokale heffingen
4 Grondbeleid
5 Verbonden
partijen
6. Onderhoud
kapitaalgoederen
7. Financiering
Accountant
Lokale
rekenkamer
Verantwoording
afleggen
Beleids
evaluaties
Recht van
enquête
Figuur 3.13
Taken Risicomanagement
Risicomanagement meer dan de som der delen
53
Als vervolg op figuur 3.13 is in figuur 3.14 weergegeven
wat de verantwoordelijkheden zijn van de betrokken
partijen. Een groen vlak houdt in dat de desbetreffende
verantwoordelijkheid van toepassing is voor het
orgaan.
3.4 Integratie risicomanagement in de
governance-cyclus
In dit hoofdstuk is de governance-cyclus beschreven
in relatie tot risicomanagement, nog van los van
elkaar. In deze paragraaf zal worden ingegaan op nut
en noodzaak van integratie van risicomanagement
langs de lijnen van governance vorm te geven. Het
onderkennen van risico’s en hierop actief te anticiperen
is noodzakelijk om:
• besluiten te nemen. Wat zijn de consequenties van
ons handelen? Het is dan noodzakelijk om te weten
waar beleid op te maken.
• kaders mee te geven. Welk risico mag er worden
gelopen en hoe wensen we hierover geïnformeerd
te worden?
• bijstellingen te plegen. Wanneer er zicht is op risico’s
of deze zich manifesteren komt de vraag aan de
orde: moeten we onze organisatie, procedures of
instrumenten hierop aanpassen?
• te communiceren. Wie wordt wanneer
geïnformeerd en tot op welk niveau?
Voor alle verschillende actoren in de governance-cyclus
is het cruciaal om inzicht te hebben in de risico’s. De
verschillende actoren zullen namelijk hun beslissingen
beter kunnen nemen als inzicht bestaat in de aard,
omvang en oorzaak van mogelijke risico’s. Het kennen
van de risico’s en hier bewust mee omgaan, zal moeten
resulteren in het ondernemen van acties.
Naast het kennen van de risico’s draagt een adequaat
systeem van risicomanagement ook bij aan het
vergroten van de transparantie en het afleggen van
een meer inzichtelijke en betere verantwoording.
Het bewust inzichtelijk hebben van risico’s, het
sturen hierop, het delen van deze hiermee gemoeide
informatie en het nemen van maatregelen draagt
bij aan het creëren van vertrouwen en openheid.
Het besluitvormingsproces wordt hierdoor namelijk
duidelijker.
54
Onderwerpen
Ambtelijk
College
Raad
Accountant Toezichthouder
(provincie)
Risicobeleid
In kaart
brengen risico’s
Monitoren
Bijstellen
Systeem
Beheers
Maatregelen
Financiële
vertaling
Verantwoorden
Autorisatie
Beoordelen
Adviseren
Figuur 3.14
Verantwoordelijkheden
Risicomanagement
De governance dimensie van risicomanagement: samenwerkingsverbanden
Een organisatie in het westen van het land staat in een proces van deelnemen aan
een Shared Service Center (SSC) met meerdere gemeenten. Deze organisatie staat
voor de uitdaging om de invoeging in het SSC zo goed mogelijk vorm te geven.
Met name het vormgeven van de relatie, de governance daarop en het managen
van risico’s bleken grote vraagstukken. De volgende lessen bleken van belang:
• Creëer een eenduidige set van taken, verantwoordelijkheden en
bevoegdheden, ook in het licht van risicobeheersing.
• Zorg voor een ‘logische volgorde der dingen’ in het proces: niet eerst plaatsen
en dan pas nadenken over taakafbakening en strategie
• Besteed aandacht aan alle aspecten van het SSC: systemen, mensen, processen,
sturing en beheersing, financiën, etc. en benader deze aspecten integraal
• Bepaal als organisatie welke balans je nastreeft tussen kwaliteit, efficiency en
wendbaarheid bij toetreding tot het SSC en zorg dat deze balans geborgd is in
het SSC (afspraken)
• Zorg dat de bekende ‘faalfactoren’ in het SSC-proces zijn afgedekt
Zoals blijkt hebben risicomanagement en governance
veel overeenkomsten. Beide instrumenten hebben als
doelstelling een organisatie meer gecontroleerd te
sturen. Hiermee wordt bedoeld dat het bestuur weet
waar de kansen en risico’s van de organisatie liggen
en hier de activiteiten op te baseren. Enerzijds de
kansen uitbuiten en anderzijds de risico’s afschermen.
Nu worden de overeenkomsten tussen governance
en risicomanagement behandeld aan de hand van het
risicomanagementproces.
Kaderstelling & Strategie - Risicoanalyse
Het risicomanagementproces kent als eerste twee
stappen kaderstelling en strategie en risicoanalyse.
Deze twee stappen corresponderen met het eerste
aspect van governance: sturen. Binnen sturen wordt
de strategie ontwikkeld en doelen vastgelegd voor
de organisatie. Het vastleggen van resultaten is
een onderdeel van risicomanagement, doordat het
risico van het niet behalen van de resultaten wordt
uitbesteed. Er wordt nagegaan waar de risico’s liggen
voor de organisatie en dit wordt uitbesteed door
middel van contracten.
Managers handelen niet altijd rationeel en dit heeft meetbare negatieve
invloed op strategische beslissingen. Met Governance zou dit probleem
wellicht aan te pakken zijn.
De vraag is welke invloed Governance (goed ondernemingsbestuur en toezicht)
kan hebben in het verminderen van de negatieve effecten van irrationeel gedrag
van managers. De managers hebben een grote invloed op de investeringen
en financiering van de organisaties die zij leiden. Aangezien de irrationaliteit
geen bewust gedrag van managers is, blijkt dat een aantal mechanismen (dat
uitstekend rationele economische problemen kan verminderen) niet werkt. Zo
heeft bijvoorbeeld de beloningsstructuur naar verwachting geen invloed op het
beperken van irrationele besluiten. Potentieel wel effectieve mechanismen lijken de
rol van toezichthouders (gemeenteraad).
Vaardigheden
De derde stap in het proces is het ontwikkelen van
vaardigheden om de risico’s te beheersen en de
organisatie tegen risico’s te beschermen. Deze derde
stap correspondeert met het aspect beheersen van
het governancemodel. Hierbinnen worden procedures
en maatregelen ontworpen om de organisatie te
beschermen tegen onzekerheden. Door middel van
procedures en maatregelen probeert een organisatie
het resultaat van het handelen te sturen en te richten,
oftewel de onzekerheden en daarmee de risico’s te
elimineren. Dit is de overeenkomst met vaardigheden
ontwikkelen in het risicomanagementproces.
Monitoren resultaten
De vierde stap in het risicomanagementproces is het
monitoren van de resultaten. De maatregelen die zijn
genomen tegen risico’s worden gecontroleerd op
effectiviteit. Heeft de organisatie onverhoopt toch
risico’s gelopen ondanks de beheersmaatregelen, dan
komt dit binnen het governance model overeen met
toezicht. Hier is de essentie dat inhoudelijke risico’s en
kwaliteit worden gecontroleerd. Het toezicht richt zich
op continuïteit, met een langetermijnperspectief op de
Risicomanagement meer dan de som der delen
55
Toezicht en Toetsing
De vijfde stap in het risicomanagementproces is
toezicht en toetsing. Dit is het moment binnen het
proces waar verantwoording wordt gegeven over
het uitgevoerde beleid. Verantwoorden uit het
governancemodel is het controleren van de effectiviteit
en efficiëntie van de bestedingen. Toezicht en toetsing
heeft meer diepgang door de feedbackfunctie en de
controle van risico’s, maar komt grotendeels overeen
met verantwoorden.
Verbetering
De zesde stap uit het risicomanagementproces,
continue verbetering, is niet expliciet weergegeven
in het governancemodel. Dit is het grootste verschil
tussen de instrumenten, maar logischerwijs leidt
ervaring met governance tot verbetering van het
proces. Dit is alleen niet weergegeven in het model.
Als risicomanagement en governance gezamenlijk
in een model zou worden gestopt wordt figuur 3.15
gevormd. In dit model zijn de processtappen van
risicomanagement in de vier dimensies van governance
gezet. Dit geeft een beeld van de overeenkomsten
tussen governance en risicomanagement.
Rolverdeling
Om een relatie te leggen tussen de verschillende
actoren in het systeem van risicomanagement in relatie
tot de governance-cyclus is het volgende schema
opgesteld (figuur 3.16):
56
STUREN
1. Kaderstelling
Strategie
BEHEERSEN
1. Kaderstelling & Strategie
3. Beheersmaatregelen
2. Risicoanalyse
Gemeenteraad
kwaliteit van de taakinvulling. De gemeente kijkt vooral
naar de financiële positie.
6. Continue
Verbetering
4. Monitoren resultaten
TOEZICHT
Figuur 3.15
Risicomanagement en Governance
5. Toezicht & Toetsing
VERANTWOORDING
5. Toezicht
Toetsing
Actoren
Dimensies van
governance
Acties
Besluiten
Gemeenteraad
Kaderstellen en
toezicht houden
Beoordelen rapportages en adviezen van het college
Vaststellen uitgangspunten en methodiek
risicomanagement
Hoogte weerstandsvermogen vaststellen
Vaststellen uitgangspunten projecten
College /
directieraad
Sturen en toezicht
Toezien op implementatie risicomanagement in
projecten
Sturen op verantwoording van risico’s
Directie /
ambtelijke top
Sturen, beheersen en
Verantwoorden
Implementeren risicomanagement in projecten
Sturen op scenarioplanning
Opdracht tot kwantificering risico’s
Hanteren risicomanagement als
rapportage-instrument
Maatregelen nemen voor het beheersen van de
risico’s en hierover actieve terugkoppeling laten
organiseren
Aanspreken op gedrag
Afdeling /
project
Beheersen,
verantwoorden
Implementeren beheersmaatregelen ter opvangen
van de risico’s
Scenario analyse per product/project in beeld brengen
Kwantificering risico’s
Rapportage over ontwikkeling risico’s
Bouwstenen aandragen voor in beeld brengen risico’s
Werken binnen geformuleerde uitgangspunten
projecten
Binnen het projectonderdeel maatregelen nemen
voor het beheersen van de risico’s en hierover actieve
terugkoppeling
In beeld brengen consequenties op financiële positie
Control
financiën
Beheersen en toezicht
houden
Bijdrage leveren aan de scenarioanalyse
In beeld brengen consequenties op financiële positie
Bijstellen methodiek/tool van risicomanagement
Figuur 3.16: Rolverdeling
Risicomanagement meer dan de som der delen
57
58
4.Continue verbetering
Fa s e 1
5. Toezicht &
Toetsing
innend/Groe
Beg
i en
d
.
2 Risicoanalys
e
o
Be nito
h e re n r
esultaten
Be
ers
maa
he
t re g e l e n
ers
Fam
sea2at re ge le n
1. Kaderstelling &
Strategie
Fa s e 3
4.1 Ontwikkeling van risicomanagement
De implementatie van risicomanagement is een
groeiproces. Risicomanagement vergt een ontwikkeling
en bewustwording en een aantal investeringen binnen
de organisatie die een bepaalde doorlooptijd hebben.
De implementatie van en groei in risicomanagement
start bij het strategische beleid, met name omtrent
personeel. De top van de organisatie moet zich bewust
zijn van het belang van risicomanagement en dit ook
uitdragen. Bij de implementatie van risicomanagement
is een bepaalde ‘top-down’-druk nodig om het belang
van risicomanagement te bevestigen bij de rest van de
organisatie. Uiteindelijk zijn het de medewerkers die
risicomanagement moeten dragen en ernaar moeten
handelen. Daarom is het van belang dat het beleid
qua personeel, promotie en werving en selectie ook
is gericht op risicomanagement. Personeelsleden
Iedere organisatie doet al aan risicomanagement
(verzekeringen, contracten, etc.), maar de vele
risicomanagement activiteiten zijn vaak niet goed
gecoördineerd en de organisatie is er zich niet altijd
van bewust dat ze aan risicomanagement doen. Het
vergt tijd en inspanning om de bewustwording en
sturing van risico’s geïmplementeerd te krijgen binnen
de organisatie. Dit groeiproces is onderverdeeld in drie
fasen over het risicomanagementproces, zie figuur 4.1.
Leidend
6. Verbetering
Nadat in hoofdstuk 2 risicomanagement werd
uitgewerkt, is governance in relatie risicomanagement
in hoofdstuk 3 behandeld. In dit hoofdstuk gaan we
in op het aspect van risicomanagement als instrument
voor continue verbetering. Wat houdt dit in? Om
risicomanagement als instrument voor continue
verbetering te ontwikkelen, moet het een explicieter
onderdeel worden van de bedrijfsvoering. Hoe een
organisatie dit voor elkaar krijgt, wordt na de uitleg
van risicomanagement als instrument voor continue
verbetering behandeld. Vervolgens wordt er gekeken
naar doelbereiking door middel van risicomanagement.
Dit is het belangrijkste doel van risicomanagement.
Afsluitend wordt er nog een aantal handreikingen
gegeven die een organisatie helpt te groeien in
risicomanagement.
moeten worden gestimuleerd om te werken en te
denken in termen van risicomanagement. Hierbij kan
worden gedacht aan de koppeling van bonussen,
promotie en/of selectie aan het beheersen van risico’s.
Een medewerker krijgt bijvoorbeeld een incentive
aan het eind van het beleidsjaar als zijn/haar risico’s
waren afgedekt en er geen negatief financieel gevolg
is opgetreden. Bij werving en selectie is kennis
van risicomanagement een aandachtspunt. Er zijn
verschillende methoden om met behulp van het beleid
risicomanagement beter geïntegreerd te krijgen in de
organisatie.
Gemeenteraad
“Risicobewustzijn hoort bij
ondernemerschap en zou
vanuit die invalshoek moeten
worden verankerd binnen
het strategisch HRM-beleid
van overheden.” Erik-Jan
van Genderen, Regio ZuidHolland Zuid
College &
Management Team
Afg e
b ak e n d/
G ead
vanceerd
4.
M
3.
3.
Figuur 4:1
Fase ontwikkeling risicomanagement
Risicomanagement meer dan de som der delen
59
60
Fa s e 1
Leidend
5. Toezicht &
Toetsing
Figuur 4.2
Risicomanagement proces en
groeifasen
o
Be nito
h e re n r
esultaten
Be
ers
maa
he
t re g e l e n
ers
Fam
sea2at re ge le n
innend/Groe
Beg
i en
d
2. Risicoanalys
e
1. Kaderstelling &
Strategie
Fa s e 3
Periodiek zal het proces geanalyseerd moeten
worden. Er zal nauwkeurig gekeken moeten worden
waar verbeteringen op zijn plaats zijn. Het college
controleert of zij op koers ligt en of de doelstellingen
of het beleid moet worden aangepast en geeft dit
door aan de gemeenteraad in de vorm van feedback.
De gemeenteraad past eventueel het beleid en/of de
doelstellingen aan. Dit geeft nieuwe sturing aan het
college om het beleid uit te voeren. Binnen de kaders
worden de risico’s geanalyseerd en een strategie
ontworpen om deze risico’s af te dekken. Tijdens de
uitvoering door het college worden vaardigheden
ontwikkeld die helpen de risico’s te beperken. De
resultaten van de uitvoering worden bewaakt,
waarmee tussentijds feedback wordt gegeven. Op basis
hiervan kan nieuwe sturing worden gegeven. Aan het
eind van het boekjaar of tussentijds wordt door het
college gerapporteerd aan de gemeenteraad over de
resultaten van de uitvoering van het beleid. Van hieruit
worden de kaders (indien nodig) aangepast.
6. Verbetering
Door deze stappen periodiek te herhalen, ontstaat een
proces van continue verbetering. Gemeenteraad en
college hebben hierdoor een beter inzicht in de stand
van zaken ten aanzien van de uitvoering van het beleid
en de wijze waarop het kan worden verbeterd. De
essentie is dat risicomanagement nooit af is en continu
vraagt om aanpassingen en verbeteringen.
Van risico-inventarisatie naar risicomanagement
De invoering van de WMO heeft voor gemeenten een nieuw terrein voor
risicomanagement blootgelegd. De eerste stappen zijn vaak al gezet. Een
gemeente wil het risicomanagement naar een hoger niveau tillen: van
inventarisatie naar management van risico’s. Bij deze gemeente zijn risico’s globaal
in kaart gebracht en er is een weerstandsvermogen opgebouwd waarmee de
gemeente de risico’s, al dan niet in kaart gebracht, financieel op kan vangen.
Op dit moment worden de meeste risicomaatregelen financieel beheerst.
Bij een project worden de kosten van de risico’s geschat en als extra budget
opgenomen. Men wil naar een situatie toe waarbij er niet alleen sprake is van
inzichtelijkheid in de risico’s, maar waarbij er ook sprake is van het managen
van risico’s, onder meer in verband met overschrijdingen van budgetten. Het
ontwikkelpad is van risicoinzicht naar risicomanagement met behulp van diverse
risicobeheersmaatregelen. Om dit te realiseren is een verdiepende inventarisatie
uitgevoerd en is in een workshop gewerkt aan een risicoprofiel, waarbij kans en
impact zijn gekoppeld aan risico’s en tevens beheersmaatregelen zijn benoemd.
Dit risicoprofiel bevat een breder palet aan risico’s dan uit de bestaande
inventarisaties komt en kent een proactief (in plaats van het reactieve karakter van
de inventarisatie) karakter. Hierdoor kan beter worden geanticipeerd op de risico’s
en daarmee risico’s ook worden voorkomen.
Gemeenteraad
4.2 Risicomanagement als instrument
voor continue verbetering
Als een organisatie groeit op het gebied van
risicomanagement, kan risicomanagement worden
ingezet als instrument voor continue verbetering, fase
3 van figuur 4.2. Dit houdt in dat risicomanagement
wordt ingezet om het beleid en de uitvoering van het
beleid te verbeteren. Dit wordt gedaan door middel
van toezicht, toetsing en feedback. Dit betekent dat het
opgestelde beleid tussentijds getoetst wordt door het
college. Gaat alles volgens beleid? Zijn er afwijkingen?
Zijn de doelstellingen nog haalbaar? Wat is hier voor
nodig? De antwoorden op deze vragen worden
teruggekoppeld aan de gemeenteraad. Als het nodig is
kunnen er aanpassingen aan het beleid of de uitvoering
van het beleid worden gemaakt en voorgesteld of
kunnen nog realistischer verwachtingen en inzichten
worden geboden.
College &
Management Team
Afg e
b ak e n d/
G ead
vanceerd
4.
M
3.
3.
k
Feedba
c
k
Bijstu
n
Feed
b
ren
ture
k
Feedba
c
APR
ac
Fe
e
MRT
db
ren
JUL
Bijstu
AUG
k
ac
k
ack
db
SEP
Bijs
MEI
JUN
Figuur 4.3
Periodiek overleg risicomanagement
4.3 Risicomanagement als onderdeel
van de bedrijfsvoering
Hoe krijgt een organisatie risicomanagement tot
onderdeel van de bedrijfsvoering? Wat houdt het in
voor de organisatie als risicomanagement onderdeel
van de bedrijfsvoering is? Om risicomanagement als
onderdeel van de bedrijfsvoering te krijgen is het van
essentieel belang dat risicomanagement gedragen
wordt door de medewerkers en dat er een druk (‘sense
of urgency’) van bovenaf is. Een belangrijke factor
hierbij is het feit dat risicomanagement een middel is
tot doelbereiking. Het belang van risicomanagement
moet worden gedragen en uitgestraald door de
gemeenteraad, college en managers. Alleen zo wordt
risicomanagement onderdeel van de bedrijfsvoering. In
dit onderdeel zullen we die stappen koppelen aan het
verandermanagementmodel dat meer gericht is op de
organisatorische kant van de bedrijfsvoering.
Het verandermanagementmodel bestaat uit vijf
stappen (figuur 4.4) en zijn: knelpunten, verandering,
eindiging, experimenteren en integreren. Deze
stappen volgen elkaar op in het veranderproces. Deze
stappen zullen nu uitgebreider worden behandeld met
voorbeelden van mogelijke aanpak. De eerste stap
in dit veranderproces is de realisatie en analyse van
de knelpunten binnen de organisatie (fase 1). Wat is
k
ac
ac
FEB
db
db
Feed
back
NOV
Fe
e
OKT
JAN
DEC
Fe
e
BE
LE
ID
SB
G
IN
e
Fe
Het periodieke aspect hierin houdt het college
en de gemeenteraad scherp continu te zoeken
naar verbeteringen. In figuur 4.3 is een voorbeeld
gegeven voor deze periodieke overleggen en
feedbackmomenten voor een organisatie. Tijdens elk
feedbackmoment bestaat de mogelijkheid aan te geven
waar medewerkers tegen aan lopen. Door continu
kleine aanpassingen hier in te maken ontstaat een
proces van continue verbetering dat risicomanagement
op een hoger niveau tilt. Om dit te bereiken zal een
organisatie risicomanagement onderdeel moeten
maken van de bedrijfsvoering. Hoe een organisatie
dit kan bereiken, wordt in het volgende onderdeel
behandeld.
AL
EP
n
ture
Bijs
Dit is risicomanagement als instrument voor
continue verbetering: het inzichtelijk maken van de
kwetsbaarheid van de organisatie, beheersmaatregelen
hier tegen ontwikkelen en het continu verbeteren van
dit proces.
Risicomanagement
Fase 3
1/2
2/3
3/4
4/5
discussie/communicatie
communicatie
workshop/trainingen
trainingen
Integreren
5
Experimenteren
4
Fase 2
Eindiging
3
Fase 1
Organisatie
Verandering
2
Knelpunten
1
Budgetcyclus
Medewerker
Figuur 4.4
Verandermanagementmodel
Risicomanagement meer dan de som der delen
61
62
Figuur 4.5
Risico- en
verandermanagement
ito
Va ren resultaten
ard
igheden
he
ers
Fam
a
se 2at re ge le n
on
College &
Management Team
Exp
e r im e n t e n/
Ein d i gi n g
4.
M
3.
5. Toezicht &
Toetsing
ten/Vera
elpun
nd
Kn
er
2. Risicoanalys ing
e
Be
1. Kaderstelling &
Strategie
Fa s e 3
Het betrekken van alle medewerkers creëert draagvlak
voor de veranderingen in de bedrijfsvoering. Immers
wanneer medewerkers zich er bewust van zijn welke
risico’s mogelijk worden gelopen en zij hiermee bekend
zijn, is er vermoedelijk meer draagvlak om de bestaande
beheersmaatregelen te veranderen en aan te passen
aan de (wijzigende) omstandigheden. De derde stap
binnen het veranderproces is de beëindiging van de
huidige vaak ad-hoc wijze van (risico)sturing en de start
van structureel, op verandering en verbetering gericht
risicomanagement (fase 2). De ervaring van Deloitte
leert dat het nodig is om topdown risicomanagement
te stimuleren. Het is aannemelijk dat er weerstand
ontstaat bij verandering en dit vereist een gedegen en
doelgerichte aanpak. Het is van belang dat de eerste
twee stappen rustig en goed worden doorlopen,
Fa s e 1
Integreren
6. Verbetering
De organisatie kan bijvoorbeeld risico’s lopen die
het eigenlijk niet kan of mag? lopen, doordat de
financiële middelen niet beschikbaar zijn om het
risico te dekken. Dit heeft een negatief effect op
het speelveld van het college. Het kan ook zijn
dat er binnen de gemeente nog slechts beperkte
bewustwording is van de risico’s. Deze analyse betrekt
ook de knelpunten die de medewerkers ervaren
binnen de organisatie. Welke processen voldoen
niet aan de eisen van de organisatie en welk effect
heeft dat op de bedrijfsvoering? Deze analyse kan
bijvoorbeeld worden uitgevoerd door middel van
discussies, vergaderingen en open communicatie
over het onderwerp. De volgende stap binnen het
veranderproces is het ontwikkelen van de verandering,
de implementatie van risicomanagement. Dit begint bij
de nadruk die de gemeenteraad en college vanuit hun
rol in het duale bestel leggen op risicomanagement
en daardoor de top van de ambtelijke organisatie
stimuleert (vanuit hun verantwoordelijkheid voor
bedrijfsvoering)volgens risicomanagement te
werken. Welke processen, systemen, instrumenten
of werkmethoden dienen te worden aangepast,
verwijderd of aangemaakt? Wie moet zich hier
verantwoordelijk voor voelen? Op deze manier betrek je
risicomanagement binnen procesmanagement en kun
je de risicomanagementprocessen linken aan de overige
bedrijfsprocessen.
Van volgen naar sturen: loonsombeheersing
Bij een gemeente was sprake van een tweevoudige loonsomproblematiek:
1. jaarlijks wordt het loonsombudget overschreden en
2. jaarlijks wordt de geraamde dekking van loonkosten in projecten (kredieten)
niet gerealiseerd.
De gemeente heeft vervolgens vier maatregelen getroffen om te komen tot
beheersing van de loonsombudgetten:
1. Uitgangspositie is vastgesteld (loonsombudgetten per afdeling, bijpassende
formatieplannen en omzettaakstellingen op kredieten).
2. Managementinformatie wordt maandelijks geleverd (formatie- en
bezettingsoverzicht, overzicht inhuur derden, overzicht omzettaakstelling).
3. Verantwoordingsgesprekken worden maandelijks gehouden tussen directeur en
afdelingshoofd, in aanwezigheid van de concerncontroller (met aandacht voor
de loonsom);
4. Verbijzonderde interne controle uitgevoerd door de concerncontroller ter
toetsing van het werkelijkheidsgehalte van de managementinformatie.
De genoemde maatregelen hebben een goede uitwerking gehad. In het kader van
risicomanagement heeft dit een extra sturingsinstrument opgeleverd.
Gemeenteraad
de situatie op dit moment en waar ondervinden we
problemen?
3.
zodat risicomanagement sneller tot de bedrijfsvoering
wordt opgenomen. Draagvlak is essentieel
voor de implementatie van risicomanagement.
Daarom is behalve het besef van urgentie ook het
betrekken van medewerkers noodzakelijk. Dit kan
bijvoorbeeld door het actief sturen, rapporteren en
bevragen op de ontwikkeling en beheersing van de
risico’s (daadwerkelijk navolgen van het ingezette
risicomanagementraamwerk), waardoor medewerkers
ook duidelijk wordt dat risicomanagement een reëel en
essentieel onderdeel is van de bedrijfsvoering. Zichtbare
veranderingen in de bedrijfsvoering zijn nodig om
medewerkers te stimuleren nieuwe werkmethoden aan
te leren. De vierde stap heet experimenteren waarin de
organisatie en medewerkers een stap verder gaan in de
implementatie van risicomanagement. Medewerkers
gaan aan de hand van bijvoorbeeld trainingen en
workshops de nieuwe bedrijfsvoering hanteren,
aanpassingen worden toegepast en bewaakt binnen de
organisatie. Na een overgangsperiode is het nodig dat
risicomanagement volledig wordt doorgevoerd en dat
er geen ruimte is voor andere methoden (fase 3).
De combinatie van het verandermanagementmodel en
het risicomanagementproces is grafisch weergegeven in
figuur 4.5.
4.4 Risicomanagement: de kunst van cultuur
“Risicomanagement
is cultuur” Diana
Boender, Sectorcontroller
Ambulancedienst ZHZ
4.4.1 Houding en gedrag
Duidelijke en uitvoerbare kaders voor risicomanagement,
inzicht in risico’s, heldere en eenduidige procedures
en een hoge kwaliteit van bedrijfsvoering zijn allemaal
belangrijk in het kader van risicomanagement. Maar
uiteindelijk zijn houding en gedrag van ambtenaren,
raads- en collegeleden van doorslaggevende betekenis
bij het uitdragen, naleven, implementeren en
handhaven van een methodiek, werk- en zienswijze
rondom risicomanagement.
Houding en gedrag zijn sterk persoonsgebonden.
Zij worden gevormd door de capaciteiten en
vaardigheden, overtuigingen, identiteit en
levensmissie van individuen. Het denken en handelen
wordt behalve door houding en gedrag ook sterk
beïnvloed door de omgeving, zoals de cultuur in de
gemeentelijke organisatie. De organisatiecultuur is de
gemeenschappelijke verstandhouding van de mensen in
een gemeente over hoe het er in de gemeente dagelijks
aan toe gaat. Het betreft het geheel van geschreven
en ongeschreven regels dat het sociale verkeer tussen
raads- en collegeleden en ambtenaren onderling en met
de externe omgeving (burgers, instellingen, ministeries,
provincies, etc.) vormgeeft. De organisatiecultuur geeft
een vast patroon voor de aanpak en de oplossing van
vraagstukken, zoals ook risicomanagement.
Bij de beantwoording van de vraag in hoeverre
risicomanagement bij een gemeente leeft, is inzicht in
houding en gedrag van ambtenaren en in de cultuur
van de gemeentelijke organisatie dan ook essentieel.
Risicomanagement heeft niet alleen met regeltjes te
maken, bewustzijn speelt een minstens zo belangrijke
rol. Om risicomanagement ‘tussen de oren’ te krijgen,
zal binnen veel gemeenten niet alleen een set regels,
maar een cultuurverandering nodig zijn.
Ten aanzien van risicomanagement is houding en
voorbeeldgedrag van raadsleden, collegeleden en het
ambtelijk management belangrijk. Wanneer zij weinig
belang (lijken te) hechten aan risicomanagement, is de
kans groot/aanwezig dat risicomanagement niet hoog
op de agenda van ambtenaren staat. Dit geldt zeker
als het bestuur of management zelf het beleid voor
risicomanagement niet naleeft of daar inconsistent in is.
Welke stijlsoorten zijn er om de benodigde
cultuurverandering te realiseren en hoe kan
cultuurverandering bijdragen aan de verbetering
van het werken aan risicomanagement? Met alleen
aanpassing van de hard controls komt u er niet. Welke
kritische succesfactoren zijn bepalend?
Risicomanagement meer dan de som der delen
63
4.4.2Een kwestie van stijl
Houding en gedrag met betrekking tot
risicomanagement kun je abstract en vaag noemen.
Daarom leggen we een relatie tussen houding, cultuur
en veranderingen en de invloeden op de bedrijfsvoering
en risicobeleid aan de hand van de onderstaande
figuur. Verder geven we een aantal voorbeelden van
werkstijlen die invloed hebben op de wijze waarop
met het risicomanagement-vraagstuk bij een gemeente
wordt omgegaan.
Gedogen tegenover ‘zero-tolerance’
Voor de manier waarop een gemeente met
risicomanagement omgaat, maakt het groot verschil
of ‘zero-tolerance’ het heersende gedachtegoed is
of dat tamelijk gemakkelijk met risicomanagement
wordt omgegaan. Wanneer afwijken van de afspraken
niet wordt getolereerd, is de kans op ongedekte of
niet-inzichtelijke risico’s – zeker op de langere termijn –
kleiner dan wanneer dat wel zo is.
Informeel tegenover formeel
Een ander cultuuraspect dat raakvlakken heeft met
‘zero-tolerance’ tegenover gedogen, is formeel
tegenover informeel. In een formele organisatie
heerst een sterke mate van discipline: afspraak is
afspraak. Wanneer de cultuur van een gemeente
formeel is, zal gedisciplineerd en gecontroleerd met
risicomanagement worden omgegaan. De ambtenaren
worden goed geïnstrueerd bij de uitvoering en
optimalisatie van risicomanagement. Het gevaar van
onvolledig of onjuist risico-inzicht neemt dan zeker af.
Bij een meer informele cultuur in een gemeente is de
sfeer vaak losser, de discipline en controle is minder
sterk en er is vaak meer ruimte voor creativiteit (in
zowel positieve als negatieve zin). Bij een informele
cultuur is de kans op het niet naleven van de afspraken
rond risicomanagement over het algemeen groter.
Resultaatgericht tegenover formalistisch
Een formalistische tegenover een resultaatgerichte
cultuur heeft ook invloed op het naleven en handhaven
van afspraken rond risicomanagement. In een
formalistische omgeving worden risico’s gemeden. De
organisatie is dan vaak normatief ingesteld. Het gaat
om het juist toepassen van procedures en afspraken.
Bij deze cultuur is de kans groot dat de aandacht
voor risicomanagement groot is en onzuiverheden
64
Houding, gedrag en cultuur en de impact op:
• Gedogen tegenover ‘zero-tolerance’
• Informeel tegenover formeel
• Resultaatgericht tegenover formalistisch
• Open tegenover gesloten
• Leren tegenover afrekenen
Cultuur van
de gemeente
Bepaalt
Denken en
handelen
Beïnvloedt
Bedrijfsvoering
(hard & soft
controls)
Risicobeleid
(hard controls)
Figuur 4.6
Invloed van cultuur, houding en gedrag
Cultuur
(soft controls)
minder voorkomen. Bij deze cultuur is het echter niet
ondenkbaar dat het naleven van regels en procedures
belangrijker wordt gevonden dan het ‘dienen van
het doel’. Wat we realiseren is dan minder belangrijk,
als het maar volgens de regels gaat, lijkt dan het
credo. Het gaat bij een resultaatgerichte cultuur om
het bereiken van het resultaat. Procedures en regels
worden gemakkelijker terzijde geschoven om een
bepaald resultaat te bereiken. Bij dergelijke gemeenten
wordt gezocht naar de ruimte en mogelijkheden
van risicomanagementbeleid in plaats van dat de
beperkingen en onmogelijkheden de boventoon
voeren. Dit betekent in de praktijk nog wel eens het
zoeken naar de grenzen van wat kan en mag. Dergelijke
gemeenten bereiken veel, maar lopen een hoger risico.
Substance over form
Twee begrippen die nauw samenhangen met
formalistisch tegenover resultaatgericht zijn substance
en form. Staat bij een gemeente de inhoud (substance)
centraal of gaat het meer om de formaliteit (form)?
Wanneer bij een gemeente de cultuur is om naar de
‘geest’ van risicobeleid te handelen, is de kans aanwezig
dat goede resultaten worden bereikt, maar dat in
formele zin risicobeleid niet op alle aspecten juist is
toegepast. Wanneer de cultuur meer is gebaseerd op
het toepassen van de ‘letter van beleid’, is de kans op
onzuiverheden kleiner. Het gevaar is echter wel dat met
deze wijze het doel voorbij wordt geschoten.
Open tegenover gesloten
Een ander belangrijk gedragsaspect is of het bij
een gemeente gebruikelijk is elkaar aan te spreken
op taken en verantwoordelijkheden en dus ook op
gedrag. Wanneer ambtenaren, raads- en collegeleden
elkaar aanspreken op het naleven en handhaven van
risicobeleid gaat risicomanagement in een organisatie
‘leven’. Dit draagt bij aan bewustwording rondom het
begrip risicomanagement. Dit is een basisvoorwaarde
om risicomanagement nader inhoud te geven in
een gemeente. Het elkaar aanspreken op taken,
verantwoordelijkheden en gedrag hangt nauw samen
met een open cultuur van een gemeente. In een
open cultuur zijn medewerkers ‘transparant’ en zijn
er weinig drempels om elkaar te benaderen. Wanneer
sprake is van een gesloten cultuur heerst er een sfeer
van ‘bij jezelf houden’ met mogelijk verborgen en/
of dubbele agenda’s. Risico’s worden dan meer
‘onder de pet’ gehouden en een open discussie over
taken en verantwoordelijkheden in het kader van
risicomanagement ontstaat dan vaak moeizaam.
Leren tegenover afrekenen
De wijze waarop ambtenaren, raads- en
collegeleden denken en handelen met betrekking tot
risicomanagement wordt ook ingegeven door de mate
waarin een leercultuur heerst. In een leercultuur mogen
fouten worden gemaakt en durven medewerkers zich
kwetsbaar en transparant op te stellen. De cultuur
is gericht op het leren van fouten van jezelf en van
anderen. Dat kan alleen als mensen fouten durven toe
te geven. Een absolute voorwaarde voor een leercultuur
is dat medewerkers zich veilig voelen in de organisatie.
Tegenover een leercultuur staat een afrekencultuur. In
deze cultuur staan verantwoordelijkheden en concreet,
meetbare doelstellingen centraal. Wanneer dan fouten
worden gemaakt, volgt een afrekening (in welke vorm
dan ook).
De leer- of afrekencultuur bepaalt sterk de ontwikkeling
van ‘controle’ in een gemeente. In een leercultuur is
controle gericht op het voortdurend verbeteren van de
organisatie. Controle draagt dan veel meer het karakter
van onderzoek. In een afrekencultuur zal controle
primair gericht zijn op het voorkomen van fouten en
op het beoordelen van medewerkers om te kunnen
belonen of straffen.
4.4.3Cultuurverandering
Houding, gedrag en werkwijze bepalen in een
gemeente het denken en handelen. En dit bepaalt dus
ook hoe het er in een gemeente voor staat ten aanzien
van risicomanagement. Hierdoor wordt de kwaliteit
bepaald, maar ook de mate van naleving en handhaving
ervan. Houding, gedrag en organisatiecultuur bepalen
ook de wijze waarop, indien nodig, de aanpak van
het risicomanagement-vraagstuk wordt vormgegeven.
Houding, gedrag en cultuur geven richting aan het
verbeteren van de kwaliteit van risicomanagement en
de kwaliteit van de bedrijfsvoering. Het is hierbij goed
denkbaar dat daarvoor een cultuurverandering nodig is.
Deze cultuuromslag zal onderdeel moeten uitmaken van
de invoering van risicomanagement.
Risicomanagement meer dan de som der delen
65
Cultuurbeïnvloeding en cultuurverandering is lastig.
Het is niet ‘even’ bedacht en doorgevoerd. Om ervoor
te zorgen dat risicomanagement wordt opgepakt en
gedragen in de organisatie, is het goed managen van
het veranderproces essentieel.
Omstandigheden van veranderingsprocessen
zijn uniek voor elke organisatie. Er bestaat geen
standaardplan. Elke organisatie is anders, kent een
andere voorgeschiedenis als het gaat om veranderingen
en heeft een eigen cultuur en dynamiek. Toch is er wel
een aantal relaties te leggen in de stappen die moeten
worden doorlopen bij een veranderingsproces. De kritische
succesfactoren hierin zijn opgenomen in figuur 4.7.
4.5 Risicomanagement als instrument om je
doel te bereiken
In hoofdstuk 1 is reeds benoemd dat je doel bereiken
een essentieel onderdeel is van risicomanagement.
In dat hoofdstuk is reeds de relatie gelegd met
governance en de druk vanuit wet- en regelgeving.
In deze paragraaf zal op deze doelstelling van
risicomanagement nader worden ingegaan. De huidige
budgetcyclus die veel gemeenten hanteren op dit
moment is gericht op resultaten uit het verleden. Voor
het begin van het boekjaar wordt het beleid voor het
komende boekjaar opgesteld op basis van resultaten
van afgelopen jaren. Vervolgens wordt er aan het
eind van het boekjaar verantwoording afgelegd over
de resultaten van het beleid en wordt er weer nieuw
beleid opgesteld voor het komende jaar.
Het nadeel van dit systeem is dat je geen controle
hebt op het succes van het beleid. Achteraf wordt het
resultaat beoordeeld, wanneer er geen mogelijkheid
meer is om bij te sturen. Hier komt bij dat er nog niet
eens wordt gekeken naar het risico van het gevoerde
beleid. Is het gekozen beleid niet onnodig risicovol
geweest? Als het beleid haar doelen heeft gehaald,
kan het zo zijn dat dit komt omdat de gevolgen van
de gelopen risico’s niet zijn opgetreden. Als dan voor
het komende boekjaar het beleid op basis van de
resultaten van het vorige beleid wordt opgesteld is de
mogelijkheid groter dat de gevolgen van de risico’s dit
jaar wel optreden.
66
Figuur 4.7
kritische succesfactoren veranderproces
Risicomanagement biedt een ander, breder perspectief
op bedrijfsvoering en haar doelen. Vooraf wordt op
basis van analyses het risico van het gekozen beleid
bepaald. Dit geeft inzicht in het (financiële) risico dat
de organisatie loopt. Op basis van de onderkende
(financiële) risico’s kunnen doelstellingen al worden
aangepast en maatregelen worden bedacht om de
(financiële) risico’s in te perken. Voordat het (boek)
jaar is begonnen, geeft dit al meer zekerheid over
de doelstellingen van de organisatie. Tussentijds
worden vervolgens de risico’s en de omvang (wat
is de ontwikkeling en mutatie) hiervan bijgesteld
en (eventueel) nieuwe beheersmaatregelen
geïntroduceerd. Zo zorgt risicomanagement voor een
breder inzichtelijker perspectief op realiseren van de
geformuleerde doelstellingen.
4.6 Handreikingen voor risicomanagement
Hieronder is een aantal handreikingen gegeven om het
implementeren van risicomanagement in de organisatie
te versoepelen. Deze handreikingen zijn niet exclusief
en kunnen per organisatie worden gewijzigd of
aangevuld.
i.
Risicomanagement
Bepaal als organisatie wat wordt verstaan onder
risicomanagement. Dit betekent dat er helderheid
moet zijn over onder meer het te hanteren
risicomanagementraamwerk, de te zetten stappen,
de in te zetten instrumenten, de invulling van het
risicomanagementbeleid, de inrichting van het
risicomanagementsysteem en de doelstellingen die
worden beoogd met risicomanagement. Zorg dat
de organisatie helder voor ogen heeft wat er mee
kan worden bereikt, wat de mogelijkheden zijn van
risicomanagement. Dit voorkomt teleurstellingen
en helpt de organisatie risicomanagement beter te
begrijpen.
Het risicomanagementproces: grote projecten
Een gemeente is serieus bezig met risicomanagement door het vastleggen
van helder beleid, verdeling van taken en verantwoordelijkheden,
training van medewerkers en ondersteuning door middel van een
risicomanagementinformatiesysteem. Met name het risicomanagement rond
projecten verdiende extra aandacht. Het project moet leiden tot directe invoering
van risicoanalyses op strategische projecten en trajecten. Door het uitvoeren van
een analyse zijn de volgende bevindingen gedaan:
1. Inhoudelijk
- inzicht in projectrisico’s onvoldoende
- regierol subsidies ontbreekt
- geen totaalbeeld risico’s WMO
2. Cultuur
- geen eenduidig begrippen kader
- angst voor communicatie over risico’s
- politieke gevoeligheid
3. Proces
- (eerder) betrekken portefeuillehouder
- vooraf investeren in kennis
- politieke actualiteit
- beter plannen
Dit heeft geresulteerd in een verdere verfijning van het risicomanagementproces,
met specifieke aandacht voor projectrisico’s door het ondernemen van de
volgende acties:
• Opstellen beleidsplan
• Training workshops/cursussen
• Proces integraal risicomanagement uitrollen
• Risico analyses op thema’s
• Verzekeringsanalyse en professionaliseren beheer
• Communicatie verbreden en intensiveren
ii.
Doelstellingen
Wat is het doel van risicomanagement? Wees realistisch
in de doelstellingen. Zo is het veelal niet haalbaar om
voor alle mogelijke risico’s acties te formuleren: een
risico-overzicht met 500 risico’s is niet werkbaar. Het
is dan ook niet raadzaam om als doelstelling 100%
dekking van alle mogelijke risico’s na te streven.
Onthoud dat tijd en energie een vereiste zijn voor de
implementatie van risicomanagement. Bepaal wat
Risicomanagement meer dan de som der delen
67
al wordt gedaan aan risicomanagement (budgetten,
verzekeringen, etc.) en baseer mede hierop de
gewenste situatie voor de organisatie.
iii. Risicomanagementmethode
Bij het toepassen van risicomanagement heeft de
organisatie een methode (van inventariseren en
monitoring) nodig om haar risicoprofiel op te stellen.
Kies een methode die geschikt is voor de organisatie.
In hoofdstuk 2 zijn verschillende methoden van
risicomanagement toegelicht. De gekozen methode
moet goed passen bij de organisatie, anders wordt
het ‘tussen de oren krijgen’ van risicomanagement
een (te) grote uitdaging. Bepalend bij de keuze van
de methode is ook de ontwikkelingsfase waarin een
organisatie zich bevindt: een sterker ontwikkelde en
geprofessionaliseerde organisatie kan een complexere
methode van risicomanagement hanteren.
iv. Rapportage
Voor de organisatie is het van belang een wijze van
rapportage te kiezen die past binnen het BBV. Volgens
het BBV zijn provincies en gemeenten verplicht hun
weerstandsvermogen (het vermogen risico’s te dekken)
in kaart te brengen aan de hand van hun risicoprofiel.
Dit houdt in dat jaarlijks een weerstandsparagraaf dient
te worden opgesteld in de beleidsbegroting waarin de
weerstandscapaciteit (de middelen om de risico’s te
dekken) wordt behandeld.
v.
Risicomanager
Afhankelijk van de grootte van de organisatie is het
mogelijk dat een risicomanager of risico-eenheid
wordt aangewezen. Dit kan, afhankelijk van het
ontwikkelstadium van risicomanagement binnen
de organisatie, ook worden belegd bij bijvoorbeeld
de controller. Deze aangewezen medewerker (de
‘risicomanager’) of eenheid waakt over het proces
van risicomanagement, onderzoekt onderliggende
verbinding tussen afdelingen, beheersmaatregelen en
verantwoordelijkheden. De rol van risicomanager is
duidelijk een expertrol. De risicomanager adviseert,
geeft handreikingen, toetst, volgt ontwikkelingen,
ondersteunt bij het signaleren van risico’s, onderhoudt
het risicomanagementraamwerk en jaagt het
risicomanagementproces aan. In vorige hoofdstukken
is de taak van de risicomanager of risico-eenheid dieper
behandeld. Alertheid is geboden bij een dergelijke
68
hulpstructuur om de verantwoordelijkheid voor
inventariseren, managen en bijsturen van de risico’s
een verantwoordelijkheid is en blijft van het (lijn-)
management.
vi. Verantwoordelijkheid
Niet alleen voor de kwaliteit van de implementatie,
maar zeker ook voor het effect van risicomanagement
is het van belang dat medewerkers verantwoordelijk
worden gemaakt voor risico’s. Een mogelijkheid is
ook om medewerkers te belonen door bijvoorbeeld
een variabel salaris te koppelen aan het succes bij
het bereiken van de vooraf gestelde doelstellingen.
Een belangrijke randvoorwaarde hierbij is dat de
rollen helder zijn gedefinieerd in het kader van
risicomanagement: iedere medewerker moet weten wat
zijn of haar rol is en welke verantwoordelijkheid daarbij
hoort. Gestructureerd risicomanagement is onmisbaar
bij het bereiken van je doelstellingen. Het actief
inventariseren en het treffen van beheersmaatregelen
helpt de verantwoordelijk manager bij het realiseren
van zijn doelstellingen. In ieder geval neemt het inzicht
toe ten aanzien van de vraag: wat staat het realiseren
van de gestelde doelen in de weg. (omdat er bepaalde
risico’s zijn)
vii. Belang van draagvlak
Ongeacht welke aanpak de gemeente uiteindelijk kiest
om te komen tot implementatie van risicomanagement,
is draagvlak onontbeerlijk voor het concept. Het
toepassen van risicomanagement heeft namelijk
duidelijke consequenties voor de organisatie.
Dit draagvlak kan op de volgende wijze bewerkstelligd
worden zowel bij aanvang als bij de verdere uitrol van
risicomanagement:
• Kennissessie met ambtelijke en politieke
sleutelfunctionarissen
• Sponsor binnen managementteam (MT) (en
eventueel politiek)
• Eenvoudig beginnen (met een pilot)
• Voldoende robuuste projectorganisatie
• Aansluiting op bestaande initiatieven, concepten en
systemen
viii. Kennissessie met diverse ambtelijke
(en bestuurlijke) sleutelfunctionarissen
Indien risicomanagement wordt geïnitieerd vanuit een
staffunctie of een beperkt deel van het lijnmanagement
is het aan te raden om in eerste instantie een
kennissessie te organiseren met het voltallige MT en
eventueel een afvaardiging uit het bestuur. Tijdens deze
sessie kan het onderwerp verder uitgediept worden en
de toegevoegde waarde inzichtelijk worden gemaakt
door middel van concrete voorbeelden.
ix. Sponsor binnen MT (en eventueel bestuur)
Risicomanagement is een verantwoordelijkheid van
de lijn. Om deze reden is het belangrijk dat op het
hoogst ambtelijk niveau binnen de organisatie een
sponsor aanwezig is voor het concept. Hij of zij dient
risicomanagement actief te ondersteunen in woord
en daad en het (overige) management hierop aan
te spreken indien noodzakelijk. Zonder een sponsor
is het reële gevaar aanwezig dat dit onderwerp
uiteindelijk niet serieus wordt genomen. Hierdoor
wordt geen toegevoegde waarde gerealiseerd en blijft
het hoogstens een instrument waar met name de staf
belang aan hecht.
“Projecten zijn leuke
uitdagingen voor
risicomanagement” Jan
Vermeule, gemeente
Amersfoort
x.
Eenvoudig beginnen (met een pilot)
Na de kennissessie raden wij aan om de voorgestelde
aanpak in eerste instantie een pilot uit te voeren. Bij
voorkeur vindt deze pilot plaats bij een afdeling, sector
of beleidsveld die zelf aangegeven heeft graag mee te
willen doen.
Een belangrijk voordeel van een pilot is de mogelijkheid
tot realisatie van ‘quick wins’ die gebruikt kunnen
worden voor draagvlak bij de verdere uitrol. Bovendien
kan een organisatie op deze wijze met beperkte
middelen kennismaken met de nieuwe aanpak. Op
basis van de ervaringen kan vervolgens bepaald worden
of er bijvoorbeeld aanpassingen moeten worden
doorgevoerd in de opzet danwel methodiek.
xi. Voldoende robuuste projectorganisatie
Een essentiële basis voor draagvlak is een voldoende
robuuste projectorganisatie. Een dergelijke
projectorganisatie bestaat bij voorkeur uit een stuur- en
werkgroep. De taken van deze groep zijn de volgende:
• het beoordelen van de uitgangspunten van het
project
• het beoordelen van de kwaliteit van de (tussentijdse)
projectresultaten in de vorm van notities,
rapportages en presentaties
• het bewaken van de voortgang van het project
• het fungeren als sponsor voor risicomanagement
richting de rest van de organisatie
• het zorgdragen voor de communicatie richting de
rest van de organisatie
Daarnaast verdient het de voorkeur om binnen
deze stuurgroep één of twee personen aan te
wijzen die tussentijds beslissingen kunnen nemen.
Dit is bevorderlijk voor de voortgang van een
risicomanagementproject.
In de werkgroep nemen de medewerkers deel die
verantwoordelijk zijn voor het daadwerkelijk uitvoeren
van de activiteiten inzake risicomanagement. Externe
ondersteuning is hierbij aan te raden. Het betreft
namelijk nieuwe materie, waarbij specifieke kennis
onontbeerlijk is. Indien deze onvoldoende binnen
de organisatie beschikbaar is, dient deze van buiten
aangetrokken te worden. Een belangrijke basis voor
het succesvol implementeren van risicomanagement
is namelijk gelegen in een succesvolle start. Indien dit
niet lukt, wordt het erg moeilijk om alsnog resultaten te
boeken.
Indien steun van buitenaf wordt ingeroepen, is het
verstandig een gezamenlijke werkgroep in te stellen.
Op deze wijze kan namelijk gedurende het traject een
optimale kennisoverdracht plaatsvinden.
xii.Aansluiting op bestaande initiatieven,
concepten en systemen
Om de belasting van de organisatie zoveel
mogelijk te beperken, is het sterk aan te raden om
risicomanagement aan te laten sluiten bij reeds
bestaande initiatieven, concepten en systemen. Zo kan
overwogen worden om risicomanagement te koppelen
aan projecten ter verbetering van de kwaliteit van de
Risicomanagement meer dan de som der delen
69
organisatie (bijvoorbeeld INK-positiebepalingen). Tevens
kan gedacht worden aan het benutten van natuurlijke
momenten in de planning & controlcyclus. Bij het
opstellen van de begroting of jaarplan is het namelijk
voor de hand liggend om naast de doelstellingen,
plannen en financiën tevens na te denken over de
risico’s die mogelijkerwijs een belemmering kunnen
vormen bij de realisatie.
70
Risicomanagement meer dan de som der delen
71
72
5.Weerstandsvermogen
Een belangrijk onderdeel van risicomanagement is
het weerstandsvermogen. In dit hoofdstuk wordt
een korte definitie gegeven van de opbouw van
weerstandsvermogen en de elementen die daaraan
zijn gekoppeld. Risicomanagement wordt gedefinieerd
als het identificeren en kwantificeren van risico’s en
het bepalen van activiteiten die de kans van optreden
en/of de gevolgen van risico’s beheersbaar houdt/
maakt. Deze activiteiten worden beheersmaatregelen
genoemd. Een onderdeel van de beheersmaatregelen
wordt gevormd door het op niveau houden van
de financiële positie door het opbouwen van
weerstandsvermogen. Door risico’s in kaart te brengen
binnen de gemeente en maatregelen te treffen
ter beheersing van deze risico’s kan de benodigde
weerstandscapaciteit worden verlaagd. Doordat de
weerstandscapaciteit wordt verlaagd kan uw gemeente
dit geld voor andere doeleinden in uw organisatie
inzetten.
Risico’s
Weerstandscapaciteit
Economisch
Politiek
Juridisch
Milieu
Financiële houding
Garantieverplichting
+
Algemene Reserve
Onbenutte Belastingcapaciteit
Stille Reserve
Post Onvoorzien
Grondexploitaties
Rente over Reserves
=
Weerstandsvermogen
Verzekeringen
Voorzieningen
Beheersmaatregelen
Figuur 5.1
Methodiek
Weerstandsvermogen
De weerstandscapaciteit
van een organisatie is het
geheel van middelen en
mogelijkheden om niet
begrote, onverwachte en
substantiële kosten te
dekken.
5.1 Definitie
De weerstandscapaciteit kan zowel incidenteel als
structureel zijn. Incidentele weerstandscapaciteit is
het vermogen om calamiteiten en andere eenmalige
tegenvallers op te vangen zonder dat dit invloed heeft
op de voortzetting van het bestaande beleid.
Bij het bepalen van het weerstandvermogen
zijn twee elementen belangrijk, namelijk risico’s
en weerstandscapaciteit. Een risico is de kans
op een gebeurtenis die een (negatief) effect
heeft op de bedrijfsvoering en/of de financiële
positie, vermenigvuldigd met de impact (omvang)
van de gebeurtenis. Belangrijk hierbij is dat de
organisatie zich bewust is van risico’s zodat zij
tijdig noodzakelijke maatregelen kan nemen en
kan sturen op de risico’s. De weerstandscapaciteit
bestaat uit de middelen die een organisatie heeft
om de negatieve gevolgen te kunnen dekken,
bijvoorbeeld reserves, bezuinigingsmogelijkheden en
onbenutte belastingscapaciteit. Dit is geïllustreerd
in figuur 5.1 die is gebaseerd op een model uit
‘Handreiking Weerstandsvermogen voor Raadsleden’
van het ministerie van Binnenlandse Zaken en
Koninkrijksrelaties.
Risicomanagement meer dan de som der delen
73
5.2 Financiële positie
De financiële positie is het vermogen van een
organisatie, in relatie tot de exploitatie en met
inachtneming van de risico’s, haar beleidsvoornemens
te kunnen uitvoeren, zowel op de korte als lange
termijn. De financiële positie van een gemeente kan
worden bepaald op basis van financiële ijkpunten,
zoals onder meer de omvang van het vermogen en
de belastingdruk als vangnet voor risico’s. Om inzicht
te krijgen in de daadwerkelijke financiële positie van
een gemeente is het van belang dat wordt gekeken
naar het huidige voorzieningenniveau binnen
de gemeente en/of de structurele en incidentele
lasten daaruit zijn opgenomen in de begroting
en het meerjarenperspectief. Daar tegenover kan
een minimaal voorzieningenniveau worden gezet
dat op langere termijn gewenst is. Dit gewenste
voorzieningenniveau (indien dit afwijkt van het huidige
voorzieningenniveau) kan een rol (gaan) spelen bij het
bepalen van de benodigde financiële positie van een
gemeente.
5.3 Weerstandsvermogen
Het weerstandsvermogen is de mate waarin
onverwachte financiële tegenvallers kunnen worden
opgevangen. Hierbij wordt de weerstandscapaciteit
afgezet tegen de risico’s die een gemeente
loopt. Weerstandsvermogen kan zowel een
statisch als een dynamisch karakter hebben.
Statisch weerstandsvermogen is het vermogen
om tegenvallers op te vangen zonder dat dit tot
beleidswijzigingen in het begrotingsjaar zelf leidt.
Dynamisch weerstandsvermogen is het vermogen om
tegenvallers op te vangen zonder dat dit consequenties
heeft voor het beleid in meerdere begrotingsjaren.
Weerstandsvermogen bestaat uit beschikbare
weerstandscapaciteit gedeeld door de benodigde
weerstandscapaciteit.
Allereerst moet worden gesteld dat de wetgever geen
absolute norm heeft gesteld. In de toelichting op
artikel 11 van het BBV is aangegeven dat gemeenten
zelf een beleidslijn en normering moeten bepalen.
Als argumentatie wordt hiervoor gegeven dat het
identificeren en ook manifesteren van risico’s dusdanig
specifiek is per gemeente dat hiervoor geen algemene
norm is te geven.
Financiële positie
Sluitende begroting
Weerstandsvermogen
Risico’s
Weerstandscapaciteit
Figuur 5.2: Financiële positie
Financiële positie
Sluitende begroting
Weerstandsvermogen
Risico’s
Weerstandscapaciteit
Figuur 5.3: Weerstandsvermogen
Beoordelingstabel weerstandsvermogen
Categorie
Ratio weerstandsvermogen
Betekenis
A
>2
Uitstekend
B
1,4 < X < 2
Ruim voldoende
C
1,0 < X < 1,4
Voldoende
D
0,8 < X < 1,0
Matig
E
0,6 < X < 0,8
Onvoldoende
F
< 0,6
Ruim onvoldoende
Figuur 5.4: Beoordelingstabel weerstandsvermogen
74
statisch <1 j.
dynamisch
>1 j.
Door het Nederlands Adviesbureau voor
Risicomanagement (NAR) is in een artikel in B&G6
een uitspraak gedaan over verschillende klassen van
aan te houden weerstandsvermogen in relatie tot
zich manifesterende risico’s. Hierbij is de volgende
kwalificatie gegeven van de omvang van het
weerstandsvermogen in relatie tot geïdentificeerde
risico’s:
Gelet op het bovenstaande zou een
weerstandsvermogen van 1,0 net als voldoende worden
gekwalificeerd. Toch moet enige nuancering bij dit
getal worden aangebracht. Op basis van het in het
artikel gehanteerde uitgangspunt zou er sprake van
zijn dat er voldoende weerstandsvermogen is > 1,0.
Deze zienswijze lijkt conservatief. Immers, op basis
hiervan zou voor elk risico tenminste meer dan het
risico aan financiële middelen aanwezig moeten zijn.
De inschatting van de huidige risico’s is gebaseerd op
een inschatting van de risico’s bij het beoordelen van
de toekomstige exploitatie, programma’s en projecten.
Hierop zijn dus vaak nog diverse mogelijkheden
tot bijsturing aanwezig. Immers, de risico’s zijn te
beïnvloeden door het treffen van beheersmaatregelen
of aanpassing van plan- en besluitvorming. Bovendien
is het niet waarschijnlijk dat alle risico’s zich (tegelijk)
zullen gaan manifesteren. Aan de andere kant zullen
risico’s bestaan dan wel gaan ontstaan die op dit
moment nog niet ingeschat zijn.
5.4 Risico’s
Risico’s zijn te omschrijven als al die gebeurtenissen die
het realiseren van de organisatiedoelstellingen in de
weg staan: latent aanwezige, ongewenste implicaties
van onzekerheid, zoals:
risico’s die aan de voorkant buiten de risicoinventarisatie
blijven. Dit betekent dat men het bestaan ervan kent (of
tenminste vermoedt), maar deze niet of onvoldoende in
beeld (c.q. gekwantificeerd) krijgt. Achteraf onbekende
risico’s zijn die risico’s die buiten de risico-inventarisatie
blijven, omdat ze onbekend zijn en zich onverwacht
openbaren (men vermoedde het bestaan niet).
Risico’s zijn in te delen in verschillende groepen of
velden. De meest voorkomende groepen risico’s voor
gemeenten zijn:
• Operationeel: procedures, systemen
• Imago/politiek/bestuurlijk: crisis, imago, vallen
college, aftreden wethouder
• Markttechnisch: vraag, prijs, kwaliteit, conjunctuur
• Juridisch: zorgplicht, aansprakelijkheid
• Krediettechnisch: solvabiliteit, rentegevoeligheid
• Menselijk: zorgeloosheid, ‘gedogen’, fraude
• Financieel: verlies financiële middelen
• Bedrijfsproces: onvolkomenheden in proces, zoals
signalering risico’s
• Informatie/strategie: eenduidigheid strategie,
volledigheid en juistheid informatie
• Product: continuïteit werkzaamheden of
aansprakelijkheid
• Letsel/veiligheid: veiligheid medewerkers
• Milieu: bodemverontreiniging, luchtkwaliteit en
voortgang plannen
Financiële positie
Sluitende begroting
i. onzekerheid van getroffen object
ii. onzekerheid van gebeurtenis (risicofactoren)
iii. onzekerheid van aard en omvang gevolgen (schade)
Weerstandsvermogen
Risico’s
Weerstandscapaciteit
Figuur 5.5: Risico’s
Uitgangspunt hierbij is dat bekende risico’s veelal
beheersbaar zijn en dat onbekende risico’s veelal
onbeheersbaar zijn. Onbekende risico’s zijn vervolgens
in te delen in vooraf onbekende risico’s en achteraf
onbekende risico’s. Vooraf onbekende risico’s zijn die
6
Een norm voor weerstandsvermogen – B&G
oktober 2006 – D. Smorenberg
Risicomanagement meer dan de som der delen
75
5.5 Weerstandscapaciteit
Het totaal aan risico’s bepaalt de benodigde
weerstandscapaciteit. Dit is een optelsom van alle
risico’s (kans x financieel gevolg). Ondersteuning
van de berekening en bepaling van de benodigde
weerstandscapaciteit kan bijvoorbeeld plaatsvinden
door het simuleren van de risico’s (Monte Carlosimulatie). Omdat niet alle risico’s in een jaar in hun
maximale omvang optreden, gebruiken veel gemeenten
een dergelijk simulatieprogramma. Dit programma
rekent op basis van het risicoprofiel de benodigde
weerstandscapaciteit uit.
De beschikbare weerstandscapaciteit van een
organisatie wordt gedefinieerd als het geheel
van middelen en mogelijkheden om niet begrote,
onvoorziene en (mogelijk) substantiële kosten te
dekken. De weerstandscapaciteit kan zowel incidenteel
als structureel van aard zijn. Bij weerstandscapaciteit
kan een onderscheid worden gemaakt in incidentele
en structurele weerstandscapaciteit. Onder incidentele
weerstandscapaciteit wordt het vermogen verstaan
om calamiteiten en andere eenmalige tegenvallers
op te vangen zonder dat dit invloed heeft op de
voortzetting van het bestaande beleid. Structurele
weerstandscapaciteit wordt gevormd door de middelen
die permanent kunnen worden ingezet om (mogelijke)
tegenvallers in de lopende exploitatie te dekken,
zonder dat dit ten koste gaat van de uitvoering van
programma’s. De volgende aspecten van de begroting
kunnen tot de beschikbare weerstandscapaciteit
behoren. Deze aspecten worden ook kort toegelicht.
1. Algemene reserves
Binnen de reserves wordt onderscheid gemaakt
naar de algemene reserve (artikel 43 BBV) de en
bestemmingsreserve. De algemene reserve heeft een
algemeen karakter en is vrij aanwendbaar .
Voor het gebruik van deze algemene reserve is, zoals
voor alle reserves, altijd een expliciet raadsbesluit
vereist.
De algemene reserve vormt het vrij besteedbare eigen
vermogen van de gemeente.
De algemene reserve heeft als belangrijkste functie
het vormen van een buffer voor financiële tegenvallers
en is per definitie niet geoormerkt of bestemd.
76
Weerstandscapaciteit:
• Algemene Reserve
• Flexibiliteit Begroting
• Post Onvoorzien
• Rente eigen financieringsmiddelen
• Onbenutte belastingcapaciteit
• Stille Reserves
• Mogelijkheid Grondexploitatie
Financiële positie
Sluitende begroting
Weerstandsvermogen
Risico’s
Weerstandscapaciteit
structureel incidenteel
Figuur 5.6: Weerstandscapaciteit
Het nieuw ‘Gemeenschappelijk Financieel Toezichtkader’ (GTK), genoemd
‘zichtbaar toezicht’, van februari 2008 van de provincie kent minder expliciete
bepalingen dan het huidig (provinciaal) toezichtkader en stelt geen hoogte meer
t.a.v. voluit schrijven de algemene reserve en geen norm meer m.b.t. voluit
schrijven de post onvoorzien. Het nieuw GTK versterkt de rol van de gemeenteraad
en daarbij past ‘een meer op afstand toezicht’ van de provincie .
Tekorten en overschotten op de jaarrekening komen
in het algemeen ten laste respectievelijk ten gunste
van de algemene reserve. De voorheen gehanteerde
term ‘saldireserve’ is met het BBV opgegaan in de
naamgeving ‘algemene reserve’. De noodzakelijke
hoogte van de algemene reserve wordt mede bepaald
aan de hand van het benodigde en de beschikbare
weerstandscapaciteit van de gemeente. De provincie
toetst formeel of de algemene reserve het gewenste
niveau heeft. Bestemmingsreserves zijn in beginsel niet
vrij aanwendbaar. De gemeenteraad heeft namelijk
een concrete bestemming aan het bedrag gegeven.
Zolang er geen concrete verplichtingen zijn aangegaan,
kan de gemeenteraad de bestemming nog wijzigen en
de bestemmingsreserve toevoegen aan de algemene
reserve.
2. Post onvoorzien
In het BBV zijn regels opgenomen voor de ‘post
onvoorzien’ in de begroting en de jaarrekening. Deze
post is bedoeld als dekking voor lasten die niet in de
begroting opgenomen zijn.
Volgens het BBV zijn gemeenten verplicht een ‘post
onvoorzien’ op te nemen; de plaats waar dat moet
gebeuren is ook voorgeschreven. De gemeenteraad
kan in verordening 212 aanvullende regels hieromtrent
formuleren. De gemeenteraad zou bijvoorbeeld
kunnen bepalen dat de post onvoorzien alleen gebruikt
mag worden voor eenmalige lasten en niet voor
structurele lasten. Zo zou de post onvoorzien tot de
weerstandscapaciteit kunnen worden gerekend.
3. Rente eigen financieringsmiddelen
Hiermee wordt rente over reserves en voorzieningen
van de gemeente bedoeld, dat niet is geoormerkt en
derhalve vrij aanwendbaar is. De rente wordt in de
praktijk dus bijgeschreven bij de reserves en kan voor
alternatieve doeleinden, dus ook voor het afdekken van
risico’s, worden aangewend.
4. Onbenutte belastingcapaciteit
Het verschil tussen de fictieve (toegestane) opbrengsten
bij maximale heffings- en belastingtarieven en
de begrote opbrengsten (op basis van feitelijke
belastingdruk) vormt de onbenutte belastingcapaciteit.
Bij dreigende tekorten beschikt de gemeenteraad over
mogelijkheden om deze onbenutte belastingcapaciteit
in te zetten door de belastingdruk te verhogen.
5. Stille reserves
De waarde van de bezittingen van de gemeente
is opgenomen in de balans. Deze waarde is
veelal gebaseerd op de historische kostprijs: de
oorspronkelijke aanschafwaarde minus afschrijvingen.
In de praktijk kan de werkelijke waarde van bezittingen
anders zijn. Als de werkelijke waarde lager is dan de
boekwaarde moet de boekwaarde via een eenmalige
afschrijving worden aangepast. De waarde kan
ook hoger zijn. Dit komt bijvoorbeeld vaak voor bij
onroerend goed (panden) en bij aandelen. Is de waarde
hoger, dan mag de boekwaarde vaak niet worden
aangepast. Het verschil tussen de werkelijke waarde
en de boekwaarde is in een dergelijk geval een ‘stille
reserve’. Deze stille reserve kan worden aangewend als
weerstandscapaciteit en wordt in de begroting en de
jaarrekening zichtbaar gemaakt in de paragraaf over het
weerstandsvermogen.
6. Flexibiliteit begroting
Onder de Algemene Uitkering ligt een toedeling
aan verschillende beleidsclusters. In de praktijk zijn
de feitelijke uitgaven soms afwijkend ten opzichte
van de toedeling vanuit de Algemene Uitkering. Als
er (per saldo) sprake is van een ‘overschot’ in de
Algemene Uitkering betekent dit dat er sprake kan
zijn van een zekere ‘ruimte’ in de begroting. Deze
ruimte kan worden aangemerkt als onderdeel van de
weerstandscapaciteit.
7. Mogelijkheden grondexploitatie cum suis
De mogelijkheid tot het exploiteren van gronden,
objecten en projecten binnen de gemeentegrenzen
biedt de gemeente soms de mogelijkheid de verwachte
winst in te zetten voor de weerstandscapaciteit. Veel
gemeenten exploiteren grond commercieel, wat vaak
leidt tot extra financiële speelruimte, maar vooral ook
toegenomen weerstandscapaciteit.
Risicomanagement meer dan de som der delen
77
Casuïstiek beoordeling financiële positie van een gemeente
In figuur 5.7 is een voorbeeld opgenomen van een
beoordelingsmethodiek van een aantal van de eerder genoemde
elementen van de weerstandscapaciteit. Het kan gezien worden als
een soort van scan omtrent inzicht en samenstelling van de financiële
positie. In dit voorbeeld wordt een aantal aanvullende indicatoren
genoemd, dat in feite een verdere verfijning van de hiervoor
genoemde indicatoren geeft. In de tabel staan de kleuren voor de
mate waarin de positie wordt beoordeeld (zie ook de toelichting
voorafgaand aan figuur 5.7). De cijfers in de vakjes geven de scores
nogmaals weer.
Indicator
Flexibiliteit begroting
Onvoorzien
Incidentele baten en lasten
Rente eigen financieringsmiddelen
Stille reserve
Algemene reserve
Bestemmingsreserve
Voorzieningen
Dekkendheid tarieven
Gespaard voor onderhoud
Vervangingsinvesteringen
Hardheid investeringsplanningen
Resultaten grondexploitaties
Uitstekend
1
Neutraal
3
Zwak
4
Onvoldoende
5
1
5
2
4
1
2
3
1
Figuur 5.7: Dashboard beoordeling financiële positie
78
Goed
2
Wanneer deze indicatoren zijn gekwantificeerd en gekwalificeerd,
ontstaat een inzichtelijk beeld van de financiële positie van de
gemeente. Door de analyse en kwalificatie van deze indicatoren
jaarlijks consistent te actualiseren ontstaat over een langere periode
een overzicht van de ontwikkeling van de financiële positie van de
gemeente. De verschillende indicatoren moeten wel in onderlinge
samenhang worden beoordeeld, ze staan immers niet los van elkaar.
Een ‘dashboard’ (zie figuur 5.7) kan hierbij helpen. Een indicator
krijgt dan bijvoorbeeld de kwalificatie uitstekend (blauw), goed
(groen), neutraal, (wit), zwak (oranje) of onvoldoende (rood). Het
voorbeelddashboard in de onderstaande figuur laat zien welke
indicatoren aandacht vereisen, waar sturing mogelijk of wenselijk is en
waarover duidelijke beleidsuitspraken noodzakelijk zijn.
4
3
5
4
2
Risicomanagement meer dan de som der delen
79
80
6.Valkuilen uit de praktijk
In de voorgaande hoofdstukken is vanuit verschillende
invalshoeken beschreven hoe risicomanagement vorm
kan krijgen binnen een gemeentelijke organisatie. Het
goed opzetten van risicomanagement is één, maar de
uitvoering in de praktijk is (helaas al te vaak) iets anders.
In dit hoofdstuk wordt een aantal valkuilen beschreven.
Dit hoofdstuk is niet uitputtend, maar schetst een
aantal vaak voorkomende valkuilen.
6.1 De objectiviteit van het risicomanagement
instrumentarium
Zoals uit de voorgaande hoofdstukken is gebleken,
dient bij het bepalen van het risicoprofiel – en daarvan
afgeleid het risicomanagementraamwerk – na een
inventarisatie van de risico’s ook een bepaling te
worden gegeven van kans en impact. Kan de score op
deze beide velden objectief worden vastgesteld? In
de praktijk doen zich zeer eenvoudig meetproblemen
voor. Veel risico’s en hun effecten (denk bijvoorbeeld
aan imagoschade, politieke gevoeligheid, bestuurlijke
impact) laten zich in veel gevallen niet gemakkelijk
meten. En als het gaat om de invloed die het
gemeentelijk handelen hierop heeft gehad, wordt
het helemaal ingewikkeld. Andere risico’s laten zich
daarentegen zeer goed uitdrukken in kwantitatieve
elementen. Maar dan is de vraag of er een juiste weging
aan wordt gegeven? Ten slotte: op welke gronden en
met welke belangen wordt een bepaalde weging (en
daarmee omvang en impact van een risico) gegeven?
Hoe behapbaar is risicomanagement uiteindelijk voor
een risicomanager, als in principe voor alle onderdelen
van een gemeente risico’s in kaart dienen te worden
gebracht?
Vaak wordt volstaan met het voortbouwen op de
inventarisaties en indicaties uit de verschillende
diensten op globaal niveau en aangeleverd vanuit
de diensten en afdelingen zelf. Hierbij wordt in
beperkte mate getoetst op volledigheid, juistheid en
integriteit. Dit is ook lastig te realiseren, gezien de
omvang van inventarisaties. Zeker in het geval dat er
binnen de organisatie op verschillende niveaus en bij
verschillende diensten afwijkende beelden over de
invulling van risicomanagement en de interpretatie
van risico’s bestaan. Het is dan ook van groot belang
dat risicomanagement (en specifiek de invulling en het
begrip ervan) breed en diep in de organisatie wordt
verankerd. Methoden om dit te realiseren zijn onder
meer training, workshops en in het begin gezamenlijk
invullen van risicografieken. Een valkuil is met name
dat het instrumentarium als volledig objectief wordt
beschouwd, terwijl onmiskenbaar schakels in het
risicomanagementproces zitten die in meer of mindere
mate als subjectief te bestempelen zijn. Uiteindelijk
kan gewerkt worden met verschillende scenario’s. Het
feit dat je een risico niet exact kan kwantificeren, is
niet erg als het maar in beeld is en er dus bewustzijn is
waardoor maatregelen getroffen kunnen worden. Het
getal is dus niet zaligmakend.
Risicomanagement meer dan de som der delen
81
6.2 De keuze van objecten van
risicomanagement
In hoeverre sprake is van objectiviteit en subjectiviteit
wordt ook beïnvloed door de mate waarin duidelijk
is naar welke onderwerpen de aandacht uit gaat
(of uit dient te gaan) en op welke wijze naar een
onderwerp wordt gekeken. Vaak is in het kader van
risicomanagement wel duidelijk op welke hoofdthema’s
moet worden ingezoomd. Echter, de detaillering en
accentuering in de onderliggende onderwerpen is niet
altijd helder en eenduidig. Het is daarom verstandig op
voorhand te bepalen op welke onderwerpen en met
accentuering moet worden geïnventariseerd. Hierbij
geldt eigenlijk hetzelfde als voor het bepalen van de
doelstellingen van risicomanagement: leg de lat niet te
hoog en kies accenten die passen bij de volwassenheid
van de organisatie.
Externe risico’s
- Burger tevredenheid
- Relatie met belanghebbenden
- Technologische innovatie
- Afhankelijkheid van
derden
- Privatisering
- Nieuwe wet- en
regelgeving
- Politiek signatuur en
structuur
- Rijksoverheid
- Politiek signatuur en
structuur lokale
- overheid
- Conflicterend
overheidsbeleid
- Rampzalig verlies
1. Leiderschap & cultuur
- Leiderschapsstijl
- Organisatiestructuur
- Waarden en normen
- Bevoegdheden
en verantwoordelijkheden
- Vermogen tot veranderen
- Managementfraude
- Communicatie
- Management informatie
3. Medewerkers
2. Strategie & Beleid
4. Middelen
-
-
FINANCIEEL
- Contractering
- Apparaatkosten
Terugvordering subsidies
- Kredietrisico
- Koersrisico
- Liquiditeitrisico
- Renterisico
- Financiële instrumenten
- Onderpand
Vermogen tot veranderen
Integriteit
Reputatie
Veiligheid medewerkers
Gezonde medewerkers
Welzijn medewerkers
Arbeidsvoorwaarden
Werknemersfraude
Kwantiteit personeel
medewerkers
- Arbeidsomstandigheden
- Productiviteit
- Motivatie
-
Beleidsvorming
Beleidsformulering
Beleidshaalbaarheid
Beleidsontwikkeling
Verantwoordingsrapportages
Prestatie-indicatoren
Strategische planning
Managementrapportage
Toezicht op
beleidsuitvoering
Aansluiting
Budgettering/begroting
Beleidsdocumenten
Omgeving
Meten(strategisch)
Investeringen
Prijs producten
Inschattingen
Bedrijfsportfolio
ICT
- Beschikbaarheid
- Aansluiting infrastructuur
ketenpertners
- Effectiviteit
- Tijdigheid
- Integriteit
- Betrouwbaarheid
- Relevantie
- Toegang
TECHNISCH
- Inzet
- Gebruik
- Veiligheid
- Levensduur
- Onderhoud
5. Processen
Figuur 6.1
aandachtspunten voor risicomanagement bij de
verschillende mogelijke aandachtsgebieden
82
-
Efficiency
Uitbesteding
Projectmanagement
Product/dienstenkwaliteit
Doelmatigheid
Productiecapaciteit
Interne communicatie &
samenwerking
-
Klant/burgercommunicatie
Milieu
Grondstoffen
Logistieke kanalen
Privacy
Samenwerking
Naleving wet- en
regelgeving
-
Imago
Productontwikkeling
Kennisdeling
Tevredenheid burger
Rolconflict
Fraudegevoeligheid
6.3 Mate van detaillering
Als iets lastig is bij het invullen van risicomanagement
in een organisatie dan is dat het bepalen van de
mate van detaillering. De keuze op welk niveau
en met welke detaillering risico’s in kaart moeten
worden gebracht, is lastig. Er bestaan verschillende
inzichten op verschillende niveaus in de organisaties.
Er bestaan voorbeelden van risicokaarten waar
gemeenten vele honderden risico’s hebben benoemd,
met allemaal ten minste twee maatregelen en
bijbehorende verantwoordelijken. Bij een dergelijke
invulling van risicomanagement bestaat het risico van
micromanagement en onbeheersbaarheid. Het is dan
ook van groot belang dat het niveau en de detaillering
helder zijn en dat de inventarisatie wordt begrensd,
zodat uiteindelijk een beheersbaar raamwerk ontstaat
en de aandacht uit kan gaan naar de belangrijkste
risico’s. Het bepalen van een ondergrens (omvang,
impact en hoogte van de risico’s) en het uitwerken van
de risico’s met een bepaald profiel (kans en impact)
geniet hierbij de voorkeur.
“Rampen- en crisisbeheersing
vormen een belangrijk
taakveld van onze regio. In
dat taakveld gaat het in het
primaire proces ook over
risicomanagement. Daarbij
leer je dat een incident zich
altijd anders voordoet dan
gedacht, maar je moet wel
je draaiboek klaar hebben
liggen en veel oefenen.” ErikJan van Genderen, Regio
Zuid-Holland Zuid
6.4 Het feitelijk doen
Een overduidelijke valkuil is dat risicomanagement
een ‘speeltje van Financiën’ wordt. Centraal wordt
veel tijd en energie gestoken in een prachtig sluitend
risicomanagementraamwerk, maar de rest van
de organisatie is totaal niet aangehaakt. Dit leidt
ertoe dat bij de periodieke inventarisaties door de
organisatie (min of meer) gewillig wordt meegewerkt
en mooie diagnoses worden gesteld. Wanneer het
aankomt op het formuleren van acties, het specifiek
aanwijzen van verantwoordelijken en het navolgen
van beheersmaatregelen geeft men niet thuis. Te vaak
blijft men steken op prachtige lijstjes met risicokaarten,
risicoplannen en risicomanagementprocessen, zonder
dat het feitelijk landt in de organisatie.
Een praktische handreiking is om stapsgewijs te
beginnen: start bijvoorbeeld met één programma, één
proces of één project en voer daar risicomanagement
in. Bewijs nut en noodzaak in de praktijk en kom zo tot
een steeds bredere invoering.
6.5 Andere vaak voorkomende valkuilen en
succesfactoren
Naast de genoemde valkuilen in de voorgaande
paragrafen zijn er verschillende valkuilen, waar veel
organisaties mee te maken krijgen bij de invoering
(en ook uitvoering) van risicomanagement. In het
onderstaande overzicht is een aantal belangrijke overige
valkuilen in de praktijk op een rij gezet:
• Te groot maken: het apart organiseren van
risicomanagement en niet of onvoldoende
integreren van risicomanagement in de bestaande
P&C-cyclus. Het profileren van risicomanagement als
iets extra’s (‘extra ballast’)
• Verkeerde positionering: risicomanagement
als toezichtfunctie in plaats van beheerfunctie
positioneren.
• Te weinig communiceren: onvoldoende en/of
slechts eenmalige interne communicatie over de
achtergronden, betekenis en doelstellingen van
integraal risicomanagement.
• Bij één persoon beleggen: risico’s worden over het
hoofd gezien of juist benoemd terwijl dit achteraf
helemaal geen risico’s blijken te zijn. De kans hierop
is groter als het risicomanagement als taak bij één
persoon is belegd.
• Standaard checklists: die zijn bij risicomanagement
Risicomanagement meer dan de som der delen
83
•
•
•
•
•
•
•
•
•
•
84
niet meer dan een inspiratiebron. Het is
onwaarschijnlijk dat deze standaardrisico’s precies
van toepassing zijn op uw organisatie.
Nadruk op harde aspecten: te veel nadruk op
instrumentele en technologische aspecten van
risicomanagement met veronachtzaming van de
zeker zo belangrijke culturele en gedragsaspecten
daarvan.
Bagatelliseren: ‘Het valt wel mee’. Het is de kunst
risico’s tot reële proporties terug te brengen.
Het-ligt-nooit-aan-mij-syndroom: risico’s raken
soms gevoelige onderwerpen, het is de kunst dit
bespreekbaar te maken.
Aanwijzen schuldigen: risicomanagement wordt
gebruikt en men wijst ‘schuldigen’ aan, in plaats van
te zoeken van naar oorzaken en te leren.
Te weinig tijd: in het meest gunstige geval loopt een
projectleider aan het begin van zijn project een lijst
met mogelijke risico’s af en vergeet die vervolgens
door zijn dagelijkse beslommeringen.
Verslapping van aandacht: verslapping van
aandacht na uitvoering risicoanalyses. De grootste
winst van risicomanagement wordt namelijk pas
gerealiseerd door de daaropvolgend te bedenken
en te implementeren verbeteringen van de
beheersing van sturings-, beheers- en operationeleprocessen. Daarvoor is (zelf-) discipline en een lange
aandachtscurve vereist.
Te ambitieuze doelstellingen waardoor basisprincipes
van risicomanagement onvoldoende gelegenheid
krijgen te beklijven.
Misbruik van transparantie: het door het
management misbruiken van de als gevolg van
risicomanagement verhoogde transparantie van
de interne organisatie voor directere bemoeienis
met operaties en het aanwijzen van ‘schuldigen’.
Dit in tegenstelling tot het zoeken van oorzaken en
oplossingen- voor eventuele nieuwe knelpunten die
daardoor zichtbaar worden.
Het ‘silo-denken’: de meeste organisaties
kennen tenminste tien verschillende
risicomanagementfuncties die goeddeels
onafhankelijk van elkaar opereren.
Te beperkte capaciteit: een in verhouding tot het
ambitieniveau onvoldoende inzet van met name
personele capaciteit.
De factoren die een positief effect hebben op
de succesvolle implementatie van integraal
risicomanagement zijn:
• Krachtige en zichtbare ondersteuning vanuit
het (top-)management van de organisatie. Dit
onder andere door op een gedisciplineerde en
betrokken wijze invulling te geven aan de eigen
taken en verantwoordelijkheden binnen het
risicomanagementsysteem en ook anderen, zowel
collectief als persoonlijk, aan te spreken op die van
hen.
• Snelle ontwikkeling van een gemeenschappelijke taal
en referentiekader voor integraal risicomanagement.
• Aanstellen van een ‘interne risicokampioen’
met voldoende kaliber en enthousiasme die het
implementatieproces kan helpen aanjagen en
inhoudelijk kan ondersteunen.
• Nadruk op voordelen van risicomanagement vooral
richten op het eigen functioneren van lijnmanagers
en hun medewerkers.
• Bijdrage op het gebied van risicomanagement
expliciet betrekken in de beoordeling en beloning
van medewerkers.
• Hechte integratie van risicomanagement in zowel
sturings- en beheers- als operationele processen.
Daarbij risicomanagement positioneren als een
versterking daarvan, in plaats van als een toevoeging
daaraan. Risicomanagement moet als het ware in
die processen ‘ingeschroefd’ en niet ‘opgeschroefd’
worden.
• Het zoveel mogelijk ‘importeren’ van kennis en
ervaringen van andere organisaties met integraal
risicomanagement.
• Een op ‘evolutie’ in plaats van een op ‘revolutie’
gericht implementatieproces waarbij (vroege)
successen daarmee intern steeds breed de aandacht
krijgen.
Risicomanagement meer dan de som der delen
85
86
7.Risicomanagement in de
praktijk: casuïstiek
In het proces van totstandkoming van dit handboek
is bij een aantal gemeenten een casus uitgewerkt,
waarin aan de hand van een praktijkvoorbeeld
risicomanagement is getoetst. Dit heeft geleid tot een
diversiteit aan voorbeelden. In dit hoofdstuk worden
deze voorbeelden nader toegelicht: welke onderwerpen
kennen een hoog risico, en waaruit bestaat dat
risico. Per casus is ook een aantal handreikingen tot
verbetering opgenomen.
7.1 Risicomanagement en Shared Services
Een organisatie staat in een proces van deelnemen
aan een Shared Service Center (SSC) met meerdere
gemeenten. Deze organisatie staat voor de uitdaging
om de invoeging in het SSC zo goed mogelijk vorm
te geven. Met name het vormgeven van de relatie, de
governance daarop en het managen van risico’s bleken
grote vraagstukken. De volgende lessen bleken van
belang:
• Creëer een eenduidige zet van taken,
verantwoordelijkheden en bevoegdheden, ook in
het licht van risicobeheersing.
• Zorg voor een ‘logische volgorde der dingen’ in het
proces: niet eerst plaatsen en dan pas nadenken
over taakafbakening en strategie
• Besteed aandacht aan alle aspecten van het
SSC: systemen, mensen, processen, sturing en
beheersing, financiën, etc. en benader deze
aspecten integraal
• Bepaal als organisatie welke balans je nastreeft
tussen kwaliteit, efficiency en wendbaarheid bij
toetreding tot het SSC en zorg dat deze balans
geborgd is in het SSC (afspraken)
• Zorg dat de bekende ‘faalfactoren’ in het SSC-proces
zijn afgedekt
• Creëer mogelijkheden om in te grijpen in het proces
als aan de randvoorwaarden niet wordt voldaan.
• Bewaak dat in het ontwerp van het SSC recht wordt
de gedaan aan de specifieke kenmerken van de
werkzaamheden van de eigen organisatie: u moet
erop vooruit gaan
• Er zijn geen shortcuts: neem de tijd!
Een specifiek element dat van belang is in het kader
van risicomanagement bij Shared Services is het
inrichten van de contractrelatie. Hiermee worden
afspraken concreet en meetbaar en kan ook expliciet
worden gemaakt wie waarvoor verantwoordelijk
is. Dit resulteert vervolgens in een basis voor het
bepalen van risico’s en de mate waarin een organisatie
verantwoordelijk is voor bepaalde risico’s.
Het inrichten van de contractrelatie kent een aantal
specifieke aandachtspunten:
• Eigenaarschap en ‘klantschap’: de eigenaar
heeft een andere invalshoek (continuïteit) dan de
klant (prijs/kwaliteit). Onze ervaring is dat door
het scheiden van beide rollen de prikkel voor
doelmatigheid zuiver kan worden ingevuld, waarbij
de klant zich vooral richt op een zo goed mogelijke
kwaliteit tegen een zo laag mogelijke prijs en
de eigenaar aandacht besteedt aan een gezond
portfolio van het SSC en een positief resultaat en
vermogen.
• Monopolie SSC: de prikkel tot doelmatigheid wordt
negatief beïnvloed op het moment dat de klant
geen alternatief heeft. Het alternatief voor de klant
kan bestaan uit het zelf doen of de mogelijkheid een
ander (eventueel extern) SSC te kiezen. Gedwongen
winkelnering wordt overigens ook vanuit het
SSC als een last ervaren. Doordat de klant geen
mogelijkheid heeft om te kiezen, kan het gevoel
ontstaan dat het buiten beter is.
• Opzetten service level management: het opzetten
van een SSC vraagt ook veel van de klantorganisatie.
Zij moet haar opdrachtgeverrol professioneel
invulling geven. Is hiervan geen sprake, dan is de
kans aanwezig dat het SSC zelf kan bepalen wat het
doet zonder dat het daarop wordt aangesproken.
• Vertrouwelijkheid en betrouwbaarheid van
gegevens: het gebruik van een SSC vraagt ook om
een sterke vertrouwensbasis. De klant moet erop
kunnen vertrouwen dat zijn gegevens nergens
anders terechtkomen.
• Accountfunctie SSC: ook bij het SSC is het opzetten
van een goede en professionele accountfunctie
een kritieke succesfactor. Heldere afspraken over
rapportages en eventueel hoe wordt omgegaan
met het niet nakomen van gemaakte afspraken
(bijvoorbeeld kortingen op tarieven) zorgen voor een
zakelijke cultuur.
• Producten SSC: welke producten het SSC voert.
Zijn dit operationele uitvoerende taken of houdt
het SSC zich ook bezig met bijvoorbeeld het
toetsen van de naleving van het beleid? Het risico
van belangenverstrengeling is daarbij aanwezig
(bijvoorbeeld het controleren of beleidsrichtlijnen
Risicomanagement meer dan de som der delen
87
goed worden nageleefd). Het is van cruciaal
belang dit vooraf helder te hebben en ook met de
opdrachtgever af te stemmen.
0. Prijsstelling
Activiteiten
1. Vraagbeheersing
2. SLA Management
3. Service Performance
Management & Rapportage
4. Verevening
Overeenstemming
te leveren
diensten
Diensten
Verevening
PDC doelen
Kosten
Prijzen
PDC
Vastgesteld
SLA
Vraagplanning
& overleg
Prestatie Afspraken
Prestatie
incl.
Kom tot een Product/
Dienst Catalogus..
Geschatte
volumes
..die een zinvolle afstemming en
planning van SLA’s mogelijk maakt..
Figuur 7.1: Inrichten contractrelatie SSC
7.2 Risicomanagement en WSW
In het licht van veranderende wet- en regelgeving
(nieuwe WSW met ingang van 2008), teruglopende
resultaten van het SW-bedrijf en een aanscherping
van het risicomanagement, heeft een gemeente het
risicomanagement rond de WSW eens kritisch tegen
het licht gehouden. Hierbij is aandacht besteed aan
de risico’s die te signaleren zijn, maar tevens aan de te
ondernemen acties om deze risico’s af te dekken. Dit
heeft geresulteerd in de volgende inzichten:
88
Financiële
rapportage
Prestatie verantwoording
Performance
Management
overleg
Benchmark
..dat weer een basis vormt voor
Prestatiemeting en verbetering
Een risicoprofiel: risico, kans, impact, effect,
maatregel en verantwoordelijke per risico
Thema
Risico’s
Kans
Impact
Effect
Maatregelen
Organisatie &
• Taken, Verantwoordelijk-
5
1
• Sturing op uitvoering
• Functiescheiding doorvoeren
processen
beperkt mogelijk
heden en Bevoegdheden
• Op ambtelijk niveau aangeven en vastleggen wie de
(Dubbele petten, rollen,
rapportages beoordeelt en wie de rapportages voor de
etc.)
• Marktopereren
5
4
• Geen invloed op
marktopereren
maar wel financiële
verantwoordelijkheid
• Efficiëntie betrokken
3
2
• Inefficiënties in de
betrokken organisaties zijn
organisaties niet in beeld
van invloed op de kosten
• Stroomlijning processen
• Het bestuur van de WSW-organisatie ‘dualistisch’ inrichten:
RvT bestaat uit andere mensen dan het DB, RvB of directie
op onderdelen onhelder
5
2
• Proceseigenaren beperkt te
gemeenteraad opstelt
• Benodigde competentieprofielen en capaciteit vastleggen
voor een goede beoordeling en sturing vanuit de gemeente
(het accent ligt hierbij op de gemeente)
• Afspraken maken over wie, wanneer tussentijdse sturing
mag uitvoeren (en hoe dit mag gebeuren) vastleggen in een
contract
• Afspraken maken over de realisatie van doelstellingen,
identificeren en daarmee is
prestaties en financiële randvoorwaarden (ook in relatie tot
verantwoordelijkheid lastig
marktopereren)
te benoemen
Mensen &
cultuur
• Vrijheid versus gebon-
• Disbalans onafhankelijkheid
4
2
denheid
BV en gebondenheid aan
gemeenten
• Sterk autonoom denken
• Te weinig transparantie
4
3
WSW organisatie
en daarmee
sturingsmogelijkheden van
gemeenten
• Beperkt gevoel van binding
• Te grote vrijheid van SW
2
3
vanuit gemeenten met
tarium & P&C
• Stuurbaarheid beperkt en
• Doelstellingen en prestaties
onvoldoende vastgelegd
tijdig signaleren van risico’s
5
3
(prestatiesturing)
daardoor lastig
• Financiële risico’s
• Transparantie (tussentijds
en meerjarig inzicht)
goed vastleggen
• Mandaten tevens goed vastleggen
• Maximale zittingstermijn en competentieprofielen voor
toezichthouders vaststellen
• Periodieke evaluatie functioneren WSW-organisatie door
college en raad en rekenkamer
• Ontwikkelen sterke en eenduidige visie op invulling
uitvoering WSW
risico’s van dien
uitvoering
Instrumen-
bedrijf in uitvoering met alle
• Invulling taken, verantwoordelijkheden en bevoegdheden
• Meer en structurelere afspraken maken rond tussentijdse
informatievoorziening – frequentie en inhoud – en deze
vastleggen in een contract
• Naast financiële informatie ook aandacht besteden
aan informatie over kengetallen met betrekking tot
3
doelstellingen en prestaties
4
• Benchmark op kengetallen uitvoeren
• Periodiek de kwaliteit van diensten, organisatie en
kostenniveau laten toetsen
• Periodieke controle van de rekenkamer op
beleidseffectiviteit en doelmatigheid.
• Rapportages inbedden in de reguliere P&C-cyclus
• Gemeenteraad format laten vaststellen voor tussentijdse
informatievoorziening
Risico­
• Financieringsrelatie
3
5
• In combinatie met
kwantificering &
(gemeenten draaien op
autonomie en beperkte
financiën
voor verliezen)
transparantie risico van
grote verliezen
• Onvoldoende risico-
4
4
perspectief
opstellen
• WSW-organisatie rapporteert jaarlijks op welke wijze
risicomanagement in de eigen organisatie is ingebed en
wordt toegepast
niet financieel)
raamwerk
• Beperkt inzicht in meerjarig
• Risico’s niet in beeld (zeker
• WSW-organisatie jaarlijks een risicoinventarisatie laten
3
4
• Financiële sturing zeer
beperkt mogelijk
Risicomanagement meer dan de som der delen
89
Een plan tot verbetering: wat moet de gemeente
wanneer doen om het risicomanagement op dit
terrein te verbeteren?
Maatregelen
0 – 6 mnd 6 – 12 mnd 12 mnd en
verder
Functiescheiding doorvoeren
Het bestuur van de WSW-organisatie ‘dualistisch’ inrichten: RvT bestaat uit andere mensen dan het
DB, RvB of directie
• Op ambtelijk nievau aangeven en vastleggen wie de rapportages beoordeelt en wie de rapportages
voor de gemeenteraad opstelt
• Benodigde competentieprofielen en capaciteit vastleggen voor een goede beoordeling en sturing
vanuit de gemeente
• Afspraken maken over wie, wanneer en hoe tussentijdse sturing mag plaatsvinden vastleggen in
een contract
• Afspraken maken met betrekking tot de realisatie van doelstellingen, prestaties en financiële
randvoorwaarden (ook in relatie tot marktopereren)
X
• Invulling taken, verantwoordelijkheden en bevoegdheden goed vastleggen
• Mandaten tevens goed vastleggen
• Maximale zittingstermijn en competentieprofielen voor toezichthouders vaststellen
• Periodieke evaluatie functioneren WSW-organisatie door college en raad en rekenkamer
• Ontwikkelen sterke en eenduidige visie op invulling uitvoering WSW
X
X
X
X
X
X
X
X
X
X
X
X
X
X
• Afspraken maken rond tussentijdse informatievoorziening – frequentie en inhoud – en deze
X
vastleggen in een contract
• Naast financiële informatie ook aandacht besteden aan informatie over kengetallen met betrekking
tot doelstellingen en prestaties
• Benchmark op kengetallen uitvoeren
• Periodiek de kwaliteit van diensten, organisatie en kostenniveau laten toetsen
• Periodieke controle van de rekenkamer op beleidseffectiviteit en doelmatigheid.
• Rapportages inbedden in de reguliere P&C-cyclus
• Gemeenteraad format laten vaststellen voor tussentijdse informatievoorziening
X
X
• WSW-organisatie jaarlijks een risicoinventarisatie laten opstellen
• WSW-organisatie rapporteert jaarlijks op welke wijze risicomanagement in de eigen organisatie is
ingebed en wordt toegepast
X
X
5
Financieringsrelatie
Marktoperen
SW-bedrijf
Transparantie &
Meerjarig perspectief
Risicoraamwerk
Impact
Binding
Efficiëntie
vanuit
SW
gemeenten
bedrijf
Prestatiesturing
Autonomie
Gedwongen winkelnering
Processen
TVB
1
1
Figuur 7.2: Een grafisch risicoprofiel
90
Kans
5
X
X
X
X
X
X
X
X
X
X
X
X
7.3 Risicomanagement en grote projecten
7.3.1 Huis van cultuur
Een gemeente heeft in het licht van stedelijke
ontwikkeling het initiatief genomen tot het opzetten
van een Huis van Cultuur, waarin muziekschool,
theater, filmhuis en bibliotheek worden ondergebracht.
Het project is politiek-bestuurlijk een beladen project:
het is centraal gelegen, er is een aantal belangrijke
voorzieningen betrokken, het betreft een fors
investeringsbedrag en als het project slaagt is er
tevens sprake van een grote uitstraling naar de regio.
Gezien het belang is er relatief veel aandacht besteed
aan risico’s (financieel en bestuurlijk) en onderzoek.
De gemeente heeft verzocht het risicomanagement
rond het project te inventariseren en te bezien of
hierbij leerpunten zijn te formuleren die eventueel
hun uitwerking kunnen hebben op de rest van de
organisatie. Deze inventarisatie heeft geleid tot een
aantal generieke aandachtspunten, maar tevens geleid
tot specifieke handreikingen voor het project zelf.
• Generieke aandachtspunten en risico’s:
• Behoud van kennis en expertise in eigen huis
• Procesdefinitie en functiescheiding in het project (in
beperkte mate)
• Kwaliteit van medewerkers moeilijk te borgen
• Risicoattitude in cultuur en aanspreekgedrag
• Controle en bijsturing op het project onvoldoende
formeel geborgd
• Ontbreken formeel risicomanagement raamwerk
• Borgen projectmatig werken in organisatie
• Ontbreken gesystematiseerde risicokwanticering en
geformuleerde maatregelen
De genoemde risico’s zijn tevens in een grafisch
risicoprofiel opgenomen, zie figuur 7.3:
5
Continuïteit
bezetting
Bestuurlijk
draagvlak
Borging kennis
Risicoraamwerk
Kwaliteit
Risicomedewerkers
attitude
& aanspreekgedrag
Impact
Voor het project zelf zijn de volgende risico’s
geïdentificeerd:
• Continuïteit: bezetting in het project kent een uiterst
hoog verloop
• Bestuurlijk draagvlak en eenduidigheid in
‘ownership’
• De vier betrokken partijen op één lijn krijgen en
houden vormt een continue uitdaging (en daarmee
een afbreukrisico)
• Borging kennis en ervaringen project
Controle en
sturing
Meerdere
partjen
Risicokwantificering
Project
werken
Procesdefinitie
& functiescheiding
1
1
Kans
5
Figuur 7.3: Een grafisch risicoprofiel
Risicomanagement meer dan de som der delen
91
7.3.2 Governance en inrichten
risicomanagementproces op grote projecten
Een gemeente is bezig met risicomanagement
door het vastleggen van helder beleid, verdeling
van taken en verantwoordelijkheden, training van
medewerkers en ondersteuning door middel van
een risicomanagementinformatiesysteem. Met name
het risicomanagement rond projecten verdiende
extra aandacht. Het project moet leiden tot directe
invoering van risicoanalyses op strategische projecten
en trajecten. Door het uitvoeren van een analyse zijn de
volgende bevindingen gedaan:
1. Inhoudelijk
- inzicht in projectrisico’s onvoldoende
- regierol subsidies ontbreekt
- geen totaalbeeld risico’s WMO
2. Cultuur
- geen eenduidig begrippenkader
- angst voor communicatie over risico’s
- politieke gevoeligheid
3. Proces
- (eerder) betrekken portefeuillehouder
- vooraf investeren in kennis
- politieke actualiteit
- beter plannen
Dit heeft geresulteerd in een verdere verfijning van het
risicomanagementproces, met specifieke aandacht voor
projectrisico’s door het ondernemen van de volgende acties:
• Opstellen beleidsplan
• Training workshops/ cursussen
• Proces integraal risicomanagement uitrollen
• Risico analyses op thema’s
• Verzekeringsanalyse en professionaliseren beheer
• Communicatie verbreden en intensiveren
7.4 Risicomanagement en loonsombeheersing
Bij een gemeente was sprake van een tweevoudige
loonsomproblematiek:
1. jaarlijks wordt het loonsombudget overschreden en
2. jaarlijks wordt de geraamde dekking van loonkosten
in projecten (kredieten) niet gerealiseerd.
De gemeente heeft vervolgens vier maatregelen
getroffen om te komen tot beheersing van de
loonsombudgetten:
92
1. Uitgangspositie is vastgesteld (loonsombudgetten
per afdeling, bijpassende formatieplannen en
omzettaakstellingen op kredieten).
2. Managementinformatie wordt maandelijks geleverd
(formatie- en bezettingsoverzicht, overzicht inhuur
derden, overzicht omzettaakstelling. Zie figuur 7.4
voor een voorbeeld).
3. Verantwoordingsgesprekken worden maandelijks
gehouden tussen directeur en afdelingshoofd,
in aanwezigheid van de concerncontroller (met
aandacht voor de loonsom);
4. Verbijzonderde interne controle uitgevoerd
door de concerncontroller ter toetsing
van het werkelijkheidsgehalte van de
managementinformatie.
De genoemde maatregelen hebben een goede
uitwerking gekend. In het kader van risicomanagement
heeft dit een extra sturingsinstrument opgeleverd.
Hierbij is een aantal belangrijke succesfactoren te
benoemen:
• Bindende structuur: Er is bij het aanpakken van de
loonsomproblematiek gekozen voor een breuk met
het verleden. Bewust heeft de gemeente gekozen
voor een bindende structuur van verantwoording.
Zo zijn er maandelijks verantwoordingsgesprekken
voor de integraal managers met directeur en
concerncontroller en wordt ook maandelijks een
actueel overzicht opgesteld van de budgetuitputting
op de loonsom.
• Taken, verantwoordelijkheden en bevoegdheden:
In de aanpak van de loonsomproblematiek is tevens
expliciet benoemd en vastgelegd wie nu eigenlijk
waarvoor verantwoordelijk is. In het verleden
‘leunden’ integraal managers wel eens op financiën.
De nieuwe benadering stelt de rol van de integraal
managers, maar ook de rol van het concern scherp.
Hier wordt ook actief op gestuurd.
• Uniformiteit: De informatievoorziening is sterker
geüniformeerd en tevens in overleg met de integraal
managers vastgesteld. Uiteraard is niet iedereen
volledig tevreden met de informatievoorziening,
maar de uniformiteit maakt sturing eenvoudiger.
Hierbij speelt voor veel integraal managers ook
dat zij sterk vertrouwen op de kwaliteiten van de
financieel consulenten. De financieel consulenten
worden vanuit concern zo goed mogelijk
gefaciliteerd.
• ‘Ombuigen’ van weerstand: door de heldere, maar
ook strakke lijn die de gemeente heeft gekozen in
de aanpak van het loonsomvraagstuk is in eerste
instantie de nodige weerstand ontstaan. Wat bij het
‘ombuigen’ van deze weerstand heeft geholpen is:
- het bestuurlijk draagvlak
- de rol van de directie: eendrachtig en ferm
- volhouden
• Relatie met concerncontrol: een andere belangrijke
randvoorwaarde voor een succesvolle aanpak
van de loonsomproblematiek is gebleken dat de
integraal managers en concerncontrol beide hebben
geïnvesteerd in een goede verstandhouding met
elkaar. Hierdoor ontstaat een constructieve sfeer
en houding. Dit komt uiteindelijk het resultaat
(beheersing van de loonsombudgetten) ten goede.
• ‘Partners in crime’: In het verleden is vaak bij het
aanpakken van budgetteringsvraagstukken een
‘wij/zij’-cultuur ontstaan. In de aanpak van de
loonsomproblematiek heeft de gemeente (en
met name concerncontrol) veel energie gestoken
in het transparant maken van het vraagstuk en
daarmee het probleem ook een gedeeld probleem
te maken (en dus niet alleen een probleem van
concerncontrol). Dit heeft zeer goed uitgewerkt.
• Instrumentarium: voor de loonsombeheersing is
een handzaam instrumentarium ontwikkeld, dat
maandelijks wordt geleverd aan integraal managers
om op te sturen en over te verantwoorden. Dit
instrumentarium koppelt een aantal essentiële
•
•
•
•
elementen in het loonsomvraagstuk:
- Formatie (begroot) inclusief, budget
- Inhuur
- Feitelijke formatieve bezetting
- Vacatures
- Omzet (dekking)
Periodiciteit: er is bewust gekozen voor een
‘dwingend’ ritme in de verantwoording:
maandelijkse verantwoordingsgesprekken. Dit
biedt concern en integraal managers de tijd om
in en vroeg stadium over- en onderschrijdingen te
signaleren en hier maatregelen op te treffen.
‘Eigen probleem’:in tegenstelling tot het verleden is
in de nieuwe benadering het loonsomvraagstuk een
‘probleem’ van de integraal managers. Waar in het
verleden regelmatig aan het eind van het jaar werd
gemeld dat sprake was van een (forse) overschrijding
op het loonsombudget en of het concern dit even
kon regelen, wordt in de nieuwe benadering de
(financiële) verantwoordelijkheid bij de integraal
managers gelegd. De afspraken die aan het begin
van het jaar worden gemaakt zijn ‘dwingend’.
Routine: in de loop van de tijd blijkt een zekere
routine te ontstaan in de sturing en verantwoording
op de loonsombudgetten. Dit resulteert in een
steeds soepeler verantwoordingstraject.
Kwantificering: door de gekozen systematiek en de
daaraan gekoppelde periodiciteit is de kwantificering
van de ‘risico’s’ moet goed op orde zijn.
A FORMATIE EN BEZETTING 200X peildatum 1 juli 200X
budget
bezetting
prognose
vacature
ruimte
open
gestelde
vacatures
inhuur ten
laste van
loonsom
loonsom
ruimte per
afdeling
resul taat
omzet
resultaat tlv
jaarrek
a
b
c= a-b
d
e
f= c-d-e
g
h=f-g
213.000
101.565
111.435
33.900
82.840
-5.305
0
-5.305
strategie
1.980.343
1.943.563
36.780
54.723
157.873
-175.816
80.000
-95.816
wikkeling
2.545.547
2.316.267
229.280
9.100
111.616
108.565
-200.000
-91.436
947.943
925.345
22.598
20.700
1.898
-40.000
-38.102
pelijke ontwikkeling
Figuur 7.4: Loonsombeheersing
Risicomanagement meer dan de som der delen
93
94
Bijlage 1:
Systemen van risicomanagement
In het handboek worden meerdere methoden
behandeld om risicomanagement toe te passen.
Hieronder volgen NARIS, COELO, en scenarioanalyse.
NARIS
NARIS, het risicomanagement informatie systeem van
het Nederlands Adviesbureau voor Risicomanagement
(NAR), is een soort van benchmark. NARIS is een
opslagplaats waar veel gegevens van gemeenten
zijn opgeslagen. Zo bevat de centrale database 80%
van de bekende risico’s en maatregelen binnen de
overheid. Dit heeft als voordeel dat gemeenten een
overzicht krijgen gepresenteerd van bekende risico’s
en de beheersmaatregelen. Het systeem dat hier
voor gebruikt houdt ook wijzigingen in de gaten wat
risicomanagement een meer continue inval geeft.
COELO
Centrum voor Onderzoek van de Economie van
de Lagere Overheden (COELO) heeft verschillende
onderzoeken op het gebied van risico’s en
weerstandsvermogen verricht bij de lagere overheden.
Uit deze onderzoeken is een hulpmiddel voor
weerstandsvermogen ontworpen wat gebaseerd is op
een technische analyse van de onderzoeksresultaten. Zo
worden gemiddelde waardes en afwijkingen bepaald
die overheden kunnen gebruiken bij het schatten van
risico’s en weerstandsvermogen
Scenarioanalyse
Scenarioanalyse begint bij het analyseren van de eigen
organisatie wat is weergegeven bij punt 1. Vervolgens
worden de risico’s geïdentificeerd en gekwantificeerd.
Op basis van deze gegevens worden scenario’s
ontwikkeld die zijn uitgewerkt in onderstaand tabel.
1.
•
•
•
Risicoanalyse
Vaststellen van het werkveld
-
(deel van) organisatie
-
(deel van) processen
-
Specifieke thema’s, projecten
-
Dimensies (juridisch, politiek, etc.)
Opstellen doelenhiërarchie
-
Doelstellingen
-
Strategisch, tactisch, operationeel
-
Prioriteit
Inventariseren risico’s
-
Risicofactoren
-
Risico-objecten
-
Schade
2. Risicoweging
• Kwantificering risico’s
-
Kansen
-
Frequenties
-
Hoogte schade
-
kans X schade
-
kans X norm
-
norm (hoog, gemiddeld, laag)
-
historische afwijkingen producten
• Beoordelen en selecteren risico’s
-
Berekenen verwachte waarde
-
Berekening spreiding
-
Prioritering risico’s
-
Risicohouding
Risicomanagement meer dan de som der delen
95
Scenario’s en impact grondexploitaties
Aandachtsgebied * € Scenario 1 Laag
1.000
Scenario 2 Midden
Scenario 3 Hoog
Oorspronkelijk plan
+
2.000
+
2.000
+
2.000
Fasering
-
1.000
-
2.000
-
4.000
Wijzigen Verkaveling
Markt
-
1.000
-
2.000
+
6.000
Marktonderzoek Samenwerking
NVT
NVT
Looptijd / Rente
Organisatie
NVT
-
2.500
Procedures
Fiscaliteiten
NVT
NVT
NVT
NVT
Milieu
NVT
NVT
NVT
NVT
Waardering
Verwervingen
500
NVT
-
NVT
+
1.000
1.000
NVT
-
2.500
Planrealisatie
Claims
NVT
Politiek
-
Mogelijke Beheersmaatregelen
NVT
NVT
-
5.000
Voorkeursrecht Exploitatieovereenkomst
-
2.500
Wijziging Bestemmingsplan
NVT
NVT
2.000
Overleg parijen
NVT
-
1.000
-
Bijzonderheden in bouw
NVT
NVT
NVT
NVT
Subsidies
NVT
NVT
NVT
NVT
Derden
NVT
NVT
NVT
NVT
Voorlopig Eindresultaat
96
+
500
-
6.500
-
8.000
Bijlage 2:
Voorbeeld risicoprofiel
Onderstaand is een voorbeeld opgenomen van een risicoprofiel van een gemeente.
Dit is een generiek voorbeeld. Uiteraard kan het risicoprofiel nog verder worden
uitgebreid met beheersmaatregelen, verantwoordelijken en data.
Risico
Invloed in %
Kans
Gevolg
Risico score
1
Lagere algemene uitkering gemeentefonds door wijziging in
herverdelingsmaatstaven en/of bezuiniging Rijk
10%
4
5
20
2
Grond voor kantoorrruimte wordt te laat betaald, waardoor een
lager resultaat wordt gerealiseerd dan waar op is gerekend
5%
2
5
10
3
Risico’s Project X
4%
4
5
20
4
Risico’s Project Y
4%
4
5
20
5
Invoering van het BTW compensatiefonds leidt tot een nadeel
4%
4
5
20
6
De Rijksvergoeding in verband met de uitvoering van de WWB is
onvoldoende. Daarnaast wordt risico gelopen in de omvang van
de uitkeringslasten
3%
3
5
15
7
Risico’s Project Z
2%
4
4
16
8
Plankosten Project XX
2%
4
4
16
9
Lagere specifieke uitkering doordat bezuinigingen van het Rijk
worden afgewenteld op de gemeente
2%
5
4
20
10
Door tragere verkoop is het Project YY een jaar verlengd en
bestaat de kans dat dit nog meer verlengd moet worden.
2%
3
5
15
Risicomanagement meer dan de som der delen
97
Bijlage 3:
Voorbeelden risicokaart
In deze bijlage is een aantal voorbeelden opgenomen
van een risicokaart. Deze kaart is veelal de resultante
van kans en gevolg, die grafisch worden weergegeven.
Voorbeeld 1: grafisch op basis van kans gevolg
berekening
Om een grafische risicokaart samen te stellen zou
de kans-gevolg-berekening eerst gemaakt moeten
worden:
Voorbeeld kans-gevolg berekening
Risico
Invloed in %
Kans
Gevolg
Risico score
1
Lagere algemene uitkering gemeentefonds door wijziging in
herverdelingsmaatstaven en/of bezuiniging Rijk
10%
4
5
20
2
Grond voor kantoorrruimte wordt te laat betaald, waardoor een
lager resultaat wordt gerealiseerd dan waar op is gerekend
5%
2
5
10
3
Risico’s Project X
4%
4
5
20
4
Risico’s Project Y
4%
4
5
20
5
Invoering van het BTW compensatiefonds leidt tot een nadeel
4%
4
5
20
6
De Rijksvergoeding in verband met de uitvoering van de WWB is
onvoldoende. Daarnaast wordt risico gelopen in de omvang van
de uitkeringslasten
3%
3
5
15
7
Risico’s Project Z
2%
4
4
16
8
Plankosten Project XX
2%
4
4
16
9
Lagere specifieke uitkering doordat bezuinigingen van het Rijk
worden afgewenteld op de gemeente
2%
5
4
20
10
Door tragere verkoop is het Project YY een jaar verlengd en
bestaat de kans dat dit nog meer verlengd moet worden.
2%
3
5
15
In nevenstaande grafische weergave zijn de risico’s die
in het rode vlak vallen de risico’s die meestal met hoge
prioriteit opgepakt worden om te beheersen. Dit zijn
namelijk de risico’s die een kans hebben om veel voor
te komen en/of die een aanzienlijk gevolg hebben als zij
zullen optreden. Door het weergeven in een grafische
kaart worden samenhang en prioriteiten snel(ler)
duidelijk.
98
Voorbeeld 1
5
2
6/10
1/3/4/5
4
Gevolg
7/8
9
3
2
1
1
2
3
4
5
Kans
Voorbeeld 2: grafisch op basis van kans gevolg berekening
9
51,2
1. Onvoldoende financiering
10.Financiële ramingen
2. Gebrek aan samenwerking
11. Stuurinformatie
3. Onvoldoende vrijwilligers
12.Financiële dekking
4. Ontbreken integraliteit
13.ICT koppelingen
5. Aanbestedingen
14.Stuurinformatie op doel
6. Onvoldoende regievoering
15.Interne samenwerking
7. Kwaliteit personeel
16.Externe communicatie
3
8. Verandervermogen
17. Toetsbaar subsidiekader
2
9. Communicatiestructuur
18.Bestuurlijke verhoudingen
8
16, 18
7
Impact
6
8, 16
1
2
9
6
5
5
1
31,2
17
11
1014 7
4
13
3
22,2
4
1
1
2
3
4
5
Kans
6
7
9
8
Hoog
Voorbeeld 3: grafisch op basis van kans gevolg berekening
Transparantie &
Meerjarig perspectief
Leiderschap
Impact
Samenwerking
met derden
Human
Resources
Imago
Efficiency
Efficiency
wet en
regelgeving
communicatie
Arbo
Laag
Toegang
IT-systemen
Laag
uitbesteding
taken
Waarschijnlijkheid
Hoog
Risicomanagement meer dan de som der delen
99
Bijlage 4:
Voorbeeld grafisch risico-overzicht
Onderstaand is een voorbeeld opgenomen van een
grafisch risico-overzicht. Dit overzicht ken een andere
invalshoek dan de grafische risicoprofielen die in bijlage
3 zijn opgenomen.
120
105
90
75
60
45
30
aantal risico’s
gemiddeld risico voor maatregelen
gemiddeld risico na maatregelen
gemiddelde risicoreductie
aantal maatregelen
100
Product
Personeel/arbo
Milieu
Materieel
Letsel/veiligheid
Juridisch/aansprakelijk
Informtie/strategie
Imago/politiek
Financieel
0
Bedrijfsproces
15
Bijlage 5:
Voorbeeld risicomatrix
In de risicomatrix worden alle risico’s in aantallen
weergegeven. De cijfers staan voor het aantal
geïdentificeerde risico’s. De risicomatrix kan worden
gebruikt als instrument om het aantal risico’s snel
te onderkennen en te beoordelen per activiteit/
beleidsveld of anderszins.
1
1
4
1
6
1
4
2
11
4
2
1
4
1
1
4
5
1
Informatie / strategie 3
1
3
2
3
Personeel / Arbo Letsel/ Veiligheid Milieu 2
3
Imago / poli>ek 1
3
Financieel Product / dienst 2
Bedrijfsproces Bestuursorganen Regionale samenwerking Strategisch beleid Burgerzaken Openbare Orde en Veiligheid Wegenbeheer Waterkering en afwatering Deelnemingen Sociale Werkvoorziening Economische Zaken Onderwijs Sport Jeugd-en jongerenwerk Beheer openbare Ruimte Sociale uitkeringen Afvalbeheer Riolering en zuivering Milieubeheer Bodembescherming en sanering Aanbestedingen Ruimtelijk ordening Stadsvernieuwing en woningbouw Aanleg infrastructuur Belastingen Juridisch / aansprakelijkheid Materieel De risicomatrix is opgebouwd uit risicogebieden
(verticale as) en risicocategorieën (horizontale as).
Een risicogebied is een samenhangend cluster van
activiteiten binnen de organisatie. Een risicocategorie
geeft aan om welk soort risico het gaat. Definities
van wat onder de risicocategorieën moet worden
verstaan, worden na de risicomatrix weergegeven.
1
1
1
1
4
1
1
1
2
1
2
1
1
1
1
1
2
1
1
2
2
1
2
1
1
1
2
1
4
1
1
1
6
1
2
3
1
1
1
2
1
1
Risicomanagement meer dan de som der delen
101
Risicogebied: dit zijn clusters van samenhangende activiteiten
om risico’s te kunnen ordenen naar hogere abstractieniveaus.
Risicocategorie: dit zijn soorten risico’s.
Bedrijfsproces
Aantasting van de productiecapaciteit vanwege gehele of
gedeeltelijke bedrijfsstilstand en de daaruit voortvloeiende
planningsproblemen.
Financieel
Directe aantasting van de vermogenspositie van de
organisatie.
Imago/politiek risico
Aantasting van het vertrouwen in de organisatie als gevolg
van negatieve publiciteit.
Informatie/strategie
Schade door onvoldoende of niet juiste informatie, waardoor
geen of niet juiste besluiten worden genomen.
Juridisch/aansprakelijkheid
Aantasting van de vermogenspositie van de organisatie
door claims van derden als gevolg van wettelijke- of
contractuele aansprakelijkheid (materiële schade, letselschade,
vermogensschade).
Letsel/veiligheid
Het oproepen van gevoelens van (sociale) onveiligheid,
eventueel gevolgd door bedreiging of lichamelijke schade aan
personen.
Materieel
Beschadiging of verlies van gebouwen, installaties,
bedrijfsinventaris, transportmiddelen en goederen.
Milieu
Aantasting van lucht, bodem, water of leefomgeving.
Personeel/arbo
Schade door aantasting van de arbeidscapaciteit en kwaliteit
van arbeid.
Product/dienst
Aantasting van de afzetcapaciteit, doordat producten en
diensten niet aan de door de afnemer gestelde kwaliteitseisen
voldoen.
102
Bijlage 6:
Veel voorkomende risico’s
In deze bijlage is een overzicht opgenomen van de meest voorkomende risico’s, die kunnen spelen binnen gemeenten.
Deze risico’s zijn geclusterd naar interne risico’s en externe risico’s.
Interne risico’s
LEIDERSCHAP
Naam
Omschrijving
Leiderschapsstijl
Het risico dat het management of het bestuur door haar stijl van leidinggeven medewerkers niet voldoende
stimuleert en motiveert haar werkzaamheden te verrichten.
Organisatiestructuur
Het risico dat de structuur van de organisatie onvoldoende aansluit op het geformuleerde beleid, de
communicatielijnen en de verantwoordelijkheden en bevoegdheden.
Bevoegdheden en
verantwoordelijkheden
Het risico dat gedelegeerde bevoegdheden en verantwoordelijkheden onduidelijk zijn en niet helder zijn vastgelegd.
Waarden en normen
Het risico dat er geen eenduidige, binnen de organisatie gedeelde, set van waarden en normen wordt
gecommuniceerd en door management en personeel in de bedrijfsvoering worden geïntegreerd.
Managementfraude
Het risico dat het management binnen de organisatie opzettelijk de (financiële) resultaten op een verkeerde wijze
rapporteert aan stakeholders.
MEDEWERKERS
Naam
Omschrijving
Vermogen tot veranderen
Het risico dat de organisatie niet over de cultuur of het vermogen beschikt om de organisatie te transformeren.
Kwaliteit personeel
Het risico dat de aanwezige kennis, vaardigheden en ervaring van medewerkers niet voldoen aan de hieraan te
stellen eisen.
Integriteit
Het risico dat werknemers het persoonlijk belang laten prevaleren boven het maatschappelijk of het
organisatiebelang.
Reputatie
Het risico dat door handelen van medewerkers de reputatie van de organisatie en haar producten/diensten negatief
wordt beïnvloed.
Motivatie
Het risico dat werknemers onvoldoende gemotiveerd zijn.
Kwantiteit personeel
Het risico dat een mismatch bestaat tussen het aantal beschikbare en benodigde medewerkers (onder- of
overbezetting).
Illegale activiteiten
medewerkers
Het risico dat medewerkers zich schuldig maken aan fraude of andere onwettige handelingen.
Arbeidsomstandigheden
Het risico dat de arbeidsomstandigheden de motivatie, gezondheid, of productiviteit van de medewerkers negatief
beïnvloeden.
Productiviteit
Het risico dat medewerkers onvoldoende productief zijn en dat hierdoor beleidsdoelstellingen niet worden behaald.
Incentives
Het risico dat medewerkers onvoldoende incentives (beloning, promotiekansen etc.) krijgen, waardoor de manier
waarop medewerkers handelen negatief wordt beïnvloed.
Risicomanagement meer dan de som der delen
103
STRATEGIE EN BELEID
Naam
Omschrijving
Beleidsvorming
Het risico dat het geformuleerd beleid niet binnen de kaders van wet en Collegebeleid valt, of niet aansluit op
veranderingen in de omgeving.
Interactieve beleidsvorming
Het risico dat het geformuleerde beleid tot stand komt zonder afdoende inspraak van anderen (stakeholders).
Beleidsformulering
Het risico dat het beleid onzorgvuldig (niet SMART en richtinggevend) geformuleerd wordt.
Beleidshaalbaarheid
Het risico dat het geformuleerde beleid in de praktijk moeilijk realiseerbaar is door de verschillende betrokken
partijen.
Verantwoordingsrapportages Het risico dat verantwoordingsrapportages aan de gemeente en/of externe partijen (gemeentebestuur, ministerie)
niet volledig, juist, tijdig en/of nauwkeurig zijn.
Toezicht op
beleidsuitvoering
Het risico dat bij beleidsuitvoering door derden onvoldoende controle bestaat op de naleving van de
contractafspraken over de te leveren prestaties.
Prestatie-indicatoren
Het risico dat onvoldoende en/of onbetrouwbare (relevant, consistent) meetinstrumenten aanwezig zijn voor het
meten van prestaties.
Managementrapportage
Het risico dat managementrapportages binnen de organisatie structureel niet tijdig, betrouwbaar of inzichtelijk zijn,
of dat er intern helemaal geen verantwoording wordt afgelegd.
Aansluiting doelen
Het risico dat de afdelingsdoelen en bedrijfsprocessen onvoldoende aansluiten op de algehele
organisatiedoelstellingen en het geformuleerde beleid.
Financiële en
operationele informatie
Het risico dat onvoldoende integratie plaatsvindt tussen financiële en operationele informatie.
Budgettering/begroting
Het risico dat de budgettering/begrotingssystematiek niet aansluit op de geformuleerde beleid en doelstellingen van
de organisatie.
MIDDELEN
Naam
Omschrijving
Contractering
Het risico dat afspraken met derden onvoldoende worden vastgelegd in een contract.
Apparaatkosten
Het risico dat als gevolg van een ineffectieve en inefficiënte bedrijfsvoering apparaatkosten hoger uitvallen dan
begroot.
Verplichtingen
Het risico dat onvoldoende inzicht bestaat in de verplichtingen als gevolg waarvan onder andere financiële
tegenvallers (te) laat inzichtelijk worden.
Programmakosten
Het risico dat programmakosten hoger uitvallen dan begroot.
Werking Infrastructuur
Het risico dat de IT-infrastructuur (hardware en software) van de organisatie veelvuldig buiten werking is of niet
functioneert.
Aansluiten infrastructuur
ketenpartners
Het risico dat de IT-infrastructuur (hardware en software) van de organisatie niet aansluit op de IT-infrastructuur van
de overige ketenpartners.
Tijdigheid
Het risico dat medewerkers van de organisatie niet tijdig beschikken over de benodigde informatie.
Beveiliging
Het risico dat onbevoegden toegang hebben tot informatie van de organisatie.
Betrouwbaarheid
Het risico dat de benodigde informatie binnen de organisatie structureel onbetrouwbaar is (onvolledig en/of
onjuist).
Relevantie
Het risico dat de benodigde informatie niet aansluit bij de informatiebehoefte van de medewerkers van de
organisatie.
Toepasbaarheid
Het risico dat de IT-infrastructuur (hardware en software) niet aansluit op de processen binnen de organisatie.
104
PROCESSEN
Naam
Omschrijving
Efficiency
Het risico dat processen binnen de organisatie inefficiënt verlopen, waardoor de realisatie van het beleid in gevaar
kan komen.
Projectmanagement
Het risico dat er geen goed (totaal)inzicht bestaat in de lopende interne projecten binnen de organisatie en/of dat
projecten niet goed beheerst worden.
Product/dienstenkwaliteit
Het risico dat gebrekkige product/dienstenkwaliteit een negatieve invloed heeft op de vraag naar de geleverde
producten/diensten van de organisatie en op de reputatie van de organisatie.
Interne communicatie en
samenwerking
Het risico dat communicatiekanalen binnen de organisatie ineffectief zijn en dat samenwerking in onvoldoende
mate plaatsvindt.
Cliënt/burgercommunicatie
Het risico dat de organisatie niet open, duidelijk en/of integer communiceert met haar cliënten/burgers.
Samenwerking ministeries
Het risico dat de samenwerking met een ministerie (bijv. OC&W, BZK) ineffectief of inefficiënt is.
Samenwerking college B&W Het risico dat de samenwerking met het college van B&W Rotterdam ineffectief of inefficiënt is.
Samenwerking overige GD
voluit schrijven
Het risico dat de samenwerking met gemeentelijke diensten ineffectief of inefficiënt is.
Samenwerking
uitvoeringsinstanties
Het risico dat de samenwerking met overige externe partijen en aanbieders/uitvoeringsinstanties ineffectief of
inefficiënt is.
Naleving beleid en
procedures
Het risico dat medewerkers niet voldoen aan het door de organisatie voorgeschreven beleid en de procedures.
Naleving wet- en regelgeving Het risico dat medewerkers en/of directieleden de wet- en regelgeving niet naleven.
Imago
Het risico dat het imago van de organisatie een negatieve invloed uitoefent op het realiseren van het beleid en de
doelstellingen van de organisatie.
Productontwikkeling
Het risico dat verminderde innovativiteit en snelheid van de productontwikkeling een negatieve invloed heeft op de
mogelijkheden van de organisatie, om op de lange termijn aan de eisen en wensen van cliënten/burgers te voldoen.
Kennisdeling
Het risico dat binnen de organisatie geen systematische vastlegging en deling van kennis plaatsvindt.
Tevredenheid cliënt/burgers
Het risico van onvoldoende kennis van en focus op behoeften en wensen van cliënten en burgers.
Externe risico’s
MAATSCHAPPELIJKE RISICO’S
Naam
Omschrijving
Verwachtingen cliënt/burger Het risico dat veranderingen in de behoeften/wensen van cliënten niet (tijdig) door de organisatie worden
gesignaleerd.
Belanghebbenden/
stakeholders
Het risico dat de relatie met (externe) belanghebbenden verandert, waardoor de mogelijkheden voor de organisatie
(al dan niet in financiële zin) worden beïnvloed.
Technologische innovatie
Het risico dat de organisatie zich niet bewust is of notie neemt van veranderingen in de technologie (bijv. internet),
waardoor eventuele voordelen onbenut blijven.
Afhankelijkheid van derden
Het risico dat de informatieverstrekking vanuit derden (bijv. uitvoeringsinstanties), waarvan de organisatie afhankelijk
is, niet tijdig, juist en/of volledig plaatsvindt.
Risicomanagement meer dan de som der delen
105
POLITIEK BESTUURLIJKE EN LEGISLATIEVE RISICO’S
Naam
Omschrijving
Nieuwe wet- en regelgeving Het risico dat de snelheid en kwaliteit van veranderingen in de wet- en regelgeving zodanig is dat het een negatieve
invloed heeft op onder andere de mogelijkheden van de organisatie om specifiek beleid en activiteiten vorm te
geven en te implementeren.
Politieke signatuur (rijks)
overheid
Het risico dat veranderingen in de politieke signatuur van de landelijke of lokale overheid een negatieve invloed
hebben op de missie, doelstellingen en beleid van de organisatie.
Naleving beleid/ procedures
door uitvoerders
Het risico dat het geformuleerde beleid en de voorgeschreven procedures niet door derden, waarmee de organisatie
samenwerkt, worden nageleefd.
Conflicterend
overheidsbeleid
Het risico dat het conflict tussen het landelijke en het lokale overheidsbeleid het behalen van de
organisatiedoelstellingen in gevaar brengt.
106
Bijlage 7:
Voorbeelden praktijkcasussen risicomanagement
Hieronder zijn alle gebruikte voorbeelden in het handboek weergegeven per hoofdstuk. Hoofdstuk 7 bestaat enkel
uit voorbeelden en is om deze reden niet herhaald.
Hoofdstuk 2
Risicomanagement en verbonden partijen: SW-bedrijf
In het licht van veranderende wet- en regelgeving (nieuwe WSW met ingang van 2008), teruglopende resultaten
van het SW-bedrijf en een aanscherping van het risicomanagement binnen een gemeente in het midden van het
land heeft de gemeente het risicomanagement rond de WSW eens kritisch tegen het licht gehouden. Hierbij is
aandacht besteed aan de risico’s die te signaleren zijn, maar tevens aan de te ondernemen acties om deze risico’s
af te dekken. Dit heeft geresulteerd in de volgende inzichten:
• Een risicoprofiel: risico, kans, impact, effect, maatregel en verantwoordelijke per risico
• Een marsroute ander woord kiezen tot verbetering: wat moet de gemeente wanneer doen om het
risicomanagement op dit terrein te verbeteren?
• Een grafisch risicoprofiel
5
Marktoperen
SW-bedrijf
Impact
Transparantie &
Prestatiesturing
Meerjarig perspectief
Risicoraamwerk
Binding
FinancieringsEfficiëntie
Autonomie
vanuit
relatie
SW
gemeenten
bedrijf
Vrijheid vs gebondenheid
Processen
TVB
1
1
Kans
5
Risicomanagement meer dan de som der delen
107
Risicobeheersing: Risico’s bij grote projecten
Een gemeenten heeft in het licht van stedelijke ontwikkeling het initiatief genomen tot het opzetten van een Huis van Cultuur, waarin
muziekschool, theater, filmhuis en bibliotheek worden ondergebracht. Het project is politiek-bestuurlijk een beladen project: het is centraal
gelegen, er is een aantal belangrijke voorzieningen betrokken, het betreft een fors investeringsbedrag en als het project slaagt is er tevens
sprake van een grote uitstraling naar de regio. Gezien het belang is er relatief veel aandacht besteed aan risico’s (financieel en bestuurlijk)
en onderzoek. De gemeente heeft verzocht het risicomanagement rond het project te inventariseren en te bezien of hierbij leerpunten zijn
te formuleren die eventueel hun uitwerking kunnen hebben op de rest van de organisatie. Deze inventarisatie heeft geleid tot een aantal
generieke aandachtspunten, maar tevens geleid tot specifieke handreikingen voor het project zelf.
1.
•
•
•
•
•
•
•
•
Generieke aandachtspunten en risico’s:
Behoud van kennis en expertise in eigen huis
Procesdefinitie en functiescheiding in het project (in beperkte mate)
Kwaliteit van medewerkers moeilijk te borgen
Risicoattitude in cultuur en aanspreekgedrag
Controle en bijsturing op het project onvoldoende formeel geborgd
Ontbreken formeel risicomanagement raamwerk
Borgen projectmatig werken in organisatie
Ontbreken gesystematiseerde risicokwanticering en geformuleerde maatregelen
2. Voor het project zelf zijn de volgende risico’s geïdentificeerd:
• Continuïteit: bezetting in het project kent een uiterst hoog verloop
• Bestuurlijk draagvlak en eenduidigheid in ‘ownership’
• De vier betrokken partijen op één lijn krijgen en houden vormt een continue uitdaging (en daarmee een afbreukrisico)
• Borging kennis en ervaringen project
De genoemde risico’s zijn tevens in een grafisch risicoprofiel opgenomen:
5
Continuiteit bezetting
Bestuurlijk
draagvlak
Borging kennis
Risicoraamwerk
Impact
Kwaliteit medewerkers
Risicoattitude Meerdere partijen
& aanspreekgedrag
Risicokwanticering
Controle & sturing
Projectmatig werken
Procesdefinitie
& funktiescheiding
1
1
108
Kans
5
Hoofdstuk 3
Praktijkvoorbeeld: Een tweegesprek tussen wethouders over een politiek en financieel project
“Het risico van dit project is onacceptabel” zegt wethouder Financiën(A). “Hoezo?”, vraagt Wethouder Ruimtelijke Ordening (B), “Welk risico
bedoel je?”. Nou zegt wethouder A: “Het risico dat het project uitloopt en dat de consequenties van het uitlopen van het project voor onze
rekening komt.” Wethouder B zegt: “Er is geen sprake van een risico, want de vertraging van het project is opgelost door in het contract met
de andere participanten op te nemen dat zij verantwoordelijk zijn en opdraaien voor een uitloop van het project.” “Geldt dit ook voor de
uitloop die wordt veroorzaakt als wij de vergunningen niet tijdig verlenen?” vraagt wethouder A. “Dat is mij niet bekend.” zegt wethouder
B “Dit heb ik ook niet vernomen van de projectleider. Ik heb het over de gevolgen die het gerelateerd zijn aan de vertraging zoals deze door
de andere contractpartijen worden veroorzaakt.” “Dan lijkt het er op,” zegt wethouder A, “dat onze risico’s toch groter zijn dan eerder was
aangenomen. Op basis van de huidige informatie, die ik van de controller gisteren heb gekregen, schat ik de risico’s in op circa € 2,0 miljoen.”
Wethouder B zegt: “Hier ben ik niet van op de hoogte en dat lijkt me ook niet de bedoeling, maar je hebt hier mogelijk wel een punt. Hier heb
ik niet direct bij stilgestaan.”
Managers handelen niet altijd rationeel en dit heeft meetbare negatieve invloed op strategische beslissingen. Met governance zou
dit probleem wellicht aan te pakken zijn.
De vraag is welke invloed Governance (goed ondernemingsbestuur en toezicht) kan hebben in het verminderen van de negatieve effecten van
irrationeel gedrag van managers.
De managers hebben een grote invloed op de investeringen en financiering van de organisaties die zij leiden. Aangezien de irrationaliteit geen
bewust gedrag van managers is, blijkt dat een aantal mechanismen (dat uitstekend rationele economische problemen kan verminderen) niet
werkt. Zo heeft bijvoorbeeld de beloningsstructuur naar verwachting geen invloed op het beperken van irrationele besluiten. Potentieel wel
effectieve mechanismen lijken de rol van toezichthouders (gemeenteraad).
De governance dimensie van risicomanagement: samenwerkingsverbanden
Een organisatie staat in een proces van deelnemen aan een Shared Service Center (SSC) met meerdere gemeenten. Deze organisatie staat voor
de uitdaging om de invoeging in het SSC zo goed mogelijk vorm te geven. Met name het vormgeven van de relatie, de governance daarop en
het managen van risico’s bleken grote vraagstukken. De volgende lessen bleken van belang:
• Creëer een eenduidige zet van taken, verantwoordelijkheden en bevoegdheden, ook in het licht van risicobeheersing.
• Zorg voor een ‘logische volgorde der dingen’ in het proces: niet eerst plaatsen en dan pas nadenken over taakafbakening en strategie
• Besteed aandacht aan alle aspecten van het SSC: systemen, mensen, processen, sturing & beheersing, financiën, etc. en benader deze
aspecten integraal
• Bepaal als organisatie welke balans je nastreeft tussen kwaliteit, efficiency en wendbaarheid bij toetreding tot het SSC en zorg dat deze
balans geborgd is in het SSC (afspraken)
• Zorg dat de bekende ‘faalfactoren’ in het SSC-proces zijn afgedekt
• Creëer mogelijkheden om in te grijpen in het proces als aan de randvoorwaarden niet wordt voldaan.
• Bewaak dat in het ontwerp van het SSC recht wordt de gedaan aan de specifieke kenmerken van de werkzaamheden van de eigen
organisatie: u moet erop vooruit gaan
• ER ZIJN GEEN SHORTCUTS: NEEM DE TIJD!
Risicomanagement meer dan de som der delen
109
Hoofdstuk 4
Van risico-inventarisatie naar risicomanagement
De invoering van de WMO heeft voor gemeenten weer een nieuw terrein voor risicomanagement blootgelegd. De eerste stappen zijn vaak
gezet. Een gemeente wil het risicomanagement op een hoger plan tillen: van inventarisatie naar management van risico’s. Bij deze gemeente
zijn risico’s globaal in kaart gebracht en er is een weerstandsvermogen opgebouwd waarmee de gemeente de risico’s, al dan niet in kaart
gebracht, financieel op kan vangen. Op dit moment worden de meeste risicomaatregelen financieel beheerst. Bij een project worden de
kosten van de risico’s geschat en als extra budget opgenomen. Men wil naar een situatie toe waarbij er niet alleen sprake is van inzichtelijkheid
in de risico’s maar waarbij er ook sprake is van het managen van risico’s, onder meer in verband met overschrijdingen van budgetten. Het
ontwikkelpad is van risico inzicht naar risicomanagement met behulp van diverse risicobeheersmaatregelen. Om dit te realiseren is een
verdiepende inventarisatie uitgevoerd en is in een workshop gewerkt aan een risicoprofiel, waarbij kans en impact zijn gekoppeld aan risico’s
en tevens beheersmaatregelen zijn benoemd. Dit risicoprofiel bevat een breder palet aan risico’s dan uit de bestaande inventarisaties komt en
kent een proactief (in plaats van het reactieve karakter van de inventarisatie) karakter. Hierdoor kan beter worden geanticipeerd op de risico’s
en daarmee risico’s ook worden voorkomen.
Van volgen naar sturen: loonsombeheersing
Bij een gemeente was sprake van een tweevoudige loonsomproblematiek:
1 jaarlijks wordt het loonsombudget overschreden en
2 jaarlijks wordt de geraamde dekking van loonkosten in projecten (kredieten) niet gerealiseerd.
De gemeente heeft vervolgens vier maatregelen getroffen om te komen tot beheersing van de loonsombudgetten:
1 Uitgangspositie is vastgesteld (loonsombudgetten per afdeling, bijpassende formatieplannen en omzettaakstellingen op kredieten).
2 Managementinformatie wordt maandelijks geleverd (formatie- en bezettingsoverzicht, overzicht inhuur derden, overzicht
omzettaakstelling).
3 Verantwoordingsgesprekken worden maandelijks gehouden tussen directeur en afdelingshoofd, in aanwezigheid van de concerncontroller
(met aandacht voor de loonsom);
4 Verbijzonderde interne controle uitgevoerd door de concerncontroller ter toetsing van het werkelijkheidsgehalte van de
managementinformatie.
De genoemde maatregelen hebben een goede uitwerking gekend. In het kader van risicomanagement heeft dit een extra sturingsinstrument
opgeleverd.
110
Het risicomanagement proces: grote projecten
Een gemeente is serieus bezig met risicomanagement door het vastleggen van helder beleid, verdeling van taken en verantwoordelijkheden,
training van medewerkers en ondersteuning door middel van een risicomanagement informatiesysteem. Met name het risicomanagement
rond projecten verdiende extra aandacht Het project moet leiden tot directe invoering van risicoanalyses op strategische projecten en
trajecten. Door het uitvoeren van een analyse zijn de volgende bevindingen gedaan:
1. Inhoudelijk
- inzicht in projectrisico’s onvoldoende
- regierol subsidies ontbreekt
- geen totaalbeeld risico’s WMO
2. Cultuur
- geen eenduidig begrippen kader
- angst voor communicatie over risico’s
- politieke gevoeligheid
3. Proces
- (eerder) betrekken portefeuillehouder
- vooraf investeren in kennis
- politieke actualiteit
- beter plannen
Dit heeft geresulteerd in een verdere verfijning van het risicomanagementproces, met specifieke aandacht voor projectrisico’s door het
ondernemen van de volgende acties:
• Opstellen beleidsplan
• Training workshops/ cursussen
• Proces integraal risicomanagement uitrollen
• Risico analyses op thema’s
• Verzekeringsanalyse en professionaliseren beheer
• Communicatie verbreden en intensiveren
Risicomanagement meer dan de som der delen
111
Bijlage 8:
Aandachtspuntenlijst per onderdeel van de
governance-cyclus
In deze bijlage is per onderdeel van de governance-cyclus een overzicht gegeven van de aandachtspunten.
Deelproces Aandachtsgebieden
Toelichting
Sturen
Beleid
Is er beleid rondom risicomanagement?
Zijn hierin de afspraken zoals deze zijn gesteld in de verordening 212 tenminste uitgewerkt?
Is de methodiek (inventariseren, periodiciteit rapporteren, systeem, rolverdeling, etc.) van
risicomanagement duidelijk?
Houding/ Cultuur
Wat straalt de leiding uit ten aanzien van het omgaan met risico’s?
Hoe wordt omgegaan met het melden van risico’s?
Bestaat er waardering voor melden van risico’s
Zijn middelen vrijgemaakt om te werken aan risicomanagement
Worden adviezen en maatregelen om risico’s te beperken dan wel te mitigeren serieus genomen?
Prioriteitstelling
Maakt risicoanalyse en -signalering onderdeel uit van de reguliere P&C-cyclus en de voorstellen
Is het risicoprofiel nader uitgewerkt voor wat betreft de beleidsvelden en/of activiteiten waarop risico’s
mogen worden gelopen?
Is bepaald op welke wijze kwantificering en identificatie van de risico’s moet plaatsvinden?
Zijn (toekomstige) middelen gealloceerd die beschikbaar zijn voor het opvangen van (specifieke) risico’s?
Wat is de risicohouding bij samenwerking met derden partijen?
Omvang
Zijn spelregels opgenomen voor het kwantificeren en kwalificeren van de risicopositie? Met andere
woorden wat is een acceptabele verhouding tussen de beschikbare weerstandscapaciteit en de risico’s?
Is gedefinieerd op welke wijze berekening van de omvang van de risico’s plaatsvindt?
Is de minimale / maximale omvang bepaald van de weerstandscapaciteit?
Zijn acties benoemd om de weerstandscapaciteit te vergroten?
Informatie / rapportage Zijn spelregels opgenomen voor de periodiciteit waarop gerapporteerd moet worden over de ontwikkeling
van de risico’s en de resultaten van de beheersmaatregelen?
Zijn er afspraken gemaakt over de wijze waarop over de risico’s moet worden gerapporteerd waarbij onder
meer moet worden ingegaan op:
- aan wie moet de informatie worden geleverd?
- welke informatie moet worden aangeleverd met betrekking tot de ontwikkeling van de risico’s?
- evaluatie van de werking van de beheersmaatregelen
- nieuwe en vervallen risico’s
Is bepaald op welke wijze bij individuele voorstellen gerapporteerd moet worden over de risico’s en de
hierbij getroffen maatregelen?
Bevoegdheden en
Is duidelijk wie eindverantwoordelijk is voor het betreffende risico?
verantwoordelijkheden Is bepaald wie eindverantwoordelijke is voor het identificeren, sturen en verantwoorden omtrent risico’s?
Is duidelijk wie bevoegd is tot het aangaan van risico’s door middel van bijvoorbeeld goedkeuren van een
voorstel, afsluiten van een contract of aangaan van een (andere) verplichting?
Tabel Bijlage 8-1: deelproces sturen bij risicomanagement: de risicohouding
112
Deelproces Aandachtsgebieden
Toelichting
Beheersen
Begrippen
Bestaat er een gemeenschappelijk beeld over wat verstaan wordt onder risico’s?
Zijn de risicogebieden duidelijk? Dus is bekend op welke facetten beoordeling van (onderdeel) proces,
organisatie of activiteiten plaats moet vinden?
Kennis
Is binnen de organisatie voldoende kennis om risico’s te identificeren en te kwantificeren?
Heeft de gemeente voldoende kennis om tijdig te reageren op de wijziging van risico’s?
Is voldoende kennis aanwezig omtrent de wijze waarop omgegaan moet worden met zich manifesterende
risico’s?
Methode
Is er een duidelijke methodiek voor het in beeld brengen, houden en sturen rondom risico’s?
Is deze methode in de organisatie bekend?
Is de methode geïncorporeerd in de dagelijkse operationele procesgang?
Is duidelijk wanneer en welke maatregelen worden getroffen
Bestaat in de methode voldoende aandacht voor:
- omschrijven van de risico’s
- kwantificeren van risico’s
- evalueren van de risico’s
- formuleren van beheersmaatregelen en
- aanwijzen verantwoordelijke voor omgaan met de geconstateerde risico’s
Risicoanalyse
Is bekend wat de belangrijkste risicogebieden binnen de organisatie zijn door het uitvoeren van een
risicoanalyse?
Wordt de risicoanalyse met een dusdanige frequentie herzien dat blijvend aandacht bestaat voor de
ontwikkeling van de risico’s?
Bestaat voldoende aandacht voor het identificeren van nieuwe risicogebieden binnen de organisatie dan
wel activiteiten van de organisatie?
Wordt de opgestelde risicoanalyse gedeeld door het management?
Is de uitgevoerde risicoanalyse de basis voor het treffen van maatregelen?
Organisatie
Is er voldoende capaciteit aanwezig om aandacht te besteden aan risicomanagement?
Bestaat extra organisatorische aandacht voor die terreinen waar de risico’s dominant zijn, omvangrijk van
aard dan wel frequent wisselen?
Is er aandacht in de processen voor het periodiek aandacht besteden aan risicomanagement bij de
dagelijkse gang van zaken
Zijn de rollen duidelijk in het proces van risicomanagement: wie moet wat wanneer doen?
Beheersmaatregelen
Is per relevant geïdentificeerd risico duidelijk of er beheersmaatregelen mogelijk zijn?
Zijn de beschreven beheersmaatregelen duidelijk genoeg om deze vorm te geven?
Is duidelijk wie verantwoordelijk is voor het implementeren van en het bewaken van de werking van de
beheersmaatregel?
Is duidelijk binnen welke termijn de beheersmaatregel tot stand moet zijn gebracht?
Zijn de beschreven beheersmaatregelen geïmplementeerd?
Werken de beschreven beheersmaatregelen? Met andere woorden dragen zij bij aan het ondervangen van
de risico’s?
Zijn er alternatieven onderzocht om de risico’s mogelijk anderszins op te vangen?
Is er bij samenwerking met derden dan wel op afstand opererende partijen voldoende aandacht voor
de ontwikkeling van de risico’s? Door de afstand heeft de belanghebbende geen dagelijks inzicht in de
ontwikkeling van de risico’s.
Bestaan er scenario’s om te volgen wanneer risico’s zich daadwerkelijk manifesteren
Is er voldoende financiële ruimte aanwezig om de risico’s op te vangen?
Tabel Bijlage 8-2: deelproces beheersen bij risicomanagement: de methodiek
Risicomanagement meer dan de som der delen
113
Deelproces
Aandachtsgebieden Toelichting
Verantwoorden
Inhoud
Waarover vindt verantwoording plaats? Onderwerpen die hierbij aan de orde kunnen komen zijn:
- Is het risicoprofiel van de organisatie gewijzigd en zo, ja wat zijn hiervan de gevolgen?
- Hebben zich ten opzichte van de voorgaande rapportage nieuwe risico’s voortgedaan en wat is
hiervan de mogelijke (financiële) impact?
- Welke maatregelen zijn getroffen om eerder onderkende risico’s te ondervangen en wat is het effect
van deze maatregelen geweest? Werken de beschreven en afgesproken maatregelen?
- Welke risico’s hebben zich concreet gemanifesteerd en hebben geresulteerd in een uitstroom van
middelen?
- Wat is de stand van zaken met betrekking tot de omvang van de risico’s in relatie tot de beschikbare
middelen?
Wordt gecontroleerd in hoeverre de activiteiten zijn uitgevoerd binnen de geformuleerde beleidskaders/
afspraken?
Bevat de verantwoordingsinformatie voldoende sturingsinformatie om het beheer en inzicht in de
risico’s te verbeteren?
Is uit de verantwoordingsinformatie duidelijk op welke aspecten de organisatie meer bewust moet zijn
van onderkennen of beheersen van risico’s?
Effectiviteit en
efficiency van
maatregelen
Heeft de gemeente voldoende zicht op de effectiviteit van de getroffen maatregelen:
- Welke risico’s hebben zich gemanifesteerd?
- Wat zijn de kosten geweest voor het treffen van beheersmaatregelen in relatie tot het beperken van
de risico’s?
- Voert de gemeente periodiek audits uit om na te gaan hoe effectief de beheersing van de risico’s
heeft plaatsgevonden?
Wijze onderbouwing
en kwantificering
Is de wijze van kwantificering concreet genoeg om een oordeel te vormen over de wijze van
verantwoording?
Bestaat voldoende inzicht omtrent de kans van optreden van een risico en de resterende onzekerheden?
Frequentie
Is de frequentie van herzien van de risico’s voldoende gelet op de ontwikkeling van het risicoprofiel?
Wordt rekening gehouden met de actieve informatieplicht wanneer risicopositie wijzigingen ondergaat?
Tabel Bijlage 8-3: deelproces verantwoorden bij risicomanagement: de rapportage
114
Deelproces
Aandachtsgebieden Toelichting
Toezicht
houden
Bedrijfsvoering
Is duidelijk of risico-identificatie onderdeel uitmaakt van de reguliere bedrijfsprocessen?
Zijn middelen beschikbaar voor het houden van audits en bijzondere onderzoeken bij geconstateerde
(aanvullende/ extra hoge) risico’s?
Is ruimte in de voorstellen, formatie en werkzaamheden om (verplicht) aandacht te besteden aan
risicomanagement?
Grenzen
Hoe passen de risico’s binnen de door de raad gestelde kaders?
Hoe verhouden de geïdentificeerde risico’s zich tot vergelijkbare organisaties dan wel externe normen?
Toetsen
Zijn er recente rapportage over de geïdentificeerde risico’s?
Heeft een analyse plaatsgevonden van de mutatie in risico’s en de effectiviteit van de geïntroduceerde
beheersmaatregelen?
Maakt een afzonderlijke risicoparagraaf onderdeel uit van de individuele voorstellen en de
P&C-documenten?
Controle
Wordt het beleid ten aanzien van risicomanagement nageleefd?
Wordt in de rapportage van de accountant ingegaan op het bestaan van een systeem van
risicomanagement en de werking hiervan?
Beschikt de toezichthouder over voldoende informatie om te kunnen controleren, hierbij kan gedacht
worden aan:
- Of de risico’s goed worden gemanaged
- Of de organisatie de risico’s beheerst (in control is)
- Of de organisatie een solide financiële positie heeft
Financiële positie
Tabel Bijlage 8-4: deelproces toezicht houden bij risicomanagement: de meting
Risicomanagement meer dan de som der delen
115
Bijlage 9: Vragenlijst risicogesprek
In deze bijlage wordt een aantal handreikingen gegeven om een gesprek te starten
binnen de eigen organisatie in het kader van risicomanagement. Voor velen zullen
de vragen voor de hand liggen, maar in de praktijk blijkt een aantal organisaties te
worstelen met de vraag hoe een risicogesprek met een lijnverantwoordelijke op een
constructieve en positieve manier kan worden ingestoken.
In onze optiek zijn er twee invalshoeken mogelijk voor een dergelijk gesprek:
benaderd vanuit doelstellingen of vanuit processen. De eerste benadering leent zich
vooral als de betrokkene meer werkt vanuit doelstellingen (denk aan bijvoorbeeld
beleidsafdelingen). De tweede benadering is veelal geschikt als de betrokkene werkt
in een productieomgeving (denk aan bijvoorbeeld administratieve of registratieve
processen, zoals burgerzaken). Belangrijk is dat de gekozen invalshoek aansluit bij de
belevingswereld van de betrokkene.
Benaderd vanuit doelstellingen:
• Wat zijn je doelstellingen voor het komende jaar? Welke onzekerheden spelen een
rol bij het bereiken van deze doelstellingen?
• Welke risico’s komen uit eerdere inventarisatie? Zijn deze nog steeds van kracht?
• Welke gevolgen heeft de kredietcrisis voor jouw afdeling?
• Zijn er nieuwe thema’s die in het komende jaar een rol spelen? Kunnen we hier
extra op inzoomen? Bijvoorbeeld invoering van nieuwe wetgeving?
• Welke maatregelen tref je en zijn mogelijk op de genoemde risico’s?
Benaderd vanuit processen:
• Wat zijn jouw belangrijkste processen?
• Welke knelpunten signaleer je hierin?
• Hoe vaak doen deze knelpunten zich voor?
• Zijn deze knelpunten ook te vertalen naar risico’s?
• Wat is de mogelijke omvang van deze risico’s?
• Welke maatregelen nam je tot op heden om deze risico’s het hoofd te bieden?
• Zijn deze maatregelen afdoende? Welke additionele maatregelen zou je (kunnen)
nemen?
116
Bijlage 10:
Rolverdeling in het risicomanagementproces
In het handboek zijn meerdere figuren gepresenteerd met daarin een overzicht van de rolverdeling die bij
risicomanagement van toepassing is. Deze figuren zijn onder andere gericht op de raden en colleges. Hieronder
zijn de figuren gezamenlijk geplaatst.
Rolverdeling vanuit de Governance insteek
Actoren
Rollen
Acties/Besluiten
Gemeenteraad
Sturen en toezicht
houden
Vaststellen uitgangspunten en methodiek risicomanagement
oogte weerstandsvermogen vaststellen
Vaststellen uitgangspunten projecten
Beoordelen rapportages en adviezen van het College
College/
Directieraad
Sturen en toezicht
Toezien op implementatie risicomanagement in projecten
Sturen op verantwoording van risico’s
Directie /
Ambtelijke top
Sturen en
Verantwoorden
Implementeren risicomanagement in projecten
Sturen op scenarioplanning
Opdracht tot kwantificering risico’s
Hanteren risicomanagement als rapportage-instrument
Maatregelen nemen voor het beheersen van de risico’s en hierover actieve terugkoppeling laten
organiseren
Aanspreken op gedrag
Afdeling /
project
Beheersen
Implementeren beheersmaatregelen ter opvangen van de risico’s
Scenario analyse per product / project in beeld brengen
Kwantificering risico’s
Rapportage over ontwikkeling risico’s
Bouwstenen aandragen voor in beeld brengen risico’s
Werken binnen geformuleerde uitgangspunten projecten
Binnen het projectonderdeel maatregelen nemen voor het beheersen van de risico’s en hierover actieve
terugkoppeling
In beeld brengen consequenties op financiële positie
Control
Financiën
Beheersen en toezicht
houden
Bijdrage leveren aan de scenario analyse
In beeld brengen consequenties op financiële positie
Bijstellen methodiek / tool van risicomanagement
Risicomanagement meer dan de som der delen
117
Rolverdeling vanuit Toezicht & Toetsing
Checklist Risicomanagement
Stap
Gemeenteraad
College
Ambtelijk
bepalen kaders en strategie
advies/feedback
adviseren, info
verstrekken, opstellen
Risicoanalyse
toezicht
geeft opdracht en toets
formuleert/voert uit/ en
monitoort
Monitoren
toezicht en controle
ontwikkeling kaders
maatregelen
info verstrekken en
controle
Toezicht & Toetsing
controle
toezicht en verantwoording continu monitoren
Verbetering
feedback bij verbeteren beleid advies betreffende
verbetering beleid
Kaderstelling & strategie
118
signaleren/formuleren
implementeren
Bijlage 11:
Voorbeeld Beleidsnota Risicomanagement en
Weerstandsvermogen
Inhoudsopgave
1. Inleiding 1.1. A
anleiding
1.2. Doelstelling en reikwijdte 1.3. Het begrip risico 2. Van risicobeleid naar risicomanagement
2.1. Huidig risicobeleid 2.2 Toekomstig risicomanagement
3. Weerstandscapaciteit en weerstandsvermogen 3.1. Weerstandscapaciteit 3.2. Weerstandsvermogen 4. Uitvoering van het risicomanagement
4.1. Kader is de BBV-cyclus
4.2. Kwaliteit van de risicobepaling 4.3. Omvang van het weerstandsvermogen
4.4. Top 10 risico’s
4.5. Verankering in de organisatie (inclusief informatievoorziening en verankering)
4.6. Risicoprofiel perspectiefnota 20XX
Risicomanagement meer dan de som der delen
119
1. Inleiding
1.1. Aanleiding
Toenemende complexiteit van de samenleving en van
projecten waar de gemeenten in het algemeen bij
betrokken zijn en veranderende wet- en regelgeving
dwingen tot een groter risicobewustzijn. In dit kader
is het van belang om zicht te hebben op de risico’s die
zich manifesteren bij de uitvoering van de gemeentelijke
taken, de oorzaken op te sporen en om daarbij
passende maatregelen te treffen. In veel gevallen is er
bij daadwerkelijk optreden van het risico ook sprake van
financiële schade voor de gemeente.
Meer toegespitst op dat laatste aspect, bepaalt
het besluit Begroting en Verantwoording (BBV,
art. 11) dat gemeenten beleid moeten formuleren
omtrent de weerstandscapaciteit en de risico’s. De
bedoeling daarvan is dat jaarlijks via de paragraaf
weerstandsvermogen in de stadsbegroting en
-rekening een oordeel kan worden gegeven over de
toereikendheid van het weerstandsvermogen. Aan deze
verplichting wordt invulling gegeven via de financiële
beheersverordening van de gemeente X (ex. art. 212
Gemeentewet). In deze verordening is vastgelegd
dat ons college tenminste eenmaal per vier jaar een
notitie voorlegt aan uw raad, waarin uiteengezet wordt
wat de uitgangspunten zijn met betrekking tot het
financiële beleid en waarin aandacht wordt geschonken
aan risicomanagement, weerstandscapaciteit, en de
systematiek waar langs het weerstandsvermogen wordt
berekend. Bij de behandeling van de nota reserves
en voorzieningen op X heeft uw raad besloten ons
college te vragen in de perspectiefnota X een actueel
en realistisch risicoprofiel op te nemen, in relatie tot
het vermogen deze risico’s op te vangen. Daarnaast
hebben wij naar aanleiding van de behandeling van de
jaarrekening X toegezegd nog voor het einde van X een
nota risicomanagement en weerstandsvermogen aan
uw raad aan te bieden. Deze leggen wij hierbij aan u
voor.
1.2. Doelstelling en reikwijdte
Met deze nota willen wij onze visie op
risicomanagement en weerstandsvermogen
voorleggen, en de uitvoering daarvan.
Achtereenvolgens zullen wij ingaan op:
• het begrippenkader; - de doelstellingen en reikwijdte
120
van risicomanagement;
• het beleid ten aanzien van het gewenste
weerstandsvermogen, mede in relatie tot het
raadsbesluit inzake reserves en voorzieningen;
• spelregels voor de uitvoering van het risicobeleid.
Het is duidelijk dat risicomanagement een wezenlijk
onderdeel deel is van de sturing en beheersing van
de gemeente. Wij streven nu echter niet naar de
implementatie van een modieus management control
model, dat de capaciteit van de organisatie overstijgt.
Wij kiezen, vanuit een realistisch beeld van wat de
organisatie aan kan, voor een praktische aanpak. Deze
keuze is mede gebaseerd op ervaringen in andere grote
gemeenten.
1.3. Het begrip risico
Van belang zijn de begrippen risico,
weerstandscapaciteit en weerstandsvermogen
(hierop komen we terug in 3.1./3.2.). Het Besluit
Begroting en Verantwoording (BBV) laat gemeenten
vrij in het inkleuren van deze begrippen. Welke
risico’s in gemeenten relevant zijn en wat tot de
weerstandscapaciteit wordt gerekend, kan niet in
zijn algemeenheid worden aangegeven. Gemeenten
dienen de risico’s en de capaciteit zelf na te lopen en
in kaart te brengen. Doordat de risico’s per gemeente
verschillen, is het niet mogelijk een algemene norm
te stellen voor een goede relatie tussen risico’s en
weerstandscapaciteit. Het is aan de gemeente zelf
een beleidslijn te formuleren over de in de organisatie
noodzakelijk geachte weerstandscapaciteit in
relatie tot de risico’s. Het begrip risico definiëren
we als volgt: - Risico = een onzekere ongewenste
gebeurtenis, waardoor het realiseren van de
organisatiedoelstellingen en -strategie in gevaar komt.
Dat betekent dat: - als er zekerheid bestaat over het
optreden van de gebeurtenis er geen sprake meer is van
een risico. Dat heeft gevolgen voor de wijze waarop
met de (financiële) gevolgen moet worden omgegaan.
• als de gebeurtenis geen gevolgen heeft voor het
realiseren van de organisatiedoelen, er ook geen
sprake is van risico. Dat betekent dat het altijd gaat
om substantiële zaken.
• het missen van een kans is ook een risico.
2. Van risicobeleid naar risicomanagement
2.1. Huidig risicobeleid
Het huidig risicobeleid binnen de gemeente X is
vastgelegd met een raadsbesluit van X met betrekking
tot vermogenspositie en gewenste hoogte van de
vrije reserves, voor een deel geactualiseerd met
het raadsbesluit van X inzake de nota reserves en
voorzieningen. Sindsdien wordt inhoud gegeven aan
risicobeleid door bij de opstelling van de verschillende
BBV-producten, met name begroting, jaarrekening en
Voortgangsrapportage Grote Projecten (VGP), melding
te maken van risico’s en eventuele maatregelen voor
te stellen om risico’s te beperken. Vanuit de risico’s is
er steeds een relatie gelegd naar de gewenste hoogte
van de reserves. Vanaf X gebeurt dat met de in het
BBV voorgeschreven paragraaf Weerstandsvermogen.
In X is een gemeentebrede risico-inventarisatie
uitgevoerd. Maar risico’s veranderen, de wereld staat
niet stil, periodiek onderhoud van de uitkomsten van
risicoanalyse is nodig. Dit wordt bemoeilijkt door
het ontbreken van ondersteuning in de vorm van
een passend informatiesysteem. Daarnaast wordt,
onder meer in het kader van rechtmatigheid, via de
controlprogramma’s van de verschillende directies
aandacht besteed aan risico’s. Het gaat daarbij
voornamelijk om het identificeren van procesrisico’s en
het treffen van maatregelen om deze te minimaliseren,
gevolgd door interne controle op de werking van de
maatregelen.
2.2 Toekomstig risicomanagemen
Wat is risicomanagement
Risicomanagement is het effectief omgaan met de
kansen en bedreigingen die de
realisatie van organisatiedoelstellingen kunnen
beïnvloeden. Met andere woorden: het is gericht
op proactief handelen in plaats van reactief.
Risicomanagement is, als normaal onderdeel van
de verantwoordelijkheid van het management, een
periodiek terugkerend proces dat bestaat uit een aantal
onderdelen:
• Identificeren van risico’s
• Kwantificeren van risico’s
• Definiëren en implementeren van
beheersmaatregelen
• Financieel afdekken van risico’s
Onderstaan lichten wij dit nader toe. Door een
koppeling aan te brengen met de BBV-cyclus (zie 4.1) willen
we benadrukken dat er sprake is van een cyclisch proces.
Identificeren van risico’s
In deze fase worden alle potentiële risico’s
geïnventariseerd. Daarbij wordt naar risico’s gezocht
binnen alle risicogebieden, dat zijn samenhangende
clusters van activiteiten van de gemeente. De risico’s
worden bezien vanuit verschillende invalshoeken,
risicogroepen en risicocategorieën. Risicogroepen zijn
bij voorbeeld
programma’s. Voorbeelden van risicocategorieën zijn
aansprakelijkheidsrisico, procesrisico,
financieel risico, milieurisico, arbeidsrisico.
Kwantificeren van risico’s
De analyse bestaat uit een inschatting van de kans dat
een gebeurtenis optreedt, en wat daarvan de gevolgen
zullen zijn. Met behulp van beoordelingstechnieken kan
worden afgewogen hoe groot het risico is. Ieder
individueel risico wordt bepaald als: Kans x Gevolg.
Doel is om de hoge risico’s te identificeren. Het
waarderen van risico’s behoort zoals gezegd tot de
normale managementverantwoordelijkheid. In zijn aard
is het een proces van taxeren en inschatten, en heeft
daarmee altijd in bepaalde mate een subjectief karakter.
Deze subjectiviteit beperken we zoveel mogelijk, door
enerzijds er voor te zorgen dat er altijd meerdere
personen bij het proces betrokken zijn, en anderzijds
waar mogelijk gebruik risicoprofielen van andere
gemeenten te gebruiken als spiegel voor onze eigen
inschattingen.
Definiëren en implementeren van
beheersmaatregelen
Er worden beheersmaatregelen gedefinieerd
die zijn gericht op het beheersen van de risico’s.
Beheersmaatregelen kunnen preventief van aard
zijn, gericht op het voorkomen van de gebeurtenis.
Voorbeelden daarvan zijn procedures, herinrichting van
processen en zorgsystemen. Maatregelen kunnen ook
curatief zijn, gericht op het beperken van de gevolgen.
Voorbeelden daarvan zijn een rampenorganisatie,
risicofinanciering en verzekering. Het is van belang
dat de beheersmaatregel in verhouding staat tot de
omvang van het risico. Op grond van een kostenbatenanalyse kan ook worden besloten dat bepaalde
risico’s moeten worden geaccepteerd.
Risicomanagement meer dan de som der delen
121
Financieel afdekken van risico’s
Tot slot kan dan op grond van deze analyses bepaald
worden hoeveel middelen gereserveerd moeten
worden ter afdekking van deze risico’s. Het gaat
daarbij om de restrisico’s. Daarmee wordt bedoeld
dat de mate waarin de getroffen beheersmaatregelen
het oorspronkelijke risico terugdringen, moet worden
meegewogen. De uitkomsten hiervan moet afgezet
worden tegen de middelen die de organisatie
beschikbaar heeft.
3. Weerstandscapaciteit en weerstandsvermogen
3.1. Weerstandscapaciteit
De weerstandcapaciteit is te omschrijven als de
omvang van de direct beschikbare financiële middelen
om onverwachte financiële tegenvallers op te
vangen. Het is als het ware een buffer om er voor te
zorgen dat bestaand beleid en voorzieningen niet in
gevaar komen, als risico’s werkelijkheid worden. De
weerstandscapaciteit bestaat uit:
• Algemene reserve;
• Bestemmingsreserves (inclusief X);
• Stille reserves;
• Post onvoorzien;
• Flexibiliteit van budgetten, waaronder de onbenutte
belastingcapaciteit.
De mate waarin deze posten kunnen bijdragen aan de
weerstandscapaciteit zal steeds opnieuw moeten
worden bezien. Hierin wordt voorzien via de paragraaf
Weerstandsvermogen in de begroting en de jaarrekening.
3.2. Weerstandsvermogen
Het weerstandsvermogen bestaat uit de relatie
tussen de beschikbare weerstandscapaciteit en
de voor afdekking van de risico’s benodigde
weerstandscapaciteit (middelen). De benodigde
weerstandscapaciteit wordt bepaald door het
risicoprofiel van de gemeente als geheel, waarbij
de waarschijnlijkheid en de omvang van ieder risico
afzonderlijk is gewaardeerd (zie 2.2). Deze relatie
drukken we uit in een verhoudingsgetal
122
4. Uitvoering van het risicomanagement
4.1. Kader is de BBV-cyclus
Door de bepalingen van het BBV, de verplichte paragraaf
Weerstandsvermogen, is risicomanagement
onlosmakelijk verbonden aan de BBV-cyclus. Dat
betekent dat wij minimaal twee maal per jaar, via
begroting en jaarrekening, een integraal beeld geven
van de risico’s, de aanwezige weerstandscapaciteit
en het weerstandsvermogen, en de ontwikkelingen
ten opzichte van de voorgaande rapportage. In de
tussentijdse bestuursrapportages zullen wij steeds
ingaan op de ontwikkelingen ten aanzien van de top-10
risico’s (zie 4.4).
4.2. Kwaliteit van de risicobepaling
In de geschetste methodiek van risicomanagement
worden risico’s individueel beoordeeld op kans van
optreden en het daarmee gepaard gaande gevolg.
Daarmee bereiken we dat we beschikken over een meer
betrouwbaar beeld van het totale risiconiveau dan tot
nu toe in de paragraaf weerstandsvermogen, omdat
daarin werd uitgegaan van een algemeen gemiddelde
kans. Dit moet ertoe leiden dat er betere uitspraken
kunnen worden gedaan over het weerstandsvermogen
van de gemeente.
Daarmee wordt een belangrijk bezwaar weggenomen,
dat via het aanvaarde amendement op het
raadsvoorstel Reserves en voorzieningen naar voren
werd gebracht. Maar feit blijft dat risico’s zich in de tijd
ontwikkelen, daar is geen ontkomen aan.
4.3. Omvang van het weerstandsvermogen
Op basis van de gepresenteerde waarderingstabel
weerstandsvermogen streven wij naar een ratio
weerstandsvermogen van minimaal 1,0, daarmee
krijgt het weerstandsvermogen de kwalificatie
“voldoende”, en dat is in onze visie goed genoeg.
Via onze programma’s, productgroepen, producten,
projecten en planexploitaties sturen wij immers op
maximale beheersing. Daarbij zullen wij zo nodig
voorzieningen creëren. Verder benadrukken we nog
eens dat we iedere risico afzonderlijk wegen, en de
daarbij benodigde beheersmaatregelen bepalen.
Het uiteindelijke risicoprofiel bevat dan de restrisico’s
die overblijven nadat de beheersmaatregelen zijn
getroffen. Met het raadsbesluit van X is vastgelegd dat
omvang van de algemene reserve wordt genormeerd
op minimaal € XX per inwoner en maximaal € XX
per inwoner. De algemene reserve is een belangrijk
bestanddeel van de weerstandscapaciteit. Met het
normeren van de algemene reserve wordt dus ook
de weerstandscapaciteit genormeerd. Dit kan in een
situatie waarin het totale risicoprofiel zich ongunstig
ontwikkeld, spanning opleveren met het streven naar
een voldoende weerstandsvermogen. Wij zullen in dat
geval via de paragraaf weerstandsvermogen voorstellen
doen voor de wijze waarop daarmee kan worden
omgegaan, en uw raad vragen om daar een uitspraak
over te doen.
4.4. Top 10 risico’s
Ervaringen in andere gemeenten leren dat als risico’s
systematisch worden geïnventariseerd, er al snel een
lange lijst van risico’s ontstaat. Dat is ook het beeld van
onze eigen risico-inventarisatie uit XXX. Een deel van
deze risico’s heeft slechts beperkte financiële gevolgen.
Wij zullen in de weerstandsparagraaf uitgebreid
ingaan op de top 10 risico’s. De overige risico’s zullen
wij in financiële zin samenbrengen en worden onder
de noemer “overige risico’s” meegewogen in het
weerstandsvermogen.
4.5. Verankering in de organisatie (inclusief
informatievoorziening en evaluatie)
Risicomanagement behoort tot de normale
managementverantwoordelijkheden. Dat betekent dat
iedere directeur, programmamanager, afdelingshoofd,
projectleider etc. verantwoordelijk is voor het
risicomanagement met betrekking tot de aan hem/
haar toegewezen taken. Door in de BBV-cyclus
systematisch aandacht te besteden aan risico’s willen
wij het risicobewustzijn in de organisatie verder
vergroten. Er zal het nodige in gang worden gezet om
risicomanagement op een hoger plan te brengen. Wij
zien daarvoor een belangrijke rol weggelegd voor de
controlorganisatie: stadscontrol en directiecontrollers.
Zij zullen het voortouw nemen in het proces, en de
onder 2.2. geschetste activiteiten gaan organiseren. Er
is binnen de concernstaf een procesontwerp gemaakt
dat zal dienen als basis voor de verankering van
risicomanagement in de organisatie. Tot het moment
dat risicomanagement voldoende is geïnstitutionaliseerd
zullen de directiecontrollers op directieniveau, en
de stadscontroller op concernniveau fungeren als
risicocoördinator. Wij zullen op zoek gaan naar een
informatiesysteem dat ons daarbij kan ondersteunen.
De informatievoorziening zal maandelijks plaatsvinden
door middel van een maandelijkse risicorapportage.
In deze rapportage zal een overzicht worden
gegeven van de belangrijkst (actuele) risico’s en de
daarop geformuleerde maatregelen. Tevens wordt
een inschatting gegeven van kans en impact van de
verschillende risico’s. Tenslotte staat opgenomen wie
verantwoordelijk is.
Tevens zal ieder jaar een evaluatie worden uitgevoerd
van het risicomanagement systeem.
4.6. Risicoprofiel Perspectiefnota X
Wij zullen, conform het raadsbesluit van X, in de
perspectiefnota X een geactualiseerd risicoprofiel
opstellen. Wij zullen dat zo veel als mogelijk doen
op basis van de hierboven geschetste methodiek,
die geheel tegemoet komt aan de wens van uw raad
om de risico’s en de gevolgen van risico’s individueel
te waarderen. Daarbij zullen wij, eveneens op de
hiervoor beschreven wijze, een relatie leggen met het
weerstandsvermogen. Omdat de werkzaamheden
grotendeels in het eerste kwartaal X moeten
plaatsvinden, concurreren deze met de werkzaamheden
voor het opstellen van de jaarrekening. Daarnaast is
het nog onzeker of wij daarbij al kunnen beschikken
over een ondersteunend informatiesysteem, en zo ja
in welke mate de organisatie al in staat zal zijn om met
dat systeem te werken. Zo nodig vallen wij terug op de
methodiek die is gehanteerd bij de risico-inventarisatie
in 20XX/20XX. Hierdoor is het niet geheel zeker dat het
risicoprofiel al over de volle breedte zal voldoen aan de
daaraan op termijn te stellen eisen.
Risicomanagement meer dan de som der delen
123
Bijlage 12:
Begrippenlijst
BBV
Besluit begroting en verantwoording provincies en gemeenten
Beheersmaatregelen
Het stelsel van maatregelen en procedures die worden genomen om de
onderkende risico’s te ondervangen dan wel om opkomende risico’s te
signaleren en het effect hiervan te beperken
COELO
Centrum voor Onderzoek van de Economie van de Lagere Overheden
(COELO) heeft verschillende onderzoeken op het gebied van risico’s
en weerstandsvermogen verricht bij de lagere overheden. Uit
deze onderzoeken is een hulpmiddel voor weerstandsvermogen
ontworpen wat gebaseerd is op een technische analyse van de
onderzoeksresultaten.
Continue Verbetering
Binnen het proces van risicomanagement ervaringen implementeren
om steeds scherper risico’s te identificeren en kwantificeren zodoende
betere beheersmaatregelen te ontwikkelen
Cultuurverandering
Proces van implementatie en acceptatie van risicomanagement
Financiële Positie
De financiële positie is het vermogen van een organisatie - in
relatie tot de exploitatie en met inachtneming van de risico’s - haar
beleidsvoornemens te kunnen uitvoeren, zowel op de korte als lange
termijn.
Frequentie
Governance
het verwacht aantal keren dat een risico zich voordoet
Het waarborgen van de onderlinge samenhang van de wijze van
sturen, beheersen, en toezicht houden van een organisatie, gericht op
een efficiënte en effectieve realisatie van doelstellingen, alsmede het
daarover op een open wijze communiceren en verantwoording afleggen
ten behoeve van belanghebbenden
Governance-cyclus
Viertal processen (sturen, beheersen, verantwoorden en toezicht) gericht
op de interne en externe organisatie voor de lange en korte termijn
Impact
De effecten van een risico in financiële of andere zin
Kans
De kans dat een risico zich voordoet
NAR
Nederlands Adviesbureau voor Risicomanagement die een
risicomanagement systeem he eft ontwikkeld gebaseerd op benchmark
genaamd NARIS
Risico
Een risico wordt gedefinieerd als de kans op een gebeurtenis die een
negatief effect heeft op de (continuïteit van de) bedrijfsvoering: een
latent aanwezige, ongewenste implicatie van onzekerheid
Risicoanalyse
Het identificeren en kwantificeren van risico’s
Risicobeheersing
Door middel van beheersmaatregelen de risico's acceptabel houden
zodat het niet de continuïteit in gevaar brengt.
Risicomanagement
Het identificeren en kwantificeren van risico’s en het bepalen van
activiteiten die de kans van optreden en/of de gevolgen van risico’s
beheersbaar houdt
Risicomanagement proces
De activiteiten behorende tot risicomanagement in een proces met
opeenvolgende stappen: kaderstelling & strategie, risicoanalyse,
vaardigheden, monitoren resultaten, toezicht & toetsing en verbetering
124
Risicomanagement systeem
Systeem van elkaar opvolgende stappen om risicomanagement uit te
voeren: risicoanalyse, risicoweging, risicobeheersing, resterende risico’s
en dekking door weerstandscapaciteit
Risicoprofiel
Een overzicht van de risico's dat een organisatie loopt met daaraan
gekoppeld het financiële resultaat.
Risicoweging
Een financiële waarde toekennen aan het risico dat in overeenstemming
is met de kans dat het risico zich voordoet: kans * gevolg
Schade
De uitkomst van de som kans x frequentie x impact
Sturen
Alle activiteiten waarbij de gemeente richting geeft aan de methodiek
en systeem van risicomanagement
Toezicht
Alle activiteiten waarbij controle wordt uitgevoerd over de binnen de
kaders gestelde activiteiten
Verantwoorden
Verantwoording afleggen over de activiteiten die zijn uitgevoerd binnen
de kaders die zijn opgesteld onder beheersen
Weerstandscapaciteit
De weerstandscapaciteit van een organisatie wordt gedefinieerd als het
geheel van middelen en mogelijkheden om niet begrote, onvoorziene en
(mogelijk) substantiële kosten te dekken. De weerstandscapaciteit kan
zowel incidenteel als structureel van aard zijn
Weerstandsvermogen
Het weerstandsvermogen is de mate waarin financiële tegenvallers
kunnen worden opgevangen. Hierbij wordt de weerstandscapaciteit
afgezet tegen de risico’s die een gemeente loopt. Weerstandsvermogen
kan zowel een statisch als een dynamisch karakter hebben. Statisch
weerstandsvermogen is het vermogen om tegenvallers op te vangen
zonder dat dit tot beleidswijzigingen in het begrotingsjaar zelf leidt.
Dynamisch weerstandsvermogen is het vermogen om tegenvallers op te
vangen zonder dat dit consequenties heeft voor het beleid in meerdere
begrotingsjaren
Risicomanagement meer dan de som der delen
125
Bijlage 13:
Beknopte CV’s van de deelnemers aan het Handboek
Diana Boender, ambulancedienst ZHZ
Diana Boender was van 1990 tot en met 2006
werkzaam bij Deloitte accountants. Sinds haar
indiensttreding bij Deloitte is zij betrokken
geweest bij controles van gemeenten, variërend in
grootte van 10.000 tot 40.000+ inwoners. In haar
cliëntenportefeuille bevonden zich naast gemeenten
ook woningbouwverenigingen en stichtingen.
Binnen de vestiging Dordrecht Rijnmond-Rivierenland
was zij het aanspreekpunt op het gebied van
risicomanagement. In die hoedanigheid heeft zij een
cursus ‘risicomanagement / weerstandsvermogen en
de toezichthouder’ ontwikkeld welke landelijk aan alle
toezichthouders (ministerie van Binnenlandse Zaken en
Koninkrijksrelaties en alle provincies) is aangeboden.
Rob Janssens, gemeente Doetinchem
Rob Janssens is sinds 2001 concerncontroller van de
gemeente Doetinchem. Als hoofd van de eenheid
is hij direct verantwoordelijk voor de omvorming
van de middelenafdelingen tot vraaggerichte en
vakdeskundige afdelingen die ondersteunend zijn aan
integraal management en voor de ontwikkeling van de
controlfunctie binnen de gemeentelijke organisatie.
Sinds januari 2007 is Diana werkzaam bij de
Regio Zuid-Holland Zuid. Een gemeenschappelijke
regeling van 19 gemeenten, waarin de regionale
brandweer, de milieudienst, GGD en Regionale
Ambulancevoorziening zijn ondergebracht. Zij is daar
werkzaam als sectorcontroller voor de Regionale
Ambulancevoorziening en verricht projectmatige
opdrachten voor de Regiostaf.
Voordat Rob Janssens in dienst trad van de gemeente
Doetinchem was hij werkzaam bij de gemeente
IJsselstein als Directeur Centrale Staf Middelen /
Concerncontroller.
René Janssen, gemeente Enschede/gemeente
Almere
René Janssen is werkzaam bij de gemeente Almere
als concerncontroller. Daarvoor was hij jarenlang
concerncontroller voor de gemeente Enschede. Bij
de gemeente Enschede heeft hij zich actief bezig
gehouden met de ontwikkeling en implementatie
van risicomanagement. Zijn ervaringen op dit gebied
heeft hij actief uitgedragen in lezingen, presentaties en
bijeenkomsten rond risicomanagement bij gemeenten.
126
Tevens is hij in die rol direct verantwoordelijk voor de
actualisering van de planning en controlinstrumenten
vanwege invoering van het dualisme en vanwege de
(interne) organisatieontwikkeling. Doel: versterking
sturende rol gemeentebestuur (college en raad) en
ontwikkeling stuurbare organisatie algemeen.
Bert de Jong, gemeente Amersfoort
Bert de Jong heeft zich de afgelopen jaren actief
bezig gehouden met risicomanagement binnen de
gemeente Amersfoort. Eén van de terreinen waarop
hij risicomanagement vorm heeft gegeven is dat van
de Sociale Zekerheid. Gezien het feit dat dit een veld
is dat volop in beweging is (waaronder de nieuwe
Wet Sociale Werkvoorziening), is het vraagstuk van
risicomanagement zeer actueel te noemen.
Annemieke Jutte, gemeente Amersfoort
Annemieke Jutte is beleidsadviseur gemeentebrede
bedrijfsvoering bij de gemeente Amersfoort. Zij
houdt zich voornamelijk bezig met de ontwikkeling
en uitvoering van risicomanagement bij de gemeente
Amersfoort. Zo is zij medeontwikkelaar van het
raamwerk risicomanagement van de gemeente
Amersfoort. Tevens verzorgt zij regelmatig lezingen
en presentaties over risicomanagement in de publieke
sector.
Corné Kuijpers, gemeente Oosterhout
Corné Kuijpers is werkzaam bij de gemeente
Oosterhout als Senior Auditor bij het onderdeel
Bestuur Control & Advies. Vanuit deze functie treedt
hij op als adviseur voor onder meer de inrichting van
risicomanagement binnen de gemeente Oosterhout.
De gemeente Oosterhout is actief op verschillende
ontwikkelterreinen, zoals gebiedsontwikkeling en
samenwerking. Vanuit die optiek is een effectief
systeem van risicomanagement cruciaal te noemen.
Dick Maaskant, gemeente Roosendaal
Sinds 2000 is Dick Maaskant werkzaam bij de
gemeente Roosendaal als Concerncontroller. Vanuit die
functie is hij verantwoordelijk voor de bedrijfsvoering
van de gemeente. Hij is tevens lid van het Nederlands
Netwerk Risicomanagement (NNR), de Kenniskring
Risicomanagement en Weerstandsvermogen en
Kenniskring Auditing Door Overheid (KADO). Ook
neemt Dick Maaskant deel aan het PRIMO: het netwerk
voor risicomanagers in de publieke sector.
Kees Traas, gemeente Roosendaal
Kees Traas is sinds 1985 werkzaam bij de gemeente
Roosendaal. Op dit moment vervult hij depositie van
Financieel adviseur. Vanuit deze functie is hij nauw
betrokken bij de ontwikkeling van risicomanagement
binnen de gemeente. Ook is hij betrokken bij PRIMO
Nederland.
Jan Vermeule, gemeente Amersfoort
Jan Vermeule is werkzaam bij de gemeente Amersfoort
en houdt zich actief bezig met bedrijfsvoering en
risicomanagement. Hij is als adviseur betrokken bij het
sturen op risicomanagement en houdt zich tevens bezig
met andere aspecten van de bedrijfsvoering binnen de
gemeente Amersfoort.
Erik-Jan van Genderen, Regio ZHZ
Erik-Jan van Genderen is sinds 2005 concerncontroller
en tevens waarnemend directeur regiostaf bij de Regio
Zuid-Holland Zuid. Daarvoor was hij werkzaam bij de
Milieudienst Zuid-Holland Zuid die later is opgegaan
in de regio. Als concerncontroller moet hij in een
samenwerkingsverband van 19 gemeenten laveren
tussen de deelbelangen van deze gemeenten en het
collectieve belang, het borgen zorgvuldigheid van
processen, het creëren van draagvlak en verbinden
(zowel in- als extern). Tussen 1995 en 2004 is Erik-Jan
van Genderen werkzaam geweest bij Deloitte
Accountants.
Bij de gemeente Roosendaal is hij verantwoordelijk voor
de inrichting en uitwerking van risicomanagement.
Risicomanagement meer dan de som der delen
127
Hans Voesenek, gemeente Breda
Hans Voesenek is bij de gemeente Breda werkzaam
als hoofd van de afdeling Planeconomie. Deze
afdeling houdt zich bezig met het opstellen van
haalbaarheidsanalyses, grondexploitaties opstellen,
beheersen en bewaken. Vanuit die functie is hij
verantwoordelijk voor onder meer de risicobeheersing
en –verantwoording op grote infrastructurele projecten
en gebiedsontwikkeling binnen de gemeente Breda.
Hij is onder meer verantwoordelijk voor de invulling
van risicomanagement op dit gebied en is actief
betrokken geweest bij de (door)ontwikkeling van
risicomanagement binnen de gemeente Breda.
René Wiersma, gemeente Breda
René Wiersma werkt bij de gemeente Breda
als teamleider Control op het terrein van
gebiedsontwikkeling. De gemeente Breda is zeer
actief op het terrein van gebiedsontwikkeling en is
onder meer vanuit dat werkgebied intensief bezig
met risicomanagement. Hij is tevens betrokken bij de
gemeentebrede ontwikkeling van risicomanagement in
Breda.
128
Arie Wijten, gemeente Pijnacker-Nootdorp
Sinds 2005 vervult Arie Wijten de positie van
concerncontroller/directeur Middelen voor de
gemeente Pijnacker-Nootdorp. Daarvoor bekleedde hij
verschillende posities bij gemeenten, waaronder die van
concerncontroller/hoofd concernstaf van de gemeente
Westland. Vanuit die posities is hij actief betrokken bij
de ontwikkeling van de bedrijfsvoering bij gemeenten
en heeft hij invulling gegeven aan risicomanagement,
zowel aan de instrumentele kant als ook aan de
implementatiekant.
Naast zijn werk als concerncontroller is hij tevens
fractievoorzitter en gemeenteraadslid bij de gemeente
Westland voor het CDA. In die positie houdt hij zich
ook bezig met de portefeuille bedrijfsvoering.
Ministerie van Binnenlandse Zaken en
Koninkrijksrelaties
Het ministerie is ook betrokken geweest bij de
ontwikkeling en discussie rondom de totstandkoming
van de publicatie. Zij is ook aanwezig geweest bij de
rondetafelgesprekken met de deelnemers.
De auteurs
Frank van Kuijck, gevolmachtigde Deloitte
Frank is Partner bij Deloitte Accountants BV. In de
dagelijkse praktijk is Frank vanaf 1992 betrokken
bij organisatie in het Lokaal Bestuur (gemeenten
en provincies). Tot zijn cliënten behoren dan wel
behoorden gemeenten van circa 25.000 tot 200.000
inwoners. Frank heeft een ruime ervaring en affiniteit
met advisering op het terrein van risicomanagement,
projectbeheersing en opzet en uitwerking van
grondbeleid en –verslaggeving en verantwoording.
Daarnaast is Frank sinds 2006 eindverantwoordelijk
voor het Public Sector deel van het Accounting &
Auditing Center (AAC) van Deloitte in Rotterdam. Bij
het AAC worden de collega’s in de dagelijkse praktijk
voorzien van richtlijnen, instructies en informatie op
behulpzaam te zijn bij de veelheid aan wijzigingen in
de Public Sector bij onder meer gemeenten, provincies,
zorg, onderwijs, wonen en ruimte, rijksoverheid,
waterschappen, openbare orde en veiligheid en
stichtingen en verenigingen. Frank is als docent
verbonden aan de Universiteit van Tilburg. Ook heeft
Frank diverse publicaties op zijn naam staan met
betrekking tot BBV, verslaggeving, rechtmatigheid,
governance reeks en project control. Frank is
medeauteur van de Deloitte-uitgaven: ‘Een boekje open
over rechtmatigheid’, ‘Vooruit met rechtmatigheid’,
‘Een wijze raad’ en ‘Auditcommissie: de ogen en
oren van de gemeenteraad’, Grond(ig) beleid en
eindredacteur diverse handboeken jaarrekening
(Gemeenten, Onderwijs, Woningbouw en Zorg).
Rein-Aart van Vugt, gevolmachtigde Deloitte
Rein-Aart van Vugt is auditpartner bij Deloitte
Accountants B.V. Sinds 1991 is hij betrokken bij
de controle van onder andere gemeenten. Tot zijn
cliënten behoren gemeenten variërend in grootte van
10.000 tot 130.000 inwoners, Gemeenschappelijke
Regelingen, shared service centra, woningcorporaties,
welzijnsinstellingen, waterschappen en cliënten in de
profitsector.
Rein-Aart was betrokken bij adviesopdrachten op het
gebied van planning&control, Gemeenschappelijke
Regelingen, samenwerkingsovereenkomsten,
verbetertrajecten, productbegrotingen en
grondexploitaties. Daarnaast heeft Rein-Aart diverse
publicaties op zijn naam staan over rechtmatigheid,
Besluit begroting en verantwoording, de financiële
verordening ex. Artikel 212 Gemeentewet, fraude, audit
commissies en verbonden partijen. Hij is medeauteur
van de Deloitte-uitgaven ‘Een boekje open over
Rechtmatigheid’, ‘Vooruit met rechtmatigheid’, ‘Een
wijze raad’ en uit de serie Gemeente Governance is hij
medeauteur van het ‘Handboek Verbonden partijen’,
het ‘Handboek Fraude Gemeenten’ en ‘De jaarrekening.
Over al deze onderwerpen spreekt hij regelmatig op
seminars en congressen.
Rein-Aart is lid van het Platform Rechtmatigheid
Provincies en Gemeenten (PRPG) en participeert
in verschillende werkgroepen inzake governance,
verslaggeving en rechtmatigheid. Binnen Deloitte
is Rein-Aart lid van de kerngroep lokaal bestuur en
voorzitter van de branchegroep waterschappen.
Risicomanagement meer dan de som der delen
129
Arie Elsenaar, gevolmachtigde Deloitte
Arie Elsenaar is auditpartner bij Deloitte Accountants
B.V. Tot zijn cliënten behoren gemeenten
variërend in grootte van 25.000 tot 300.000
inwoners, provincie Gelderland en een aantal
gemeenschappelijke regelingen. Arie is tevens
voorzitter van de industrygroep lokaal bestuur en
binnen Deloitte verantwoordelijk voor gemeenten,
provincies, waterschappen, sociale zekerheid en
openbare orde en veiligheid. Vanuit die functie
onderhoudt hij de contacten met koepelorganisaties,
belangenverenigingen, Ministeries etc. Hij heeft tal van
publicaties op zijn naam staan.
Rob Dubbeldeman, director Deloitte
Rob Dubbeldeman is director binnen Deloitte
Consulting. Binnen Deloitte Consulting is Rob
verantwoordelijk voor de dienstverlening in het
Lokaal en Midden Bestuur. Het betreft hier de
dienstverlening voor gemeenten en provincies en
enkele uitvoeringsorganisaties van departementen. Rob
vult deze functie in vanuit zijn ruime werkervaring in
het publieke domein.
Naast de commerciÎle verantwoordelijkheid voor
de sector vult Rob tevens een actieve rol in bij het
projectmanagement van adviesopdrachten. Het
betreft doorgaans de rol van projectleiding of
kwaliteitsborging. Rob heeft een achtergrond in
bedrijfsvoeringsopdrachten, risicomanagement,
benchmarking en prestatiemanagement.
Rob Dubbeldeman heeft een groot aantal
100.000+ gemeenten mogen ondersteunen in
herstructureringsvragen binnen de ondersteunende
functies. Met name de financiÎle functie,
P&O-functie en facilitaire zaken. In het merendeel
van de opdrachten fungeerde de concerncontroller/
directeur concern als opdrachtgever. De achtergrond
van de opdrachten ligt vaak in een gewenste
kwaliteitsverbetering in combinatie met een
doelmatigheidsverbetering.
130
De geleverde ondersteuning beslaat het
proces van analyse/ontwerp tot aan het
effectueren en implementeren van voorgestelde
herstructureringsmaatregelen. In de analyse c.q.
ontwerpfase wordt uitvoerig stilgestaan bij het
organisatiemodel, procesinrichting, formatieve
bezetting en benodigde competenties.
Roelant Reijmerink, senior manager Deloitte
Roelant heeft ruime ervaring in de publieke sector
met vraagstukken op het gebied van bedrijfsvoering,
samenwerking en Shared Services. Hij is belast
met de leiding van zeer uiteenlopende opdrachten
in de publieke sector. Opdrachten veelal gericht
op integrale verbetering van de bedrijfsvoering
inclusief informatievoorzienig, planning & control
en optimalisatie van de informatievoorziening (w.ol
digitalisering). Daarnaast is Roelant een ervaren
onderzoeker en trekker op het terrein van shared
services in de publieke sector en samenwerking.
Bedreven in het begeleiden van bestuurlijke
besluitvorming en organisatieverandering.
Arjen Heinen, business analyst Deloitte
Arjen Heinen is Business Analyst bij Deloitte Consulting.
Hij maakt deel uit van de service line Shared Services
van Deloitte’s Consulting praktijk in Nederland. Arjen
houdt zich voornamelijk bezig met opdrachten in de
publieke sector. Hij heeft verschillende opdrachten
uitgevoerd voor gemeenten op het gebied van shared
services en samenwerking. Hij is tevens betrokken
bij het internationale netwerk voor shared services
voor Deloitte. Arjen heeft Financieel Management
gestudeerd aan Nyenrode Business Universiteit te
Breukelen en heeft tevens Commerciële Economie
gestudeerd in Utrecht. Hij is lid van Kennis Kring
Amsterdam.
Risicomanagement meer dan de som der delen
131
Deloitte Consulting B.V.
Orteliuslaan 1041
3528 BE Utrecht
Postbus 85104
3508 AC Utrecht
Tel: (030) 2995500
Fax: (030) 2995512
www.deloitte.nl
Deloitte verwijst naar Deloitte Touche Tohmatsu, een Swiss Verein, en haar netwerk van memberfirms. Elke memberfirm is een zelfstandige
juridische eenheid. Zie www.deloitte.com/about voor een gedetailleerde beschrijving van de juridische structuur van Deloitte Touche
Tohmatsu en haar memberfirms.
Deloitte is met ongeveer 5.000 medewerkers en kantoren in heel Nederland de grootste organisatie op het gebied van accountancy,
belastingadvies, consultancy en financiële advisering. Deloitte Nederland is een onafhankelijke memberfirm van Deloitte Touche Tohmatsu,
met 165.000 medewerkers en vestigingen in meer dan 140 landen.
© 2009 Deloitte, Member of Deloitte Touche Tohmatsu
Designed and produced by MCBD at Deloitte, Rotterdam.
9.001.027
De medewerkers van Deloitte zijn verbonden in een samenwerkingscultuur waarin integriteit, uitmuntende waarde voor markten
en cliënten, betrokkenheid bij elkaar en kracht door culturele diversiteit worden aangemoedigd. Hierin staan permanente educatie,
uitdagende ervaringen en verrijkende carrièremogelijkheden centraal. De medewerkers van Deloitte zetten zich met volle overtuiging
in om maatschappelijk verantwoord ondernemen te versterken, publiek vertrouwen op te bouwen en hun gemeenschappen positief te
beïnvloeden.
Related documents
Presentatie NAR risicomanagement 27 februari 2014, pptx, 1MB
Presentatie NAR risicomanagement 27 februari 2014, pptx, 1MB
Nieuwe website azM - Patientveiligheid.org
Nieuwe website azM - Patientveiligheid.org
Risicomanagement in de praktijk.NCD.16.3.2017.v2.pptx
Risicomanagement in de praktijk.NCD.16.3.2017.v2.pptx
Doelbewust managen is ook omgaan met risico`s
Doelbewust managen is ook omgaan met risico`s
Column
Column
De Raadgevers Bedrijfsjuristen
De Raadgevers Bedrijfsjuristen
Risicomanagement effectief invoeren
Risicomanagement effectief invoeren
onderlinge waterland Risicomanagement
onderlinge waterland Risicomanagement
van systeem naar gedrag
van systeem naar gedrag
Risicocultuur - Accent Organisatie Advies
Risicocultuur - Accent Organisatie Advies
Download
advertisement