Sinds de invoering van het Besluit Begroting en Verantwoording 2004 (BBV 2004) is risicomanagement bij gemeenten volop in beweging. De structurele verankering van risicomanagement vraagt echter om blijvende aandacht en omvat meer dan het uitvoeren van een eenmalig ‘kunstje’ of het opstellen van een weerstandsparagraaf.
Implementatie hoeft geen belemmering te zijn
De vraag is hoeveel inspanning het kost om risicomanagement in goede banen te leiden. Veel kleinere gemeenten vragen zich dan ook af waarom er, gelet op de eenvoudige structuur van de organisatie, een heel systeem moet worden ingericht, terwijl de risico’s in de weerstandsparagraaf zijn benoemd. In dit artikel zal worden beschreven hoe het proces van risicomanagement eruit ziet en waarom het belangrijk is om dit bij elke gemeente toe te passen. Wat de schrijvers laten zien, is dat door het slim inzetten van een aantal instrumenten de totale inspanning, om risico’s beheersbaar te houden, beperkt kan blijven. Vervolgens zal met behulp van een concreet praktijkvoorbeeld worden beschreven op welke wijze risicomanagement binnen de gemeente Westvoorne wordt aangepakt.
Frank Janse en A.H. Schreuders | 2006
Elke gemeente moet invulling geven aan het BBV 2004. Zo dient beleid te worden vastgesteld hoe met risico’s en risicomanagement om wordt gegaan. Tevens dient men jaarlijks een weerstandsparagraaf op te stellen in de beleidsbegroting waarin de benodigde weerstandscapaciteit wordt onderbouwd. Door middel van de implementatie van risicomanagement kan blijvend aan deze eisen worden voldaan. Naast het feit dat risicomanagement verplicht is krachtens het BBV 2004, zijn er ook tal van ontwikkelingen waarbij het nut van risicomanagement zich kan bewijzen. Neem bijvoorbeeld omvangrijke projecten waarbij tal van risico’s ontstaan, of de onzekerheden rondom de WMO. Door vooraf na te denken over de potentiële risico’s kan risicomanagement tevens als waardevol instrument worden ingezet om de doelen van de beleidsprogramma’s op een efficiënte manier te bereiken.
Zowel kleine als grote gemeenten hebben te maken met risico’s die de continuïteit van de bedrijfsvoering nadelig kunnen beïnvloeden. Door dergelijke risico’s in een zo vroeg mogelijk stadium te onderkennen en beheersmaatregelen te treffen, wordt veel ellende achteraf voorkomen. Veelal wordt vergeten dat wanneer deze risico’s zich manifesteren, de hele organisatie ontwricht kan raken, en de totale schade de kosten van maatregelen fors kunnen overstijgen.
Hoe diep als organisatie wordt ingezoomd op de risico’s is afhankelijk van het ambitieniveau dat wordt nagestreefd. Met andere woorden, beperken we ons tot het inventariseren van de belangrijkste toprisico’s, of willen we de onderste (en kleinste) steen boven hebben? Een belangrijk criterium hierbij is de beschikbare capaciteit aan mensen en middelen om de risicoprofielen actueel te houden en de beheersmaat-regelen voor de risico’s te monitoren.
De invulling van het risicomanagementproces
Risicomanagement is een cyclisch en dynamisch proces, gericht op het inzichtelijk en beheersbaar maken van de risico’s die de gemeente loopt. Risicomanagement bestaat als proces uit een aantal stappen: beleid – risicoidentificatie – risicoanalyse -risicobeoordeling – maatregelen ontwerpen – maatregelen implementeren – evaluatie en planning en de cirkel weer sluiten bij risicoidentificatie.
Na de implementatie van risicomanagement worden de stappen in de cyclus periodiek doorlopen. Door tal van ontwikkelingen kunnen er namelijk nieuwe risico’s ontstaan. Hierdoor treden veranderingen op in het risicoprofiel van de organisatie. Dit geeft aandat het proces dynamisch van karakter is.
Risicomanagementbeleid
Alvorens de risicomanagementcyclus wordt doorlopen, dient men stil te staan bij de wijze waarop als organisatie de cyclus wordt doorlopen. Dit wordt vastgelegd in het risicomanagementbeleid. Hierin worden de doelstellingen, ambitieniveau, taak- en verantwoordelijkheidsverdeling en andere spelregels bepaald voor de toepassing van risicomanagement. Hieraan dient de organisatie zich te conformeren.
Door deze zaken expliciet vast te leggen, wordt in het proces discussie achteraf over de kaders voorkomen. Met name de verantwoordelijkheidsverdeling is een belangrijk punt. Neem bijvoorbeeld het risico van het afgeven van garanties van enkele miljoenen euro’s door een medewerker. Een dergelijk risico betekent een forseoverstijging van de tekenbevoegdheid van de betreffende medewerker.
Ten aanzien van de verantwoordelijkheidsverdeling moet dan ook aansluiting worden gezocht bij de bestaande budgetterings- of mandateringsregelingen om de risico’s op een evenwichtige manier te verdelen binnen de organisatie. Onderstaand een voorbeeld van de verantwoordelijkheidsverdeling ten aanzien van risicomanagement:beleid bovenaan met daaronder een cyclus te beginnen met risicoidentificatie – risicoanalyse – risicobeoordeling – maatregelen ontwerpen – maatregelen implementeren – evaluatie en rapportage.
Risicoidentificatie & Risicoanalyse
De identificatie van risico’s omvat het inventariseren van de risico’s die de organisatieloopt. Vanuit integraal risicomanagement wordt hierbij ingezoomd op alle soorten risico’s die een organisatie kan tegenkomen in de bedrijfsvoering. Risicoanalyse betreft het inschatten van de kans op het optreden van de risico’s en de gevolgen die ontstaan wanneer de risico’s zich daadwerkelijk voordoen.
De basis voor adequaat risicomanagement wordt gevormd door een kwalitatiefrisicoprofiel. Een manier om op een eenvoudige manier te komen tot een eerste risicoprofiel is het organiseren van workshops. Met verschillende betrokkenen wordt nagedacht over de mogelijke risico’s en de wijze waarop deze kunnen worden ingeschat. Door de integrale betrokkenheid van verschillende sleutelfiguren in de organisatie wordt commitment bereikt over de inhoud van het risicoprofiel. Door middel van deze workshops worden in korte tijd de stappen van risico-identificatie enrisicoanalyse doorlopen.
Wanneer vanaf het begin de nadruk op een volledig en betrouwbaar risicoprofiel wordt gelegd, kan de inspanning na een eerste inventarisatie veelal beperkt blijven tot actualisatie. Dit kost relatief minder tijd, aangezien de nadruk primair ligt op het in kaart brengen van de wijzigingen.
Risicobeoordeling
De risicobeoordeling omvat het prioriteren van de risico’s. Dit maakt het mogelijk de risico’s te rangschikken op impact en/of omvang. Op een zogenaamde risicokaart wordt een goed beeld verkregen van de acute risico’s (hoge risicoscore). Daarnaast kunnen ook andere analyses inzicht geven in de toprisico’s die het eerste beheersbaar gemaakt moeten worden. Dit kunnen bijvoorbeeld risico’s zijn die de continuïteit van de organisatie belemmeren of risico’s die een negatieve invloed hebben op het imago.
Ontwerpen en implementeren van maatregelen
Een belangrijke stap in het risicomanagementproces is de risicobeheersing. Uiteindelijk is het in kaart brengen van de risico’s erop gericht dat de beschikbare capaciteit aan mensen en middelen zo efficiënt mogelijk wordt ingezet door het nemen van adequate beheersmaatregelen. De ontworpen beheersmaatregelen worden vervolgens geïmplementeerd. Risico’s zijn pas onder controle wanneer de maatregelen daadwerkelijk zijn geïmplementeerd en de verantwoordelijkheden zijn gekoppeld aan de uitvoering van de beheersmaatregelen. Daarom wordt deze stap als afzonderlijke processtap onderscheiden. Om de keuze voor maatregelen te vergemakkelijken en voortgang van de risicobeheersing te monitoren biedt ondersteunende software uitkomst. Aangezien beheersmaatregelen na verloop van tijd kunnen verlopen of het effect is uitgewerkt, is het van belang goed overzicht te houden op alle verrichte inspanningen.
Evaluatie en Rapportage
Het monitoren van het risicoprofiel en de werking van de beheersmaatregelen is van belang om te zien of de voorgaande stappen hun uitwerking hebben gehad.Het is voor de organisatie van belang om te weten welke risico’s zich daadwerkelijk hebben voorgedaan (en ook welke niet) en wat het effect is van de genomen beheersmaatregelen. Door hierover te rapporteren wordt er managementinformatie verkregen, zodat bijsturing kan plaatsvinden.
Op basis van deze informatie wordt de cyclus opnieuw doorlopen. Voor de evaluatie is het overigens aan te bevelen een schaderegistratie bij te houden van zowel de verzekerbare als de niet-verzekerbare risico’s. In de praktijk worden risico’s wanneer ze zich voordoen veelal verdoezeld in de afrekening van bijvoorbeeld een project en is dus sprake van een gemiste verbeterkans.
De vraag is, hoe vaak de risicomanagementcyclus moet worden doorlopen. Het BBV 2004 schrijft voor dat dit minimaal jaarlijks dient plaats te vinden. Er wordt echter aanbevolen om dit vaker te doen en dit te koppelen aan de bestaande planning- en controlcyclus.
Hiermee worden vaste momenten ingebouwd, waarop de risico’s nog eens kritisch tegen het licht worden gehouden. Bovendien wordt de aandacht voor risico’s scherp gehouden, wat het risicobewustzijn ten goede komt. De dynamiek van het risicoprofiel is echter ook bepalend voor de frequentie waarmee de cyclus wordt doorlopen. Bijvoorbeeld een risicogebied ‘grote projecten’ zal veel sneller leiden tot wijzigingen in het risicoprofiel, dan het gebied ‘meerjarenonderhoud groen’. In het laatste gevalvolstaat een actualisatie van eenmaal per jaar.
Aansturing van het proces
Risicomanagement moet zeker niet worden gezien als een extra taak. In principe zijn organisaties op vele fronten impliciet al bezig met het beheersen van risico’s, maar ontbreekt vaak het integrale overzicht. Denk hierbij aan inspanningen op het terrein van juridische kwaliteitszorg, interne controle, arbo et cetera. In dat opzicht valt er juist vanuit het oogpunt van efficiëntie flink wat winst te behalen door organisatiebreed te leren van elkaars kennis en ervaring. Daarnaast maakt risicomanagement onderdeel uit van het integraal management. In plaats van risicomanagement als een op zich- zelf staand fenomeen te beschouwen, dient het denken in termen van risico’s juist in de besluitvorming als afwegingscriterium teworden meegenomen. Door dit expliciet onder de aandacht te brengen, wordt tevens het risicobewustzijn vergroot, hetgeen de voortgang van het risicomanagement- proces alleen maar vergemakkelijkt.
Vanuit integraal risicomanagement wordt daarom ook niet gesproken over de functie van risicomanager. Dit zou namelijk betekenen dat de verantwoordelijkheid voor risico’s op een centrale plek in de organisatie wordt neergelegd. Integendeel, de verantwoordelijk voor de risico’s ligt primair in de lijn. Niettemin is het wel belangrijk om iemand te benoemen als risicomanagementcoördinator, die verantwoordelijkheid draagt voor het proces.
Hiermee is in de organisatie een duidelijk aanspreekpunt aanwezig op het moment dat er vragen ontstaan omtrent aspecten van risicomanagement. Bovendien wordt daardoor toegezien op het naleven van de afspraken die zijn gemaakt in het kader van risicomanagement.
In de praktijk valt de hoeveelheid inspanning om de functie van risicomanagement- coördinator in te vullen mee. Na een paar dagen opleiding, bedraagt de structurele inzet in de praktijk 0,1 tot 0,2 fte op jaarbasis. Daarnaast is het in een kleinere gemeente relatief makkelijk om zicht te houden op het organisatiebrede risicoprofiel.
De invulling van deze functie moet daardoor niet worden overschat. Het staat inverhouding tot de dynamiek waarmee het risicoprofiel aan verandering onderhevig is.Met behulp van ondersteunende software kan bovendien een aantal processtappengeautomatiseerd worden doorlopen, waaronder de identificatie en de analyse. Aan de hand van een gemeentelijke kennisdatabase waarin de kennis onderling wordt gedeeld, heeft men de beschikking over zo’n 95% van de bij gemeenten bekende risico’s en maatregelen.
Als kleine gemeente hoeft men dan niet zelf het wiel uit te vinden. Daarnaast wordt men in staat gesteld het integrale overzicht te houden op alle risicoprofielen binnen deorganisatie en hoeft men slechts te monitoren of de verantwoordelijke managers hunrisicoprofiel actueel houden en of er geen belangrijke risico’s buiten beeld blijven. Ditstelt de organisatie in staat om de verantwoordelijkheid op de juiste plek te houden.
Ook de berekening van het weerstandsvermogen wordt gezien als een tijdrovende klus. Hoe wordt op basis van de ingeschatte risico’s op een betrouwbare manier berekend hoeveel financiële middelen er noodzakelijk zijn? En hoe wordt bepaald of er voldoende weerstandsvermogen is? Ook hiervoor kan gebruik worden gemaakt van ondersteunende software.
Met behulp van een risicosimulatie kan eenvoudig worden berekend hoeveel geld deorganisatie nodig heeft om de risico’s financieel af te kunnen dekken en wordt tevens een weerstandsparagraaf gegenereerd. Door middel van een ingebouwde norm kan het weerstandsvermogen eenvoudig worden beoordeeld. Wanneer het risicoprofiel is vastgesteld, kan het weerstandsvermogen moeiteloos worden berekend.
Conclusie
Concluderend kan worden vastgesteld dat door de adequate inzet van een aantal (ondersteunende) instrumenten de hoeveelheid inspanning beperkt kan blijven. Met name voor kleine gemeenten hoeft de implementatie vanuit dit opzicht dan ook geen belemmering te zijn, mits een realistisch ambitieniveau wordt nagestreefd dat past bij de organisatie in kwestie. Bovengenoemde gestructureerde aanpak heeft zich in de praktijk bij tientallen gemeenten bewezen.
Casus Westvoorne
In de gemeente Westvoorne heeft men de beschreven aanpak gevolgd. De ervaringen zijn opgetekend naar aanleiding van een interview met mevrouw M.W.A. Kleingeld- Vinke, bureauhoofd financieel beleid en belastingen bij de gemeente Westvoorne.
‘De afdeling financiën heeft van oudsher met financiële risico’s te maken. Hierdoor legde de organisatie de totale verantwoordelijkheid voor het risicomanagement al vrij snel bij de afdeling financiën neer. Risicomanagement is echter een gezamenlijke verantwoordelijkheid. Een afdelingshoofd is verantwoordelijk voor de risico’s op zijn of haar afdeling en het nemen van maatregelen in dit kader.
Op basis van de theorie hadden wij al kaders bepaald en deze in een beleidsnotitie vastgesteld. Het ontbrak ons echter aan de kennis en instrumenten om het risicomanagementbeleid op een goede manier te implementeren. Een van de lastige aspecten aan de implementatie van risicobeleid is het bepalen welke risico’s bij de analyse worden betrokken. Hierin een balans kunnen vinden was een van de meest opvallende zaken in het traject. Deze balans kan overigens per afdeling verschillen, afhankelijk van de activiteiten van de afdelingen.
Voorafgaand aan de gehouden workshop is door de trainers eerst kennis overgedragen, zodat iedere deelnemer over een zekere basiskennis ten aanzien van risicomanagement beschikte. In een workshop met elkaar naar risico’s kijken is de afdelingshoofden erg goed bevallen. Beiden dragen in grote mate bij aan het verkrijgen van bewustzijn. Uit de analyse van de risico’s bleek dat een aantal risico’s door verschillende afdelingshoofden was ingebracht. Zo werden claims n.a.v. bouwvergunningen zowel door de afdeling Juridische zaken als door de afdeling Bouwzaken op de lijst gezet. Het gebruik van ondersteunende software brengt ‘dubbeltellingen’ aan het licht.
Doordat de rapportage over risicomanagement in de planning en controlcyclus is ondergebracht, komt deze meermalen voorbij in het jaar. Drie maal per jaar wordt een rapportage opgesteld, waarbij ook de nieuwe risico’s worden meegenomen. Dit dwingt enerzijds de organisatie (waaronder afdelingshoofden) blijvend aandacht te geven aan de beheersing van de risico’s, anderzijds wordt het bewustzijn daardoor in de gehele organisatie gewaarborgd.
De tijdbelasting valt mee, ik heb zelf intern een tweede workshop georganiseerd om een verdere stap te zetten op het gebied van risicomanagement. Zo is er een start gemaakt met het treffen van beheersmaatregelen. Soms komt er een aantal vragen uit de organisatie, maar over het algemeen valt dit mee. Door het bewustzijn op het gebied van risicomanagement en de rapportages die nodig zijn uit hoofde van de planning- en controlcyclus worden de meeste acties door de afdelingshoofden decentraal in de organisatie opgepakt.
Het daadwerkelijk benoemen van beheersmaatregelen is, vanwege andere activiteiten binnen de gemeente die prioriteit hadden, niet aansluitend aan de implementatie opgepakt. Wij gaan binnenkort daarom een tweede stap zetten: het invulling geven aan de beheersmaatregelen. Het vaststellen van het door ons ontwikkelde risicomanagementbeleid heeft gezorgd voor een toename van het risicobewustzijn in de organisatie.
Op basis van de risicokaart is een top 10 van risico’s vastgesteld. Over deze risico’s wordt periodiek gerapporteerd aan het management. Hierdoor leeft risicomanagement meer dan voorheen.’
Dit essay is eerder gepubliceerd in het B&G Magazine, 2006. Het is opgenomen in het e-boek Publiek Risico: 100 Essays met toestemming van BNG Bank.