Rekenen met risico’s Rekenkameronderzoek naar het risicomanagement in de gemeente Veenendaal
Maart 2011
Colofon De rekenkamercommissie van de gemeente Veenendaal voert onderzoeken uit naar de doelmatigheid, doeltreffendheid en rechtmatigheid van het door het gemeente-bestuur gevoerde beleid. Zij heeft een onafhankelijke positie binnen de gemeente en haar doel is de gemeenteraad te ondersteunen bij het uitvoeren van haar controlerende taak. De rekenkamercommissie van de gemeente Veenendaal bestaat uit twee raadsleden en drie externe leden en wordt ondersteund door een ambtelijk secretaris. Voorzitter: Externe leden: Interne leden: Secretaris: Contact:
Status rapport: Versie, datum:
dr. G.H. Hagelstein mr. M.D. Budding-Mostert dr. ir. B.M. Geerken mr. ing. E. Stroobosscher R.W. Glimmerveen ir. I.M.T. Spoor Rekenkamercommissie Veenendaal Postbus 1100 3900 BC Veenendaal Email:
[email protected] Tel. 0318-538277
definitief 10 maart 2011
Eerdere onderzoeken: 1. Een dienst bewezen? Onderzoek naar de verbouwing van de centrale hal in het gemeentehuis. (2006) 2. Het beleids- en beheersinstrumentarium in de gemeente Veenendaal (2006) 3. Op de “kleintjes”letten, quickscan naar de inkoopsituatie in de gemeente Veenendaal (2006) 4. Een schot in de roos, onderzoek naar de aankoop en exploitatie van de Rozenbottel (2007) 5. IW4-bedrijven, onderzoek naar de sociale werkvoorziening in de gemeente Veenendaal (2007) 6. Een klap van de molen? Onderzoek naar molen “De Vriendschap” in Veenendaal (2007) 7. De Vallei, zwembad voor en van elke Veenendaler? (2007) 8. Jeugdbeleid uit de puberteit, onderzoek naar het jeugdbeleid in Veenendaal (2008) 9. Brouwerspoort getoetst, onderzoek naar het centrumproject Brouwerspoort (2009) 10. Van rapport naar resultaat, evaluatie van de doorwerking van aanbevelingen uit zeven onderzoeken van de rekenkamercommissie Veenendaal (2009) 11. Bouwsteen voor de toekomst, onderzoek naar het vastgoedbeleid (2009) 12. Melden doet gelden, onderzoek naar de afhandeling van meldingen (2010)
2
Voorwoord en leeswijzer Voor u ligt het rapport van de rekenkamercommissie van de gemeente Veenendaal inzake het onderzoek naar het risicomanagement in de gemeente Veenendaal. Dit onderzoek is in opdracht van de rekenkamercommissie uitgevoerd door Berenschot. De onderzoeksrapportage van Berenschot is integraal opgenomen in bijlage A. Deze bijlage bevat ook een algemene toelichting op de definiëring en werking van risicomanagement. In de voorliggende rapportage vindt u in hoofdstuk 1 de aanleiding en vraagstelling van het onderzoek. In hoofdstuk 2 worden de samengevatte bevindingen en conclusies van het onderzoek weergegeven en in hoofdstuk 3 vindt u de aanbevelingen van de rekenkamercommissie. Publieke organisaties, ook de gemeente Veenendaal, hebben te maken met risico’s. Dat kan gaan om grote fysieke risico’s (een watersnood, een ingestorte parkeergarage, een explosie op het bedrijventerrein) maar ook om gezondheidsrisico’s (een gevaarlijke epidemie voor mens en/of dier), financiële risico’s (zoals miljoenenclaims) of imagorisico’s. Er zijn echter ook talloze kleinere risico’s. Risicomanagement is het proces waarbij deze risico’s, die voor een gemeentebestuur en haar inwoners (kunnen) dreigen, in kaart worden gebracht, worden gekwantificeerd en waarvoor vervolgens beheersmaatregelen worden bedacht. Met deze beheersmaatregelen wordt beoogd de kans van optreden van een risico en/of de gevolgen van een risico te beïnvloeden. Risico’s zijn er in verschillende soorten en maten. Met risicomodellen worden ze in beeld gebracht. Het moderne risicomanagement kan op alle gemeentelijke beleidsterreinen worden toegepast. Dit risicomanagement kent enkele belangrijke componenten: structureel (werkt het systeem van risicomanagement?), organisatiecultureel (is er risicobewustzijn bij bestuur en ambtelijke organisatie en wordt daar naar gehandeld?) en financieel (kunnen zich voordoende risico’s worden opgevangen?). Dit rekenkamerrapport focust op de eerste twee componenten: is er een goed werkend risicomanagementsysteem in de gemeente Veenendaal aanwezig, werkt dit en is dit ook verankerd in denken en doen van bestuur en ambtelijke organisatie? Het antwoord op deze vragen vindt u dit rapport. Een gemeentebestuur heeft niet alles in de hand. Wel kan het aangesproken worden op de verantwoordelijkheid om risico’s om in beeld te brengen en proportionele maatregelen te nemen. Wij willen graag allen die hebben meegewerkt aan dit rapport en die hun tijd, ervaring en deskundigheid met ons gedeeld hebben, hiervoor heel hartelijk dankzeggen. Naar mijn mening vormen de uitkomsten van dit rapport geen bestuurlijk risico voor het gemeentebestuur omdat het zijn zaakjes, voor wat betreft dit onderwerp, goed op orde heeft. Alertheid en doorontwikkeling van de bestaande systematiek blijven echter noodzakelijk. Dr. Gerrit H. Hagelstein voorzitter rekenkamercommissie Veenendaal 3
Inhoud 1 1.1 1.2
2 2.1 2.2 2.3 2.4
3 3.1 3.2 3.3
Inleiding ........................................................................... 6 Aanleiding rekenkameronderzoek risicomanagement..................... 6 Doel, vraagstelling en werkwijze ...................................................... 6
Bevindingen en conclusies ............................................ 8 De opzet van het risicobeleid ........................................................... 8 De vertaling van beleid naar risicomanagement .............................. 9 De verankering en werking in de praktijk ......................................... 10 Actuele ontwikkelingen .................................................................... 11
Aanbevelingen ................................................................ 12 Toelichting ....................................................................................... 12 Aanbevelingen raad ......................................................................... 13 Aanbevelingen college ..................................................................... 13
Bijlage A: Onderzoeksrapportage van Berenschot ........... 14
4
Samenvatting Aanleiding en vraagstelling De rekenkamercommissie heeft de opzet en de werking van het risicomanagement in de gemeente Veenendaal onderzocht. Aanleiding voor dit onderzoek waren vragen van raadsfracties om hiernaar onderzoek te verrichten. Een aantal fracties gaf aan dat zij bij grote projecten regelmatig worden verrast door hogere kosten en langere doorlooptijden dan gepland. In het onderzoek is gekeken naar de procesmatige kant en er is niet gekeken naar de cijfermatige kant. Er is bijvoorbeeld niet nagegaan of de hoogte van het weerstandsvermogen toereikend is en of de gemeente (de omvang van) alle risico’s in beeld heeft. Beleid De rekenkamercommissie concludeert dat de gemeente Veenendaal het op het gebied van beleid en werking van het risicomanagement goed doet. Er is beleid, er zijn richtlijnen waarin taken, verantwoordelijkheden en bevoegdheden zijn benoemd en het beleid wordt door betrokkenen toegepast. Desalniettemin constateert de rekenkamercommissie dat het risicobeleid verspreid is over meerdere documenten en dat een integraal risicobeleid, in één brondocument, ontbreekt. Risicodenken Verder blijkt dat er in de organisatie verschillend met risicomanagement wordt omgegaan. In de grote (fysieke) projecten wordt dit aspect veelal gestructureerd toegepast, maar bij andere werkzaamheden is het denken in risico’s minder vanzelfsprekend. Cultuur Het systeem van risicomanagement werkt goed in de gemeente Veenendaal, maar dit biedt geen garantie dat risico’s zich niet meer voor kunnen doen en dus ook geen garantie dat de kosten van projecten niet boven het budget uitkomen. Van belang is of er oog is voor mogelijke financiële en niet-financiële risico’s, met name in de initiatieffase van een project. Een open en eerlijke communicatie tussen ambtelijke organisatie, college en raad over de risico’s is daarbij van groot belang. Uiteindelijk is de kernvraag of er wederzijds vertrouwen is. Bij het proces van risicomanagement spelen dergelijke cultuuraspecten een wezenlijke rol. Aanbevelingen De rekenkamercommissie doet een aantal aanbevelingen die gericht zijn op het verder vervolmaken van het risicomanagement in de gemeente Veenendaal. Deze aanbevelingen staan weergegeven op pagina 13 van dit rapport.
5
1
Inleiding
1.1 Aanleiding rekenkameronderzoek risicomanagement Begin 2005 heeft de gemeenteraad van Veenendaal de Nota weerstandsvermogen & risicomanagement vastgesteld. In deze nota wordt het beleid ten aanzien van deze onderwerpen beschreven. De nota dient eveneens als kader voor de paragraaf weerstandsvermogen en risicomanagement van de programmabegroting, de bestuursrapportages en de jaarrekening. Samengevat komt het er op neer dat de gemeentelijke organisatie een actueel beeld moet hebben van de belangrijkste risico’s en beschikt over een toereikend weerstandsvermogen. Het weerstandsvermogen geeft een gekwantificeerd beeld van de mate waarin de gemeente in staat is om niet afgedekte risico’s op te vangen met gereserveerde financiële middelen. In 2008 is gebleken dat er problemen waren met de organisatorische en financiële beheersing van het project nieuwbouw zwembad. Naar aanleiding daarvan heeft het college een quick scan uitgevoerd naar grote projecten binnen de gemeente en hieruit heeft het college geconstateerd dat de grote projecten in de gemeente Veenendaal beheersbaar zijn en dat de risico’s bekend zijn. Eind 2008 heeft de rekenkamercommissie bij de gemeenteraadfracties geïnventariseerd welke onderwerpen in aanmerking konden komen voor rekenkameronderzoek. Vanuit een aantal gemeenteraadsfracties is aangegeven dat de quick scan naar grote projecten nog onvoldoende inzicht gaf in de risico’s van dergelijke projecten. De fracties meldden dat zij bij projecten toch nog verrast werden door hogere kosten dan oorspronkelijk gepland en/of langere doorlooptijden dan gepland. Meerdere fracties hebben de rekenkamercommissie gevraagd onderzoek naar dit onderwerp te verrichten en eind 2009 is de rekenkamercommissie het onderzoek gestart.
1.2 Doel, vraagstelling en werkwijze Het doel van het onderzoek is inzicht geven in de toereikendheid van de maatregelen die de gemeente heeft genomen om risico’s te beheersen en of deze maatregelen in de praktijk effectief zijn. Het onderzoek richt zich daarmee op de actuele inrichting en werking van het risicomanagement in de gemeente Veenendaal. De focus ligt hierbij op de inbedding van risicomanagement in de gemeentelijke organisatie, zowel binnen de bedrijfsvoering als in twee projecten. Hierbij gaat het om de procesmatige kant en niet om de cijfermatige kant (bijvoorbeeld de hoogte van het weerstandsvermogen). Ook is in het onderzoek niet gekeken of de gemeente de ‘’juiste’’ omvang van alle risico’s in beeld heeft. De rekenkamercommissie heeft de volgende onderzoeksvragen geformuleerd: 1. Is de opzet van het risicobeleid in de Nota weerstandsvermogen en
risicomanagement toereikend? 2. Is het risicobeleid aantoonbaar verankerd in de bestuurlijke en ambtelijke
organisatie?
6
Om antwoord te krijgen op bovenstaande onderzoeksvragen is in het onderzoek gekeken naar de opzet van het beleid (par. 2.1), de vertaling van het risicobeleid naar risicomanagement (par. 2.2) en de verankering van het beleid en de werking van het risicomanagement in de praktijk (par. 2.3). Daarbij is getoetst aan een aantal criteria, dat staat weergegeven in bijlage 1 van de onderzoeksrapportage van Berenschot (bijlage A). Nadat het onderzoek door Berenschot was afgerond is de concept feitenrapportage voorgelegd aan de ambtelijke organisatie. Uit deze hoor- en wederhoor kwam naar voren dat er zich vanaf 2010 (na de onderzoeksperiode) een aantal ontwikkelingen binnen de organisatie heeft voorgedaan dat van invloed is op het risicomanagement. De rekenkamercommissie heeft daarop besloten zelf aanvullend onderzoek te verrichten en een paragraaf “actuele ontwikkelingen” (zie paragraaf 2.4) in het rapport op te nemen.
7
2
Bevindingen en conclusies
2.1
De opzet van het risicobeleid
Opzet, actualiteit van beleid en vaststelling door de raad De gemeente heeft in 2005 beleid opgesteld over hoe om te gaan met risico’s binnen de gemeente. Met dit beleid gaf het gemeentebestuur invulling aan artikel 17 van de Verordening financieel beleid en beheer en de inrichting van de financiële organisatie van de gemeente Veenendaal (vastgesteld in oktober 2003). In 2009 is de hiervoor genoemde financiële verordening door de raad gewijzigd vastgesteld. De raad heeft daarmee besloten dat onderwerpen die vastgesteld moeten worden door de raad worden meegenomen in de reguliere planning- en control-instrumenten en zo min mogelijk in aparte onderliggende notities. Daarmee is ook besloten dat de Nota weerstandsvermogen en risicomanagement niet zou worden geactualiseerd. In de paragraaf weerstandsvermogen van de programmabegroting wordt ingegaan op weerstandsvermogen en het risicomanagement. Er wordt daarmee voldaan aan de wettelijke eisen zoals verwoord in artikel 11 van het BBV (weerstandsvermogen). Consistentie en helderheid van het beleid Het risicobeleid van de gemeente Veenendaal is in meerdere documenten vastgelegd. Het vastgelegde beleid is consistent, samenhangend en niet tegenstrijdig. Het beleid is helder geformuleerd, begrijpelijk en niet voor meerdere interpretaties vatbaar. Rollen en inrichting beheersproces In het risicobeleid staat verwoord welke rollen de verschillende geledingen binnen de gemeente hebben voor wat betreft het risicobeleid. In het risicobeleid is weergegeven hoe het beheersproces is ingericht. Een aanvullende stap voor dit proces is te definiëren hoe bij het signaleren van risico’s wordt opgeschaald en hoe wordt omgegaan met verminderde risico’s. Omgang risico’s en beheersmaatregelen Het risicobeleid gaat met name in op de vraag op welke manier er met financiële risico’s omgegaan moet worden. Andersoortige risico’s worden in mindere mate benoemd. Het risicobeleid gaat daarmee minder in op de vraag welke respons (beheersmaatregel) onder bepaalde omstandigheden moet worden toegepast. Conclusies Overall is de rekenkamercommissie positief over de opzet en inhoud, de actualiteit, de consistentie en helderheid van het beleid. Met het besluit van de raad eind 2009 om de Nota weerstandsvermogen en risicomanagement niet te actualiseren en het actuele risicobeleid weer te geven in de reguliere planning en control documenten, is er echter geen sprake meer van één brondocument waarin het integrale risicobeleid staat opgetekend. Hierdoor is het voor betrokkenen lastiger zijn om inzicht te krijgen in de uitgangspunten van het risicomanagementbeleid.
8
2.2
De vertaling van beleid naar risicomanagement
Met betrekking tot de vertaling van het beleid naar risicomanagement is gekeken naar de inrichting van het risicomanagement waaruit de verantwoordelijkheden en bevoegdheden voortvloeien en de kaderstelling. Daarnaast is onderzocht hoe risico’s worden geïdentificeerd, hoe beslissingen op het juiste niveau genomen worden (escalatie) en hoe beheersmaatregelen vastgesteld worden. Inrichting, verantwoordelijkheden en bevoegdheden Het risicomanagement ten aanzien van projecten is zodanig ingericht dat voor de verschillende betrokkenen binnen de gemeente de taken, verantwoordelijkheden en bevoegdheden duidelijk zijn. De gemeente Veenendaal beschikt over een handboek Fysieke Projecten waarin dit duidelijk wordt weergegeven. Ten aanzien van de reguliere werkzaamheden is de inrichting van het risicomanagement vastgelegd in NARIS, het geautomatiseerde risicomanagementsysteem. NARIS wordt voor zowel projecten als niet-projecten gebruikt. In NARIS worden gesignaleerde risico’s geregistreerd en gekwantificeerd, worden beheersmaatregelen weergegeven en worden risico’s gemonitord. Kaderstelling De gemeenteraad stelt de kaders voor projecten veelal vast op basis van een voorstel van het College van B&W. Op deze wijze geeft de raad invulling aan haar kaderstellende rol. Uit interviews is naar voren gekomen dat de kaderstellendeen budgethoudersrol van de gemeenteraad nog niet zover gaat dat zij met elke risicoanalyse ook daadwerkelijk scherp heeft welke risico’s zij neemt of wil nemen. Ook heeft de gemeente niet exact bepaald wat haar risicoprofiel is, wel is weergegeven dat men rekening houdt met een stevig risicoprofiel. Identificatie, escalatie en beheersmaatregelen van risico’s Uit interviews is gebleken dat risico’s en beheersmaatregelen voor de start van een project met alle betrokkenen (portefeuillehouder, projectgroep, stuurgroep) worden besproken. Minimaal één keer per jaar wordt de stand van zaken ten aanzien van projecten, inclusief risico’s, geïnventariseerd en gerapporteerd aan de raad in het Projectenboek. De risico’s worden veelal geïdentificeerd in termen van uitloop in tijd (vertraagde oplevering) of geld (budgetoverschrijding). Daarnaast worden in het Projectenboek ook andersoortige risico’s gerapporteerd. In de conceptrichtlijn programmatische werken (versie 3a) zijn verantwoordelijkheden, taken en bevoegdheden zodanig benoemd dat ten aanzien van programma’s en projecten duidelijk is wie verantwoordelijk is voor risicoanalyse, de escalatie van eventuele incidenten en het vaststellen van beheersmaatregelen. Conclusies De taken, verantwoordelijkheden en bevoegdheden ten aanzien van risicoidentificatie, risicoanalyse, het escalatieproces en het vaststellen van beheersmaatregelen is voor alle betrokkenen binnen de gemeente duidelijk. Ook is duidelijk wie de kaders stelt. Minder duidelijk is de beheersambitie bij risico’s, deze is namelijk niet expliciet benoemd.
9
2.3
De verankering en werking in de praktijk
De resultaten in deze paragraaf zijn vooral gebaseerd op de informatie uit de interviews. Verankering van risicobeleid Het denken in risico’s en het toepassen van risicomanagement vindt met name plaats binnen de afdeling Projecten, die ook de grootste en meest risicovolle projecten in portefeuille heeft. Uit de interviews is naar voren gekomen dat het beleid werkt, het is bij betrokkenen bekend en het is toegankelijk. Het beleid is vastgelegd in diverse documenten zoals nota Weerstandsvermogen en Risicomanagement, de nota Grondbeleid, het treasurystatuut, het handboek Fysieke projecten en de jaarlijkse planning en control documenten. Een centraal en integraal document voor risicobeleid en management met procesbeschrijvingen van de verschillende aspecten binnen het risicomanagement ontbreekt. Werking van risicomanagement Uit de interviews is naar voren gekomen dat het risicomanagement nog niet in de gehele organisatie op gelijk niveau wordt toegepast. Er wordt nog niet breed in de organisatie hetzelfde belang toegekend aan risicomanagement. Er bestaat een verschil tussen de afdeling projecten en de overige afdelingen. Risico’s die voortvloeien uit niet-fysieke projecten en de dagelijkse bedrijfsvoering zijn onderdeel van de reguliere beleidscyclus. Ze worden opgenomen in NARIS en zijn onderdeel van de reguliere gesprekken met de betreffende budgethouders. De afdeling Management Ondersteuning ondersteunt budgethouders bij identificatie, analyse, respons en monitoring van risico’s. Verantwoording en rapportage over deze risico’s richting gemeentebestuur en raad geschiedt als onderdeel van de reguliere P&C cyclus. Met betrekking tot de fysieke projecten geven de conceptrichtlijn Programmatisch Werken en het handboek Fysieke projecten een duidelijke structuur alsmede termen en begrippen ten aanzien van risicomanagement. De ambtelijke organisatie is hiermee bekend en past het toe, met name binnen de afdeling Projecten. De risico’s van deze fysieke projecten worden jaarlijks aan de raad gerapporteerd in het projectenboek. De risico’s van deze projecten worden overigens ook geregistreerd in NARIS. Voor wat betreft de rapportagemomenten zoekt de gemeente naar een oplossing om de planning- en controlcyclus beter te laten aansluiten bij de projectencyclus (die niet perse in lijn loopt met jaargrenzen). Ten aanzien van het signaleren en rapporteren van risico’s is de huidige projectadministratie een ontwikkelpunt. Inmiddels is de gemeente Veenendaal bezig met de implementatie van een verbetertraject op dit onderdeel. Conclusies Het risicobeleid is vastgelegd in diverse documenten, maar een centraal en integraal document ontbreekt. Het beleid is echter wel bekend en wordt toegepast in de organisatie. In de organisatie wordt risicomanagement op verschillende niveau’s toegepast. Er is een verschil tussen risico’s die voortvloeien uit fysieke projecten en risico’s uit niet fysieke projecten en dagelijkse bedrijfsvoering. Dit verschil komt onder andere naar voren in de wijze van rapporteren.
10
Er is een methode van projectmatig of procesmatig werken, die bekend is en in de wordt toegepast. Met behulp van het systeem NARIS wordt risicomanagement in de praktijk toegepast.
2.4
Actuele ontwikkelingen
Organisatieontwikkelingen Met ingang van 1 januari 2010 is de reorganisatie van de gemeentelijke organisatie afgerond. De controlfunctie is gecentraliseerd, met als doel de projectcontrol te versterken. De controlfunctie is buiten de lijn geplaatst en daardoor kan er sprake zijn van ongebonden advies aan het bestuur. Als onderdeel van de reorganisatie is ook de afdeling Projecten geformeerd, deze bestaat sinds 2008. Deze afdeling stuurt de projecten aan. Momenteel stuurt de afdeling nog niet alle projecten aan, maar het is de bedoeling dat vanaf 2012 alle projecten zijn ondergebracht bij de afdeling. Projectrisico’s worden door de afdeling projecten in beeld gebracht, geanalyseerd en gerapporteerd. Handboek projecten & integrale opdrachten Ten tijde van het onderzoek was het handboek projecten & integrale opdrachten in concept beschikbaar. Inmiddels is dit handboek door het college van B&W vastgesteld (18 jan 2011). Het handboek vervangt de richtlijn projectmatig werken uit 2002. Het document bevat de uitgangspunten en richtlijnen van projectmatig werken. In het handboek worden rollen, taken, verantwoordelijkheden en bevoegdheden van raad, college, opdrachtgevers, projectmanagers, afdelingshoofd en medewerkers vermeld. Nu het handboek is vastgesteld zal de werkwijze in de praktijk verder vorm en inhoud gegeven moeten worden. Projectadministratie Ten tijde van het onderzoek werd duidelijk dat het verbeteren van de projectadministratie noodzakelijk werd geacht. Uit de interviews kwam naar voren dat de organisatie hiermee bezig was. Ernst en Young heeft een onderzoek uitgevoerd en heeft op basis daarvan in september 2010 advies1 uitgebracht ten aanzien van de projectadministratie. Het advies is met name gericht op duidelijkheid in rollen en verantwoordelijkheden van projectadministrateur, projectmanager, projectcontroller en planeconoom. Naast deze duidelijkheid moet de organisatiecultuur zodanig zijn dat er onderling goede afspraken worden gemaakt, goed gecommuniceerd wordt over taken en verantwoordelijkheden, gestuurd wordt op resultaat en dat medewerkers elkaar kunnen aanspreken. De rollen worden nu verder ingevuld en de adviezen moeten in de praktijk gebracht worden.
1
Ernst & Young Accountants, Rapportage adviesopdracht opzetten adequate organisatie van de gemeentelijke projectfinanciën, 9 sept. 2010.
11
3
Aanbevelingen
Overall doet de gemeente Veenendaal het op het gebied van beleid en werking van risicomanagement goed. De kern van de aanbevelingen ligt dan ook meer in een verdere vervolmaking van de toepassing van risicomanagement. Dit zonder het dusdanig te formaliseren dat het een ‘papieren tijger’ wordt, maar waarbij de gekozen structuur ondersteunend werkt voor de ambities en de beoogde resultaten.
3.1 Toelichting De gemeente Veenendaal past risicomanagement toe. Voor de gemeente als geheel is er beleid en zijn uitgangspunten en richtlijnen geformuleerd die de kaders vormen. Tevens is naar voren gekomen dat leereffecten uit eerdere projecten worden toegepast in nieuwe projecten, wat de rekenkamercommissie een zinvolle manier van werken lijkt. Verder is gebleken dat er binnen de organisatie verschillend met risicomanagement wordt omgegaan en dat met name in de grote (fysieke) projecten dit aspect gestructureerd wordt toegepast. Op basis van de documenten en de interviews komt naar voren dat bij andere werkzaamheden het denken in risico’s of what-ifscenario’s minder vanzelfsprekend is. Er bestaat een verschil tussen de afdeling projecten en de overige afdelingen. Tevens is aangegeven dat het ook om houding of gedrag gaat. Wanneer wordt er gecommuniceerd? Hoe wordt er op gereageerd? Deels is dit persoonsafhankelijk. De gesprekken in de projecten hierover zijn gestructureerd in een werkwijze met stuurgroepen en werkafspraken. De crux van risicomanagement zit met name in de initiatieffase waarbij er oog is voor mogelijke risico’s (zowel financieel als niet financieel) en met name de vraag hoe er vervolgens gehandeld wordt. Er wordt gebruik gemaakt van de digitale applicatie NARIS, die het mogelijk maakt risico’s in een breed en onafhankelijk perspectief te plaatsen. In dit systeem worden zowel de risico’s van projecten als de risico’s uit de reguliere bedrijfsvoering geregistreerd. Verantwoording en rapportage over deze risico’s richting gemeentebestuur en raad geschieden als onderdeel van de reguliere P&C cyclus. Risico’s voortvloeiend uit de fysieke projecten worden daarnaast jaarlijks gerapporteerd middels het projectenboek. Verschillende gesprekspartners hebben uitgesproken dat de bestuurlijke sensitiviteit van medewerkers een grote rol speelt bij het managen en vooral identificeren van risico’s. Met andere woorden, wanneer identificeert men potentiële risico’s en wordt er geëscaleerd naar het juiste niveau en wanneer niet? Een risico is dan dat problemen langer dan gewenst onbekend en/of onbenoemd blijven, waardoor het te laat is om bij te sturen of wordt gedacht dat het nog wel kan worden opgelost. In die gevallen worden het bestuur en de raad verrast met risico’s. Het toepassen van risicomanagement is daarmee een subtiel spel waarin de wijze en mate van communiceren van groot belang is. Uiteindelijk is de kernvraag of er wederzijds vertrouwen is. Van belang is dat de driehoek tussen raad, college en de ambtelijke organisatie in balans is, waardoor er eerlijk en open gecommuniceerd kan en mag worden over risico’s. 12
Op basis van de voorgaande constateringen hebben wij een aantal aanbevelingen geformuleerd. Deze hebben wij onderverdeeld in aanbevelingen voor de raad en voor het college.
3.2 Aanbevelingen aan de raad De gemeente Veenendaal heeft niet exact bepaald wat het gewenste risicoprofiel is. Wel is in de nota Weerstandsvermogen en Risicomanagement weergegeven dat rekening wordt gehouden met een stevig risicoprofiel. Desondanks achten wij het raadzaam een debat te voeren over het gewenste risicoprofiel en op basis daarvan dit profiel vast te stellen. Het is hierbij van belang om de keuze van het ambitieniveau2 te vertalen naar de betekenis hiervan in de praktijk (bijvoorbeeld voor het gebruik van het systeem voor risicomanagement, het aantal rapportages dat de raad ontvangt, de diepgang van de rapportages et cetera). De rekenkamercommissie komt daarmee tot de volgende aanbeveling aan de raad: 1. Vraag aan het college een analyse van het huidige en gewenste risicoprofiel en stel op basis daarvan de kaders voor de risicoambitie vast. 3.3 Aanbevelingen aan het college Een belangrijke kritische succesfactor bij risicomanagement is het bespreekbaar maken van potentiële risico’s en het tijdig informeren. Om de betrokkenheid van de raad te vergroten adviseert de rekenkamercommissie het volgende : 2. Publiceer tweemaal per jaar een Projectenboek i.p.v. één keer per jaar. Ten aanzien van het beleid en de werking van het risicomanagement wordt aanbevolen: 3. Stel een overkoepelend beleidsdocument op: • waarin aangegeven is hoe het risicomanagement geïntegreerd is binnen de diverse planning- en controlinstrumenten; • beschrijf hoe omgegaan wordt met niet-financiële risico’s en niet-financiële beheersmaatregelen; • maak in dit document onderscheid tussen de toepassing van risicomanagement in projecten én de reguliere werkzaamheden; 4. Zorg ervoor dat de richtlijnen uit het handboek Projecten en Integrale opdrachten in de praktijk verder vorm worden gegeven en worden nageleefd. 5. Implementeer de adviezen van Ernst en Young3 ten aanzien van de projectadministratie en cultuur en pas deze toe.
2
Het ambitieniveau zoals weergegeven in de tabel op pagina 8 in bijlage A. Ernst & Young Accountants, Rapportage adviesopdracht opzetten adequate organisatie van de gemeentelijke projectfinanciën, 9 sep 2010. 3
13
Bijlage A: Onderzoeksrapportage van Berenschot
14
Toereikendheid en effectiviteit van risicomanagement Rekenkameronderzoek gemeente Veenendaal
Wim Fred Dil Bas Meijer Leanne Schoormans 1 februari 2011
Toereikendheid en effectiviteit van risicomanagement Rekenkameronderzoek gemeente Veenendaal
Inhoud
Pagina
1.
Managementsamenvatting....................................................... 3
2.
Inleiding..................................................................................... 4
2.1 Doel ................................................................................................................... 4 2.2 Onderzoeksvragen........................................................................................... 4
3.
De definiëring van risicomanagement en aanpak.................. 5
3.1 Risicomanagement: Wat is het? .................................................................... 5 3.2 Elementen van risicomanagement................................................................. 6 3.3 Aanpak .............................................................................................................. 9
4.
Resultaten ................................................................................. 11
4.1 De opzet van het risicobeleid ......................................................................... 11 4.2 De vertaling van risicobeleid naar risicomanagement ................................ 14 4.3 De verankering en werking in de praktijk...................................................... 18
Bijlagen
-2-
1. Managementsamenvatting De gemeenteraad van Veenendaal heeft in 2005 de nota Weerstandsvermogen en Risicomanagement vastgesteld. Volgens deze kaderstellende nota moet de gemeente een actueel beeld hebben van de belangrijkste risico’s en beschikken over een toereikend weerstandsvermogen. Naast de nota heeft het College van B&W in 2008 een quick scan uitgevoerd naar grote projecten binnen de gemeente en geconstateerd dat de grote projecten beheersbaar en de risico’s genoegzaam bekend zijn. Evengoed is door een aantal gemeenteraadsfracties aangegeven dat de quick scan onvoldoende inzicht geeft in de stand van het risicomanagement binnen Veenendaal. Aan de rekenkamercommissie is gevraagd verder onderzoek naar dit onderwerp te verrichten. De rekenkamercommissie heeft de volgende hoofdonderzoeksvragen geformuleerd: 3. Is de opzet van het risicobeleid in de nota Weerstandsvermogen en Risicomanagement toereikend? 4. Is het risicobeleid aantoonbaar verankerd in de bestuurlijke en ambtelijke organisatie? Als randvoorwaarde voor het onderzoek is aangegeven dat de focus ligt op de inbedding van risicomanagement in de gemeentelijke organisatie, zowel binnen de bedrijfsvoering als in twee projecten. Hierbij gaat het om de procesmatige kant en niet om de cijfermatige kant (bijvoorbeeld de hoogte van het weerstandsvermogen). In het onderzoek zijn de onderzoeksvragen verder geoperationaliseerd in deelvragen en is er een normenkader opgesteld waaraan een ideaaltypische toepassing van risicomanagement voldoet. Op basis van beschikbaar gestelde documenten, interviews en een ‘risicodialoog’ zijn de conclusies en aanbevelingen van dit onderzoek tot stand gekomen. In algemene zin zijn wij positief over de opzet en toepassing van risicomanagement in Veenendaal. De gemeente doet wat zij zich voorneemt om te doen aan risicomanagement. Als wij dit aanhouden naast het op het ideaalbeeld gebaseerde normenkader, dan zijn de aanbevelingen met name gericht op de toepassing van risicomanagement. Het gaat hierbij om het breed toepassen van het denken in termen van risico’s binnen de gemeente (het zwaartepunt ligt nu met name in de (grote) projecten), het verder verfijnen van spelregels tussen raad – college – ambtelijke organisatie (wanneer en hoe wordt geïnformeerd) en proactieve communicatie over risico’s. Het onderliggende rapport gaat hier nader op in. Het rapport is als volgt opgebouwd. In hoofdstuk 2 wordt de achtergrond, het doel van het onderzoek en de vraagstelling beschreven. Hoofdstuk 3 gaat in op onze interpretatie van de vraagstelling en op onze visie op het begrip risicomanagement. Hoofdstuk 4 beschrijft de uitkomsten van het onderzoek.
-3-
2. Inleiding De gemeenteraad van Veenendaal heeft in 2005 de nota Weerstandsvermogen en Risicomanagement vastgesteld. Volgens deze kaderstellende nota moet de gemeente een actueel beeld hebben van de belangrijkste risico’s en beschikken over een toereikend weerstandsvermogen. Naast de nota heeft het College van B&W in 2008 een quick scan uitgevoerd naar grote projecten binnen de gemeente en geconstateerd dat de grote projecten beheersbaar en de risico’s genoegzaam bekend zijn. Evengoed is door een aantal gemeenteraadsfracties aangegeven dat de quick scan onvoldoende inzicht geeft in de stand van het risicomanagement binnen Veenendaal. Aan de rekenkamercommissie is gevraagd verder onderzoek naar dit onderwerp te verrichten. 2.1 Doel Het doel van het onderzoek is inzicht geven in de toereikendheid van de maatregelen die de gemeente heeft genomen om risico’s te beheersen en of deze maatregelen in de praktijk effectief zijn. Het onderzoek richt zich daarmee op de actuele inrichting en werking van het risicomanagement in de gemeente Veenendaal. De focus ligt hierbij op de inbedding van risicomanagement in de gemeentelijke organisatie, zowel binnen de bedrijfsvoering als in twee projecten. Hierbij gaat het om de procesmatige kant en niet om de cijfermatige kant (bijvoorbeeld de hoogte van het weerstandsvermogen). Waar nodig wordt geadviseerd over mogelijke verbetering. 2.2 Onderzoeksvragen Om het doel te bereiken heeft de rekenkamercommissie de volgende onderzoeksvragen gesteld: 5. Is de opzet van het risicobeleid in de nota Weerstandsvermogen en Risicomanagement toereikend? a.
Is het beleid actueel, consistent en helder?
b.
Zijn er strategische keuzes gemaakt over de ‘risk apetite’?
c.
Zijn de belangrijkste risico’s en beheerskaders benoemd?
6. Is het risicobeleid aantoonbaar verankerd in bestuurlijke en ambtelijke organisatie? a. Zijn taken, verantwoordelijkheden en bevoegdheden belegd? b. Is het risicomanagement ingericht zodat: i. ii. iii. iv. v.
risico’s worden geïdentificeerd? risico’s worden geanalyseerd? respons is gedefinieerd? risico’s worden gemonitord? risico’s worden gerapporteerd?
In het volgende hoofdstuk gaan wij in op onze definitie van risicomanagement en de onderzoeksaanpak.
-4-
3. De definiëring van risicomanagement en aanpak 3.1 Risicomanagement: Wat is het? Risicomanagement is veelal financieel van oorsprong. Met andere woorden, hoeveel kost het als het mis gaat, hoeveel reserve moet er opgebouwd zijn? Risicomanagement is echter meer dan dat. Het gaat om het proces en het besef binnen de (project)organisatie dat er risico’s gelopen worden die meer zijn dan alleen financieel. Ook de oorzaken van risico’s zijn verschillend van aard. Wij maken onderscheid naar vier oorzaakcategorieën: 7. Risico’s in de bedrijfsvoering: bedrijfsvoeringrisico’s zijn risico’s die samenhangen met de interne organisatie. Voorbeelden hiervan zijn personeelsrisico’s (langdurige ziekte, arbeidsongeschiktheid, fraude of menselijke fouten), risico’s in bedrijfsprocessen (wanneer processen niet optimaal zijn ingericht) of risico’s ten aanzien van fysieke zaken (wanneer de staat waarin goederen verkeren niet bekend is en deze staat onverwacht en snel kan verslechteren). 8. Risico’s door beleidskeuze: deze risico’s zijn het directe gevolg van een genomen beleidsbeslissing door voornamelijk de raad of het college. Het risico zou er niet zijn geweest als de beslissing in kwestie niet was genomen en het risico hangt bovendien samen met de aard van de beslissing. 9. Risico’s door verbonden partijen: risico’s in deze categorie hangen samen met het handelen van partijen waarover de gemeente geen (volledige) zeggenschap heeft, maar die de gemeente wel kan (proberen te) beïnvloeden. Het kan hier bijvoorbeeld gaan om Wgr-organen, waarbij de gemeente afhankelijk is van beslissingen van het bestuur en de andere gemeenten, terwijl die beslissingen financiële consequenties hebben voor de gemeente. 10. Onbeïnvloedbare externe oorzaken van risico’s: risico’s die voortkomen uit factoren die volledig buiten de gemeentelijke invloedssfeer liggen. Het gaat hierbij vooral om sociale en economische ontwikkelingen, natuurlijke oorzaken en de uitkomst van onafhankelijke arbitrage. Risico’s in deze categorie zijn risico’s die de gemeente nu eenmaal loopt en waarvan de oorzaak niet direct te beïnvloeden is. Wij definiëren daarmee risicomanagement als het identificeren, kwantificeren en beheersen van risico’s. Risico’s kunnen en zullen zich altijd voordoen en een goede identificatie (signalering en inventarisatie) is de sleutel voor een goede beheersing. In figuur 1 geven we de elementen van risicobeheersing weer: identificatie – analyse – respons – monitoring.
-5-
Figuur 1; Risicobeheersing
In de volgende paragraaf lichten wij de elementen toe. 3.2 Elementen van risicomanagement 3.2.1 Identificatie Een tijdige identificatie van risico’s is essentieel voor risicomanagement. Een bekwaam (project) manager beschikt over adequate informatie met betrekking tot onder andere de: Doorlooptijd (planning) Budgetuitnutting (begroting en realisatie) Kwaliteit (specificatie van werkzaamheden) Scope (hoeveelheid werk) De verschillende vakdisciplines in de organisatie ondersteunen en helpen hierbij vanuit verschillende rollen en verantwoordelijkheden. Rollen zijn bijvoorbeeld kaderstellend (concerncontroller), toezichthoudend (accountant, kwaliteitszorg) of ondersteunend (vastleggen informatie). Bij de identificatie van risico’s zullen allen een rol vervullen om een risico goed in te schatten. Risicomanagement is daarmee niet van één iemand. 3.2.2 Analyse Gezamenlijk wordt de impact van een risico en de gevolgen in termen van tijd (uitloop), geld (overschrijding), kwaliteit (daling) en scope (vermindering hoeveelheid) benoemd.
-6-
Resultaat van deze analyse is een onderverdeling van de risico’s die aan het bestuur en de politiek worden voorgelegd. Ook het proces van risicomanagement is hierbij aan de orde. Wanneer wordt het bestuur en de politiek geïnformeerd? Welke rollen zijn er en wie vullen die in?
Hierbij is sprake van een proces dat ervoor moet zorgen dat beslissingen op het juiste niveau genomen worden. Dit noemen we escaleren.
3.2.3 Respons Na het identificeren en het analyseren van risico’s, is de volgende vraag welke respons (beheersmaatregel) daarbij hoort. Dit leidt in de meeste gevallen tot één van de volgende keuzes: 1. Accepteren, 2. Reduceren, 3. Herstellen, 4. Voorkomen, 5. Uitbesteden.
De uitkomst hiervan wordt bepaald door politiek en organisatie. De mate waarin men risico’s (bewust) wil lopen, heeft consequenties voor de keuze van de beheersmaatregel. Hoe meer
-7-
risicomijdend men is, des te vaker zal men maatregelen nemen om de kans op een voorval, dan wel de effecten van dat voorval, te verkleinen. 3.2.4 Monitoring Op ambtelijk, bestuurlijk en politiek niveau moet bepaald worden op welke wijze en hoe vaak men op de hoogte gehouden wil worden van de voortgang van werkzaamheden. Zo kennen wij organisaties die slechts bij afwijkingen geïnformeerd willen worden, maar ook de tegenhanger dat bijna in de raad zelf de controle plaatsvindt. Het niveau waarop geïnformeerd wordt, moet afgestemd zijn.
Vanaf het moment van informeren is het wenselijk de rapportage over een specifiek risico over te dragen aan de reguliere beheerscyclus. Welke plaats risicomanagement inneemt in de reguliere beheerscyclus en welke mate van monitoring wordt verlangd is afhankelijk van het ambitieniveau met betrekking tot risico’s. Zo zijn er verschillende ambitieniveaus te onderscheiden, die elk hun weerslag hebben op de organisatie en de mate van risicobeheersing: Ambitieniveau Volledig inzicht Grotendeels inzicht Onbekend inzicht Basis van vertrouwen
Frequentie
Diepgang
Consequentie
Effect
Structureel
Al omvattend
Intensief, complex
Zeer effectief
Periodiek
Selectief
Intensief, overzichtelijk
Behoorlijk effectief
Ad hoc
Willekeurig
Gemakkelijk, maar onoverzichtelijk
Redelijke kans op incidenten
Structureel
Veel omvattend
Gemakkelijk, overzichtelijk
Aanzienlijke kans op incidenten
Uit de voorgaande beschrijving van risicomanagement blijkt dat het identificeren, kwantificeren en beheersen van risico’s centraal staat. Risico’s kunnen en zullen zich altijd voordoen en een goede identificatie (signalering en inventarisatie) is de sleutel voor een goede beheersing.
-8-
3.3 Aanpak Om de onderzoeksvragen te beantwoorden, hebben wij de uitgangspunten zoals benoemd in paragraaf 3.2 gehanteerd om een normenkader te ontwikkelen4. Vanuit zorgvuldigheid worden hieronder de verschillende onderzoeksstappen weergegeven. 3.3.1 Randvoorwaarden voor het onderzoek Het onderzoek is uitgevoerd conform de richtlijnen uit het onderzoeksprotocol van de rekenkamercommissie Veenendaal. Fase 1 – Voorbereiding • Startbijeenkomst rekenkamercommissie: het opstellen van het definitieve normenkader. • Startbijeenkomst direct betrokken ambtenaren: toelichting en het maken van werkafspraken. Tevens een extra controle op de geselecteerde documenten voor het onderzoek. De rekenkamercommissie heeft hiervoor een voorstel gedaan dat is aangevuld door de betrokken ambtenaren. Fase 2 – Documentstudie en interviews 5 De voor dit onderzoek relevante documenten zijn bestudeerd en geplaatst in het normenkader. Op basis hiervan zijn vijf interviews afgenomen met vertegenwoordigers vanuit het bestuur en de ambtelijke organisatie6. De gesprekken zijn gevoerd op basis van een interviewprotocol7 en de verslagen zijn ter goedkeurig aan de respondenten voorgelegd. Fase 3 – De risicodialoog Op basis van twee projecten, Cultuurcluster I en II, zijn we met de betrokken ambtenaren in gesprek gegaan over risicomanagement binnen Veenendaal en de werking hiervan in de praktijk. Tijdens de dialoog zijn twee invalshoeken aan de orde geweest, namelijk risicomanagement binnen projecten en risicomanagement binnen de organisatie. Wat gaat er goed en wat kan beter? Fase 4 – Opstellen conceptrapportage De conceptrapportage wordt besproken met de leden van de rekenkamer. De eventueel hieruit voortvloeiende opmerkingen en suggesties worden meegenomen bij het opstellen van de definitieve rapportage.
4
Dit normenkader is opgenomen in bijlage 1. Een overzicht met geraadpleegde documenten is opgenomen in bijlage 2. 6 De respondenten van het onderzoek zijn opgenomen in bijlage 3. 7 Het interviewprotocol is opgenomen in bijlage 4. 5
-9-
Fase 5 – Hoor en wederhoor Het doel van deze fase is om de relevante betrokkenen de gelegenheid te geven te reageren op de inhoud van de rapportage. De rekenkamer zal, conform haar onderzoeksprotocol, zelf conclusies en aanbevelingen opstellen en toevoegen aan de rapportage. Berenschot doet hiervoor de aanzet. Allereerst worden voor de technische (ambtelijke) reactie (feitenonderzoek) betrokkenen in de gelegenheid gesteld hun zienswijzen weer te geven. Daarna wordt het gemeentebestuur de gelegenheid gegeven hun zienswijze op het rapport, inclusief de conclusies en aanbevelingen, te geven. Fase 6 – Definitieve rapportage In deze laatste fase zal het rapport (inclusief conclusies, aanbevelingen, samenvatting en ingediende zienswijzen) door de rekenkamer integraal aan de raad ter beschikking worden gesteld. Het volgende hoofdstuk geeft de resultaten van het onderzoek.
-10-
4. Resultaten Risicomanagement is vandaag de dag meer dan het reserveren van financiële middelen. Risico’s zijn politieker geworden, worden steeds meer uitvergroot en hebben in het publieke debat een vaste plaats gekregen. In de toepassing van risicomanagement betekent dit meer dan de stand van het weerstandsvermogen. Het raakt de gemeentelijke organisatie en het functioneren daarvan. Op 8 basis van dit uitgangspunt hebben we een normenkader opgesteld dat uitgaat van een ideaaltypische situatie ten aanzien van de inrichting en werking van risicomanagement. In dit normenkader zijn de detailonderzoeksvragen van de rekenkamer opgenomen. We hebben het risicomanagement in Veenendaal getoetst op basis van dit normenkader. Hier komen een aantal aangrijpingspunten uit voor verdere ontwikkeling van risicomanagement in Veenendaal. In het volgende hoofdstuk gaan we in op deze aangrijpingspunten. Dit hoofdstuk geeft de resultaten van de toetsing aan het normenkader, waarin onderscheid is gemaakt tussen de feitelijkheden zoals door de onderzoekers geconstateerd op basis van documenten en meningen/percepties op basis van de interviews en de risicodialoog. Een overzicht van de geraadpleegde documenten vindt u in bijlage 1. Bijlage 3 bevat een overzicht van de respondenten van het onderzoek. Het normenkader is in drie hoofdonderdelen onderverdeeld: 11. De opzet van het risicobeleid, actueel, consistent en helder. 12. De vertaling van risicobeleid naar risicomanagement. 13. De verankering van risicobeleid en de werking van risicomanagement. Op basis van de toetsing aan het normenkader geven wij hieronder per onderdeel onze conclusies en de onderbouwing hiervan weer. 4.1 De opzet van het risicobeleid Volgens het normenkader moet de opzet van het risicobeleid aan een aantal criteria voldoen. In deze paragraaf zetten wij deze criteria uiteen en geven we aan in hoeverre het risicobeleid van Veenendaal voldoet aan deze criteria. 4.1.1 Opzet, actualiteit en vaststelling door de raad Conclusie: de gemeente heeft in 2005 beleid opgesteld over hoe om te gaan met risico’s binnen de gemeente. Met dit beleid gaf men invulling aan artikel 17 van de Verordening financieel beleid en beheer en de inrichting van de financiële organisatie van de gemeente Veenendaal (vastgesteld in oktober 2003). In 2009 is de hiervoor genoemde financiële verordening door de raad gewijzigd vastgesteld.
8
Het normenkader is opgenomen in bijlage 1.
-11-
De raad heeft daarmee besloten dat onderwerpen die vastgesteld moeten worden door de raad worden meegenomen in de reguliere planning- en controlinstrumenten en zo min mogelijk in aparte onderliggende notities. Daarmee is ook besloten dat de nota Weerstandsvermogen en Risicomanagement niet zou worden geactualiseerd. In de paragraaf weerstandsvermogen van de programmabegroting wordt ingegaan op weerstandsvermogen en het risicomanagement. Er wordt daarmee voldaan aan de wettelijke eisen zoals verwoord in artikel 11 van het BBV (weerstandsvermogen). De gemeente beschikt over de nota Weerstandsvermogen en Risicomanagement. Deze nota is op 2 februari 2005 door de raad vastgesteld. In deze nota wordt het beleid ten aanzien van de weerstandscapaciteit in relatie tot risico' s beschreven. Hiermee geeft de gemeente invulling aan artikel 17 van de Verordening financieel beleid en beheer en de inrichting van de financiële organisatie van de gemeente Veenendaal (vastgesteld in oktober 2003) en artikel 11 van het BBV. In het raadsvoorstel is aangegeven dat de nota in 2008 op grond van de financiële verordening zal worden geactualiseerd. Eind 2009 is de hierboven genoemde financiële verordening door de raad gewijzigd vastgesteld. De raad heeft daarmee besloten dat onderwerpen die vastgesteld moeten worden door de raad worden meegenomen in de reguliere planning- en controlinstrumenten en zo min mogelijk in aparte onderliggende notities. Daarmee is ook besloten dat de nota Weerstandsvermogen en Risicomanagement niet zou worden geactualiseerd. In de paragraaf weerstandsvermogen van de programmabegroting wordt uitvoerig ingegaan op weerstandsvermogen en het risicomanagement. Hoewel de actualisatie van de nota Weerstandsvermogen en Risicomanagement vanaf dat moment niet meer aan de orde was, worden de uitgangspunten van de nota nog steeds toegepast. Zo heeft Veenendaal naar aanleiding van de economische crisis de notitie ‘Gevolgen en maatregelen kredietcrisis voor Veenendaal’ opgesteld. Een goed voorbeeld van de toepassing van het beleid geformuleerd in de nota Weerstandsvermogen en Risicomanagement in de praktijk. De werking van het risicomanagement wordt verder besproken in paragraaf 4.3. In de nota Weerstandsvermogen en Risicomanagement wordt ingegaan op het gewenste weerstandsvermogen, het beschikbare vermogen en het beleid ten aanzien van het opvangen van risico' s (risicomanagement). Het dient als kader voor jaarlijks in de programmabegroting, tussentijdse bestuursrapportages en programmarekening op te nemen paragraaf weerstandsvermogen en risicomanagement. Het accent in de nota ligt op (de omvang van) het 9 weerstandsvermogen .
9
Bij het weerstandsvermogen gaat het om de mate waarin de gemeente in staat is middelen vrij te maken om onverwachte niet structurele financiële tegenvallers op te vangen, zonder dat dit betekent dat het beleid veranderd moet worden of dat de gemeente haar taken alleen kan blijven uitvoeren met steun van het Rijk. Hierbij dient te worden opgemerkt dat in overeenstemming met de rekenkamer is besloten om niet te onderzoeken of de hoogte van het weerstandsvermogen toereikend is.
-12-
Naast het gemeentebrede risicobeleid dat is vastgelegd in de nota Weerstandsvermogen en Risicomanagement heeft Veenendaal het risicobeleid ten aanzien van de grondexploitaties vastgelegd in de nota Grondbeleid. Voor de grondexploitaties is een aparte voorziening (risicoreserve grondbedrijf) die fungeert als benodigde weerstandsvermogen tegen de risico’s van de grondexploitaties. Hierbij dient opgemerkt te worden dat er een directe link bestaat tussen het risicoreserve grondbedrijf en de algemene reserve van de gemeente Veenendaal. De systematiek is voor beide ‘soorten’ risicomanagement volgens een respondent nagenoeg gelijk. Beide gaan uit van inventariseren, kwantificeren, beheersen en monitoren. 4.1.2 Consistentie en helderheid van het beleid Conclusie: het risicobeleid van de gemeente Veenendaal is in meerdere documenten vastgelegd. Het vastgelegde beleid is consistent, samenhangend en niet tegenstrijdig. Het beleid is helder geformuleerd, begrijpelijk en niet voor meerdere interpretaties vatbaar. De nota Weerstandsvermogen en Risicomanagement is niet het enige beleidsdocument waarin risicobeheersing een plaats heeft. In de mandaatregeling, de beleidsnota Reserves en Voorzieningen, de nota Grondbeleid en het treasurystatuut is eveneens risicobeleid geformuleerd. In het treasurystatuut worden allereerst het begrippenkader en de doelstellingen van de treasuryfunctie uiteen gezet. Deze worden vervolgens geconcretiseerd voor de verschillende deelgebieden van treasury: risicobeheer, gemeentefinanciering en kasbeheer. Daarna komen de administratieve organisatie en interne controle van de treasuryfunctie aan de orde. Daarbij ligt het accent op de eenduidigheid over de verdeling van de taken, bevoegdheden en verantwoordelijkheden. Tot slot worden de uitgangspunten vastgelegd voor de informatie die noodzakelijk is om het gehele proces beheersbaar en meetbaar te maken en te houden. In de Memorie van Toelichting worden, waar nodig, de in het treasurystatuut opgenomen artikelen toegelicht. De mandaatregeling geeft weer binnen welke bevoegdheden functionarissen binnen de gemeente kunnen opereren. Hierbij is de regeling ondersteunend aan hetgeen in de nota Weerstandsvermogen en Risicomanagement is verwoord. Waar dit relevant is, wordt concreet naar overige beleidsdocumenten verwezen. In de beleidsnota Reserves en Voorzieningen is opgenomen welke kaders van toepassing zijn bij het vormen, dan wel benutten of laten vrijvallen van reserves en voorzieningen. Hiermee is zij richtinggevend aan een voorgenomen besluit bestaande risico’s financieel af te dekken. Met andere woorden: indien het aanhouden van een reserve of voorziening is gekozen als beheersmaatregel. 4.1.3 Rollen en inrichting beheersproces Conclusie: in het risicobeleid staat verwoord welke rollen de verschillende entiteiten binnen de gemeente hebben voor wat betreft het risicobeleid. In het risicobeleid is weergegeven hoe het beheersproces is ingericht. Een aanvullende stap voor dit proces is om te definiëren hoe bij het signaleren van risico’s wordt opgeschaald en hoe wordt omgegaan met het afnemen van de kans op risico’s.
-13-
In de documentatie wordt meermalen ingegaan op de rollen die diverse betrokkenen (raad, college, directie, afdelingshoofden, projectmanagement) hebben in het gemeentelijk besluitvormingsproces. Het beleggen van formele verantwoordelijkheden en vrijheidsgraden in handelen is hiermee bewerkstelligd. Onderdeel van het risicobeleid is een procesbeschrijving Beheersen van risico’s, waarin schematisch is weergegeven op welke wijze, als onderdeel van de reguliere P&C-cyclus, de beheersing van financiële risico’s is belegd. Op hoofdlijnen zijn hierbij verantwoordelijkheden benoemd. 4.1.4 Omgang risico’s en beheersmaatregelen Conclusie: het risicobeleid gaat met name in op welke manier er met financiële risico’s omgegaan moet worden. Andersoortige risico’s worden in mindere mate benoemd. Het risicobeleid gaat daarmee minder in op welke respons (beheersmaatregel) onder bepaalde omstandigheden moet worden toegepast. In de beleidsdocumentatie wordt ingegaan op (mogelijke) financiële risico’s van de gemeente. Risico’s die zijn te duiden in termen van kwaliteit of scope en de handelswijze van de betreffende functionaris op het moment dat dergelijke risico’s worden waargenomen, worden niet omschreven. Risico’s ten aanzien van uitloop in tijd worden veelal in verband gebracht met financiële risico’s. De interviews en de risicodialoog bevestigen het beeld dat de documenten laten zien. Respondenten erkennen dat het risicobeleid van Veenendaal met name gericht is op financiële risico’s en minder op overige risico’s. Het geformuleerde risicobeleid gaat als gevolg hiervan minder in op beheersmaatregelen die toegepast dienen te worden wanneer een risico op het gebied van tijd, kwaliteit of scope zich voordoet. 4.2 De vertaling van risicobeleid naar risicomanagement Het tweede onderdeel in het normenkader wordt gevormd door de vertaling van risicobeleid naar het managen van risico’s. In deze paragraaf geven wij de resultaten op dit onderdeel weer. Wederom begint elke paragraaf met een korte conclusie, waarna een feitelijke onderbouwing volgt. 4.2.1 Inrichting risicomanagement Conclusie: het risicomanagement ten aanzien van projecten is dusdanig ingericht dat voor de verschillende betrokkenen binnen de gemeente de taken, verantwoordelijkheden en bevoegdheden duidelijk zijn. Ten aanzien van de reguliere werkzaamheden is de inrichting van het risicomanagement minder duidelijk belegd. De inrichting van risicomanagement betreft de formeel vastgelegde structuur, waaruit taken, verantwoordelijkheden en bevoegdheden ten aanzien van risicomanagement voortvloeien. Deze structuur is binnen de gemeente Veenendaal vastgelegd in Naris, het geautomatiseerde risicomanagementinformatiesysteem. De gemeente beschikt over een uitgebreide handleiding waarin de opzet en werking is gegeven. Het programma biedt de mogelijkheid tot diverse autorisatieniveaus en wijzigingsrechten.
-14-
Het biedt de mogelijkheid tot registratie van gesignaleerde risico’s, de kwantificatie hiervan, de mandatering van de beheersmaatregel en het monitoren van betreffende risico’s. Tweehonderd andere gemeenten maken gebruik van het systeem Naris. Het systeem biedt de mogelijkheid van benchmarking en attendeert de gebruikers ook op risico’s die misschien niet direct in de lijn van de verwachting liggen. Naris kan zowel voor projecten als voor niet-projecten worden gebruikt. In de praktijk blijkt echter dat risicomanagement ten aanzien van niet-projecten minder expliciet is. Respondenten geven aan dat op het moment dat ergens een project van gemaakt wordt, men een duidelijke rolverdeling heeft. In het geval dat iets niet als project wordt aangeduid, is de mate waarin risicomanagement wordt toegepast persoonsafhankelijk. Ten aanzien van de inrichting van risicomanagement binnen fysieke projecten is een handboek opgesteld. Dit handboek Fysieke projecten kent een aantal hoofdstukken, waarin achtereenvolgens wordt ingegaan op de aansturing van een project, een stappenplan, procedures en werkprocessen en een uitwerking van rollen en taken. Ook worden formats gegeven, waaronder voor de voortgangsrapportage. Hierin is duidelijk ruimte voor het aangeven van eventuele bestaande risico’s en de gekozen beheersmaatregel. Dit handboek is hiermee een heldere uiteenzetting van hoe door de gemeente tegen projectmanagement (in het fysieke domein) wordt aangekeken. In de Concept Richtlijn Programmatisch Werken wordt eveneens uitgebreid stilgestaan bij hoe de gemeente aankijkt tegen de aansturing van de organisatie waar het programma’s, projecten of plannen (projecten in de lijn) betreft. Taken, verantwoordelijkheden en bevoegdheden worden toebedeeld aan diverse gremia binnen de (tijdelijke) programma- en projectorganisatie. 4.2.2 Kaderstelling Conclusie: de taken, verantwoordelijkheden en bevoegdheden ten aanzien van risicomanagement zijn dusdanig beschreven dat duidelijk is wie de kaders stelt voor de ‘Risk appetite’ (de acceptatie van risico’s). ‘Risk aversiveness’ (het vermijden van risico’s) en de bijbehorende beheersambitie zijn minder expliciet aan de voorkant benoemd. Uit diverse interviews en de risicodialoog blijkt dat de gemeenteraad voorafgaand aan projecten een kaderstellende rol heeft, die zij ook invult. De raad stelt de kaders voor de projecten veelal vast op basis van een voorstel van het College van B&W. Respondenten geven aan dat het vaak niet mogelijk is om de raad al in de initiatieffase te betrekken en een discussie met elkaar te voeren over deze kaders. Volgens de respondenten is dit gelegen in het feit dat binnen Veenendaal strak vast wordt gehouden aan de formele communicatielijnen naar de raad, via raadsvoorstellen. Hierdoor is het volgens de respondenten lastig om de gemeenteraad mee te nemen in het proces van de werkelijkheid met de vele onzekerheden waar men tijdens een project mee te maken heeft. Ook een presentatie geven aan de raad over een voorstel of initiatief is volgens respondenten, vanwege de drukke raadsagenda, niet altijd mogelijk. Uit interviews komt tevens naar voren dat de kaderstellende- en budgethoudersrol van de gemeenteraad nog niet zover gaat dat zij met elke risicoanalyse ook daadwerkelijk scherp hebben welke risico’s zij (willen) nemen. Ook in de nota Weerstandsvermogen en Risicomanagement komt naar voren dat de gemeente Veenendaal niet exact bepaald heeft wat haar risicoprofiel is. Wel is in
-15-
de nota weergegeven dat men rekening houdt met een stevig risicoprofiel. In de aanbevelingen komen wij hierop terug. 4.2.3 Identificatie van risico’s Conclusie: binnen de gemeente Veenendaal worden risico’s veelal geïdentificeerd in termen van uitloop in tijd (vertraagde oplevering) of geld (budgetoverschrijding). Risico’s van alle projecten worden jaarlijks gerapporteerd in het Projectenboek. Hierin worden tevens risico’s anders dan tijd en geld gerapporteerd. Naris stelt de gebruiker in staat de risico’s categorisch te ordenen naar oorzaak, gebeurtenis en gevolg. We hebben echter niet vast kunnen stellen of de functionaliteit die Naris biedt daadwerkelijk wordt toegepast op deze ‘soorten’ risico’s. Uit de interviews en risicodialoog blijkt dat de risico’s en beheersmaatregelen voor de start van een project met alle betrokkenen worden besproken. Ook in de portefeuillehoudersoverleggen, projectoverleggen en stuurgroepbijeenkomsten komen deze onderwerpen aan de orde. Daarnaast wordt op gezette tijden de stand van zaken ten aanzien van de projecten geïnventariseerd. Dit gebeurt volgens de respondenten minimaal één keer per jaar. Op dat moment worden voor alle projecten alle risico’s opnieuw in kaart gebracht. Ook wordt voor elk risico de kans van optreden en gevolg in geld en tijd in beeld gebracht. Op deze manier wordt rekenkundig het risicoprofiel van elk project in beeld gebracht. Bij de grondexploitatie worden aan alle geïnventariseerde risico’s, indien mogelijk, tevens beheersmaatregelen toegekend. De in kaart gebrachte risico’s worden vervolgens één keer per jaar gerapporteerd aan de raad middels het Projectenboek. Doel van het boek is om raadsleden een zo goed mogelijk inzicht te verschaffen in de stand van zaken ten aanzien van alle projecten binnen de gemeente Veenendaal. In het Projectenboek vindt per project verantwoording plaats. Per project worden de volgende onderdelen toegelicht: Projectomschrijving Projectvoortgang tot 1 juli 2009 Financiële voortgang (per kalenderjaar) Risico-ontwikkeling en risicomanagement (top 3 van risico’s) Deze opzet bestaat uit een combinatie van de formats zoals in de Grondnota gehanteerd worden en de meer beschrijvende vorm van de voortgangsrapportage. In het eerste deel van de rapportage worden de grondexploitaties toegelicht. De grondexploitaties worden apart van de overige projecten benoemd vanwege de eisen gesteld in de nota Grondbeleid. Ook de wijze van besluitvorming en risicodekking is binnen de grondexploitaties anders geregeld dan de overige investeringen binnen de gemeente. Het tweede deel beschrijft de projecten waar
-16-
een opstalexploitatie of investeringskrediet van toepassing is. Deze projecten werden tot vorig jaar niet structureel verantwoord. In het Projectenboek wordt per project naast de financiële voortgang ook aandacht besteed aan risico-ontwikkeling en risicomanagement. In dit onderdeel is per project de top 3 van risico’s met de bijbehorende beheersmaatregel weergegeven, waarbij ook andere risico’s dan tijd en geld worden benoemd. Een concreet voorbeeld hiervan is het project Zuidpoort, waar ‘Gewenste ruimtelijke kwaliteit niet gerealiseerd door inpassing KPN gebouw’ als risico wordt benoemd. Dit betreft een risico ten aanzien van kwaliteit. 4.2.4 Risicoanalyse, escalatie en beheersmaatregelen Conclusie: de vertaling van risicobeleid naar handvatten voor risicomanagement in de praktijk is binnen Veenendaal via de Conceptrichtlijn Programmatisch Werken en het handboek Fysieke projecten gemaakt. Binnen de ambtelijke organisatie is (ten aanzien van projecten en programma’s) duidelijk wie verantwoordelijk is voor de risicoanalyse, de escalatie van eventuele incidenten en het vaststellen van beheersmaatregelen. In de Conceptrichtlijn Programmatisch Werken (conceptversie 3a) is een aantal verantwoordelijkheden benoemd voor de programma- en projectmanager. Onderstaand geven wij een selectie hiervan weer: ‘De projectmanager informeert de programmamanager over zich tussentijds voordoende risico’s, afwijkingen en knelpunten’ (p.9). ‘De programmamanager rapporteert aan de stuurgroep […] inclusief de voorziene risico’s en de wijze waarop deze gemanaged worden’ (p.9). ‘De programmamanager is verantwoordelijk voor de dagelijkse besturing van het programma, de risico’s, de aandachtspunten, de conflicten, de prioriteiten en de communicatie en verzekert de oplevering van de projectresultaten’. Tevens is sprake van een programmaplan, waar eveneens ruimte wordt gecreëerd voor het beschrijven van de risico’s, kansen, aannames en issues in het programma. Van een specifiek escalatieproces is weliswaar geen sprake in vastgestelde vorm. Niettemin is er binnen de gemeente een mechanisme dat ervoor zorgt dat mogelijk bestaande risico’s worden belegd op het juiste niveau, getuige de beschreven taken, rollen en bevoegdheden. In dit kader is in de Conceptrichtlijn Programmatisch Werken (conceptversie 3a) een bevoegdheid van de bestuurlijk opdrachtgever beschreven. Deze overlegt met de programmamanager over te nemen maatregelen bij veranderende omstandigheden die de vooraf vastgestelde kaders (+ toleranties) te buiten gaan.
-17-
In het geval van projecten die zijn opgenomen in het Projectenboek, is het de afdeling Projecten die rapporteert over een selectie van de meest relevante gesignaleerde risico’s en de gekozen beheersmaatregel. Een beheersmaatregel wordt in samenspraak bepaald door de projectmanager, een extern bureau (adviserend ingenieursbureau), projectcontrol en een leidinggevende van de afdeling Projecten. Uiteindelijk stelt de gemeenteraad de beheersmaatregel via het Projectenboek vast. Uit de interviews blijkt dat wanneer een project buiten een door de raad gesteld kader gaat, dit door de projectmanager en ambtelijke opdrachtgever besproken wordt in het portefeuillehoudersoverleg (conform rollen, taken en bevoegdheden beschreven in het handboek Fysieke projecten). Samen met de wethouder wordt vervolgens bepaald hoe men hiermee omgaat. Afhankelijk van de aard van de kwestie en of dit een intern of extern kader is, worden vervolgacties afgesproken. Indien het een intern kader betreft wordt dit besproken in het college en indien noodzakelijk in de raad. Indien het ook externe partijen betreft wordt dit besproken in de stuurgroep. Indien het binnen de stuurgroep niet opgelost kan worden gaat het naar het college en eventueel naar de raad. Dit is conform de mandaatregeling. In ‘Het geheel is meer dan de som der delen’ staat de gemeente stil bij de doorgevoerde organisatieverandering en de rol van de controlfunctie. De controlfunctie is er ter ondersteuning van bestuur en management, die er behoefte aan hebben te weten of zij op het juiste spoor zitten (p. 32). Uit dit document blijkt dus dat control toeziet op de naleving en toepassing van de beheersmaatregelen. In dit document wordt ook gesproken over andere vormen van risico’s dan financiële, zoals juridische risico’s. 4.3 De verankering en werking in de praktijk Het laatste onderdeel van het normenkader heeft betrekking op de verankering van risicobeleid en de werking van risicomanagement in de Veenendaalse context. We hebben in onderstaande subparagrafen de resultaten van onze analyse weergegeven. Anders dan de vorige twee paragrafen is deze voornamelijk gebaseerd op de interviews en risicodialoog. 4.3.1 Verankering van risicobeleid Conclusie: het risicobeleid is bij alle betrokkenen bekend en toegankelijk. Het risicobeleid wordt actief beheerd en gedocumenteerd. Het beleid is niet integraal vastgelegd, maar verspreid over verschillende beleidsdocumenten. Er zijn geen procesbeschrijvingen van de verschillende aspecten binnen het risicomanagement. Uit zowel de interviews als de risicodialoog komt naar voren dat het geformuleerde beleid ten aanzien van risicomanagement werkt. Het beleid is aan verbetering onderhevig en de ambtelijke organisatie is hier bewust mee bezig. Het denken in risico’s en het toepassen van risicomanagement vindt met name plaats binnen de afdeling Projecten, die ook de grootste en meest risicovolle projecten in portefeuille heeft. Deze afdeling Projecten bestaat sinds september 2008. Daarnaast is destijds de gehele controlfunctie (project-, beleids-, financiële- en juridische control) gebundeld binnen de concernstaf. Eén van de doelen was om de projectcontrol en daarmee het risicomanagement te versterken.
-18-
Een centraal en integraal document voor risicobeleid en management, verrijkt met een procesbeschrijving ontbreekt. Het beleid is op dit moment vastgelegd in diverse documenten zoals de nota Weerstandsvermogen en Risicomanagement, de nota Grondbeleid, het treasurystatuut, het handboek Fysieke projecten en het voorstel Projectmatig werken. Veenendaal heeft daarmee taken, verantwoordelijkheden, bevoegdheden en vastlegging van methodiek en terminologie nog niet centraal belegd. 4.3.2 Werking van risicomanagement Conclusie: er is een scherp omlijnde methode van projectmatig of procesmatig werken met een duidelijke structuur, termen en begrippen. Deze methoden zijn bekend en worden toegepast. Er is een beleidscyclus en planning- en controlcyclus die deze methoden ondersteunt. Er is een goede samenwerking en communicatie tussen de uitvoerende organisatie en de bedrijfsvoering. Ten aanzien van het signaleren en rapporteren van risico’s is de huidige projectadministratie een ontwikkelpunt. Inmiddels is Veenendaal bezig met de implementatie van een verbetertraject op dit onderdeel. De gemeente zoekt tevens naar een oplossing om de planning- en controlcyclus beter aan te laten sluiten bij de projecten (jaarcyclus). Zoals uit de eerdere paragrafen reeds naar voren komt, is er onderscheid te maken naar het risicobeleid voor de gehele gemeente en de toepassing in de werkzaamheden van de organisatie. Wij constateren dat het risicobeleid van de gemeente zich met name richt op het weerstandsvermogen en dat ten aanzien van dit weerstandsvermogen beleid is geformuleerd. Via de P&C-cyclus en de informatiestructuren wordt hierop gestuurd. De Conceptrichtlijn Programmatisch Werken en het handboek Fysieke projecten geven een duidelijke structuur alsmede termen en begrippen ten aanzien van risicomanagement. Uit interviews en de risicodialoog komt naar voren dat de ambtelijke organisatie bekend is met de hierin beschreven methoden en deze ook toepast. Op basis van de documentanalyse en interviews constateren wij dat dit met name gestructureerd wordt toegepast binnen de afdeling Projecten. Een logische constatering, omdat daar de grote projecten worden uitgevoerd met navenant grote risico’s. Tijdens de interviews en risicodialoog is aangegeven dat risicomanagement nog niet in de gehele organisatie op gelijk niveau wordt toegepast. Er wordt nog niet breed in de organisatie hetzelfde belang aan risicomanagement gegeven. Risico’s die voortvloeien uit niet-fysieke projecten en de dagelijkse bedrijfsvoering zijn onderdeel van de reguliere beleidscyclus. Deze zijn lastiger te managen, zo wordt tijdens de interviews aangegeven. Ze worden opgenomen in NARIS en zijn onderdeel van de reguliere gesprekken met de betreffende budgethouders. Eventuele beheersmaatregelen vinden zo nodig hun weg in beleidsplannen. Respondenten geven aan dat de aspecten cultuur, risicobewustzijn, loyaliteit aan de organisatie en zaken als houding en gedrag van de betreffende functionarissen belangrijk zijn. De respondenten van de interviews en de risicodialoog zijn van mening dat er in het algemeen sprake is van een open cultuur, geen afrekencultuur. Uit de interviews en de risicodialoog blijkt tevens dat het denken en communiceren in termen van risico’s redelijk vanzelfsprekend is. Ook het toepassen van een ‘Monte Carlo’ simulatie bij risico’s in fysieke projecten is daar een voorbeeld van. Toch constateren diverse respondenten dat risicomanagement nog niet volledig in de cultuur van de gemeente zit.
-19-
Ambtenaren moeten nog erg wennen aan de gedachte dat het benoemen en beheersen van risico’s de gemeente kan ondersteunen. Het besef van het nut en de noodzaak van projectmatig werken neemt gaandeweg wel toe. Hierdoor wordt de uiteindelijke toepassing van projectmatig werken als werkvorm professioneler. Dit voorkomt bijvoorbeeld ook het ontstaan van ‘bypasses’, waarbij de projectmanager wordt gepasseerd doordat individuele belangen worden nagestreefd door (delen van) de ambtelijke organisatie of van bestuurders. Het team Planning en Control heeft ten aanzien van het risicomanagement een rol in de beleidsmatige advisering van de directie en de interne kaderstelling. Daarbij is sprake van proactief toezicht (ook vooraf en tijdens projecten of andere activiteiten) en een op eigen waarneming gebaseerde onafhankelijke analyse ten aanzien van o.a. de beheersmaatregelen. Hiertoe heeft men op regelmatige basis contact met de verschillende budgethouders, bij wie overigens de primaire verantwoordelijkheid ligt ten aanzien van risico’s en het managen daarvan. Dit is inclusief het bepalen van de beheersmaatregel van gesignaleerde risico’s of het doen van voorstellen daaromtrent, het escalatieniveau, het verzorgen van (interne) rapportages en deze voorzien van een toelichting. Een voorbeeld van de toepassing van het beleid ten aanzien van risicomanagement in de praktijk is de notitie ‘Gevolgen en maatregelen kredietcrisis voor Veenendaal’ die de concernstaf naar aanleiding van de economische crisis heeft opgesteld. De risicocoördinator past het risicomanagement in de praktijk toe door de budgethouders in hun verantwoordelijkheid te ondersteunen bij identificatie, analyse, respons en monitoring. Verantwoording hierover vindt plaats in de vaste P&C-producten. In de praktijk komt het er op neer dat de tien grootste risico’s waaronder met name de grote projecten worden gerapporteerd aan het gemeentebestuur. Het betreft hier overigens veelal financiële risico’s. De wijze en het moment waarop risico’s formeel worden gecommuniceerd richting gemeentebestuur en de raad is onderdeel van de reguliere P&C-cyclus. Tweemaal per jaar wordt er een top tien van aanwezige risico’s opgesteld en gepresenteerd. Deze komt tot stand door een gespreksronde met alle budgethouders, op basis waarvan de risicodossiers en beheersmaatregelen worden bijgewerkt. Op dit moment is men binnen Veenendaal bezig om een goede manier te vinden om de projectcyclus (die niet per se in lijn loopt met jaargrenzen) voor wat betreft de rapportagemomenten aan te laten sluiten bij de reguliere P&C-cyclus. De afdeling managementondersteuning buigt zich nu over het vraagstuk ‘hoe programma’s en projecten te integreren’. Er is een systeem voor (financiële) projectadministratie aanwezig binnen de gemeente. Het belang van een goede administratieve basis is groot. De huidige projectadministratie is niet zodanig dat men met een druk op de knop de stand van zaken ten aanzien van een project weer kan geven. Ook de urenadministratie van de ambtelijke organisatie was niet op orde en tot op heden is het schrijven van uren nog geen gemeengoed, zo blijkt uit de verschillende interviews. Om de situatie te verbeteren hebben de afdeling Projecten, de planeconoom, de afdeling A&I en de concernstaf deelgenomen in een werkgroep Projectfinanciën, welke tot doel heeft de projectfinanciën blijvend te verbeteren en de werking te borgen.
-20-
Ernst & Young heeft onlangs een rapportage uitgebracht ten aanzien van de verbetering van de projectadministratie. De gemeente is op dit moment drukdoende met de implementatie van dit advies. Uit het gegeven dat de projectmanager na aanvaarding van de projectopdracht integraal verantwoordelijk is voor het project (inclusief het budget en de rapportage daarover) blijkt dat de organisatiestructuur het escalatiemechanisme ondersteunt. Daarnaast valt het project ook binnen de functionele en hiërarchische lijn van de projectmanager en rapporteert hij/zij inhoudelijk aan de stuurgroep. Binnen de reguliere organisatie is er van nature al een functionele en hiërarchische lijn. Ten slotte is de controlfunctie buiten de lijn geplaatst. Er kan daardoor dus sprake zijn van ongebonden escalatie en advies uit die richting.
-21-
Bijlage 1 Normenkader
-22-
Normenkader: De opzet van het risicobeleid in de nota Weerstandsvermogen, inclusief het actueel, consistent en helder zijn daarvan. De gemeente heeft beleid opgesteld over hoe om te gaan met risico’s binnen de gemeente. Dit beleid is actueel en vastgesteld door de raad. Dit beleid is consistent, samenhangend en niet tegenstrijdig. Dit beleid is helder, begrijpelijk en niet voor meerdere interpretaties vatbaar. In het risicobeleid staat verwoord welke rollen de verschillende entiteiten binnen de gemeente hebben voor wat betreft het risicobeleid (wie stelt het op, wie stelt het vast, wie voert het uit, wie ziet toe op naleving?). Er wordt voldaan aan de wettelijke eisen zoals verwoord in artikel 11 van het BBV (weerstandsvermogen). In het risicobeleid is weergegeven hoe het beheersproces is ingericht, van identificatie tot monitoring. Ook eventuele escalatiekanalen worden hierbij benoemd. Het risicobeleid gaat in op welke manier er met verschillende soorten risico’s omgegaan moet worden. Het risicobeleid gaat in op welke respons (beheersmaatregel) onder bepaalde omstandigheden moet worden toegepast. De vertaling van risicobeleid naar risicomanagement, waaronder de keuzes met betrekking tot ‘risk appetite’ en beheerskaders. Het risicomanagement is dusdanig ingericht dat voor de verschillende betrokkenen binnen de gemeente de taken, verantwoordelijkheden en bevoegdheden duidelijk zijn. Deze taken, verantwoordelijkheden en bevoegdheden zijn dusdanig beschreven dat de volgende zaken duidelijk zijn: Wie stelt de kaders voor de: o
‘Risk appetite’ (de acceptatie van risico’s)?
o
‘Risk aversiveness’ (het vermijden van risico’s)?
o
Beheersambitie?
Op welke onderwerpen worden welke risico’s geïdentificeerd? o
Gaat het om uitloop in tijd (vertraagde oplevering)?
o
Gaat het om geld (budgetoverschrijding)?
o
Gaat het om kwaliteit (niet voldoen aan specificaties)?
o
Gaat het om scope (we doen meer of minder dan afgesproken)?
Wie analyseert risico’s (kans en gevolg)? Wie escaleert bij het zich voordoen van een incident? o
Wanneer?
o
Op basis waarvan?
o
Naar welk niveau (afdeling, directie/MT, college of raad)?
o
Zijn spelregels opgesteld?
Wie bepaalt de toe te passen beheersmaatregel, zoals: o
Accepteren
o
Reduceren
o
Herstellen
o
Voorkomen
o
Uitbesteden
Wie ziet toe op de toepassing van de beheersmaatregel? Wie rapporteert? Wie de-escaleert? o
Bij verminderde kans
o
Bij verminderd gevolg
o
Na een overeengekomen beheersmaatregel
De taken, verantwoordelijkheden en bevoegdheden zijn bepaald voor de verschillende soorten risico’s. De verankering van risicobeleid en de werking van risicomanagement in de gemeentelijke context. Verankering: Het risicobeleid is bij alle betrokkenen bekend en toegankelijk. Het risicobeleid wordt actief beheerd en gedocumenteerd: Er is sprake van versiebeheer (AO/IC). Er vindt een toetsing plaats aan voortschrijdend inzicht of veranderend (flankerend) beleid. Er wordt getoetst aan het voldoen aan wet- en regelgeving (Gemeentewet, BBV). Samenhang en eenduidigheid worden bewaakt.
Van de verschillende aspecten binnen het risicomanagement is een procesbeschrijving: Kaderstelling Identificatie Risicoanalyse Escalatie Bepalen beheersmaatregel Toezien op de toepassing van de beheersmaatregel Rapportage De-escalatie Deze procesbeschrijving(en) zijn bekend en toegankelijk. Werking: Er is een scherp omlijnde methode van projectmatig of procesmatig werken, met een duidelijke structuur, termen en begrippen. Deze methoden zijn bekend en worden toegepast. Er is een beleidscyclus die deze methoden ondersteunt. Er is een planning- en controlcyclus die deze methoden ondersteunt. Er is een goede samenwerking en communicatie tussen de uitvoerende organisatie en de bedrijfsvoering. Er zijn geen belemmeringen bij het signaleren en rapporteren van risico’s. De organisatiestructuur ondersteunt het escalatiemechanisme: Door functionele en inhoudelijke aansturing en rapportagelijnen. Door de mandaatregeling. Er is sprake van open en effectieve communicatie tussen de verschillende gremia. Elk (mogelijk) risico wordt ook gezien als een kans: door een mechanisme van continu verbeteren (evalueren) is men in staat risico’s te herkennen en in de toekomst vergelijkbare situaties voor te zijn.
Bijlage 2 Geraadpleegde documenten
Overzicht geraadpleegde documenten Document
Datum
Verordening financieel beleid
1-01-04
Gemeentelijk Borgtochtbeleid
13-01-04
Nota Weerstandsvermogen en Risicomanagement
9-12-04
Verslag commissie Middelen januari 2005
26-01-05
Raadsvoorstel en besluit ‘nota Weerstandsvermogen’
2-02-05
Budgethoudersregeling 2005
10-05-05
Nota Grondbeleid
17-06-05
Treasurystatuut gemeente Veenendaal
1-09-05
Raadsvoorstel en besluit ‘nota Grondbeleid’ (28 juni 2005)
22-09-05
Beleidsnota reserves en voorzieningen
29-06-06
Raadsvoorstel en besluit ‘Beleidsnota reserves en voorzieningen’
29-06-06
Notitie ‘Evaluatie limietbedragen borgstellingen’
13-09-06
B&W-voorstel ‘Projectmatig Werken’
14-03-08
Centralisatie financiële en controlfunctie’ (incl. B&W-besluit)
18-07-08
Het geheel is meer dan de som der delen
1-08-08
Organisatiestructuur vanaf 2010
1-08-08
Mandaatregeling
1-09-08
Handboek fysieke projecten
2-09-08
Verslag commissie Middelen september 2008
10-09-08
B&W-voorstel ‘Startdocument plan Projectmatig Werken’
7-11-08
Presentatie Projectmatig Werken
20-11-08
Boardletter 2008 incl. reactie B&W
15-12-08
Conceptrichtlijn Programmatisch Werken
1-02-09
Notitie ‘Gevolgen en maatregelen kredietcrisis voor Veenendaal’
1-03-09
Projectenboek 2009
1-07-09
Handleiding NARIS
1-07-09
B&W-voorstel ‘Projectenboek 2009
22-09-09
Raadsvoorstel en besluit ‘Projectenboek 2009’
5-11-09
‘Wijziging financiële verordening gemeente Veenendaal’
10-12-09
Boardletter 2009 incl. reactie B&W
10-12-09
Procesbeschrijving ‘Beheersen van risico’s’
5-02-10
Programmabegroting gemeente Veenendaal 2009
2009
Jaarrekening gemeente Veenendaal 2008
2009
Programmabegroting gemeente Veenendaal 2010
2010
Bestuursrapportage(1&2 - 2009)
2009
Bijlage 3 Respondenten
Respondenten interviews De heer Feskens, Projectmanager De heer Morren, Financieel beleidsadviseur en risicomanager De heer Mulder, Concerncontroller Mevrouw Penninks, Projectcontroller De heer Sanders, voormalig Wethouder RO De heer Van Maanen, voormalig Wethouder financiën De heer Van Doesburg, Afdelingsmanager Respondenten risicodialoog De heer Brussen, Projectmanager De heer Feskens, Projectmanager De heer Hiemstra, Medewerker regie en beleid De heer Lammers, Financieel beleidsadviseur De heer Meijerink, Adviseur Planning en Control De heer Morren, Financieel beleidsadviseur De heer Mulder, Concerncontroller De heer Van der Beek, Projectcontroller De heer Van Beijnum, Afdelingsmanager Mevrouw Van de Klift, Directeur bedrijfsvoering De heer Van Doesburg, Afdelingsmanager De heer Zoodsma, Teamleider Planning en Control
Bijlage 4 Interviewprotocol
Interviewprotocol Berenschot voert in opdracht van de rekenkamercommissie van Veenendaal een onderzoek uit naar de actuele inrichting en werking van het risicomanagement in de gemeente Veenendaal. De focus ligt hierbij op de inbedding van risicomanagement in de gemeentelijke organisatie. Dit zowel binnen de bedrijfsvoering als in twee à drie projecten. Een van de onderdelen van het onderzoek is een gespreksronde. Ten behoeve van een zorgvuldige omgang met de respondenten is dit interviewprotocol opgesteld. In dit protocol komen de status, de behandeling, de gespreksthema’s van het gesprek en de hoor- en wederhoorprocedure aan bod. Op de werkzaamheden van Berenschot is de gedragscode van de ROA (Raad van Organisatie-Adviesbureaus) van toepassing, die op verzoek kan worden toegezonden. Gespreksthema’s De thema’s die tijdens het gesprek aan bod zullen komen, staan in het teken van het beantwoorden van de vraagstelling van het onderzoek. De volgende gespreksonderwerpen zullen aan de orde komen: De opzet van het risicobeleid in de nota Weerstandsvermogen, inclusief het actueel, consistent en helder zijn daarvan. De vertaling van risicobeleid naar risicomanagement, waaronder de keuzes met betrekking tot ‘risk appetite’ en beheerskaders. De verankering van risicobeleid en de werking van risicomanagement in de gemeentelijke context.
Verslaglegging Van het gesprek wordt door Berenschot een beknopt (geen woordelijk) verslag gemaakt, dat binnen 5 werkdagen na afloop van het gesprek voor akkoord aan u wordt voorgelegd. U wordt gevraagd om dit verslag binnen 5 dagen retour te zenden. Hebt u binnen deze termijn nog niet gereageerd dan gaan wij er vanuit dat u akkoord bent met de weergave van het gesprek. Met de informatie uit de gesprekken wordt vertrouwelijk omgegaan. De gespreksverslagen worden vertrouwelijk behandeld en worden door de onderzoekers van Berenschot slechts gebruikt in het kader van dit onderzoek. Mochten er in de eindrapportage herleidbare uitspraken naar u opgenomen worden, dan worden deze eerst nog aan u voorgelegd. Indien dat het geval is, krijgt u deze delen van de rapportage ter inzage. U wordt dan gevraagd om op grond van de u ter beschikking staande gegevens na te gaan of er (feitelijke) onjuistheden in deze delen van de conceptrapportage vermeld staan. Tijdsbeslag en locatie Voor het gesprek met u wordt circa 1,5 uur ingeruimd. Het gesprek zal plaatsvinden in het gemeentehuis van Veenendaal. Mocht u voor het gesprek of na afloop ervan nog inhoudelijke vragen hebben, dan kunt u contact opnemen met Bas Meijer van Berenschot (030- 2 916 916).
De logistieke organisatie van de gesprekken is in handen van het onderzoeksteam (Leanne Schoormans). Voor vragen of opmerkingen ten aanzien van tijdstip, datum en locatie van het gesprek wordt u verzocht met haar contact op te nemen (030- 2916 916 of
[email protected]).
