BELEIDSKADER RISICOMANAGEMENT Provincie Drenthe

BELEIDSKADER RISICOMANAGEMENT Provincie Drenthe

Inhoudsopgave Voorwoord 1

2

3

4

5 6 7

Algemeen........................................................................................................................................ 4 1.1 Inleiding ................................................................................................................................... 4 1.2 Definitie risicomanagement ..................................................................................................... 4 1.3 Bereik....................................................................................................................................... 4 1.4 Opbouw document .................................................................................................................. 4 DOELSTELLINGEN, UITGANGSPUNTEN EN VERANTWOORDELIJKHEID............................. 5 2.1 Doelstelling .............................................................................................................................. 5 2.2 Beleidsuitgangspunten ............................................................................................................ 6 2.3 Verantwoordelijkheid ............................................................................................................... 7 PROCES RISICOMANAGEMENT.................................................................................................. 8 3.1 Inleiding ................................................................................................................................... 8 3.2 Toelichting proces risicomanagement ..................................................................................... 8 INTERNE BEHEERSING .............................................................................................................. 12 4.1 Weerstandscapaciteit ............................................................................................................ 12 4.2 Incidentele weerstandscapaciteit........................................................................................... 13 4.3 Structurele weerstandscapaciteit........................................................................................... 13 4.4 Weerstandsvermogen ........................................................................................................... 13 4.5 Beleidsregels Weerstandsvermogen..................................................................................... 13 Organisatie ................................................................................................................................... 15 5.1 Verantwoordelijkheid & Taken............................................................................................... 15 HOOFDLIJNEN RISICOMANAGEMENTBELEID........................................................................ 17 BIJLAGE ....................................................................................................................................... 18 A. Format risicobepaling ................................................................................................................ 18 B. Berekening risico-analyse ......................................................................................................... 19 C. Definities risicobeheersing......................................................................................................... 20

2

Voorwoord Voor u ligt het risicomanagementbeleid van de provincie Drenthe. Dit beleid vormt het kader voor de manier waarop de provincie Drenthe wil omgaan met risicomanagement en het gewenste weerstandsvermogen, alsook continue verbetering op het gebied te bewerkstelligen. In dit beleidsdocument leggen wij vast wat wordt verstaan onder risicomanagement, hoe risicomanagement binnen de provincie is vormgegeven, wie wij hierbij betrekken en welke procesmatige aanpak hiervoor wordt gehanteerd. Namens de directie

3

1 1.1

ALGEMEEN Inleiding

De directie en het managementteam (MT) van de provincie Drenthe onderkennen de waarde van goed public governance voor de organisatie. Public governance vraagt om de ontwikkeling van een instrument dat inzicht biedt in de waarborging van de realisatie van beleidsdoelstellingen en een gezonde financiële positie. In dit document is het instrument vastgelegd en wordt verder benoemd als het beleidskader risicomanagement van de provincie Drenthe. Dit kader wordt gevormd door de vastlegging van de uitgangspunten van beleid, de inrichting van de beveiligingsorganisatie en de beschrijving van de processtappen die cyclisch in de tijd worden doorlopen. Daarnaast wordt met dit beleidskader deels uitvoering gegeven aan Motie 14 (3 december 2008); onderbesteding geeft aanleiding tot het zorgvuldiger omgaan met risico’s. In deze motie wordt door Provinciale Staten geconstateerd dat er bij de provincie veelvuldig sprake is van onderbesteding. Deels door te behoedzaam te budgetteren. Om onderbesteding zo veel mogelijk te vermijden, wordt continu aandacht besteed aan het scherp plannen en begroten. Ook vindt scherpere sturing in de planning & control cyclus plaats, waardoor meer risico’s dan voorheen genomen worden. Het risicobewustzijn stimuleren en vergroten verdient ook in dit kader extra aandacht.

1.2

Definitie risicomanagement

Risicomanagement is het continu en systematisch doorlopen van de organisatie op risico’s, met als doel de gevolgen ervan te voorkomen of te vermijden en de kans erop verkleinen of op een andere manier beheersbaar maken. 1.3

Bereik

Het beleidskader risicomanagement is een constant document waarmee de kwaliteit van het risicomanagement in de organisatie wordt gewaarborgd. Het beleidskader risicomanagement kan niet los worden gezien van al bestaand beleid op het gebied van governance, zoals bijvoorbeeld het informatiebeveiligingsbeleid. De maatregelen om risico’s te beheersen worden voortdurend door de managers van de afdeling en hoofden van eenheden gemonitord. 1.4

Opbouw document

In hoofdstuk 2 worden de doelstellingen, uitgangspunten en verantwoordelijkheid beschreven. In hoofdstuk 3 wordt het proces van risicomanagement toegelicht, waarbij de verschillende stappen in het proces zoals risico inventarisatie, risico analyse, beheersing, implementatie, bewaking, evaluatie en rapportage beschreven worden. Risicomanagement beoogt mede de interne beheersing te vergroten, hetgeen in hoofdstuk 4 aan bod komt. Hierbij is er in het bijzonder aandacht voor de weerstandscapaciteit- en vermogen. Ten slotte wordt in hoofdstuk 5 de organisatie rondom risicomanagement toegelicht. Hierin worden de actoren en hun taken toegelicht.

4

2

2.1

DOELSTELLINGEN, UITGANGSPUNTEN EN VERANTWOORDELIJKHEID

Doelstelling

De doelstelling van het risicomanagementbeleid van de provincie Drenthe luidt: ‘Het bereiken van een optimale interne beheersing van processen door middel van het beheersen van beleidsrisico’s en financiële risico’s’. Optimale interne beheersing van processen zowel op beleidsmatig als financieel vlak

Beheersen van beleidsrisico’s

Beheersen van financiële risico’s (Risicoparagraaf en weerstandsvermogen)

De doelstelling is te verdelen in twee subdoelstellingen: het beheersen van beleidsrisico’s en beheersen van financiële risico’s. Voor beiden geldt dat inzicht in de risico’s die de provincie loopt, begint bij het beïnvloeden van het risicobewustzijn van de medewerkers. Als zij bewust zijn van mogelijke risico’s in hun dagelijkse werkzaamheden, zal het inzicht in risico’s toenemen en kan proactief ingespeeld worden op risico’s zodat deze vroegtijdig beheersbaar kunnen worden gemaakt. Op die manier kunnen risico’s integraal worden benaderd door een beheersing van de processen, zowel in de beheersing van de financiële als de beleidsrisico’s. Hiermee is risicomanagement, met name vanwege de integrale aanpak, een verbreding van het bestaande risicobeheer (vooral juridisch en financieel) dat al plaatsvindt binnen de provincie. Integraal risicomanagement dient bovendien geïntegreerd te worden in de planning & control cyclus (waaronder ook de beleidscyclus) en is onderdeel van integraal management. Beheersen van beleidsrisico’s Risico’s die niet in financiële termen zijn uit te drukken behoren tot de beleidsrisico’s. Hierbij kan bijvoorbeeld gedacht worden aan imago risico’s. Beheersing van de financiële risico’s Het doel van risicomanagement is ook om te voldoen aan de wettelijke verplichting (BBV) ten aanzien van het opnemen van een risicoparagraaf en weerstandsvermogen in de begroting. Het weerstandsvermogen bestaat uit de relatie tussen de weerstandscapaciteit; de middelen en mogelijkheden waarover de provincie beschikt of kan beschikken om niet begrote kosten te dekken en alle risico’s waarvoor geen maatregelen zijn getroffen en die van materiële betekenis kunnen zijn in relatie tot de financiële positie.

5

2.2

Beleidsuitgangspunten

Het managen en beheersen van risico’s maakt onderdeel uit van integraal management. Toelichting: de manager moet daartoe kunnen beschikken over de nodige tools en kennis, specifiek voor de diverse managementtaken, waarvan het managen van risico’s er één is. Integraal risicomanagement wordt gecoördineerd vanuit de directie en dient volledig geïntegreerd te worden in de reguliere Planning en Control cyclus van de provincie. Toelichting: over de voortgang van de activiteiten op het gebied van risicomanagement, die opgenomen zijn in het beleid, wordt door de betrokken afdelingen en eenheden, naar gelang het betreffende risico, via een instrument van de sturingscyclus gerapporteerd aan de directie van de provincie Drenthe. Het beleid is van toepassing op alle bij de provincie Drenthe werkzame (interne en externe) medewerkers en bestuurders, zodat een ontwikkeling van het risicobewustzijn in de organisatie plaatsvindt. Toelichting: het gewenste resultaat van implementatie van het risicomanagementbeleid kan alleen worden bereikt indien het bindend is voor alle medewerkers die werkzaam zijn bij de provincie Drenthe. Afwijking van het beleid door medewerkers vereist toestemming van de directie van de provincie Drenthe. Toelichting: indien en voor zover noodzakelijk kan (beargumenteerd) van het beleid worden afgeweken na schriftelijk toestemming van de directie. Risicomanagement is een lijnverantwoordelijkheid. Toelichting: risicomanagement is onderdeel van integraal management. De manager van de afdeling en hoofd van de eenheid is verantwoordelijk voor de naleving van het risicomanagementbeleid en de getroffen maatregelen. Er zijn richtlijnen, normen en maatregelen ontwikkeld ter ondersteuning van het beleid. Toelichting: om de vertaalslag te maken van het risicomanagementbeleid naar de implementatie is het actueel houden van richtlijnen, normen en maatregelen noodzakelijk. Iedere maatregel tbv een risico moet controleerbaar zijn. Toelichting:maatregelen waarvan de naleving niet goed is te handhaven kunnen aanleiding geven tot ontwijkend gedrag, wat impliceert dat de maatregelen niet effectief zijn. Bij iedere maatregel wordt vooraf nagegaan op welke wijze de naleving en het functioneren kan worden gecontroleerd. De provincie Drenthe bevordert actief het risicobewustzijn van medewerkers en haar bestuurders. Toelichting: inzicht in de risico’s die de provincie loopt, begint bij het beïnvloeden van het risicobewustzijn van de medewerkers. Over de voortgang van de activiteiten op het gebied van risicomanagement, die opgenomen zijn in het beleid, wordt door de betrokken afdelingen en eenheden, naar gelang het betreffende risico, via een cyclus van de sturingscyclus gerapporteerd aan de directie van de provincie Drenthe. Toelichting: inbedding in de sturingscyclus zorgt voor verankering van risicomanagement in de provinciale organisatie.

6

2.3 Verantwoordelijkheid De algehele, organisatiebrede verantwoordelijkheid voor risicomanagement is belegd bij de directie. In hoofdstuk (5) organisatie risicomanagement is dit nader gespecificeerd. Een portefeuillehouder in GS is bestuurlijk gezien eindverantwoordelijk.

7

3 3.1

PROCES RISICOMANAGEMENT Inleiding

Het proces van risicomanagement is opgehangen aan de kwaliteitscirel van Deming; Deze kwaliteitscirkel is opgedeeld in een viertal processtappen Plan-Do-Check-Act. Deze processtappen vormen een sluitend proces met een begin en een einde gericht op een constante kwaliteitsverbetering. Bij de provincie Drenthe geldt de Deming cirkel als algemeen geaccepteerd proces metamodel.

Act

Check 3.2

Plan

Do

Toelichting proces risicomanagement

We kunnen de volgende stappen onderscheiden in het proces van risicomanagement: 1. risico inventarisatie (act) 2. risico analyse (plan) 3. risicobeoordeling (plan) 4. beheersing (plan/do) 5. uitvoering (do) 6. bewaking (check) 7. rapportage & evaluatie (check) Schematisch kan dit proces als volgt worden weergegeven:

8

Risicomanagementbeleid

Act

Omgeving Algemeen beleid Provincie Drenthe Externe wet- & Regelgeving

Plan 1. Risico inventarisatie (en bijstelling risico’s)

2. Risico analyse

3. Beoordeling risico

Communicatie 7. Evaluatie en rapportage

6. Bewaking

Check

4. Maatregelen

5. Uitvoering

Do

1. Risico inventarisatie Er wordt binnen de provincie Drenthe gebruik gemaakt van een concernbreed risicobeheersplan. Middels een risico-inventarisatie format (zie bijlage A) kan de integrale risicomanager snel inzicht krijgen in de volgende onderdelen:
Risico: In dit onderdeel worden alle specifieke kenmerken van het risico benoemd;
Beheersmaatregelen: In dit onderdeel worden alle specifieke beheersmaatregelen benoemd;
Monitoring: In dit onderdeel worden alle specifieke monitoringsaspecten benoemd;
Beleidstekst: In dit onderdeel wordt de beleidstekst voor begroting, jaarrekening en overige P&C-documenten geleverd. Bovendien worden de programma’s en doelen aan de risico’s gekoppeld. In het systeem van risicomanagement dat door de organisatie wordt gehanteerd, worden risico’s onderscheiden en gerubriceerd in 8 soorten, te weten: 1. Imago/politiek 2. Materieel 3. Milieu 4. Informatie/strategie 5. Personeel/arbo 6. Juridisch/aansprakelijkheid 7. Product 8. Financieel

9

2. Risico analyse Tijdens de risico-analyse worden de geïnventariseerde risico’s naar omvang gewaardeerd en beoordeeld. Het waarderen vindt plaats door enerzijds een score toe te kennen aan de kans van een optreden van een risico en anderzijds aan de gevolgen (schade). Beoordeling van risico’s wordt mogelijk gemaakt door de toegekende scores aan de kansen en gevolgen met elkaar te vermenigvuldigen. De risico’s worden zowel kwalitatief (in tekst) als kwantitatief beoordeeld. De uitkomsten worden uiteindelijk in een risicokaart verwerkt (zie bijlage C als voorbeeld).

3. Risicobeoordeling De fase van risicobeoordeling vindt plaats na identificatie en het analyseren van de risico’s. Het geven van feedback bepaalt de inhoudelijke beoordeling. Feedback wordt gegeven op de eerste twee fasen van de risicomanagementcyclus en bestaat uit een viertal onderdelen: − Kwalitatieve beoordeling: inschatting van kansen en gevolgen − Volledigheid: in deze fase wordt gekeken of de belangrijkste risico’s in kaart zijn gebracht. − Uniformiteit: controleren of de risico’s binnen de organisatie op eenduidige wijze in kaart zijn gebracht. − Juistheid: klopt de informatie. In de fase van risicobeoordeling vindt ook de prioritering van risico’s plaats. De risico’s worden geprioriteerd op basis van de risicoscore (zie bijlage B).

4. Beheersing Om een risico te kunnen beheersen, zullen voor ieder geïdentificeerd risico beheersmaatregelen genomen moeten worden. Afhankelijk van de omvang en het soort risico kan gekozen worden voor de volgende risicobeheersingstrategieën, te weten: 1. Vermijden 2. Verminderen 3. Overdragen 4. Accepteren In bijlage D worden deze definities toegelicht. In de risico-inventarisatie worden de risico’s gekoppeld an de bovengenoemde beheersmaatregelen. In de paragraaf weerstandsvermogen worden risico’s gepresenteerd die niet kunnen worden vermeden, risico’s die al dan niet verminderd kunnen worden en risico’s die worden geaccepteerd. 5. Uitvoering Na het ontwerpen van de maatregelen worden deze geïmplementeerd. De verantwoording voor het implementeren van de maatregel ligt bij de manager van de afdeling en hoofd van de eenheid die primair verantwoordelijk is voor het risico waar de maatregel op van toepassing is. De risicomanagementcoördinator ondersteunt de manager/het hoofd bij deze invoering. 6. Bewaking Risicomanagement is een lijnverantwoordelijkheid. Dit houdt ook in dat de bewaking van maatregelen bij de managers en hoofden ligt. De managers en hoofden dienen ervoor zorg te dragen dat de in het beleidskader risicomanagement geformuleerde beleidsuitgangspunten, en daaraan gekoppeld de maatregelen, als integraal onderdeel van hun bedrijfsvoering is meegenomen. 7. Rapportage en Evaluatie Structureel wordt er op twee manieren over risico’s gerapporteerd. Via elk GS-stuk en via de producten uit de begrotingscyclus (planning & control). In zowel het GS-stuk als de planning & control

10

producten is er een aparte risicoparagraaf opgenomen. Daarnaast vindt eens per drie jaar een evaluatie plaats naar de werking van het risicomanagementbeleid. Rapporteren risico’s van GS-stuk Bij het opstellen van een GS-stuk is een vast op te nemen onderwerp risico’s. In het niet openbare gedeelte van het GS-stuk is de risicoparagraaf opgenomen waarin moet worden aangegeven of het wel/niet uitvoeren van het GS-stuk, juridische, bestuurlijke, milieu of financiële risico’s met zich meebrengt. Rapporteren via begrotingscyclus Op basis van de begrotingscyclus (planning & control) worden risico’s en beheersmaatregelen periodiek geïnventariseerd en geactualiseerd. Deze geïnventariseerde risico’s worden opgenomen in de producten van de begrotingscyclus. In de P&C producten wordt over risico’s het volgende gerapporteerd:
De omschrijving van het risico;
De aard van het risico (incidenteel of structureel);
Het potentieel gevolg van het risico en de kans;
De te treffen of reeds getroffen maatregelen om het risico te beheersen;
Looptijd van het risico;
De actuele stand van zaken. Er zijn richtlijnen opgesteld wanneer een risico wel of niet genoemd moet worden in de planning & control producten. De volgende richtlijnen gelden voor de provincie: 1. In de risicoparagraaf worden alleen strategische risico’s behandeld; 2. De toelichting van de risico’s is kwalitatief in de begroting, bestuursrapportages en jaarrekening en indien mogelijk kwantitatief; 3. De omvang van de weerstandscapaciteit wordt overzichtelijk gepresenteerd, alsmede de omvang van het weerstandsvermogen (verhouding tussen de weerstandscapaciteit en het risicoprofiel) en de ratio weerstandsvermogen; Evaluatie Minimaal eens per drie jaar wordt een evaluatie gehouden onder de coördinatie van de coördinator risicomanagement. Deze evaluatie richt zich op het risicomanagementbeleid. In deze evaluatie wordt de vraag beantwoord of het beleid dient te worden bijgesteld. De bevindingen en aanbevelingen vanuit de evaluatie worden meegenomen in de processtap ‘(bijstellen) minimumniveau’. Het resultaat van de beoordeling bepaalt voor welke risico’s en met welke prioriteit, maatregelen moeten worden bijgesteld.

11

4

INTERNE BEHEERSING

Een van de doelen van risicomanagement is het voldoen aan de wettelijke verplichting (BBV) ten aanzien van een risicoparagraaf en weerstandsvermogen. Met het invulling geven aan risicomanagement beoogt de provincie Drenthe de paragraaf Weerstandsvermogen transparanter te maken. Het kwantificeren van risico’s en herbereken van het weerstandsvermogen maakt hier onderdeel van uit. Om het weerstandsvermogen te kunnen beoordelen is het van belang de aanwezige weerstandscapaciteit te analyseren in samenhang met de omvang en de achtergronden van de risico’s. Wanneer een financiële tegenvaller zich voordoet, wordt vóórdat een beroep gedaan wordt op de weerstandscapaciteit, allereerst beoordeeld of deze tegenvaller binnen het Rekeningresultaat opgevangen kan worden. In de praktijk blijkt dat dit in de meeste gevallen mogelijk is. Indien dit niet mogelijk blijkt, zal aan Provinciale Staten voorgesteld worden een beroep te doen op de Weerstandscapaciteit. Hoe dit in zijn werk gaat, wordt in dit hoofdstuk in paragraaf 4.5. beleidsregels weerstandsvermogen weergegeven. Weerstandsvermogen als afgeleide van risicomanagement staat hieronder schematisch weergegeven:

Risico’s: - juridisch - financieel - etc.

Weerstandscapaciteit - Risicoreserve

Bruto risicoprofiel: Beheersmaatregelen - verzekeringen - AO/IC - Voorzieningen etc Netto risicoprofiel

Weerstandsvermogen

4.1 Weerstandscapaciteit Onder weerstandscapaciteit verstaat het BBV de middelen en mogelijkheden waarover de provincie beschikt om niet-begrote kosten te dekken. In de begroting van de provincie Drenthe wordt in de paragraaf Weerstandsvermogen de benodigde weerstandscapaciteit op een tweetal manieren berekent. Enerzijds op basis van een kwantificering van de geïdentificeerde risico’s en anderzijds door het toepassen van de door de accountant gehanteerde vuistregel. De accountant hanteert als

12

vuistregel te beschikken over een weerstandscapaciteit van 10% van de totale lasten van de begroting. De veronderstelling is dat naarmate de lasten in de Begroting toenemen, de risico’s vaak ook groter zijn. Het streven is door een meer integrale aanpak van risicomanagement, meer inzicht te krijgen in risico’s die de provincie loopt. Op basis van dit inzicht worden de risico’s vervolgens gekwantificeerd. Dit zal uiteindelijk leiden tot een meer transparante paragraaf Weerstandsvermogen. De beschikbare weerstandscapaciteit van de provincie Drenthe bestaat uit een incidentele en een structurele weerstandscapaciteit. 4.2 Incidentele weerstandscapaciteit De incidentele weerstandscapaciteit is het vermogen dat ingezet kan worden om eenmalige tegenvallers op te vangen. De incidentele weerstandscapaciteit wordt in Drenthe bepaald door de Risicoreserve. Deze reserve is ingesteld om incidentele tegenvallers op te vangen, die niet door een specifieke voorziening worden afgedekt. De reserve is op 1 januari 2009 ingesteld ter grootte van € 19 miljoen. Aan de hand van de risico-inventarisatie zal jaarlijks bekeken worden in hoeverre de weerstandscapaciteit in de toekomst bijgesteld dient te worden. De provincie Drenthe beschikt ook over een aantal bestemmingsreserves. Alle bestemmingsreserves zijn door PS bestemd voor een bepaald doel. Alleen voor het afgesproken doel mogen bestedingen plaatsvinden. Gezien het feit dat bestemmingsreserves bedoeld zijn voor een specifiek doel, worden deze niet meegenomen bij de bepaling van de (incidentele) weerstandscapaciteit. 4.3 Structurele weerstandscapaciteit Met de structurele weerstandscapaciteit worden de middelen bedoeld die permanent ingezet kunnen worden om tegenvallers in de lopende exploitatie op te vangen, zonder dat dit ten koste gaat van de uitvoering van bestaande taken. De structurele weerstandscapaciteit van de provincie Drenthe bestaat uit de post onvoorziene uitgaven binnen het begrotingsprogramma Financiering en algemene dekkingsmiddelen, ten bedrage van structureel € 450.000. De onbenutte belastingcapaciteit wordt meegenomen bij de bepaling van de structurele weerstandscapaciteit. 4.4 Weerstandsvermogen Onder weerstandsvermogen wordt de relatie tussen de weerstandscapaciteit en de risico’s verstaan. Door aandacht te vestigen op het weerstandsvermogen kan worden voorkomen dat elke financiële tegenvaller dwingt tot bezuinigen. Voor het beoordelen van de robuustheid van de begroting is inzicht nodig in de omvang en achtergronden van de risico’s en de aanwezige weerstandscapaciteit. Om risico’s te kunnen dragen dient de provincie over voldoende vrij vermogen te beschikken. Om te komen tot de bepaling van dit vermogen is het dus van belang een eenduidige begripsbepaling over risico’s en weerstandscapaciteit te hanteren. Voor de berekening van het weerstandsvermogen is inzicht benodigd in de incidentele en de structurele weerstandscapaciteit in relatie tot de risico’s. 0,) 20092010 2011 2012 4.5 Beleidsregels Weerstandsvermogen Peildatum weerstandsvermogen De organisatie dient een actueel overzicht te kunnen bieden van de omvang van het weerstandsvermogen. Dit wordt in ieder geval twee keer in het jaar, bij de jaarrekening en begroting, geactualiseerd. Door continue aandacht te schenken aan de inventarisatie van risico’s en de weerstandscapaciteit, vindt adequate monitoring plaats. Dit maakt het mogelijk de verhouding risico’s in relatie tot de weerstandscapaciteit op peil te houden. Hoogte weerstandsvermogen in relatie tot risico’s Het is zeer onwaarschijnlijk dat alle risico’s die zijn geïnventariseerd, allemaal tegelijk en met een maximale omvang zullen optreden. Bij de kwantificering van de risico’s wordt hiermee rekening gehouden.

13

Betrokkenheid externe partijen bij risico’s Externe partijen kunnen een belangrijke rol spelen bij het beheersen van risico’s. In positieve zin kunnen deze partijen (o.a. samenwerkingsverbanden en gemeenschappelijke regelingen) bijdragen aan het beperken van de financiële impact van risico’s voor de provincie. Vaak is dit, naast de doelstellingen van de derde partij, voor de provincie ook een beweegreden om zo een dergelijk verbintenis aan te gaan. In negatieve zin kunnen externe partijen echter ook een rol spelen. Zij kunnen bijvoorbeeld dankbaar gebruik maken van informatie die de provincie in haar stukken verwerkt over risico’s die gepaard gaan met beleidsuitvoering. Het is dus aan de provincie gelegen om een restrictief beleid te voeren op het prijsgeven van dit soort gevoelige informatie. De regel is hierbij dat de juristen op de hoogte moet zijn van alle claims en aansprakelijkheidsstellingen door derden. Wanneer over dit soort zaken extern gerapporteerd wordt in het kader van risicomanagement, wordt alle informatie door juristen gescreend op gevoeligheid en vervolgens al dan niet vrijgegeven. Aanwending van de weerstandscapaciteit Wanneer risico’s geëffectueerd worden en de provincie succesvol aansprakelijk wordt gesteld zal er betaald moeten worden door de provincie. In zo’n geval wordt de financiële positie van de provincie aangetast en moeten maatregelen worden getroffen om de gewenste situatie weer te bereiken, al dan niet op langere termijn. Het volgende is van toepassing met betrekking tot risicobeheer: 1. Allereerst worden tijdig beheersmaatregelen genomen; 2. Indien beheersmaatregelen niet werken, dan zal de risicoreserve worden aangesproken. In elk gekozen geval dat de financiële positie van de provincie wordt aangetast, dient het weerstandsvermogen weer op peil te worden gebracht.

14

5

5.1

ORGANISATIE

Verantwoordelijkheid & Taken

De verantwoordelijkheid voor de uitvoering van het risicomanagement bij de Provincie Drenthe is belegd bij verschillende actoren. Deze actoren tezamen vormen de risicomanagement organisatie. Hieronder zijn de actoren benoemd en de taken gedefinieerd. Vervolgens zijn in een overzicht de actoren en de taken aan elkaar gekoppeld, waaruit af te leiden is welke actor waarvoor verantwoordelijk is. Actoren De volgende actoren zijn te benoemen:
Bestuur
Directie
Concernstaf
Managers&hoofden
Coördinator risicomanagement
Accountteam Management Ondersteuning Taken Uitgaande van de beleidsmatige cyclus van risicomanagement wordt onderscheid gemaakt naar de volgende taken: Beleidsvoorbereiding Het formuleren en opstellen van het risicomanagementbeleid en voorbereidingen treffen voor implementatie van het beleid in de organisatie; Beleidsbepaling Het aangeven van richting waar het risicomanagement beleid aan moet voldoen. Besluitvorming Vaststellen van het risicomanagementbeleid en wijzigingen daarop. Coördinatie Coördineren van activiteiten met betrekking tot risicomanagement binnen de provincie Drenthe; Adviseren van het MT met betrekking tot risicomanagement ; Uitvoeren van interne audits op basis van een hiervoor opgesteld controleplan; Rapporteren aan de directie en het MT, onder andere over naleving van het risicomanagementbeleid, de voortgang van de implementatie van maatregelen tbv risicomanagement en over de uitkomsten van interne auditsscreenings en externe audits; Onderhouden van interne en externe contacten op het terrein van risicomanagement. Beheren van het risicomanagementbeleid; Beheren van de regelgeving met betrekking tot risicomanagement. Communicatie Bevorderen van het bewustzijn voor risicomanagement bij bestuurders, managers, hoofden en medewerkers van de provincie Drenthe. Controle Toezien op de naleving van regelgeving door de medewerkers van de afdeling/eenheid en toezien op naleving van getroffen maatregelen; Bewaken van risico’s met betrekking tot eigen beleidsterreinen. Control Coördineren externe audits, die door de externe auditor worden uitgevoerd; Toezien op naleving van het beleidskader risicomanagement op zich zelf; Evalueren en beoordelen van rapportages over risicomanagement.

15

Uitvoering van risicomanagement activiteiten Implementeren van de maatregelen tbv risicomanagement; Actief inschatten en benoemen van risico’s op de beleidsterreinen; Invulling geven aan risicomanagement op de beleidsterreinen. Advisering Adviseren van managers en hoofden met betrekking tot risicomanagement. Evaluatie Evalueren en beoordelen van rapportages over risicomanagement; Het (laten) uitvoeren van externe audits in overleg met de coördinator. Rapportage Rapporteren aan de directie en bestuur, onder andere op het gebied van implementatie van maatregelen ten behoeve van risicomanagement; Advies uitbrengen aan de directie op het gebied van vaststellen en uitvaardigen van regelgeving met betrekking tot risicomanagement.

Een confrontatie van verschillende actoren met de risicomanagement taken geeft de volgende matrix: Actoren Taken Beleidsvoorbereiding Beleidsbepaling Besluitvorming Coördinatie Communicatie Controle Control Uitvoering Advisering Evaluatie Rapportage

Bestuur

Directie

Concern staf

Managers Hoofden

Coördinator RM X

Account team MO

X X X X X

X X

X X X X

X X X

X

16

6

HOOFDLIJNEN RISICOMANAGEMENTBELEID

Het risicomanagementbeleid is nader uitgewerkt in de vorm van een set beheersmaatregelen. Deze beheersmaatregelen zijn in gedeeld in een achttal categorieën. In dit hoofdstuk wordt op hoofdlijnen de maatregelencategorie beschreven. Een uitwerking van de beheersmaatregelen is te raadplegen in het handboek risicomanagement beheersmaatregelen, welke geldt als bijlage bij dit beleidskader. De hoofdlijnen van beheersmaatregelen in risicomanagementbeleid kunnen in de volgende categorieën worden ingedeeld:
Imago/politiek: Aantasting van het vertrouwen in de organisatie als gevolg van negatieve publiciteit. De beheersmaatregelen in deze categorie hebben betrekking op risico’s die gerelateerd zijn aan of veroorzaakt door; wanneer toezeggingen door medewerkers of bestuur worden gedaan, onjuiste informatieverstrekking, onjuiste berichtgeving, onvoldoende lobby naar politiek.
Materieel: Beschadiging of verlies van gebouwen, installaties, bedrijfsinventaris, transportmiddelen en goederen. De beheersmaatregelen in deze categorie hebben betrekking op risico’s die gerelateerd zijn aan of veroorzaakt door; aanrijdingen, diefstal, vandalisme, brand/explosie of overstroming /waterschade.
Milieu: Aantasting van lucht, bodem, water of leefomgeving. De beheersmaatregelen in deze categorie hebben betrekking op risico’s die gerelateerd zijn aan of veroorzaakt door; vervoer van gevaarlijke stoffen over de weg, illegale lozingen, foutieve handhaving.
Informatie/strategie: Schade door onvoldoende of niet juiste informatie. De beheersmaatregelen in deze categorie hebben betrekking op risico’s die gerelateerd zijn aan of veroorzaakt door; door gebrekkige of verkeerde informatie, verkeerde strategische keuzes of verlies van belangrijke (vertrouwelijke) gegevens.
Personeel/arbo: Schade door aantasting arbeidscapaciteit en kwaliteit van arbeid. De beheersmaatregelen in deze categorie hebben betrekking op risico’s die gerelateerd zijn aan of veroorzaakt door; fraude en misbruik van bevoegdheden, onvoldoende capaciteit, kennis en scholing, ziekteverzuim en arbo.
Juridisch/aansprakelijkheid: Aantasting van de vermogenspositie van de organisatie door claims van derden als gevolg van wettelijke- of contractuele aansprakelijkheid. De beheersmaatregelen in deze categorie hebben betrekking op risico’s die gerelateerd zijn aan of veroorzaakt door; aansprakelijkheidsclaims, onvoldoende juridische controle, niet voldoen aan wettelijke eisen/procedures of bij aanbestedingen.
Product: Aantasting afzetcapaciteit, doordat producten en diensten niet aan de door de afnemer gestelde kwaliteitseisen voldoen. De beheersmaatregelen in deze categorie hebben betrekking op risico’s die gerelateerd zijn aan of veroorzaakt door; het maken van fouten in de dienstverlening, te late levering van producten en foutieve handleiding bij producten.
Financieel: Directe aantasting van de vermogenspositie van de organisatie. De beheersmaatregelen in deze categorie hebben betrekking op risico’s die gerelateerd zijn aan of veroorzaakt door; renterisico, debiteurenrisico, subsidies, daling van een bijdrage door derden of gemeenschappelijke regelingen.

17

7

BIJLAGE A. Format risicobepaling

Deel 1. Risico Aard van het risico: Imago/politiek (A) Materieel (B) Milieu (C) Informatie/strategie (D) Personeel/arbo (E) Juridisch/aansprakelijkheid (F) Product (G) Financieel (H) Programma Onderwerp van risico Eigenaar Contactpersoon/beheerder Datum Risico-indicatie Risico-omschrijving Kans van optreden Verwacht effect op vermogen Risico kansberekening Kasritme Jaar 1 Jaar 2 Jaar 3 Jaar 4 Begindatum Verwachte einddatum

Programma nummer in de begroting Project of besluit Directie, afdeling, programma Naam en telefoonnummer Aanmaakdatum Waarom lopen we risico Welk risico lopen we? Kans op schade

Indien onbekend, alleen 1 jaar voor totaalbedrag Bedrag Kans Effect Bedrag Kans Effect Bedrag Kans Effect Bedrag Kans Effect Datum waarop het risico voor het eerst optreedt Datum waarop het risico vermoedelijk afloopt

Deel 2.Beheersmaatregelen Preventie

Beperken factoren Beperking schade

Maatregelen genomen/te nemen ter verkleining van de kans op optreden risico, zoals onderzoek naar andere mogelijkheden en raadplegen c.q. inzet deskundigen Maatregelen genomen/te nemen ter beperking van de risicofactoren, zoals inzet van middelen en deskundigen Maatregelen genomen/te nemen ter beperking van de schade zoals acties en verhaal op derden (incl. verzekeren)

Deel 3. Monitoring Wat Frequentie Door wie Conclusie herweging

Status omstandigheden en daaraan gebonden financieel risico Nodig voor beheersing risico, minimaal 1 x per 3 mnd. Naam en telefoonnummer Op grond van.... is de situatie (on) gewijzigd en is er (geen) aanleiding de beoordeling bij te stellen

Deel 4. Beleidstekst Graag hier de tekst die opgenomen dient te worden in de Paragraaf Weerstandsvermogen. (Ook wanneer risico’s vervallen wordt er tekst hierover opgenomen in de paragraaf Weerstandsvermogen).

18

B. Berekening risico-analyse Kans Voor de beoordeling van de kans kunnen 5 klassen met de volgende referentiebeelden worden gebruikt. Klasse 1 2 3 4 5

Referentiebeelden < of 1 keer per 10 jaar 1 keer per 5-10 jaar 1 keer per 2-5 jaar 1 keer per 1-2 jaar 1 keer per jaar of >

Kwantitatief (10%) (30%) (50%) (70%) (90%)

Kwalificatie laag-gering redelijk laag – beneden gemiddeld gemiddeld – boven gemiddeld redelijk hoog - aanzienlijk hoog – zeer hoog

Dat houdt bijvoorbeeld in dat een risico dat 1 keer per 1 à 2 jaar voorkomt in klasse 4 valt en de kans dan ongeveer 70% is dat het risico optreedt. De hierboven gestelde percentages gelden als vuistregels. Vooral bij hele grote risico’s is het verstandig om kritisch naar het percentage te kijken, aangezien de impact van het risico misschien groter is dan daadwerkelijk het geval zou zijn. Projectgerelateerde risico’s zullen in de regel maar één keer optreden. De tabel kan dan gelezen worden vanuit de optiek dat het risico zich voordoet. Bijvoorbeeld, indien het risico zich over 5 jaar kan voordoen, dan geldt klasse 2 of 3. Voor de beoordeling van het risico kan gekeken worden naar:
Het verleden: heeft het risico zich al eerder voorgedaan?
De vertrouwdheid: hebben we de activiteiten al eerder gedaan?
De omstandigheden: onder welke condities treedt het op?
De beschikbare middelen: is er voldoende om er iets mee te doen?
De frequentie: hoe vaak kan het voorkomen?
De risicogevoeligheid in tijd: is er sprake van een stijging of daling? Tijdgevolg Tijdgevolgen (vertragingen) zijn alleen van belang indien er daadwerkelijk op tijd gestuurd wordt (bijvoorbeeld bij een fatale termijn). In de overige gevallen dienen de tijdgevolgen buiten beschouwing te worden gelaten. Om dit kenbaar te maken dient gekozen te worden voor een 0. Klasse 0 1 2 3 4 5

Refentiebeelden/bandbreedte Geen tijdgevolgen 0 – 4 weken 4 – 9 weken 10 – 17 weken 18 – 35 weken > 36 weken

Geldgevolg In dit voorbeeld wordt uitgegaan van een begroting met een omvang van € 50 miljoen. Invulling van de bandbreedtes wordt bepaald door percentages van de omvang van de begroting. Hierdoor is een relatieve vergelijking tussen de bedragen onderling verantwoord. Klasse 1 2 3 4 5

Referentiebeelden x < € 25.000 € 25.000 < x < € 100.000 € 100.000 < x < € 250.000 € 250.000 < x < € 500.000 x > € 500.000

(<0,05% van de begroting) (0,05% - 0,2% van de begroting) (0,2% - 0,5% van de begroting) (0,5% - 1% van de begroting) (>1% van de begroting)

Risicoscore De risicoscore wordt bepaald aan de hand van het toekennen van kansen en gevolgen aan risico’s, waarna vervolgens deze met elkaar vermenigvuldigd worden. De formule is als volgt: Risicoscore = kans x (tijdgevolg + geldgevolg)

19

Een voorbeeld: Gedeeltelijke afkeuring van het bestemmingsplan van project A door de rechter leidt tot vertraging en aanpassing van planontwikkeling. Kans: 4 Tijdgevolg: 5 Geldgevolg: 5

Risicoscore = 4 x (5+5) = 40

Het risico heeft een geldgevolg van 5, waarbij aangegeven dient te worden hoeveel de te verwachten minimale en maximale kosten bedragen. Echter kan de prioritering van risicoscores een vertekend beeld geven, aangezien een risico met een kans in klasse 5 en een gevolg in klasse 5 een maximale score geeft. Terwijl een risico met een kans in klasse 1 en een gevolg in klasse 5 een veel grotere impact uitoefent als het risico zich voordoet. Daarom wordt er altijd een risicokaart opgesteld. Risicokaart De risicokaart geeft inzicht in de spreiding van de risico’s naar kans en gevolg. De nummers in de risicoscorekaart corresponderen met de aantallen risico’s die zich in het betreffende vak van de risicokaart bevinden. Daarmee wordt direct inzichtelijk hoe de risico’s verdeeld zijn over de groene, oranje en rode zone. Een risico dat in het groene gebied zit, vormt geen direct gevaar voor de continuïteit van de organisatie. Een risico in het oranje gebied vraagt om aandacht. Naarmate de tijd vordert kan het risico wel een bedreiging vormen. Acties met het nemen van beheersmaatregelen dient niet te lang mee gewacht worden. Een risico dat in het rode gebied zit vereist directe aandacht om te voorkomen dat de continuïteit van de organisatie wordt bedreigd. Preventieve of reducerende maatregelen brengen kansen of gevolgen naar een niveau met een meer acceptabele waarde. Overigens zijn niet alle risico’s te beheersen of reduceren met maatregelen.

Gevolg: 5 Gevolg: 4 Gevolg: 3 Gevolg: 2 Gevolg: 1 Geen geldgevolgen Kans: 1

Kans: 2

Kans: 3

Kans: 4

Kans: 5

C. Definities risicobeheersing 1. Vermijden Hierbij wordt de kans/mogelijkheid van optreden van een bepaald risico opgeheven. Dit houdt in dat het beleid waar een risico door ontstaat, wordt beëindigd, op een andere manier wordt vormgegeven of geen beleid wordt gestart dat een risico met zich meebrengt. Vermijden is niet altijd een relevante categorie van maatregelen. Vermijden kan namelijk tot gevolg hebben dat doelstellingen die met bepaalde activiteiten werden beoogd niet kunnen worden gerealiseerd. Dus ook het veranderen van doelen of het verkleinen van de schaal behoort tot de mogelijkheden van vermijden. 2. Verminderen Hierbij wordt beoogd de kans op het optreden of het gevolg van het optreden van een risico te verkleinen. Wanneer we de kans op een risico willen verkleinen moeten we voorzorgsmaatregelen dan wel beheersmaatregelen treffen. Wanneer we de gevolgen van een risico willen verminderen kunnen we denken aan het doen treffen van een voorziening. Omgaan met risico’s vereist in het proces van vermindering, aanpassing van bijvoorbeeld de organisatie, mensen en vaardigheden, procedures, systemen en de organisatiecultuur. 3. Overdragen Bij het overdragen van risico’s moet gedacht worden aan het verkleinen van het risico door de gevolgen aan anderen over te dragen. Het overdragen van risico’s gebeurt in een aantal gevallen

20

door middel van juridische overdracht (contracten, inkoop-, leverings- en verkoopvoorwaarde, garantie etc.) of het verzekeren van een bepaald risico. Ook het delen van risico’s (door middel van aangaan van samenwerkingsverbanden) en diversificatie en spreiding behoren tot het overdragen van risico’s. 4. Accepteren Wanneer een risico niet wordt vermeden, verminderd of overgedragen, dan wordt het risico geaccepteerd. Wanneer het risico zich voor zal doen komt het gevolg van het optreden van het risico geheel voor rekening van de provincie. Binnen het proces van accepteren hoort een risico. En dat risico is dat met onzekerheid van de materie rekening moet worden gehouden.

21