Risicomanagement Een onderzoek naar risicomanagement bij 100.000+ gemeenten
Nyenrode School of Accountancy & Controlling opleiding Master Accountancy Door
: Patrick Schouten
Studentnummer
: 980723
Datum verdediging
: 20 september 2010
Risicomanagement Een onderzoek naar risicomanagement bij 100.000+ gemeenten
" Er zijn risico's bij alles wat je doet, maar grotere risico's als je niets doet."
Shirley Williams, senator van het Britse House of Lords
Nyenrode School of Accountancy & Controlling opleiding Master Accountancy Door
: Patrick Schouten
Studentnummer
: 980723
Begeleider
: Prof. dr. L. Paape RA RO CIA
Examinator
: drs. P.J.J. Vos RA
Vakgroep
: Bestuurlijke Informatieverzorging
Datum verdediging
: 20 september 2010
Voorwoord
Risicomanagement is een onderwerp dat steeds meer aandacht krijgt bij non-profit organisaties, waaronder gemeenten en provincies. Goed risicomanagement vereist een gedegen plan van aanpak. In de praktijk blijkt dit voor gemeenten en provincies lastig door het ontbreken van een goed voorbeeld. In deze masterscriptie, die de afronding vormt van het theoretische deel van mijn accountantsopleiding aan Nyenrode Business Universiteit, wil ik hiervoor een handreiking doen. Deze scriptie is tot stand gekomen door de bereidwillige medewerking en bijdragen van vele mensen. Vooral wil ik de leden van de CI-Branchegroep Publieke Sector van het Controllers Instituut (CI) en Edwin Bolten in het bijzonder bedanken, evenals Nyenrode-begeleider Leen Paape.
Inhoudsopgave
pagina
Voorwoord
3
1 Inleiding
9
1.1 Aanleiding 1.2 Doelstellingen van het onderzoek 1.3 Probleemstelling 1.4 Onderzoeksvragen 1.5 Opzet onderzoek 1.6 Opbouw scriptie
2 W et- en regelgeving
14
2.1 Inleiding 2.2 Gemeentewet en Wet Dualisering Gemeentebestuur 2.3 Besluit Begroting en Verantwoording provincies en gemeenten (BBV) 2.4 Overige wetgeving 2.5 Samenvatting
3 T heoretisch kader risicomanagement 3.1 Inleiding 3.2 Openbaar bestuur 3.3 Definities van risico 3.4 Definitie van risicomanagement 3.5 Argumenten voor het gebruik van risicomanagement 3.6 Modellen voor risicomanagement 3.6.1 COSO Enterprise Risk Management Framework (COSO ERM) 3.6.2 ISO 31000 3.6.3 INTOSAI38 3.6.4 Beheersingsmodel van risicomanagement van Louwman en Steens 3.6.5 Framework van de Joint Standards Australia/Standards New Zealand Committee on Risk Management 3.7 Evaluatie
4 O pzet onderzoek
14 15 17 21 23
25 25 25 28 29 30 30 31 32 36 37 39 40
42
4.1 Onderzoeksmethode 4.2 Gesprekken met deskundigen 4.3 Documentenonderzoek gemeenten 4.4 Enquête 4.5 Verdiepende interviews
5 Resultaten interviews
42 42 43 43 45
47
5.1 Inleiding 5.2 Algemeen 5.3 ISO 31000 - de principes
Patrick Schouten
9 10 11 11 11 13
47 47 48
Risicomanagement
4
5.4 ISO 31000 - het proces 5.5 Verschillen tussen de publieke sector en de private sector 5.6 Noord-Zuidlijn
6 Resultaten enquêtes en verdiepende interviews 6.1 Resultaten enquête 6.1.1 Beleid en organisatie 6.1.2 Risico-inventarisatie en risicoanalyse 6.1.3 Beheersingsmaatregelen 6.1.4 Monitoring en rapportage 6.1.5 Weerstandsvermogen 6.1.6 Stellingen 6.1.7 Stadium van risicomanagement bij de gemeenten 6.2 Resultaten verdiepende interviews 6.2.1 Beleid en organisatie 6.2.2 Risico-inventarisatie en risicoanalyse 6.2.3 Beheersingsmaatregelen 6.2.4 Monitoring en rapportage 6.2.5 Weerstandsvermogen 6.2.6 Stellingen 6.3 Resultaten analyse jaarstukken 6.3.1 Algemeen 6.3.2 Weerstandscapaciteit 6.3.3 5LVLFR¶V 6.3.4 Beleid
7 O nderzoeksvragen en stellingen
53 53 53 59 61 62 65 67 72 73 73 76 77 78 78 79 80 80 81 82 83
84
7.1 Inleiding 7.2. Onderzoeksvraag 1 7.3 Onderzoeksvraag 2 7.4 Onderzoeksvraag 3 7.5 Onderzoeksvraag 4 7.6 Onderzoeksvraag 5 7.7 Onderzoeksvraag 6 7.8 Onderzoeksvraag 7 7.9 Onderzoeksvraag 8
84 84 85 85 87 87 88 89 93
8 Samenvatting, conclusies en aanbevelingen 8.1 Aanleiding van het onderzoek 8.2 Onderzoeksopzet 8.3 Conclusies 8.4 Aanbevelingen
94 94 94 95 96
L iteratuurlijst B IJ L A G E 1:
49 50 52
98 E nkele artikelen uit wet- en regelgeving
Patrick Schouten
Risicomanagement
104 5
B IJ L A G E 2:
Modellen met betrek king tot risicomanagenent
107
B IJ L A G E 3:
Samenvatting interviews
108
3 Resultaten interviews
108
3.1 ,QWHUYLHZVPHW(GG\9DDVHQ$UMHQ5RQQHUHQ5REHUW¶W+DUW 3.2 Interview Maarten van Zwieten 3.3 Interview Tjerk Budding
B IJ L A G E 4:
E nquêteresultaten
Patrick Schouten
Risicomanagement
108 110 115
119
6
Samenvatting De algemene indruk van de leden van de CI-Branchegroep Publieke Sector is dat risicomanagement in de kinderschoenen staat en gemeenten risicomanagement op verschillende manieren hebben ingericht en uitvoeren Risicomanagement staat steeds meer op de agenda van organisaties in de publieke sector mede door de economische recessie, teruglopende Rijksfinanciering en recente schandalen bij organisaties in de publieke sector. Daarnaast zijn gemeenten de afgelopen jaren overspoeld met wijzigen in de wet- en regelgeving. Gemeenten onderkennen dan ook dat risicomanagement een belangrijke rol moet spelen bij de beleidsbepaling en -uitvoering, maar de invulling daarvan blijft vaak achterwege. Deze ervaringen en de beperkte aandacht voor risicomanagement hebben de CIBranchegroep Publieke Sector doen besluiten een exploratief onderzoek uit te voeren naar risicomanagement bij 100.000+ gemeenten, met als probleemstelling:
Wat doen de 100.000+ gemeenten voor het beheersen van de ULVLFR¶V" Voor het onderzoek zijn interviews gehouden met deskundigen, de jaarstukken van 100.000+ gemeenten geanalyseerd en enquêtes gehouden. De uitkomsten van de enquêtes waren de basis voor verdiepende interviews. Op basis van het onderzoek zijn de volgende conclusies te trekken: x
Bij de 100.000+ gemeenten is sprake van een ongestructureerde aanpak van risicomanagement.
x
Bij 100.000+ gemeenten ontbreekt organisatiebreed risicomanagement.
x
Bij de 100.000+ gemeenten is onvoldoende bewustzijn over het nut en noodzaak van risicomanagement.
x
De wet- en regelgeving bieden onvoldoende richtlijnen voor de implementatie en toepassing van risicomanagement.
Op basis van dit onderzoek kom ik tot de volgende aanbevelingen: x
Toepassing van ISO 31000 ISO 31000 biedt handreikingen voor de opzet, de implementatie en de uitvoering van risicomanagement. De principes zijn het belangrijkste; daaruit vloeit het proces voort. De top van de organisatie creëert met behulp van ISO 31000 risicobewustzijn bij de medewerkers. Daarnaast kan de top ISO 31000 gebruiken om structuur te geven aan de opzet en de uitvoering van risicomanagement.
Patrick Schouten
Risicomanagement
7
x
De VNG, het IPO, de provincies en het ministerie van Binnenlandse Zaken en Koninkrijksrelaties moeten een bepalende rol gaan spelen bij de opzet en de uitvoering van risicomanagement. Het ministerie kan in een besluit voorschrijven, dat gemeenten ISO 31000 moeten toepassen en specifieke richtlijnen geven voor risicomanagement. De provincies, de VNG en het IPO moeten de gemeenten ondersteunen bij de opzet, de implementatie en de uitvoering van risicomanagement. Door de veelvuldige contacten met gemeenten hebben zij het overzicht en kunnen hierdoor de gemeenten onderling vergelijken en daaruit een best practice afleiden.
x
Gebruik maken van ervaringen Gebruik maken van ervaringen kan door de reference class forecasting-methode van Flyvbjerg toe te passen. Het zou een grote stap voorwaarts zijn, als 100.000+ gemeenten deze methode hanteren bij grote projecten.
x
Arnhem als best practice De gemeente Arnhem onderscheidt zich van de andere gemeenten door het grote risicobewustzijn en de integraliteit van het risicomanagement. Deze gemeente heeft geconstateerGGDWULVLFRPDQDJHPHQWZDDUGHFUHsHUWGRRUGDWULVLFR¶V]LFKPLQGHUYDDN voordoen en de financiële impact kleiner is sinds de implementatie van het huidige risicomanagementsysteem.
x
Besluit Begroting en Verantwoording provincies en gemeenten (BBV) verduidelijken Het BBV moet explicieter voorschrijven: o Het proces voor de totstandkoming van de beleidsformulering. o Het proces voor de totstandkoming van de paragraaf Weerstandsvermogen. o De opzet van de paragraaf Weerstandsvermogen.
Patrick Schouten
Risicomanagement
8
1
Inleiding
1.1
A anleiding
Risicomanagement staat in de belangstelling, onder andere door recente schandalen (faillissement van IJslandse banken, nationalisatie van Fortis/ABN AMRO, faillissement van DSB) en de huidige economische crisis. Er zijn onderzoeken uitgevoerd op dit gebied, waarbij het opvallend is dat die zich richtten op de private sector. In 20041 en 20092 heeft het NIVRA inventariserende onderzoeken laten uitvoeren, waarin ook de publieke sector is betrokken. Als accountant in de publieke sector heb ik mezelf meermalen afgevraagd: Is er voldoende aandacht voor risicomanagement bij organisaties in de publieke sector? Onder andere uit artikelen in het tijdschrift Binnenlands Bestuur3 blijkt dat risicomanagement steeds meer op de agenda staat van organisaties in de publieke sector. Dit komt onder andere door de economische recessie, teruglopende Rijksfinanciering en recente schandalen, zoals: 1. Faillissement IJslandse banken: provincies en gemeenten hadden daar hoogrentende GHSRVLWR¶V. 2. Gemeente Duiven: fraude door een medewerker. 3. Woningcorporatie Rochdale: fraude door de algemeen directeur. 4. Gemeente Amsterdam: de werkelijke kosten van de Noord-Zuidlijn zijn veel hoger dan oorspronkelijk begroot en de aanleg duurt minstens 10 jaar langer dan oorspronkelijk gepland. De leden van de CI-Branchegroep Publieke Sector hebben ervaring met risicomanagement bij gemeenten vanuit verschillende invalshoeken: als medewerker van een gemeente, als toezichthouder van een provincie of als externe accountant. Hun indruk is dat gemeenten het risicomanagement op verschillende manieren hebben ingericht en uitvoeren. Gemeenten onderkennen steeds meer dat risicomanagement een belangrijke rol moet spelen bij de beleidsbepaling en -uitvoering, maar de invulling daarvan heeft vaak weinig diepgang. Redenen hiervoor zijn onder andere: 1. de onbekendheid met risicomanagement; 2. het ontbreken van een toepasbare systematiek voor risicomanagement; 3. KHWRQWEUHNHQYDQ³best practices´(goede praktijkvoorbeelden); 4. het ontbreken van een coördinerende organisatie (VNG, IPO, ministerie van Financiën).
1 2 3
PwC e.a. (2006), Risicomanagement, De praktijk in Nederland. NIVRA e.a. (2009), Risicomanagement in tijden van crisis. http://binnenlandsbestuur.nl/nieuws/2009/07/groen-oranje-of-rood-voor-gesubsidieerde.121589.lynkx en http://binnenlandsbestuur.nl/nieuws/2009/03/lessen-in-risicobeheersing.109705.lynkx.
Patrick Schouten
Risicomanagement
9
Vanwege het bovenstaande was er voor de CI-Branchegroep Publieke Sector en mij voldoende aanleiding voor een exploratief onderzoek naar risicomanagement in de publieke sector. De CI-Branchegroep Publieke Sector heeft tijdens haar maandelijkse vergaderingen geconcludeerd dat de publieke sector als onderzoekspopulatie erg breed is. Die bestaat namelijk uit een grote variëteit aan organisaties, zoals provincies, gemeenten, woningcorporaties en ziekenhuizen. Daarom heeft de CI-Branchegroep Publieke Sector mij opdracht gegeven voor een onderzoek naar het risicomanagement bij gemeenten met meer dan 100.000 inwoners (100.000+ gemeenten). Redenen hiervoor zijn: x
Media-aandacht voor risicomanagement bij 100.000+ gemeenten (Noord-Zuidlijn in Amsterdam, de tramtunnel tussen Centraal Station en de Grote Markt in Den Haag, de vuurwerkramp in Enschede en het Midi-theater in Tilburg).
x
Veronderstelde voorbeeldfunctie van de grote gemeenten.
x
Veronderstelde deskundigheid bij grote gemeenten voor wat betreft risicomanagement.
Tijdens het tweede deskundigeninterview bleek een risicomanagementonderzoek bij de 12 provincies in de afrondende fase.
1.2
Doelstellingen van het onderzoek
Risicomanagement is een onderwerp waarover veel wetenschappelijke literatuur is. Echter over risicomanagement bij gemeenten is nauwelijks iets beschikbaar. Mijn werkzaamheden in de publieke sector, het verzoek van de CI-Branchegroep Publieke Sector en mijn interesse voor risicomanagement vormden de aanleiding voor een exploratief onderzoek naar risicomanagement bij gemeenten. In het onderzoek is gekozen voor de 100.000+ gemeenten omdat deze gemeenten naar verwachting een redelijk homogene groep vormen, hetgeen de vergelijkbaarheid van de resultaten beter mogelijk zou maken. Het onderzoek bevat de volgende onderdelen: 1. Onderzoeken wat verstaan wordt onder risicomanagement in het algemeen en bij 100.000+ gemeenten in het bijzonder. 2. Onderzoeken hoe 100.000+ gemeenten risicomanagement vormgeven. 3. Onderzoeken hoe 100.000+ gemeenten het risicomanagementbeleid uitvoeren. 4. Voorstellen doen voor de verbetering van de opzet en de uitvoering van het risicomanagement. Doel van het onderzoek is tweeledig: 1. Inzichtelijk maken wat de knelpunten zijn bij het risicomanagement. 2. Gemeenten helpen het risicomanagement te verbeteren.
Patrick Schouten
Risicomanagement
10
1.3
Probleemstelling
Voor het onderzoek heb ik de volgende probleemstelling geformuleerd:
Wat doen de 100.000+ gemeenten voor het beheersen van de ULVLFR¶V? De resultaten van dit onderzoek geven inzicht in de opzet en de uitvoering van risicomanagement bij 100.000+ gemeenten.
1.4
O nderzoeksvragen
Voor de beantwoording van de probleemstelling heb ik samen met de CI-Branchegroep Publieke Sector de volgende onderzoeksvragen geformuleerd: 1. Is er theorie over risicomanagement voor organisaties in de publieke sector? 2. Wat zijn de bijzondere aspecten verbonden aan risicomanagement bij 100.000+ gemeenten? 3. Zijn de 100.000+ gemeenten tevreden over hun risicomanagement? 4. Welk model hanteren 100.000+ gemeenten voor risicomanagement? 5. Is risicomanagement bij 100.000+ gemeenten vooral gericht op de ILQDQFLsOHULVLFR¶V" 6. Is goed risicomanagement alleen mogelijk bij grote gemeenten (100.000+)? 7. Doen 100.000+ gemeenten met een slechte financiële positie meer aan risicomanagement dan gemeenten met een goede financiële positie? 8. Zijn de baten van risicomanagement hoger of lager dan de daarvoor gemaakte lasten?
1.5
O pzet onderzoek
Het onderzoek bestaat uit 6 onderdelen: 1. Literatuurstudie 2. Gesprekken met deskundigen 3. Documentenonderzoek gemeenten 4. Enquête 5. Verdiepende interviews 6. Analyse van de onderzoeksresultaten.
Patrick Schouten
Risicomanagement
11
Het conceptueel model ziet er als volgt uit:
Figuur 1
Conceptueel model
Gesprek ken Ik heb gesprekken gehouden met deskundigen op het gebied van risicomanagement. Doelstelling van deze gesprekken was om meer kennis over en inzicht in risicomanagement te krijgen. In hoofdstuk 5 besteed ik aandacht aan de gesprekken. Documentenonderzoek gemeenten Het documentenonderzoek heeft voornamelijk bestaan uit de analyse van de jaarstukken van de gemeenten. Voor dit onderzoek heb ik de jaarstukken over 2008 van de 100.000+ gemeenten geanalyseerd. Daarbij heeft mijn aandacht zich vooral gericht op de paragraaf Weerstandsvermogen omdat deze paragraaf een relatie heeft met risicomanagement. In paragraaf 6.3. geef ik de redenen voor de analyse. E nquête Voor dit exploratieve onderzoek heb ik samen met de CI-Branchegroep Publieke Sector een enquête opgesteld, die is verstuurd aan de 25 deelnemers van het controllersoverleg van de 100.000+ gemeenten. De enquête bestaat uit 28 vragen en 5 stellingen. In paragraaf 4.4 zijn de doelgroep en de opzet van de enquête beschreven. De enquête heeft als doelstelling inzicht te krijgen in de opzet van en de werking van risicomanagement bij de 100.000+ gemeenten.
Patrick Schouten
Risicomanagement
12
V erdiepende interviews Na analyse van de resultaten van de enquête heb ik in overleg met de CI-Branchegroep Publieke Sector 6 gemeenten geselecteerd voor de verdiepende interviews. Paragraaf 4.5 bevat de criteria voor de selectie van de gemeenten en de functie van de gesprekspartners. Doelstelling van de verdiepende interviews is het verifiëren en verdiepen van de enquêteantwoorden, mede aan de hand van aanvullende documentatie van de gemeente.
1.6
O pbouw scriptie
Deze scriptie is onderverdeeld in 8 hoofdstukken. Na dit inleidende hoofdstuk zal hoofdstuk 2 een overzicht geven van de relevante wet- en regelgeving voor gemeenten en/of risicomanagement. Hoofdstuk 3 omvat het theoretische kader. In hoofdstuk 4 vindt u een uitgebreide beschrijving van het onderzoek. In hoofdstuk 5 geef ik een samenvatting van de interviews met de deskundigen. Hoofdstuk 6 bevat de resultaten van het onderzoek met aandacht voor: x
de analyse van de jaarstukken;
x
de enquêteresultaten;
x
de verdiepende interviews.
In hoofdstuk 7 analyseer ik de onderzoeksresultaten om zodoende de onderzoeksvragen te kunnen beantwoorden. In hoofdstuk 8 volgen de samenvatting, de beantwoording van de probleemstelling, de conclusies en de afsluitende opmerkingen. De indeling van de scriptie sluit hiermee aan met de opbouw van het onderzoek.
Patrick Schouten
Risicomanagement
13
2
W et- en regelgeving
2.1
Inleiding
In de volgende paragrafen beschrijf ik de relevante wet- en regelgeving. De Gemeentewet omvat de organisatie van een gemeente, met aandacht voor de inrichting, het toezicht en de gemeentefinanciën. Dit heeft een rechtstreeks verband met risicomanagement. De Wet dualisering gemeentebestuur behandelt de scheiding van de taken tussen de gemeenteraad en het college van burgemeester en wethouders (college van B&W). Ook dit heeft een rechtstreeks verband met risicomanagement. In paragraaf 2.3 behandel ik het Besluit begroting en verantwoording provincies en gemeenten (BBV) omdat deze voorschrijft dat gemeenten een paragraaf Weerstandsvermogen in de jaarstukken moeten opnemen. Het ZHHUVWDQGVYHUPRJHQLVHHQGLUHFWHUHODWLHWXVVHQGHULVLFR¶VHQGHILQDQFLsOHGHNNLQJ van GH]HULVLFR¶V3DUDJUDDIEHKDQGHOLNGH:HWILQDQFLHULQJGHFHQWUDOHRYHUKHGHQ),'2GH Europese richtlijn voor aanbesteding overheidsopdrachten en de ambtenarenwet. Deze wetten KHEEHQRQGHUDQGHUHWRWGRHOVSHFLILHNHULVLFR¶VWHEHSHUNHQ Dit hoofdstuk is als volgt opgebouwd: x
Paragraaf 2.2 => Gemeentewet en Wet dualisering gemeentebestuur.
x
Paragraaf 2.3 => Besluit begroting en verantwoording provincies en gemeenten.
x
Paragraaf 2.4 => Overige wetgeving.
Hieronder volgt een overzicht waarin de relaties tussen de Gemeentewet, de Wet Dualisering Gemeentebestuur en het BBV zijn weergegeven. De blauwe vlakken hebben betrekking op de Gemeentewet en de Wet dualisering gemeentebestuur, de groene vlakken op het BBV.
Figuur 2
4
4 Relaties tussen Gemeentewet, Wet dualisering gemeentebestuur en BBV
Deloitte; 2009, brochure Risicomanagement, meer dan de som der delen.
Patrick Schouten
Risicomanagement
14
2.2
G emeentewet en W et Dualisering G emeentebestuur
In de Gemeentewet staat de organisatie van een gemeente beschreven. Daarbij is niet alleen aandacht voor de inrichting van de gemeenten maar ook het toezicht op de gemeente en de gemeentefinanciën. De Gemeentewet is als volgt ingedeeld: T itel
A rtikelen
O mschrijving
I
1-5
Begripsbepaling
II
6-107a
De inrichting en samenstelling van het gemeentebestuur
III
108-185
De bevoegdheid van het gemeentebestuur
IV
185-258
De financiën van de gemeente
V
259-281a
Aanvullende bepalingen inzake het toezicht op het gemeentebestuur
VI
282-288a
Vervallen artikelen
VII
289-310
Overgangs- en slotbepalingen
Figuur 3
Onderverdeling van de Gemeentewet
Titel II en III bepalen de inrichting en bevoegdheden van het gemeentebestuur. Artikel 6 bepaalt dat elke gemeente een raad, een college en een burgemeester moet hebben en artikel 100 vereist een secretaris en een griffier. De verhoudingen tussen de gemeenteraad en het college van burgemeester en wethouders zijn met ingang van 7 maart 2002 gewijzigd. Vanwege de invoering van de Wet dualisering gemeentebestuur5 is de Gemeentewet aangepast. Sindsdien is er sprake van dualisme, oftewel een duidelijke scheiding tussen de taken van de gemeenteraad enerzijds en die van het college van burgemeester en wethouders anderzijds. De gemeenteraad houdt zich bezig met de volksvertegenwoordigende, kaderstellende en controlerende taken. Het college houdt zich hoofdzakelijk bezig met de uitvoering van het beleid binnen de door de gemeenteraad gestelde kaders.
5
SWDDWVEODGYDQKHW.RQLQNULMNGHU1HGHUODQGHQ³ZHWYDQIHEUXDULWRWZLM]LJLQJYDQGH*HPHHQWHZHWHQHQLJHDQGHUe wetten tot dualisering van de inrichting, de bevoegdheden en de werkwijze van het gemeentebestuur (Wet dualisering gemeentebestuXU ´ 2002.
Patrick Schouten
Risicomanagement
15
Schematisch kan deze wijziging als volgt worden weergegeven:
Taken gemeenteraad
planvorming
Kaders stellen
Toezicht houden
Besturen en beheersen uitvoering Verantwoording afleggen
verantwoording
Figuur 4
Taken college
Rolverdeling tussen raad en college6
Gemeenteraad De primaire bestuurlijke taken van de gemeenteraad liggen op basis van de Gemeentewet nu op het kaderstellende en controlerende vlak. Hierbij spelen artikel 212 en 213 van de Gemeentewet een belangrijke rol. Deze artikelen geven de bevoegdheden van de gemeenteraad weer ten aanzien van de administratie en de controle. In artikel 212 is vastgelegd dat de gemeenteraad een verordening opstelt met de uitgangspunten voor het financiële beleid, het financieel beheer en de inrichting van de financiële organisatie. In bijlage 2 is de volledige tekst van dit artikel opgenomen. Artikel 213 is een artikel waarin het financieel beheer en de inrichting van de financiële organisatie zijn geregeld. In het eerste lid uit dit artikel staat: 1.
De raad stelt bij verordening regels vast voor de controle op het financiële beheer en op de inrichting van de financiële organisatie. Deze verordening waarborgt dat de rechtmatigheid van het financiële beheer en van de inrichting van de financiële organisatie wordt getoetst.
De overige leden van dit wetsartikel hebben betrekking op de aanwijzing van de accountant, het verslag van bevindingen van de accountant, de accountantsverklaring en de accountantscontrole. In bijlage 2 is het de volledige tekst van het artikel opgenomen.
6
Deloitte, juli 2007, brochure Handreiking raadsleden.
Patrick Schouten
Risicomanagement
16
Uit deze twee artikelen blijkt welke taken de gemeenteraad heeft, namelijk het stellen van kaders en het houden van toezicht. In het overzicht uit de inleiding zijn deze twee taken zichtbaar in de meest linkse en meest rechtse blauwe vlakken in de bovenste rij. College van burgemeester en wethouders Het college van burgemeester en wethouders is belast met de uitvoering van het geformuleerde beleid binnen de gestelde kaders. Het college werkt hierbij nauw samen met het ambtelijke apparaat, dat zich bezig houdt met de voorbereiding en uitvoering van collegebesluiten, bestuursopdrachten en de dagelijkse gemeentelijke activiteiten. Over de uitvoering van het beleid legt het college verantwoording af. Daarnaast voert het college op basis van artikel 213a periodiek onderzoek uit naar de doelmatigheid en doeltreffendheid van het door hem gevoerde bestuur. Het volledige artikel luidt als volgt:
Artikel 213a 1.
Het college verricht periodiek onderzoek naar de doelmatigheid en de doeltreffendheid van het door hem gevoerde bestuur. De raad stelt bij verordening regels hierover.
2.
Het college brengt schriftelijk verslag uit aan de raad van de resultaten van de onderzoeken.
3.
Het college stelt de rekenkamer of, indien geen rekenkamer is ingesteld, personen die de rekenka merfunctie uitoefenen, tijdig op de hoogte van de onderzoeken die hij doet instellen en zendt haar, onderscheidenlijk hen, een afschrift van een verslag als bedoeld in het tweede lid.
De taakverdeling, zoals sinds de Wet dualisering gemeentebestuur, kan ook gekoppeld worden aan openbaar bestuur. In paragraaf 3.2 ga ik hier nader op in. In de Gemeentewet en de Wet Dualisering gemeentebestuur is het woord risicomanagement niet expliciet genoemd. Wel zijn er raakvlakken met risicomanagement. De Gemeentewet en de Wet dualisering gemeentebestuur geven aan hoe de top van de organisatie ingericht moet zijn (gemeenteraad, college van B&W, gemeentesecretaris en griffier). Aan de hand van de wetten zal de gemeenteraad de kaders moeten stellen voor risicomanagement en toezicht houden op de uitvoering van het beleid door het college van burgemeester en wethouders. Beide bestuursorganen (gemeenteraad en college) zijn dus verantwoordelijk voor het risicomanagementbeleid. Daarnaast staan er expliciete regels over de rechtmatigheid, doelmatigheid en doeltreffendheid van het proces in de beschreven wetgeving.
2.3
Besluit Begroting en V erantwoording provincies en gemeenten (B B V)
Het Besluit Comptabiliteitsvoorschriften 1995 (CV95) is met ingang van het begrotingsjaar 2004 vervangen door het BBV7.
7
0LQLVWHULHYDQ%LQQHQODQGVH=DNHQHQ.RQLQNULMNVUHODWLHV³EHVOXLWYDQMDQXDULKRXGHQGHGHYRRUVFKULIWHQYRRUde begrotings- en verantwoordingsdocumenten, uitvoeringsinformatie en informatie voor derden van provincies en gemeenten (besluit begroting en verantwoording provincies en gemeenten), 17 januari 2003.
Patrick Schouten
Risicomanagement
17
De redenen voor de vervanging van de CV95 door het BBV zijn: 1. De dualisering van het gemeentebestuur en van het provinciebestuur. De dualisering leidt ertoe dat een andere begrotings- en verantwoordingsopzet wenselijk is om daarmee de raad in zijn kaderstellende en controlerende taak beter te ondersteunen. 2. Aansluiting bij Burgerlijk Wetboek, boek 2, Titel 9 (boek 2 BW). De afbakening tussen het Burgerlijk Wetboek, boek 2, Titel 9 (boek 2 BW) waarin de verslagleggingsvoorschriften voor privaatrechtelijke rechtspersonen zijn gegeven en de specifieke begrotings- en verantwoordingsvoorschriften voor gemeenten (ook wel JHQRHPG³de eigenheid van gemeenten´) is in de praktijk niet duidelijk genoeg gebleken. In het BBV is boek 2 BW op meer plaatsten gevolgd. Tegelijk is in het BBV duidelijker dan in de CV95 aangegeven waar boek 2 BW niet is gevolgd, omdat er behoefte is aan regels specifiek voor gemeenten. Dit betekent onder andere dat alle bepalingen uit boek 2 BW die relevant zijn voor gemeenten expliciet zijn overgenomen in het BBV. Gemeenten zijn sindsdien verplicht om aandacht te besteden aan het risicoprofiel in relatie tot het weerstandsvermogen. Deze nieuwe regel dwingt de gemeenten om een relatie te leggen WXVVHQGHULVLFR¶VGLHZRUGHQJelopen en de financiële buffer die de gemeente heeft voor het RSYDQJHQYDQHYHQWXHOHILQDQFLsOHJHYROJHQYDQGH]HULVLFR¶VZHHUVWDQGVYHUPRJHQ (HQ gemeente is verplicht in zowel de begroting als in de jaarstukken een aantal paragrafen op te nemen (artikel 9 BBV8). In deze afzonderlijke paragrafen worden de beleidslijnen vastgelegd met betrekking tot relevante beheersmatige aspecten, alsmede de lokale heffingen (onroerende zaakbelasting, afvalstoffenheffing et cetera.). Eén van deze paragrafen is de paragraaf Weerstandsvermogen. In artikel 11 BBV is aangegeven welke elementen deze paragraaf moet bevatten. 1.
Het weerstandsvermogen bestaat uit de relatie tussen: a. de weerstandscapaciteit, zijnde de middelen en mogelijkheden waarover de provincie onderscheidenlijk gemeente beschikt of kan beschikken om niet begrote kosten te dekken; b.
2.
alle risico's waarvoor geen maatregelen zijn getroffen en die van materiële betekenis kunnen zijn in relatie tot de financiële positie.
De paragraaf betreffende het weerstandsvermogen bevat ten minste: a. een inventarisatie van de weerstandscapaciteit; b een inventarisatie van de risico's; c. het beleid omtrent de weerstandscapaciteit en de risico's.
Het weerstandsvermogen is een ratio die aangeeft in hoeverre de gemeente in staat is incidentele tegenvallers van materiële betekenis op te vangen. Daarbij wordt de weerstandscapaciteit gezien als het vermogen voor dekking van incidentele tegenvallers (de ULVLFR¶VZDDUYRRUJHHQPDDWUHJHOHQof ontoereikende maatregelen zijn getroffen).
8
Ministerie van Binnenlandse Zaken en KoninkrijksrelatiHV³EHVOXLWYDQMDQXDULKRXGHQGHGHYRRUVFKULIWHQYRRUGH begrotings- en verantwoordingsdocumenten, uitvoeringsinformatie en informatie voor derden van provincies en gemeenten (besluit begroting en verantwoording provincies en gemeenten), 17 januari 2003.
Patrick Schouten
Risicomanagement
18
,QKHWHHUVWHOLGJHHIWKHW%%9DDQGDWDOOHULVLFR¶VZDDUYRRUJHHQPDDWUHJHOHQ]LMQJHWURIIHQ en die van materiële betekenis kunnen zijn in relatie tot de financiële positie, onderdeel vormen van het weerstandsvermogen. Ik vind deze definiëring onjuist, aangezien RRNULVLFR¶V waarvoor maatregelen zijn getroffen, meegenomen moeten worden in het weerstandsvermogen. Redenen hiervoor zijn dat getroffen maatregelen niet het volledige risico afdekken c.q. in de praktijk soms niet of onvoldoende werken. Een voorbeeld ter illustratie: Een gemeente identificeert het risico dat het gemeentehuis kan afbranden. Deze gemeente acht de kans dusdanig klein, dat zij besluit het geschatte risico voor 50% te verzekeren. Hiermee accepteert zij, dat als het risico zich voordoet, de gemeente zelf voor 50% van de kosten opdraait (risicotolerantie). Hier is dus sprake van een risico waarvoor gedeeltelijk maatregelen zijn getroffen en voor het restrisico weerstandsvermogen wordt aangehouden. Volgens de Nota van toelichting bij het BBV kan het weerstandsvermogen zowel een statisch als een dynamisch karakter hebben. Het statische weerstandsvermogen is het vermogen om incidentele tegenvallers op te vangen zonder dat dit beleidswijzigingen in het (begrotings)jaar tot gevolg heeft. Het dynamische weerstandsvermogen is het vermogen om tegenvallers op te vangen zonder dat dit consequenties heeft voor het beleid in de toekomst (meerdere (begrotings)jaren). Door voldoende weerstandsvermogen kan worden voorkomen dat elke financiële tegenvaller dwingt tot bezuinigen. De weerstandscapaciteit bestaat uit de middelen en mogelijkheden waarover een gemeente beschikt of kan beschikken om niet begrote kosten te dekken. Bij weerstandscapaciteit kan sprake zijn van structurele weerstandscapaciteit en incidentele weerstandscapaciteit. Structurele weerstandscapaciteit zijn de middelen die permanent ingezet kunnen worden om tegenvallers in de lopende exploitatie op te vangen, zonder dat dit ten koste gaat van de uitvoering van de bestaande taken. Incidentele weerstandscapaciteit is het vermogen om calamiteiten en andere eenmalige tegenvallers op te kunnen vangen zonder dat dit invloed heeft op de voortzetting van taken op het geldende niveau. De ministeriele Nota van toelichting bij het BBV9 geeft aan dat de paragraaf weerstandsvermogen een aanduiding moet bevatten van de weerstandscapaciteit en de ULVLFR¶VDOVPHGHKHWEHOHLGRPWUHQWEHLGH Daarnaast geeft de toelichting aan dat niet in zijn algemeenheid aangegeven kan worden wat provincies en gemeenten tot de weerstandscapaciteit moeten rekenen en ZHONHULVLFR¶VUHOHYDQWzijn. Provincies en gemeenten dienen de capaciteit en de ULVLFR¶V]HOIQDWHORSHQHQLQNDDUt te brengen. Doordat de risico¶s verschillen die provincies en gemeenten lopen, is het niet mogelijk een algemene norm te stellen voor een goede relatie WXVVHQGHZHHUVWDQGVFDSDFLWHLWHQGHULVLFR¶V
9
Ministerie van Binnenlandse Zaken en Koninkrijksrelaties - Besluit begroting en verantwoording provincies en gemeenten (2003).
Patrick Schouten
Risicomanagement
19
Het is aan de provincies en gemeenten zelf om een beleidslijn te formuleren over de in de organisatie QRRG]DNHOLMNJHDFKWHZHHUVWDQGVFDSDFLWHLWLQUHODWLHWRWGHULVLFR¶V De beschikbare weerstandscapaciteit delen door de benodigde weerstandscapaciteit leidt tot de ratio van weerstandsvermogen. Smorenberg10 vindt, dat een norm van 1 voldoende zou moeten zijn: de gemeente heeft dan SUHFLHVJHQRHJZHHUVWDQGVFDSDFLWHLWRPGHULVLFR¶VDIWHGHNNHQHij stelt dat een hogere norm beter is, maar dat dit maatschappelijk niet verkoopbaar is: de gemeente heeft dan meer vermogenreserves dan nodig is. Wat mij betreft is de acceptabele ratio situatieafhankelijk, waardoor hiervoor geen algemeen geldende norm is te geven. De volgende aspecten bepalen de situatie: x
het aantal projecten;
x
de aard van de projecten;
x
de ULVLFR¶Vvan de projecten.
Bij een groot aantal projecten is de kans dat bij minimaal één project een risico zich voordoet groter waardoor een hogere norm noodzakelijk kan zijn. Aan de andere kant, hoe meer projecten een gemeente heeft hoe groter de ervaring van een gemeente is, waardoor wellicht een lagere norm toepasbaar is. De aard van een project kan ook een reden vormen voor een hogere of lagere norm. Zowel de complexiteit als de omvang spelen hier een rol, evenals of een dergelijk project al eens eerder is uitgevoerd. Een project met een laag risicoprofiel (kans x impact) zal een lagere norm vragen dan projecten waar sprake is van een hoog risicoprofiel. In de Nota van toelichting op het BBV11 geeft het ministerie een aantal componenten aan die onderdeel kunnen uitmaken van de weerstandscapaciteit. In onderstaande tabel zijn componenten benoemd en ingedeeld naar incidenteel en structureel: Bestanddeel
Incidentele weerstandscapaciteit
Algemene reserve (vrij aanwendbaar)
X
Onvoorzien
X
Begrotingsruimte Stille reserves
Structurele weerstandscapaciteit
X X
Onbenutte belastingcapaciteit
X
Kostenreductie (bezuinigingen)
X
Figuur 5
10 11 12
BBV-componenten van de weerstandscapaciteit 12
Smorenberg, D, 2006, een norm voor weerstandsvermogen, B&G, oktober 2006. Ministerie van Binnenlandse Zaken en Koninkrijksrelaties - Besluit begroting en verantwoording provincies en gemeenten (2003). Gemeente Sluis, 2006, Nota weerstandsvermogen gemeente Sluis, februari 2006.
Patrick Schouten
Risicomanagement
20
,QKHW%%9LVJHHQGHILQLWLHYRRUULVLFR¶VRSJHQRPHQ:HOJHHIWKHW BBV (Nota van toelichting) aan dat die risico¶s die relevant zijn voor het weerstandsvermogen, die risico¶s zijn die QLHWDQGHUV]LQV]LMQRQGHUYDQJHQ5HJXOLHUHULVLFR¶V± ULVLFR¶VGLH]LFK regelmatig voordoen en die veelal vrij goed meetbaar zijn ± maken geen GHHOXLWYDQGHULVLFR¶VLQGH paragraaf Weerstandsvermogen. Hiervoor kunnen immers verzekeringen worden afgesloten of voorzieningen ZRUGHQJHYRUPG9RRUEHHOGHQYDQULVLFR¶VGLHWRWGHSDUDJUDDI WHHUVWDQGVYHUPRJHQKRUHQ]LMQRQGHUQHPHUVULVLFR¶VRIEHGULMIVULVLFR¶V en hangen vooral samen met grondexploitatie, gebiedsuitbreiding, Publiek ± Private Samenwerking (PPS), sociale structuur (bij neergaande conjunctuur) en open-einde regelingen. Overigens dienen ook positieve ULVLFR¶V(kansen) meegenomen te worden. Schematisch is de relatie tussen het weerstandsvermogen, de weerstandscapaciteit en de ULVLFR¶VDOVYROJWZHHUWHJHYHQ
Figuur 6: Relaties tussen ULVLFR¶Vde weerstandscapaciteiten het weerstandsvermogen13
2.4
·
O verige wetgeving
De volgende wetgeving is ook van belang voor risicomanagement: x
De Wet financiering decentrale overheden (FIDO).
x
Europese richtlijn voor aanbestedingen overheidsopdrachten.
x
Ambtenarenwet.
'H]HZHWWHQKHEEHQRQGHUDQGHUHWRWGRHORPVSHFLILHNHULVLFR¶VWHEHSHUNHQ In het kader van dit onderzoek behandelen wij deze wetgeving in beknopte vorm.
13
Deloitte; 2009, brochure Risicomanagement, meer dan de som der delen.
Patrick Schouten
Risicomanagement
21
W et F I D O Deze wet bevat richtlijnen GLHGHULVLFR¶VEHSHUNHQGLHJHPHHQWHQkunnen lopen bij lenen en beleggen. Die verminderen de kans op: x
Grote schommelingen in de rente die de gemeente betaalt over geleend geld.
x
Verloren gaan van ingelegd geld.
x
Het geeft geldverstrekkers de zekerheid, dat gemeenten verantwoord met geld omgaan, waardoor zij aan gemeenten een lagere rente vragen dan aan minder solide partijen.
Uit bovenstaande punten blijkt dat risicobeheersing tot kostenbeperking kan leiden. *HPHHQWHQEHSHUNHQGHULVLFR¶VYDQOHQHQGRRUGDW]LM]LFKPRHWHQKRXGHQDDQGH]RJHKHWHQ kasgeldlimiet en de renterisiconorm. De limiet zorgt ervoor dat er niet te veel kortlopende leningen worden aangetrokken. Het risico van teveel kortlopende leningen is dat gemeenten RSNRUWHWHUPLMQQLHWPHHUDDQKXQYHUSOLFKWLQJHQNXQQHQYROGRHQOLTXLGLWHLWVULVLFR¶V De renterisiconorm zorgt voor spreiding in de langlopende leningen, waarmee zij het risico van (forse) rentestijging kunnen beheersen. De Wet FIDO beschouwt beleggen niet als een publieke taak, maar als een tijdelijke activiteit RPGDWJHGXUHQGHEHSDDOGHWLMGPHHUJHOGµLQNDV¶]LWGDQYRRUGHJHZRQHEHGULMIVYRHULQJ nodig is. Beleggen doet de gemeente daarom niet om zoveel mogelijk rendement te behalen, maar om tijdelijk overtollig geld op een veilige manier te stallen. Daarom mag de gemeente alleen beleggen in waardepapieren met weinig risico. Bovendien moet de tegenpartij voldoen aan strenge eisen van betrouwbaarheid (bijvoorbeeld een bepaalde rating). De E uropese richtlijn voor aanbestedingen overheidsopdrachten Het doel van deze richtlijn is het openstellen van overheidsopdrachten voor alle bedrijven gevestigd in de Europese Unie (EU), ongeacht hun nationaliteit. Een nationale overheid (aanbestedende dienst) mag dus geen opdrachten voorbehouden aan ondernemingen uit het eigen land. De doelstellingen de richtlijn zijn: x
Verdere totstandkoming binnen de EU van de interne markt (het vrije verkeer van goederen, diensten, kapitaal en personen).
x
Gelijkschakelen van de wetgeving van de afzonderlijke lidstaten van de EU. De richtlijnen zijn namelijk bindend en de nationale wetgeving dient er op aangepast te zijn.
x
Stimuleren van de vrije, eerlijke concurrentie binnen de EU door openbare bekendmaking van (voorgenomen) opdrachten en gunningen en daarmee de bevordering van de doorzichtigheid van de markt.
Patrick Schouten
Risicomanagement
22
x
Bewerkstelligen van besparingen voor de opdrachtgevers (aanbestedende diensten).
x
Verzekeren van de publicatie van circa 20% van het totale volume aan overheidsopdrachten dat ongeveer overeenkomt met 80% van de totale waarde van de markt.
Naar aanleiding van deze Europese richtlijn is in Nederland het Besluit aanbestedingsregels voor overheidsopdrachten (BAO) op 1 december 2005 in werking getreden. Het BAO heeft dezelfde doelstellingen als de Europese richtlijn. A mbtenarenwet Voor dit onderzoek zijn twee artikelen van de Ambtenarenwet relevant vanwege de relatie met integriteitsULVLFR¶V: x
Artikel 125quater.
x
Artikel 125quinquies.
Artikel 125quater stelt in lid a dat het bevoegd gezag van ambtenaren integriteitsbeleid voert dat is gericht op het bevorderen van goed ambtelijk handelen en dat in ieder geval aandacht besteedt aan het bevorderen van integriteitsbewustzijn en aan het voorkomen van misbruik van bevoegdheden, belangenverstrengeling en discriminatie. De andere leden van dit artikel gaan nader in op hoe dit vorm gegeven moet worden. Artikel 125quinquies lid 1a schrijft voor dat ambtenaren een eed of belofte afleggen. In deze eed/belofte verklaart een ambtenaar onder andere: x
Ik zweer (beloof), dat ik plichtsgetrouw en nauwgezet de mij opgedragen taken zal vervullen en zaken die mij uit hoofde van mijn functie vertrouwelijk ter kennis komen of waarvan ik het vertrouwelijk karakter moet inzien, geheim zal houden voor anderen dan die personen aan wie ik ambtshalve tot mededeling verplicht ben.
x
Ik zweer (beloof) dat ik mij zal gedragen zoals een goed ambtenaar betaamt, dat ik zorgvuldig, onkreukbaar en betrouwbaar zal zijn en dat ik niets zal doen dat het aanzien van het ambt zal schaden.
De volledige tekst van de wetsartikelen staat in bijlage 2. Voor het risicomanagement zijn deze twee artikelen van belang omdat hiermee (in opzet) de integriteitsULVLFR¶Vgoed te beheersen zijn.
2.5
Samenvatting
In de hiervoor behandelde wetten zijn geen gedetailleerde eisen opgenomen voor de opzet en de uitvoering van risicomanagement. Wel geven de wetten aanknopingspunten voor risicomanagement onder andere door de bepaling hoe de top van een gemeentelijke organisatie ingericht moet zijn (Gemeentewet en Wet dualisering gemeentebestuur), maar ook in de vorm van wetten die richting geven aan het uit te voeren beleid.
Patrick Schouten
Risicomanagement
23
De Wet FIDO bevat richtlijnen die GHULVLFR¶Vkunnen beperken die gemeenten lopen bij lenen en uitlenen. De Europese richtlijn voor aanbestedingen overheidsopdrachten kan eraan bijdragen dat risico¶s bij inkoop en aanbesteding beperkt worden (bijvoorbeeld nepotisme, zelfverrijking en beperkte concurrentie leidend tot hogere prijzen). De Ambtenarenwet geeft richtlijnen om goed ambtelijk handelen te bevorderen. In het BBV is slechts op hoofdlijnen aandacht voor risicomanagement. Het BBV geeft aan dat er beleid moet zijn, maar niet op welke wijze. Ik ben van mening dat in het BBV duidelijk moet staan hoe risicomanagement moet worden vorm gegeven. In hoofdstuk 8 zal ik hierop terugkomen bij de aanbevelingen. Dit hoofdstuk draagt bij aan de beantwoording van de volgende onderzoeksvraag: Wat zijn de bijzondere aspecten verbonden aan risicomanagement bij 100.000+ gemeenten? In hoofdstuk 7 beantwoord ik deze onderzoeksvragen.
Patrick Schouten
Risicomanagement
24
3
T heoretisch kader risicomanagement
3.1
Inleiding
In dit hoofdstuk staat risicomanagement centraal. In paragraaf 3.2 ga ik in op de term openbaar bestuur. In paragraaf 3.3 en 3.4 besteed ik aandacht aan de definities van risico respectievelijk risicomanagement. In paragraaf 3.5 staan de argumenten waarom risicomanagement noodzakelijk is en volgt een samenvatting van modellen van risicomanagement.
3.2
O penbaar bestuur
Openbaar bestuur staat in de publieke sector steeds meer in de belangstelling. Enerzijds komt dit door schandalen in de afgelopen jaren en anderzijds door het toenemende belang van effectief bestuur (inclusief risicomanagement) in de publieke sector. Een onderdeel van het laatstgenoemde is de toenemende oriëntatie van gemeenten op het realiseren van maatschappelijke doelstellingen. 2UJDQLVDWLHVLQGHSXEOLHNHVHFWRUZRUGHQKLHUELMEHVFKRXZGDOV³PDDWVFKDSSHOLMNH RQGHUQHPHUV´GLH]LFKPRHWHQYHUDQWZRRUGHQ over de besteding van de publieke financiering. Voorbeelden van belanghebbenden zijn: 1. Bestuur: burgemeester, wethouders en gemeenteraad. 2. Afnemers: burgers, bedrijven, belangengroepen, provincie, Rijk en overige instellingen. 3. Toezichthouder: provincie, Rijk en accountants. 4. Ambtelijk organisatie: gemeentesecretaris, management en medewerkers. 5. Overige: andere gemeenten (i.v.m. best-practices), Vereniging Nederlandse Gemeenten (VNG) en adviesbureaus. Het ministerie van Financiën heeft in 2000 een handleiding openbaar bestuur14 gepubliceerd. Openbaar bestuur, gebaseerd op bestuur, wordt door het ministerie van Financiën (2000a, p. 10) als volgt gedefinieerd: ³2SHQEDDUbestuur kan worden gedefinieerd als het waarborgen van de onderlinge samenhang van de wijze van sturen, beheersen en toezicht houden van een organisatie, gericht op een efficiënte en effectieve realisatie van beleidsdoelstellingen, alsmede het daarover op een open wijze communiceren en YHUDQWZRRUGLQJDIOHJJHQWHQEHKRHYHYDQEHODQJKHEEHQGHQ´ Openbaar bestuur richt zich op de belanghebbenden van de organisatie, de daarmee samenhangende doelstellingen van de organisatie en de verantwoordelijkheid van de leiding van de organisatie om de doelstellingen te verwezenlijken.
14
0LQLVWHULHYDQ)LQDQFLsQ ³+DQGOHLGLQJ*RYHUQPHQWJRYHUQDQFHHHQLQVWUXPHQWWHUWRHWVLQJYDQJRYHUQDQFHELMGH Rijksoverheid, 5 januari, p 8.
Patrick Schouten
Risicomanagement
25
Het doel van openbaar bestuur hierin is het scheppen van waarborgen voor realisatie van die doelstellingen. Het bestuur is verantwoordelijk voor het realiseren van deze doelstellingen. Om de doelstellingen te bereiken, dient de organisatie te worden bestuurd en beheerst en over de activiteiten dient verantwoording aan de belanghebbenden (stakeholders) te worden afgelegd. Starreveld15geeft als definitie voor bestuur:
Daar waar de processen van de huishouding in arbeidsverdeling worden uitgevoerd, zullen de besturingsactiviteiten meer moeten omvatten dan het nemen van beslissingen in de zin van het doen van keuzen uit alternatieve mogelijkheden, welke laatste beslissingen worden genomen in het kader van besturen-in-engere-zin. Naast dit besturen-in-engere-zin onderscheiden wij het besturen-in-ruimere-zin, hetgeen de genoemde bestuursactiviteiten omvat en de overige activiteiten die daaruit direct voortvloeien. De verrichte keuzen uit alternatieve mogelijkheden zullen namelijk nog kenbaar moeten worden gemaakt in de vorm van verzoeken, opdrachten, machtigingen, nor men, richtlijnen, en dergelijke en moeten worden medegedeeld aan degenen die met de verdere uitwerking belast zijn. Voorts moet rekening gehouden worden met de mogelijkheid dat, de betrokken processen door allerlei oorzaken wel eens anders zouden kunnen verlopen dan bedoeld of verwacht was, zodat bijsturen noodzakelijk is om het voorgenomen proces te beheersen. Deze elementen komen overeen met de elementen, die het ministerie van Financiën noemt in de Handleiding Government governance, een instrument ter toetsing van governance bij de Rijksoverheid. Onderstaand volgt een korte uitwerking van deze begrippen16:
15 16
x
Sturen of stuurfunctie: richting gevend aan het realiseren van organisatiedoelen, onder meer door het inrichten van de organisatie en het vormgeven van processen.
x
Beheersen: nadat een organisatie is ingericht, moet een stelsel van maatregelen en procedures worden ingevoerd en gehandhaafd, zodat bestuurders de zekerheid krijgen dat de organisatie blijvend de juiste richting opgaat, d.w.z. de vastgestelde beleidsdoelstellingen realiseert.
x
Toezicht houden: ten behoeve van alle belanghebbenden moet kunnen worden vastgesteld dat de doelstellingen van de organisatie worden gerealiseerd.
x
Verantwoorden: over alle opgedragen taken en gedelegeerde bevoegdheden moet informatie worden verschaft, hieraan is gekoppeld het recht op decharge, op macroniveau betekent dit dat de minister naast de verantwoording over de uitkomsten van de uitvoering van het beleid ook over het sturen, beheersen en toezicht verantwoording aan het parlement moet afleggen.
Starreveld ± Bestuurlijke Informatieverzorging Deel 1 (Stenfert Kroese ± 2002). Ministerie van FinDQFLsQ ³+DQGOHLGLQJ*RYHUQPHQWJRYHUQDQFHHHQLQVWUXPHQWWHUWRHWVLQJYDQJRYHUQDQFHELMGH Rijksoverheid, 5 januari, p 13.
Patrick Schouten
Risicomanagement
26
De samenhang van deze definities is grafisch als volgt weer te geven:
Figuur 7: Dimensies bestuur 17
Een belangrijk element bij openbaar bestuur is dat organisaties in de publieke sector verantwoording afleggen over de maatschappelijke gevolgen van het eigen functioneren. Dit maakt dat de begrippen transparantie, integriteit en het afleggen van verantwoording belangrijke elementen zijn binnen openbaar bestuur. Verantwoording afleggen heeft te maken met verantwoordelijkheden die mensen en organisaties naar elkaar toe hebben. Verantwoording is het sluitstuk van bestuurlijke verhoudingen. Verantwoording is het uitleggen, het bieden van inzicht van het gevoerde beleid en de realisatie van de doelstellingen. Gemeenten leggen verantwoording af naar verschillende belanghebbenden. Tegenwoordig heeft verantwoording een veel bredere betekenis. Naast de controlefunctie spelen ook rechtmatigheid, doelmatigheid en draagvlak (legitimiteit van handelen) en het leren op grond van terugkoppeling in de verantwoordingsrelatie een belangrijke rol. Bossert18 (2002) is van mening dat het van belang is dat bestuur in de publieke sector zich vooral op de beheersingsprocessen in de organisaties richt. Hierbij gaat het om de inrichting en de werking van het beheersingssysteem in de organisatie. Ook Sieverdink en Paape19 geven aan dat control (beheersing) voor openbaar bestuur noodzakelijk is. Openbaar bestuur omvat het stellen van doelen, de verantwoordelijkheid nakomen om die te realiseren door middel van effectieve beheersing en het afleggen van verantwoording aan de verschillende belanghebbenden 20.
17 18 19 20
Deloitte; 2009, brochure Risicomanagement, meer dan de som der delen . Bossert, J.; 2002, Good governance: de leidraad voor goed bestuur en management,Overheidsmanagement, 2002/9. Sieverdink, Albert; Leen Paape; 1998, De veranderende rol van de accountant, B&G, november 1998, blz. 27 t/m 29. Sieverdink, Albert; Leen Paape; 1998, De veranderende rol van de accountant, B&G, november 1998, blz. 27 t/m 29.
Patrick Schouten
Risicomanagement
27
In GHSXEOLFDWLH³Via interne beheersing naar corporate governance´ uit 2002 heeft het Nederlands Instituut voor Registeraccountants (NIVRA) aangegeven dat het voor een effectieve risicobeoordeling nodig is om de organisatiedoelstellingen voor processen en activiteiten te bepalen en die in onderlinge samenhang te beoordelen. Is openbaar bestuur vergelijkbaar met bestuur in de private sector? Het antwoord op deze vraag is nee. Belangrijkste argument hiervoor is het sturingsprincipe. In tegenstelling tot de publieke sector is in de private sector winstmaximalisatie een doelstelling. Bij gemeenten is de (structureel sluitende) begroting leidend, waarbij de gemeenten de maatschappelijke doelstellingen moeten behalen op een doelmatige en rechtmatige wijze. Het onderstaande schema toont wat de relatie is tussen de taken, de organen (zie paragraaf 2.2) en de elementen gemeentebestuur.
Figuur 8: Relatie tussen taken, organen en elementen van openbaar bestuur
21
Hieruit blijkt duidelijk, dat de wetgeving uit hoofdstuk 2 aansluit op de theorieën van openbaar bestuur. Dit overzicht is ook te relateren aan het overzicht in paragraaf 2.1.
3.3
Definities van risico
:DWLVHHQULVLFR"9RRUGLWRQGHU]RHNLVHHQGXLGHOLMNHGHILQLWLHYDQ³ULVLFR´HVVHQWLHHO Het woordenboek Van Dale hedendaags Nederlands omschrijft risico als: ³gevaar voor schade of verlies´22.
21 22
Deloitte; 2009, brochure Risicomanagement, meer dan de som der delen. Van Dale Hedendaags Nederlands.
Patrick Schouten
Risicomanagement
28
In de bestudeerde OLWHUDWXXURYHUULVLFRPDQDJHPHQWZRUGWKHWZRRUG³ULVLFR´RS verschillende manieren gedefinieerd. COSO ERM23 en INTOSAI24 definiëren risico DOV³GH mogelijkheid dat een situatie zich voordoet en een tegengesteld effect heeft op het bereiken van de doelstellLQJHQ´Deze definities benaderen risico als een negatief begrip. Het Engelse ministerie van Binnenlandse ZDNHQGDDUHQWHJHQKDQWHHUWHHQSRVLWLHYHUHGHILQLWLH³2Q]HNHUH uitkomst, ofwel een kans ofwel een bedreiging, van acties en gebeurtenissen. Het is de combinatiHYDQZDDUVFKLMQOLMNKHLGHQLPSDFWLQFOXVLHIGHWRHJHNHQGHLPSRUWDQWLH´25. Hierin houdt men dus rekening met zowel positieve als negatieve gebeurtenissen. De in 2009 gepubliceerde ISO 31000 omschrijft risico als ³KHWULVLFRLVKHWHIIHFWYDQRQ]Hkerheid op GRHOVWHOOLQJHQ´26. Voor het onderzoek hanteer ik de definitie zoals ISO 31000 hanteert.
3.4
Definitie van risicomanagement
Risicomanagement is een Engels woord, de vertaling is risicobeheer. Het woordenboek Van Dale hedendaags Nederlands omscKULMIWULVLFREHKHHUDOV³LQYHQWDULVDWLHHQEHKHHUVLQJYDQ mogelijke risico¶V´ 27. Andere definities van risicomanagement zijn: a) ³ULVLFRPDQDJHPHQWEHKHOVWDOOHSURFHVVHQPHWEHWUHNNLQJWRWKHWLGHQWLILFHUHQ EHSDOHQHQEHRRUGHOHQYDQULVLFR¶VKHWEHSDOHQYan probleemeigenaren, het nemen YDQDFWLHRPGHULVLFR¶VWHPLWLJHUHQRIWHDQWLFLSHUHQHQKHWPRQLWRUHQHQUHYLHZHQ van de voortgang28´RI b) ³RQdernemingsrisicomanagement is een proces dat bewerkstelligd wordt door het bestuur van de onderneming, het management en ander personeel en wordt toegepast bij het formuleren van de strategie en binnen de gehele onderneming, ontworpen om potentiële gebeurtenissen die invloed kunnen hebben op de onderneming te identificeren en om risico s te beheren zodat deze binnen de risico-acceptatiegraad vallen, om een redelijke zekerheid te bieden ten aanzien van het behalen van de ondernemingsdoelstellingen´29. In ISO 31000 wordt risicomanagement omschreven als: De gecoördineerde activiteiten om een organisatie te sturen en te beheersen met betrekking WRWULVLFR¶V30. Voor dit onderzoek hanteer ik de definitie van ISO 31000, omdat die als enige ook aandacht besteedt aan sturing, naast het mitigeren/beheersen.
23 24 25 26 27 28 29 30
Committee of Sponsoring Organizations of the Treadway Commission. International Organization of Supreme Audit Institutions. www.hm-treasury.gov.uk. ISO Guide 73. Van Dale Hedendaags Nederlands. www.hm-treasury.gov.uk. Committee of Sponsoring Organizations of the Treadway Commission. Iso Guide 73.
Patrick Schouten
Risicomanagement
29
3.5
A rgumenten voor het gebruik van risicomanagement
In deze paragraaf besteed ik aandacht aan de argumenten waarom risicomanagement van belang is voor een organisatie. Koster en Snijders31 noemen vier belangrijke argumenten: x
Risicomanagement kan organisaties inzicht geven in wat kan gebeuren.
x
Risicomanagement stelt organisaties in staat om prioriteiten toe te kennen aan RQGHUNHQGHULVLFR¶VHQGDDUGRRUJHVWUXFWXUHHUGDFWLHVWe ondernemen, waardoor lukrake acties voorkomen kunnen worden.
x
Risicomanagement maakt het organisaties mogelijk om bij besluitvorming een betere financiële afweging te maken om maatregelen te treffen.
x
Risicomanagement maakt het voor organisaties mogelijk om genomen beslissingen DDQJDDQGHULVLFR¶VWHYHUDQWZRRUGHQ
Deze argumenten vormen naar mijn mening de essentie waarom risicomanagement van belang is. Deze argumenten sluiten aan bij begrippen uit de definitie van risicomanagement. Het tweede argument sluLWDDQELM³JHFR|UGLQHHUGH´LQGHGHILQLWLH van risicomanagement. +HW³VWXUHQ´HQ³EHKHHUVHQ´LVWHNRSSHOHQDDQKHWderde argument.
3.6
Modellen voor risicomanagement
In de voorgaande paragraaf heb ik argumenten geciteerd waarom risicomanagement van belang is. In deze paragraaf behandel ik de vraag: Hoe kan je risicomanagement vormgeven? Er zijn diverse modellen voor risicomanagement. Deze paragraaf behandelt vijf modellen, waaronder modellen specifiek voor de publieke sector. In de evaluatie (paragraaf 3.7) maak ik een keuze voor een model. De keuze is daarbij gebaseerd op een aantal criteria. Al deze modellen hebben een eigen raamwerk/stappenplan om risicomanagement gestructureerd op te zetten en uit te voeren. De volgende modellen zal ik kort toelichten: 1. COSO Enterprise Risk Management Framework (COSO ERM) 2. ISO 31000 3. INTOSAI 4. Beheersingsmodel van risicomanagement van Louwman en Steens 5. Framework van de Joint Standards Australia/Standards New Zealand Committee on Risk Management (Australia Framework). Model 1 en 2 zijn gekozen, omdat zij volgens de opstellers wereldwijd toepasbaar zijn in alle sectoren, dus ook de publieke sector in Nederland. Model 3, 4 en 5 zijn specifiek ontworpen voor organisaties in de publieke sector.
31
Koster en Snijders, een continue DIZHJLQJYDQULVLFR¶VWHJHQJHQRHJHQV.
Patrick Schouten
Risicomanagement
30
3.6.1
C OSO E nterprise Risk M anagement F ramewor k (C OSO E R M)
De Committee of Sponsoring Organizations of the Treadway Commission (COSO) is een organisatie die vier modellen voor de sturing en beheersing van organisaties heeft opgesteld: x
Internal Control Framework (COSO-ICF)
x
Enterprise Risk Management Framework (COSO-ERMF)
x
COSO Small Bussinesses
x
Guidance on Monitoring Internal Control Systems.
In de Angelsaksische wereld zijn deze modellen breed toegepast. In 2004 heeft COSO het Enterprise Risk Management Framework gepubliceerd. Dit model is samengevat in de volgende figuur32.
Figuur 9
COSO Enterprise Risk Management Framework
Op de bovenzijde van de kubus staan vier categorieën van doelstellingen genoemd: x
Strategisch
x
Operationeel
x
Rapportage
x
Compliance.
De voorkant van de kubus bestaat uit acht componenten en op de zijkant zijn de onderdelen van de onderneming weergegeven. Deze kubus weerspiegelt de mogelijkheid om te focussen op ondernemingsrisicomanagement in totaliteit of per categorie doelstellingen, per component, per bedrijfsonderdeel of een deel hiervan. 32
http://www.proboards.nl/data_docs/COSO_ERM_ExecutiveSummary_Dutch.pdf.
Patrick Schouten
Risicomanagement
31
3.6.2
ISO 31000
De Internationale Organisatie voor Standaardisatie (ISO) heeft zich ook op het terrein van risicomanagement gericht. ISO is een non-gouvernementeel netwerk van nationale standaardisatieorganisaties, waar instituten uit 157 landen (onder wie ook het Nederlands Normalisatie-instituut NEN) bij zijn aangesloten. ISO is opgericht in 1947, met als doel om normen vast te stellen en om organisaties voordeel te laten halen uit het toepassen van internationale normen en uit de implementatie van kwaliteitsmanagementsystemen. ISO heeft inmiddels 17.000 standaarden ontwikkeld; ieder jaar worden er 1.100 nieuwe gepubliceerd [ISO.org, november 2008]. De standaarden kunnen worden toegepast door elke organisatie. Het publiceren van een ISO-richtlijn voor het gebruik van risicomanagementtermen in standaarden kent zijn oorsprong in 1995. In dat jaar confronteerde een verwoestende aardbeving in Japan dat land met het belaQJYDQKHWLQVFKDWWHQYDQULVLFR¶VHQKHWWUHIIHQYDQ maatregelen om effecten van onverwachte gebeurtenissen te minimaliseren. Daarom pleitten de Japanse autoriteiten tien jaar geleden voor een universele norm voor risicomanagement, te ontwikkelen door ISO. Het bedrijfsleven vreesde een nieuwe golf van certificering en daarom ZHUGJHNR]HQYRRUHHQµYHLOLJH¶RSORVVLQJQDPHOLMNGHRQWZLNNHOLQJYDQHHQ*XLGHPHW termen en definities op het gebied van risicomanagement. Dat werd uiteindelijk ISO/IEC ³Guide 73, Riskmanagement-Vocabulary-Guidelines for use in standards´, die in 2002 werd gepubliceerd. De titel geeft aan dat de Guide vooral bedoeld was om harmonisatie te bevorderen binnen het bouwwerk van ISO-normen. Uniform taalgebruik helpt om vanuit die specifieke normen en ULFKWOLMQHQHHQLQWHJUDOHNLMNRSULVLFR¶VWHRQWZLNNHOHQ In 2005 heeft de International Organization for Standardization (ISO) het initiatief genomen om een ISO-richtlijn op te stellen voor risicomanagement33: ISO 31000. Via het NEN, het Nederlandse lid van ISO, wordt door Nederlandse belanghebbende partijen deelgenomen aan dit ISO-project. Hiertoe is in 2006 de normcommissie Risicomanagement opgericht. De doelstelling van de normcommissie is tweeledig (NEN, 2008). Enerzijds verzorgt en bepaalt de normcommissie de Nederlandse inbreng bij de internationale normalisatie op het gebied van risicomanagement, zoals die plaatsvindt in de internationale werkgroep ISO/TMB/WG/RM. Anderzijds faciliteert de normcommissie de implementatie en toepassing van de generieke ISO op nationaal en bedrijfstakniveau, zo nodig door het ontwikkelen van specifieke richtlijnen die een nadere invulling geven aan ISO [NEN, 2008]. Er zijn andere ISO-QRUPHQYRRUKHWPDQDJHQHQEHRRUGHOHQYDQVSHFLILHNHULVLFR¶VLQ verschillende sectoren. Ook zijn er ook ISO-normen voor managementsystemen (ISO 90001 voor kwaliteitsmanagement en ISO 14001 voor milieumanagement). ISO en de International Electronical Commission (IEC) hebben voor risicomanagement drie richtlijnen opgesteld:
33
x
Richtlijnen voor de implementatie (ISO 31000).
x
Termen en definities (ISO/IEC Guide 73).
x
Methoden voor risicobeoordeling.
Dick Hortensius, 2009, ISO 31000: Raamwerk voor integraal risicomanagement, Kwaliteit in bedrijf januari 2009.
Patrick Schouten
Risicomanagement
32
ISO en IEC hebben twee doelstellingen met deze documenten: 1. Het bieden van een normenkader voor de implementatie van risicomanagement. 2. Het creëren YDQHHQ³NDSVWRN´YRRUVHFWRUVSHFLILHNH,62-normen. Opmerkelijk is dat deze drie richtlijnen in samenhang ontwikkeld worden waardoor de drie richtlijnen aansluiten en zodoende een handvat creëert voor integraal risicomanagement in een ISO-norm. Tevens is dit de opstap naar sectorspecifieke ISO-normen op dit gebied. De uitwerking van de richtlijnen maakt onderscheid tussen: x
Principes
x
Raamwerk
x
Proces.
Alhoewel dit onderscheid is gemaakt, is er wel een samenhang tussen de onderdelen en de kernbegrippen. Deze samenhang is als volgt weer te geven:
Figuur 10 Samenhang begrippen ISO 31000
34
34
Deloitte; 2009, brochure Risicomanagement, meer dan de som der delen.
Patrick Schouten
Risicomanagement
33
Voor het raamwerk heeft ISO 31000 11 basisprincipes: x
Risicomanagement creëert waarde.
x
Het is een integraal onderdeel van de bedrijfsprocessen.
x
Het is onderdeel van de besluitvorming.
x
Het richt zich expliciet op onzekerheden.
x
Het is systematisch, gestructureerd en tijdig.
x
Het is gebaseerd op de best beschikbare informatie.
x
Het is maatwerk.
x
Het houdt rekening met menselijke en culturele omstandigheden.
x
Het is transparant en overal aanwezig.
x
Het is dynamisch, interactief, reageert op verandering en faciliteert continu verbetering en versterking van de organisatie.
Voor effectief risicomanagement is het voldoen aan deze basisprincipes een vereiste. Als een organisatie aan een of meerdere basisprincipes niet voldoet, is geen effectief risicomanagement mogelijk. Dit blijkt ook uit ISO 31000. Het risicomanagement raamwerk geeft aan hoe het raamwerk en het proces vorm kunnen krijgen. Daarbij zijn twee richtingen geclassificeerd: x
Op welke stappen van het risicobeoordelingsproces hebben ze betrekking?
x
Beoordeling van de parameters (benodigde middelen en expertise, mate van zekerheid en exactheid van de uitkomsten en de geschiktheid van voor complexe risicosituaties).
In een overzicht ziet dat er zo uit:
Figuur 11 Samenhang stappen en parameters risicomanagementproces 35 35
Deloitte; 2009, brochure Risicomanagement, meer dan de som der delen.
Patrick Schouten
Risicomanagement
34
Op deze manier ontstaat inzicht waarmee keuzes gemaakt kunnen worden uit de vele methoden en technieken voor risicomanagement. Het proces van risicomanagement kent een aantal fasen die als volgt schematisch zijn weer te geven. De fasen bieden een handvat voor organisaties om risicomanagement gestructureerd uit te voeren.
Figuur 12: Processen risicomanagement ISO 31000
Een belangrijk verschil tussen de ISO 31000 en veel andere modellen is dat ISO 31000 het proces als apart onderdeel ziet. De andere modellen maken geen onderscheid tussen principes, raamwerk en proces. Dit onderscheid maakt dat er een duidelijke koppeling aan doelstellingen voor verschillende gebruikers is, waardoor ISO 31000 handvatten biedt voor een verankering van integraal risicomanagement36. Volgens Van Marle c.s. is het voordeel van het onderscheid dat het eenvoudiger is om risicomanagement gefragmenteerd in te voeren. Op die manier kan een organisatie de uitkomsten evalueren alvorens het verder in de organisatie te implementeren. Hierdoor ontstaat een lerende organisatie. Daarnaast geeft Scheffe37 aan dat andere modellen, zoals COSO en Tabaksblat, voor het risicomanagement gericht zijn op de richtlijnen voor de betrouwbaarheid van de financiële rapportage, maar niet over de wijze waarop je risicomanagement breed in de organisatie implementeert. ISO 31000 biedt dit wel. ISO 31000 is in december 2009 gepubliceerd. Ten tijde van dit onderzoek werd deze richtlijn nog niet toegepast door gemeenten. In 3.7 zijn de redenen opgenomen waarom dit onderzoek deze richtlijn als norm hanteert. 36 37
E. van Marle en Geert Haisma, 2009, ISO 31000 stimuleert integraal risicomanagement, TPC, februari 2009. Bert Bakker, 2009, ISO-norm risicomanagement, de accountant april 2009.
Patrick Schouten
Risicomanagement
35
3.6.3
I N T OSA I 38
In 2004 heeft de INTOSAI (de wereldwijde koepelorganisatie van nationale rekenkamers) de Guidelines for Internal Control Standards for the Public Sector gepubliceerd. Dit model is gebaseerd op de principes van COSO, maar aangepast voor de publieke sector. In onderstaand figuur is het model weergegeven.
Figuur 13: INTOSAI-model
De elementen in de kubus hebben een directe relatie. Er zijn vier doelstellingen te onderkennen, namelijk: x
Verantwoordelijkheid
x
Naleving van wet- en regelgeving
x
Operationeel (degelijk, ethisch, economisch, efficiënt en effectief)
x
Bewaking van activa.
Elke onderdeel van de interne beheersing (beheersomgeving, risicobeoordeling, beheersactiviteiten, informatie & communicatie en monitoring) is van toepassing voor de te behalen doelstellingen. Belangrijkste afwijking van COSO is dat in dit model het aspect ethiek is toegevoegd. Dit is met name ingegeven, doordat in de publieke sector integriteit een belangrijke rol speelt en het ontdekken en voorkomen van fraude in de publieke sector in de jaren 90 benadrukt werd. De verwachtingen van het maatschappelijk verkeer zijn voor de publieke sector anders dan voor de private sector.
38
INTOSAI Internal Control Standard Committee, 2004, The Guidelines for Internal Control Standards for the Public Sector.
Patrick Schouten
Risicomanagement
36
Van de publieke sector verwacht het maatschappelijk verkeer dat deze organisatie het algemeen belang behartigt. Daarnaast zijn deze organisaties grotendeels gefinancierd met publieke middelen, waarvan verwacht mag worden dat ze op een doeltreffende en doelmatige manier worden ingezet voor het algemeen belang. Het doel van INTOSAI is om met dit model een richtlijn te geven voor het opzetten en uitvoeren van een goed interne beheersingssysteem binnen publieke organisaties. INTOSAI geeft aan dit model in samenhang met de volgende specifieke kenmerken van de publieke sector te bezien: x
De focus van publieke organisaties om politieke en sociale doelstellingen te behalen.
x
Het gebruik van publieke gelden.
x
De voorname rol van de budgetcyclus.
x
De complexiteit van de instelling (dit vraagt om het vinden van een balans tussen de traditionele waarde als wettigheid, integriteit en transparantie aan de ene kant en effectiviteit en efficiency aan de andere kant).
x
Brede maatschappelijke verantwoordelijkheid.
3.6.4
Beheersingsmodel van risicomanagement van Louwman en Steens
Louwman en Steens hebben39 een model beschreven dat voor alle typen organisaties toepasbaar is. Opvallend is dat in hun boek voorbeelden van gemeenten zijn uitgewerkt. Dit is het risicomanagementmodel van Louwman en Steens:
Figuur 14: Risicomanagementmodel Louwman en Steens40
39
Louwman en Steens, 1994, Risicomanagement, een beheersingsmodel.
Patrick Schouten
Risicomanagement
37
Het model is verdeeld in drie fasen, waarboven besturing en beheersing staan. De besturing en beheersing zijn vormgegeven door de primaire processen, de organisatiestructuur en de cultuur binnen de organisatie. De drie processen van risicomanagement zijn: 1. Analyse Deze fase bestaat uit een aantal subfasen: x
Vaststellen van het werkveld
x
Opstellen van een doelenhiërarchie
x
,QYHQWDULVHUHQHQNZDQWLILFHUHQYDQULVLFR¶V
x
Beoordelen HQVHOHFWHUHQYDQULVLFR¶V.
Deze analyse leidt tot inzicht in de organisatie (of onderdeel) waarbij de risico¶s in kaart zijn gebracht. 2. Planning Uit GHDQDO\VHIDVH]LMQULVLFR¶VQDDUYRUHQJHNRPHQ'H]HIDVHOHLGWWRW EHKHHUVLQJVPDDWUHJHOHQYRRUGHRQGHUNHQGHULVLFR¶V'HEHKHHUVLQJVPDDWUHJHOHQ worden in drie stappen voorbereid: a. Uitvoeren van een baten/lasten analyse Dit omvat het formuleren van maatregelen om vervolgens te bepalen welke baten en lasten hiermee gemoeid zijn. b. Kiezen van maatregelen Hier worden de gekozen maatregelen op een aantal aspecten onderling vergeleken. c. Risicobeheersplan opstellen Hierbij is aandacht voor de doelstellingen, richtlijnen en voorschriften voor het risicomanagement. 3. Beheersing Het initiëren en begeleiden van de uitvoering van het risicobeheersplan. De resultaten van de uitvoering worden gemeten en getoetst aan de doelstellingen, zoals die zijn geformuleerd in het risicobeheersplan. Louwman en Steens zijn van mening dat, onder eindverantwoordelijkheid van het management, een risicomanagementfunctie gecreëerd moet zijn om risicomanagement succesvol op te zetten en uit te voeren. In vergelijking met de andere risicomanagementmodellen is het opvallend dat hier drie fasen zijn en dat de beheersfase één van de drie is in plaats van zoals in veel andere modellen de laatste stap.
40
Louwman en Steens, 1994, Risicomanagement, een beheersingsmodel.
Patrick Schouten
Risicomanagement
38
3.6.5
F ramewor k van de Joint Standards A ustralia/Standards New Zealand Committee on Risk M anagement
Het Joint Standards Australia/Standards New Zealand Committee on Risk Management heeft in 1999 een standaard gepubliceerd voor risicomanagement in de publieke sector. Naast dit specifieke model heeft deze commissie ook een algemeen model gepubliceerd. Dit model is schematisch als volgt weer te geven41:
Figuur 15: ·Model Joint Standards Australia/Standards New Zealand Committee on Risk Management.
De stappen van dit model zijn gelijk aan het proces van ISO 31000. Echter bij ISO 31000 is het proces een onderdeel van het totale model (naast het raamwerk en de principes), maar bij deze standaard omvat het model uitsluitend het proces. De commissie heeft aangegeven dat dit model toepasbaar is voor alle soorten organisaties en daarmee ook voor organisaties in de publieke sector. De gebruikte terminologie van het model is algemeen waarmee dit model over alle organisaties heen gelegd kan worden. De richtlijn specifiek voor de publieke sector gaat in op de verschillen tussen de publieke en private sector. De commissie benoemt als belangrijke afwijkingen tussen de publieke en private sector die van invloed zijn op het proces van risicomanagement: 1. De behoefte aan publieke verantwoording en transparantie 2. $QGHUHGRHOHQHQGDDUDDQJHUHODWHHUGHULVLFR¶V 1DDVWGH]HSXQWHQEHQRHPWGHULFKWOLMQRRNGLOHPPD¶VZDDUPHHGHSXEOLHNHVHFWRUPHHWH maken heeft bij het risicomanagement: x
41
De vele voorschriften waaraan medewerkers in de publieke sector zich moeten houden. Meerdere verantwoordingsmechanismen als gevolg van de vele voorschriften en wetten. Hierdoor heeft de publieke sector te maken met veel vormen van verantwoording en transparantie.
Broadleaf Capital International Pty Ltd, 2007.
Patrick Schouten
Risicomanagement
39
x
De gekozen volksvertegenwoordiging kan meer zekerheid behalen uit een goed ingericht risicomanagementproces. Een goed ingericht proces leidt tot beheerste processen en activiteiten waarvoor de gekozen volksvertegenwoordiging verantwoordelijk is.
x
Voldoen aan wet- en regelgeving.
x
Vermijden van snelle oplossingen.
De publieke sector heeft te maken met maatschappelijke en/of politieke druk om snel beslissingen te nemen. Voor goed risicomanagement is het van belang, dat alle stappen in het risicomanagementproces zorgvuldig doorlopen worden.
3.7
E valuatie
In dit hoofdstuk zijn vijf modellen voor risicomanagement beschreven. Deze modellen hebben allemaal een algemeen raamwerk/stappenplan. Daarbij ligt de focus op verschillende onderdelen binnen het proces van risicomanagement. C OSO
ISO 31000
I N T OSA I Ja
Louwman en Steens Ja
F ramewor k A ustralia Ja
Specifieke aandacht voor publieke sector? Wereldwijde norm
Nee
Nee
Ja
Ja
Ja
Nee
Nee
Aandacht voor principes Aandacht voor het raamwerk Aandacht voor het proces Handvatten voor de implementatie Definiëring risicobegrippen?
Nee
Ja
Nee
Nee
Nee
Ja
Ja
Ja
Ja
Ja
Ja
Ja
Ja
Ja
Ja
Nee
Ja
Nee
Nee
Nee
Nee
Ja
Nee
Nee
Nee
Voor dit onderzoek is ISO 31000 als norm gehanteerd voor de opzet en uitvoering van goed risicomanagement. Redenen hiervoor zijn: x
ISO 31000 is een model, waarin niet alleen aandacht is voor het proces, maar ook voor de principes zoals genoemd op bladzijde 39. Hiermee onderscheid ISO 31000 zich van de andere vier modellen.
x
Het is een ISO-norm. Bij de totstandkoming hiervan zijn wereldwijd deskundigen op het gebied van risicomanagement betrokken, evenals relevante internationale organisaties. Hierdoor is de norm een breed gedragen richtlijn. Bovendien zijn ISOnormen bedoeld om te fungeren als wereldwijd geaccepteerde norm voor een bepaald onderwerp.
Patrick Schouten
Risicomanagement
40
x
Over enige tijd zullen sectorspecifieke ISO±richtlijnen verschijnen, die organisaties in de publieke sector nog meer zullen helpen om risicomanagement bij de opzet en uitvoering van risicomanagement.
x
In het raamwerk van ISO 31000 bestaat er een duidelijke relatie tussen de onderdelen.
x
ISO 31000 biedt handvatten voor de opzet van risicomanagement; de andere modellen hebben dit niet of in mindere mate.
Door de recente publicatie is deze norm nog nauwelijks in de praktijk toegepast.
Patrick Schouten
Risicomanagement
41
4
O pzet onderzoek
4.1
O nderzoeksmethode
Dit onderzoek bestaat uit vijf onderdelen:
4.2
x
Gesprekken met deskundigen
x
Documentenonderzoek gemeenten
x
Enquêtes
x
Verdiepende interviews
x
Analyse van de onderzoeksresultaten.
G esprek ken met deskundigen
De CI-Branchegroep Publieke Sector heeft een groot netwerk van deskundigen op het gebied van risicomanagement. Die hebben theoretische kennis van en praktische ervaring met risicomanagement, zowel in het algemeen als specifiek in de publieke sector. De CI-Branchegroep Publieke Sector heeft de volgende deskundigen geselecteerd en daarmee een gesprek gehad in het kader van dit onderzoek: 1. E. Vaassen, hoogleraar BIV-AO aan de Universiteit van Amsterdam en de Universiteit van Maastricht. 2. A.E. Ronner, bijzonder hoogleraar (Enterprise) Risk Management aan de Faculteit Economie en Bedrijfskunde van de Universiteit van Amsterdam. 3. 5¶W+DUWGLUHFWHXUNederlands Adviesbureau voor Risicomanagement (NAR) en docent Risicomanagement aan de Universiteit van Twente. 4. G.T. Budding, hoofddocent Accounting aan de Vrije Universiteit in Amsterdam. 5. M. van Zwieten, docent aan de Rijksacademie voor Financiën en Economie en aan de Bestuursacademie, gastdocent op de Vrije Universiteit in Amsterdam. Voorafgaand aan de gesprekken heb ik, in overleg met de CI-Branchegroep Publieke Sector, een vragenlijst opgesteld om de gewenste informatie te krijgen. Gedurende de gesprekken zijn niet alleen deze vragen beantwoord, maar zijn gedurende de gesprekken ook aanvullende vragen gesteld. De doelstelling van de gesprekken was het verkrijgen van kennis over en inzicht in risicomanagement in de publieke sector in het algemeen en bij grote gemeenten in het bijzonder. In hoofdstuk 5 is de samenvatting opgenomen van deze gesprekken. In bijlage 3 zijn de gesprekken uitgewerkt.
Patrick Schouten
Risicomanagement
42
4.3
Documentenonderzoek gemeenten
Voor dit onderzoek heb ik voornamelijk de jaarstukken 2008 van alle 100.000+ gemeenten geanalyseerd. Daarbij heeft mijn aandacht zich vooral gericht op de paragraaf Weerstandsvermogen, omdat deze paragraaf een relatie heeft met risicomanagement. Bij de analyse is een vergelijking gemaakt tussen de paragrafen van de gemeenten aan de hand van de voorwaarden van artikel 11. Gedurende de analyse zijn aanvullende vergelijkingen uitgevoerd en opgenomen in de checklist. Gemeenten zijn de afgelopen jaren overvoerd met wijzigingen in de wet- en regelgeving (invoering BBV, verscherpte eisen voor de verantwoording over rechtmatigheid, invoering Single information, Single audit) en aanpassingen in de wijze van financiering (bijvoorbeeld Wet Werk en Bijstand (WWB) en gemeentefondsuitkering). Daardoor zijn gemeenten onder andere sinds 2004 verplicht om in de jaarrekening een paragraaf Weerstandsvermogen op te nemen. In paragraaf 2.3 zijn de belangrijkste voorwaarden voor de weerstandsparagraaf van BBV-artikel 11 aangegeven. In de paragraaf Weerstandsvermogen besteden gemeenten aandacht aan het risicoprofiel van de gemeente en het aanwezige weerstandsvermogen. De gemeenten leggHQGDDUELMHHQUHODWLHWXVVHQGHJHwQYHQWDULVHHUGHULVLFR¶VHQGHILQDQFLsOH buffer, die de gemeente heeft voor het opvangen van de eventuele financiële gevolgen van KHWRSWUHGHQYDQGH]HULVLFR¶V,QSDUDJUDDI6.3 ga ik in op lid 2 van het bovenstaande artikel. Daarnaast ga ik in op een aantal opvallende zaken die uit de analyse naar voren zijn gekomen.
4.4
E nquête
Voor dit exploratieve onderzoek is een enquête opgesteld, die is verstuurd aan de 25 deelnemers van de 100.000+ gemeenten aan het landelijke controllersoverleg voor deze groep (controllers, directeuren en afdelingshoofden Financiën). In de Gids Gemeentebesturen 200942 staan de volgende inwoneraantallen: Gemeente
42
Aantal inwoners
Almere
180.924
Rang nummer 8
Gemeente
Amersfoort
139.054
16
Haarlemmermeer
138.255
17
Amsterdam
755.269
1
Leiden
117.485
22
Apeldoorn
155.564
11
Maastricht
118.022
21
Arnhem
142.569
15
Nijmegen
161.286
10
Breda
171.039
9
Rotterdam
596.597
2
Den Haag
473.941
3
͚ƐHertogenbosch
135.648
18
Dordrecht
118.187
19
Tilburg
201.259
6
Haarlem
Aantal inwoners 146.960
Rang nummer 13
Gids gemeentebesturen 2009, SDU uitgevers 2008.
Patrick Schouten
Risicomanagement
43
Gemeente Ede
107.500
Rang nummer 25
Eindhoven
209.699
5
Zaanstad
142.857
14
Emmen
109.150
24
Zoetermeer
118.024
20
Enschede
154.476
12
Zwolle
114.635
23
Groningen
182.800
7
Tabel 1:
Aantal inwoners
Gemeente Utrecht
Aantal inwoners 294.742
Rang nummer 4
100.000+ gemeenten
In deze groep is een duidelijke top drie (Amsterdam, Rotterdam en Den Haag) te onderscheiden met meer dan 450.000 inwoners en de rest met minder dan 300.000. In Nederland wonen per 1 januari 200943 16.485.787 mensen. 31,5% van de totale bevolking woont in de 100.000+ gemeenten. Aan de enquête hebben de grijs gearceerde 19 gemeenten meegewerkt. De 19 gemeenten hebben de enquête volledige ingevuld, een respons van 76%. Voor dit onderzoek is gestreefd naar betrouwbaarheid, validiteit en bruikbaarheid van de onderzoeksgegevens. x
Betrouwbaarheid De betrouwbaarheid betreft de consistentie en de repliceerbaarheid van de methoden, de omstandigheden en de resultaten van dat onderzoek. De maatregel die is genomen om de betrouwbaarheid van de gegevens te bevorderen, is de toepassing van verschillende onderzoeksmethoden. In dit onderzoek is gebruik gemaakt van bestaande (benchmark)onderzoeken, documenten van de gemeenten, interviewtechnieken en vragenlijsten.
x
Validiteit Validiteit betekent geldigheid. Bij het voorliggende onderzoek is de validiteit geborgd door: x de onderzoeksdoelstelling uit te werken in onderzoeksvragen; x de geformuleerde probleemstelling aan te laten sluiten bij de onderzoeksdoelstelling en onderzoeksvragen; x de keuze voor het onderzoeksontwerp en gehanteerde methode te beargumenteren; x de vertaling van begrippen uit het literatuuronderzoek naar toetsbare begrippen in het onderzoek; x het zorgvuldig bepalen van de populatie van de respondenten van de vragenlijsten; x de verkregen onderzoeksresultaten op juiste wijze te analyseren; x de onderzoeksvragen, bevindingen en conclusies op een consistente wijze op elkaar te laten aansluiten.
43
http://statline.cbs.nl/StatWeb/publication/?DM=SLNL&PA=70072ned&D1=0-88&D2=0,3,13,45,70,92,601&D3=12-14&VW=T
Patrick Schouten
Risicomanagement
44
x
Bruikbaarheid De bruikbaarheid van dit onderzoek is als volgt geborgd: x Voorafgaand aan het onderzoek zijn de interviews en de enquête besproken (en daar waar noodzakelijk aangepast) in de CI-Branchegroep Publieke Sector. x De bevindingen, conclusies en aanbevelingen zijn gescheiden gepresenteerd. x De uitkomsten van het onderzoek geven antwoord op de onderzoeksvragen. x De scriptie bevat een samenvatting die de essentie van het onderzoek weergeeft.
De enquête bestaat uit 28 vragen en 5 stellingen, die samen met de CI-Branchegroep Publieke Sector tot stand zijn gekomen. Bij de formulering van de vragen is onder andere gebruik gemaakt van de rapportage van het recente NIVRA-onderzoeken44. In de enquête zijn vragen en stellingen over risicomanagement opgenomen. De vragen zijn geclusterd naar: 1. Beleid en organisatie 2. Risico-inventarisatie en risicoanalyse 3. Beheersingsmaatregelen 4. Monitoring en rapportage 5. Weerstandsvermogen. Deze indeling sluit aan bij de processtappen, die gerenommeerde modellen onderkennen in het risicomanagementproces (zie paragraaf 3.6), waaronder ISO 31000. Het onderdeel weerstandsvermogen is opgenomen, omdat dit voor de gemeenten een specifiek aspect is in het proces van risicomanagement. Bij de stellingen vroegen wij om de mening te geven op een Likertschaal van 1 tot 5 (1 = helemaal eens, 5 = helemaal oneens). In 6.1 zijn de resultaten van de enquête (per cluster) en in 6.2 de verdiepende interviews beschreven. Het overzicht van de enquêteresultaten vindt u in bijlage 5.
4.5
V erdiepende interviews
Na ontvangst van de resultaten van de enquête heb ik, in overleg met de CI-Branchegroep Publieke Sector, zes gemeenten geselecteerd voor de verdiepende interviews. De volgende criteria heeft de CI-Branchegroep Publieke Sector daarbij gehanteerd: x Het rapportcijfer, dat de gemeente zichzelf heeft gegeven. Dit betreft twee gemeenten met rapportcijfer 8 respectievelijk 5. x Het ontbreken van vastgelegd risicomanagementbeleid. Eén gemeente heeft aangegeven geen risicomanagementbeleid te hebben. 44
NIVRA e.a. (2009), Risicomanagement in tijden van crisis.
Patrick Schouten
Risicomanagement
45
x Recente media-aandacht vanwege risicomanagementproblemen. Drie gemeenten zijn gekozen vanwege mediaberichten over gebrekkig risicomanagement. Bij de verdiepende interviews hebben een CI-Branchegroeplid en ik gesprekken gevoerd om de enquêteantwoorden te verifiëren en te verdiepen, mede aan de hand van door de betreffende gemeente verstrekte documentatie. Wij hebben gesproken met degene die de enquête heeft ingevuld: x
Gemeente 1: Beleidsmedewerker bestuursdienst en coördinator risicomanagement
x
Gemeente 2: Directeur Financiën
x
Gemeente 3: Concerncontroller
x
Gemeente 4: Adviseur Bedrijfsvoering
x
Gemeente 5: Hoofd Concerncontrol
x
Gemeente 6: Hoofd Financiën.
Patrick Schouten
Risicomanagement
46
5
Resultaten interviews
5.1
Inleiding
In dit hoofdstuk kunt u de resultaten lezen van de interviews met deskundigen, die in paragraaf 4.2 zijn beschreven. De eerste drie interviews gingen over risicomanagement in het algemeen. Tijdens de andere twee interviews is vooral gesproken over risicomanagement bij overheidsorganisaties. In de bijlage zijn samenvattingen van de individuele interviews opgenomen. De bevindingen zijn ingedeeld naar:
5.2
x
Algemeen
x
ISO 31000, (de norm voor dit onderzoek)
x
Verschillen tussen de private en de publieke sector
x
Het Amsterdamse Noord ±Zuidlijnproject. A lgemeen
Volgens alle deskundigen lopen gemeenten vooral bij grote projecten (waaronder grondexploitaties) en open-einde regelingen significante ULVLFR¶VDaarnaast noemt Budding nog het ICT-beleid bij gemeenten als belangrijk risicogebied, omdat gemeenten afdelingsoverstijgende activiteiten vaak onvoldoende beheersen. De Commissie-Veerman concludeerde iets soortgelijks in 2009: het gebrek aan samenwerking tussen de gemeentelijke afdelingen was een belangrijke oorzaak voor de budgetoverschrijding bij de aanleg van de Noord-Zuidlijn. Een ander punt waarover de deskundigen een duidelijke mening hadden, was dat veel medewerkers van organisaties risicomanagement als extra administratieve last ervaren en verstorend voor de uitvoering van hun primaire taak. Belangrijkste reden is volgens de deskundigen de onbekendheid met risicomanagement. Van Zwieten vindt risicomanagement een onlosmakelijk onderdeel van de dagelijkse bedrijfsvoering en daarmee van het takenpakket van alle organisatiemedewerkers. Ook bij de strategiebepaling acht hij voldoende aandacht voor risicomanagement onontbeerlijk om succes te behalen. De deskundigen verschillen van mening over de wenselijkheid van de functie van risicomanager. De tegenstanders vinden dat risicomanagement in alle functies verweven moet zijn, waardoor een risicomanager niet noodzakelijk is. Wel is het daarbij van belang, dat er een risico-eigenaar is en dat het bestuur zijn eindverantwoordelijkheid voor risicomanagement uitdraagt.
Patrick Schouten
Risicomanagement
47
De voorstanders menen dat een risicomanager een katalysator kan zijn voor het creëren van risicobewustzijn bij het bestuur en de medewerkers. De senioriteit van de risicomanager is daarbij een aandachtspunt: het maakt een groot verschil of de risicomanager een trainee is of een bestuurder. Uit de kwaliteit van de risicomanager blijkt ook hoe belangrijk het bestuur risicomanagement vindt. Gemeenten ervaren de gevolgen van deze economische crisis, doordat:
5.3
x
er minder leges binnen komen;
x
projecten worden uitgesteld of afgesteld;
x
gesubsidieerde instellingen ervaren teruglopende inkomsten en daarom aanvullend subsidie nodig hebben om de maatschappelijke taak op voldoende niveau te kunnen uitvoeren;
x
het aantal bijstandsuitkeringgerechtigden oploopt. ISO 31000 - de principes
De principes beschrijven het belang van de organisatiecultuur. Alle deskundigen noemen de cultuur als belangrijke succesfactor voor het slagen van risicomanagement. De indeling van ISO 31000 (principes, raamwerk en proces) biedt hiervoor een goede basis. Op deze manier zijn de principes belangrijk, dit in tegenstelling tot andere genoemde risicomanagementmodellen in paragraaf 3.6. Bij de andere modellen is sprake van een raamwerk en/of een proces. Van Zwieten vindt het belangrijk dat bestuurders/managers over ULVLFR¶VSUDWHQPHWGHPHGHZHUNHUV. Hierdoor ontstaat een cultuurverandering, doordat het risicobewustzijn wordt vergroot en de medewerkers als vanzelfsprekend aan risicomanagement gaan doen. De andere deskundigen geven ook aan dat de tone at the top één van de belangrijkste succesfactoren is. Vanuit de organisatieleiding moet een cultuur ontstaan, die aanmoedigt om actief aan risicomanagement te doen. Alleen dan zullen alle medewerkers daaraan een bijdrage willen leveren. Het is belangrijk, dat organisaties zich bewust zijn van de aard, de kans en de impact van de ULVLFR¶VHQGDarvoor weloverwogen maatregelen treffen. Risicomanagement kan veel effectiever zijn als de top het goede voorbeeldgedrag toont. Aan elke doelstelling kleven ULVLFR¶VHQPDQDJHUs zijn er om die te beheersen. De deskundigen vinden de kwaliteit van het personeel van belang voor de kwaliteit van het risicomanagement. Kleine gemeenten kunnen relatief makkelijk risicobewustzijn creëren, maar het aantrekken van kwalitatief goed personeel is voor hun lastig in verband met de lagere salarisschalen. Een toenemende omvang van de organisatie heeft volgens Budding een negatieve invloed op de kwaliteit van het risicomanagement, doordat dit leidt tot meer afdelingen en organisatielagen wat leidt tot een bureaucratischere organisatie.
Patrick Schouten
Risicomanagement
48
Budding refereert aan een door hem uitgevoerd onderzoek naar twee risico-instrumenten bij een grote gemeente waaruit gebleken is, dat de ideale grootte van een gemeente 43.000 inwoners is. Daarboven wordt een gemeente steeds inefficiënter. Hij is van mening dat bij gemeenten met meer dan 20.000 inwoners risicomanagement goed te organiseren is. Een best practice van een model biedt geen garantie voor succes. Sommige banken zijn hiervan een voorbeeld: de opzet was voldoende, maar de uitvoering was anders. Als risicomanagement geformaliseerd wordt door te focussen op µFKHFNOLVWHQDIYLQNHQ¶GDQ bestaat het risico dat de hoofddoelstelling niet wordt behaald, namelijk het beheersen van de ULVLFR¶V 5.4
ISO 31000 - het proces
De deskundigen geven aan dat het proces van risicomanagement vaak strandt bij de processtap risicoanalyse. Veel RUJDQLVDWLHVEHQRHPHQDOOHULVLFR¶VGLH]HNXQQHQEHGHQNHQ Het is praktisch onmogelijk om DOGH]HULVLFR¶VJRHGXLWWHZHUNHQNDQVx impact). Een belangrijke stap bij de risico-identificatie is het benoemen van risicocategorieën. Complicaties hierbij zijn: 1. Vooroordelen over risicomanagement (het is veel, extra en moeilijk werk) 2. Politiek-bestuuUOLMNHRQJHZHQVWKHLGRPH[SOLFLHWHQWUDQVSDUDQWWH]LMQRYHUULVLFR¶V 3. Verkokering en territoriumgedrag. De laatste twee punten ziet Van Zwieten bij de publieke sector niet snel veranderen, waardoor het vrijwel onmogelijk is om een realistische organisatiebrede risicotolerantie te bepalen. Daardoor voldoen die organisaties niet aan het ISO 31000 principe: risicomanagement is transparant en overal aanwezig. Budding is van mening dat de organisatie van de verslaggeving bij gemeenten een knelpunt is door de scheiding tussen de financiële functie en de beleidsfunctie. Dit geldt ook voor risicomanagement. De samenhang ontbreekt veelal tussen de beleidsfunctie (bepalen van de GRHOVWHOOLQJHQ HQGHILQDQFLsOHIXQFWLHEHQRHPHQYDQGHULVLFR¶V (HQRSWLPDOHVLWXDWLHLV GDWGHEHOHLGVIXQFWLHGHGRHOVWHOOLQJHQpQGHULVLFR¶VIRUPXOHHUWHQYHUYROJHQVGHILQDQFLsOH functie daarop een beoordeling uitvoert en zonodig kritische vragen stelt. Van Zwieten geeft aan dat in Nederland de (bureaucratische) overlegcultuur ook van toepassing is voor risicomanagement. Daarnaast laat het ministerie van Financiën instellingen vrij in hoe zij risicomanagement regelen; in Groot-Brittannië is dit dwingend voorgeschreven. Ook de VNG en het IPO zullen deze taak niet willen c.q. kunnen uitvoeren. Budding ziet ook een aanjagende rol weggelegd voor de VNG en IPO: voor de uitwisseling van kennis en HUYDULQJEHQFKPDUNLQJHQKHWVWLPXOHUHQYDQµHONDDUKHOSHQ¶,Q1HGHUODQGPDDNWPHQ nauwelijks gebruik van andermans ervaringen, zoals tijdens eerdere grote overheidsprojecten.
Patrick Schouten
Risicomanagement
49
Dit zou bijvoorbeeld kunnen door het verplicht toepassen van de reference class forecasting methode van Flyvbjerg. Deze methode vereist dat vooraf nagegaan wordt: x
Waar zijn vergelijkbare projecten uitgevoerd (in Europa)?
x
Wat waren de werkelijke kosten?
x
WDWZDUHQGHRSJHWUHGHQULVLFR¶V"
x
Wat waren andere relevante ervaringen?
Deze methode is een werkelijkheidstoets die in Nederland slechts sporadisch is gebruikt, zoals voor de Noorderzeelijn. Voor dit project was de toepassing van de reference class forecasting methode en de daaruit resulterende kostenraming de belangrijkste reden om het project niet uit te voeren. In Groot-Brittannië en Denemarken is de toepassing van reference class forecasting verplicht bij grote infrastructurele projecten. Van Zwieten zou graag zien dat organisaties in Nederland proactiever en preventiever KDQGHOHQ5LVLFR¶V]LMQQRRLWXLWWHVOXLWHQHUJDDWDOWLMGZHOLHWVmis), dus daarom is het essentieel de bedrijfsvoering c.q. de sturing en beheersing zodanig in te richten, dat de kans en de impact van grote calamiteiten worden beperkt. Als een organisatie dit goed en transparant regelt, dan leidt het optreden van een risico tot een beheerste discussie in plaats YDQHHQKRRJRSORSHQGHUX]LHHQµ]ZDUWHSLHWHQ¶. 5.5
V erschillen tussen de publieke sector en de private sector
Tijdens de interviews is ingegaan op de verschillen tussen de publieke en de private sector en de relatie met risicomanagement. x
&DWHJRULHsQYDQULVLFR¶V Het handelen van gemeenten is ingeperkt door wet- en regelgeving (zie ook hoofdstuk 2). Bij de private sector zijn de wettelijke beperkingen in mindere mate aanwezig. Voor wat betreft de doelmatigheid gaat het om publiek geld, waardoor de publieke verantwoording een grotere rol speelt dan bij de private sector.
x
,QGHSULYDWHVHFWRUNXQQHQGHULVLFR¶VEHWHUYHUERUJHQEOLMYHQ Risicomanagement is bij de organisaties in de private sector onderdeel van de interne bedrijfsvoering. Bij gemeenten moet de gemeenteraad geïnformeerd worden. Gemeentelijke documenten zijn op grond van de Wet Openbaarheid Bestuur (WOB) in principe door iedereen in te zien, waardoor deze eerder in de publiciteit kunnen komen. Hierdoor kan de indruk ontstaan dat het bij de overheid vaker mis gaat dan bij organisaties in de private sector.
x
3ROLWLHNHHQDIEUHXNULVLFR¶V %LMJHPHHQWHQNXQQHQNOHLQHULVLFR¶VOHLGHQWRWJURWHSROLWLHNHRIDIEUHXNULVLFR¶V,Q de private sector speelt dit minder.
Patrick Schouten
Risicomanagement
50
x
Financiering van tegenvallers Voor organisaties in de private sector geldt dat die failliet gaan, als er een tegenvaller is, die niet gefinancierd kan worden. Gemeenten kunnen in principe niet failliet gaan. Door belastingverhoging en verlaging van het voorzieningenniveau verhalen gemeenten de financiële strop op de burgers. Van Zwieten is van mening dat daarom het risicobewustzijn bij gemeenteambtenaren en -bestuurders groter moet zijn dan bij organisaties in de private sector.
x
Bestuur Collegeleden blijken in hun eerste benoemingsperiode relatief veel populaire beslissingen te nemen en in de tweede periode meer impopulaire beslissingen. De bestuursleden van een gemeente blijven over het algemeen wat langer in functie dan de bestuurleden in de private sector.
x
Belanghebbenden Een risicoanalyse begint meestal met een omgevingsanalyse, waarvan een onderdeel is het in kaart brengen van de belanghebbenden. Bij een gemeente is het aantal belanghebbenden meestal veel groter dan bij organisaties in de private sector. De belanghebbenden verwachten in principe allemaal, dat aan hun wensen en eisen tegemoet gekomen zal worden, maar dat is praktisch onmogelijk. Redenen hiervoor zijn: x Wet- en regelgeving inzake burgerparticipatie en overlegmomenten. x Juridische complexiteit x Wet- en regelgeving van de Europese Unie Het aantal belanghebbenden en de genoemde redenen zijn de voornaamste oorzaken waarom projecten vertragingen oplopen.
x
³0DNHRUEX\´YRRUULVLFRPDQDJHPHQW Kenmerkend voor overheidsorganisaties is dat die heel vaak kiezen voRU³PDNH´ in plaats van voor µEX\´ Dit geldt zowel voor de aanschaf van materiële zaken als voor niet materiële zaken, zoals risicomanagement. De reden hiervoor is dat gemeenten vinden dat hun situatie uniek is, dus niet te vergelijken met andere gemeenten. Van Zwieten geeft aan dat gemeenten het overzicht ontberen op wat er elders in Nederland/Europa de wereld gebeurt. Oplossingen daarvoor kunnen zijn: x
Een wereld-projectendatabase Daarin kunnen vergelijkbare uitgevoerde projecten worden opgezocht om vervolgens uit die ervaringen lering te trekken.
x
Meer gebruik maken van publiek-private samenwerking (PPS-constructies) Publiek-Private Samenwerking (PPS) is een samenwerkingsvorm tussen één of meer overheidsorganisaties en één of meer private ondernemingen. Tijdens de PPS-constructie wordt een keuze gemaakt wie wat gaat doen en daarbij wordt ook helder gemaakt wie welke verantwoordelijkheid heeft (onder andere het risico-eigenaarschap).
Patrick Schouten
Risicomanagement
51
x
Politieke druk Bij organisaties in de publieke sector is sprake van grotere politieke druk dan bij private organisaties. In de publieke sector is vaak sprake van politieke wenselijkheid van het project. Daarom worden soms, voorafgaand aan de besluitvorming door de gemeenteraad, ambtelijk onderkende risico¶s niet aan de raad gemeld en de impact van wel JHPHOGHULVLFR¶Vgebagatelliseerd. Dit laakbare gedrag leidt tot een aanzienlijk hogere kans op goedkeuring van het projectvoorstel. Een voordeel van de toepassing van reference class forecasting is dat de betrokken objectieve buitenstaanders geen last hebben van de politieke druk, die projectmanagers wel ondervinden.
x
Pluriform risicoprofiel Een gemeente is een erg complexe organisatie: Er zijn 400 verschillende diensten te onderscheiden, waardoor een hoog en breed risicoprofiel ontstaat. Veel van deze diensten zijn wettelijk verplicht gesteld door de rijksoverheid. Bij private organisaties is de complexiteit over het algemeen minder.
x
Risicomijdend gedrag Gemeentebestuurders en -managers zijn geneigd tot overbeheersing en risicomijding. *HPHHQWHQSUREHUHQDOOHULVLFR¶VRSYHUVFKLOOHQGHPDQLHUHQDIWHGHNNHQ Er is daarbij vrijwel geen oog voor efficiëntie in de dagelijkse bedrijfsvoering. Een voorbeeld hiervan zijn de duplicerende beheersingsmaatregelen voor het risico van uitval van de ICT. De oorzaak van de overbeheersing is dat gemeenten op verschillende organisatieniveaus maatregelen nemen, waardoor dubbelingen ontstaan in de beheersingsmaatregelen.
x
Afrekenen op fouten $OVWLMGHQVGHXLWYRHULQJYDQKHWSURMHFWULVLFR¶VRSWUHGHQGDQwordt in de publieke sector het project in bijna alle gevallen niet meer gestopt, zowel uit electoraal oogpunt (prestigeproject) als ook vanwege de geaccepteerdheid van deze werkwijze. In de publieke sector blijkt wanbeleid van bestuurders zelden te leiden tot ontslag (en nog veel minder vaak tot persoonlijke aansprakelijkstelling), zelfs niet als aantoonbaar is dat ze bijtijds wisten of hadden kunnen weten dat ze verwijtbaar handelden.
5.6
Noord-Z uidlijn
Van Zwieten noemt de volgende punten betreffende de Noord-Zuidlijn. x
Onvoldoende RYHUGHULVLFR¶VJHVSURNHQ
x
Ontbreken van risico(management)bewustzijn
x
Onduidelijk risico-eigenaarschap.
Hij vindt het ongelofelijk, dat de gemeente Amsterdam alles moet betalen, wat misgaat bij de Noord-Zuidlijn. Vanwege de complexiteit van dit soort projecten vindt hij dat er duidelijkheid moet zijn over de risico-eigenaar (opdrachtnemer en/of opdrachtgever) en de risicobeheersing in de constellatie van risico-eigenaar en politieke verantwoordelijkheid. Patrick Schouten
Risicomanagement
52
6
Resultaten enquêtes en verdiepende interviews
6.1
Resultaten enquête
6.1.1
Beleid en organisatie
6.1.1.1 Documenten voor vastlegging risicomanagementbeleid Uit de enquête is gebleken dat alle gemeenten risicomanagementbeleid hebben geformuleerd. Gemeenten blijken het risicomanagementbeleid in diverse documenten te hebben vastgelegd.
Tabel 2:
Vastlegging risicomanagementbeleid (vraag 3)
Het algemene beeld uit de enquêteresultaten toont een grote diversiteit. Alle antwoordmogelijkheden zijn gegeven. Elf gemeenten (61%) van de gemeenten heeft het beleid vastgelegd in een algemene beleidsnota/-notitie en 56% van de gemeenten heeft het beleid vastgelegd in een besluit van de gemeenteraad. Onze verwachting was dat alle gemeenten tenminste het besluit gemeenteraad en het besluit college van B&W als antwoord zouden geven. Deze verwachting baseren we op het feit dat er onderscheid gemaakt moet worden tussen het kaderstellende beleid en het uitvoerende beleid. Gemeenten vormen op twee manieren beleid: 1. Ambtenaren stellen een beleidsnota op welke samen met een concept B&W-voorstel en een concept raadsvoorstel. Het college van B&W stelt deze nota vast om deze vervolgens aan de gemeenteraad voor te leggen. De gemeenteraad stelt vervolgens de nota formeel vast en informeert hierna het college van B&W en de ambtenaren. Hiermee is het raadskader voor het risicomanagementbeleid vastgesteld. 2. Aan de hand van het raadskader stelt de gemeente een beleidsnota op voor de uitvoering met een concept B&W voorstel. Het college van B&W stelt deze nota vast en informeert de ambtenaren. Hiermee is het beleid op uitvoeringsniveau vastgesteld. Bij de beantwoording hebben gemeenten dit onderscheid niet gemaakt. De verdiepende interviews hebben aangetoond dat in het raadsbesluit alleen de uitgangspunten staan vermeld. Dit sluit dus aan bij de verwachting dat de gemeenteraad de kaders stelt (zie verder paragraaf 6.2 voor nadere analyse van de verdiepende interviews).
Patrick Schouten
Risicomanagement
53
Twee van de 18 gemeenten hebben aangegeven dat het beleid alleen is vastgelegd in de begroting en de jaarrekening. Naar mijn mening is dit niet de juiste plaats. In de begroting en de jaarrekening dienen de doelstellingen (begroting) en de realisatie (jaarrekening) daarvan verantwoord te worden. Uit de analyse van de jaarstukken van beide gemeenten (zie ook paragraaf 4.4) blijkt dat het beleid daarin op onderdelen is beschreven. De verdiepende interviews bij één van deze twee gemeenten heeft uitgewezen dat het risicomanagementbeleid versnipperd vastligt in verschillende documenten. 6.1.1.2 Risicodefinitie In paragraaf 3.3 staat risico gedefinieerd als: het risico is het effect van onzekerheid op doelstellingen. In de enquête hebben alle gemeenten hun definitie opgenomen. Daarbij is in zeven gevallen een relatie met de doelstellingen gelegd. In de andere elf definities ontbreekt deze relatie. Liefst veertien gemeenten beschouwen risico als een negatief effect voor de gemeente. Hier is de relatie met de doelstellingen niet gelegd. In slechts vier definities staat dat een risico een positief effect kan hebben. In bijlage 5 zijn alle definities opgenomen. Risico is een begrip dat niet alle gemeenten gelijk definiëren. Om op eenduidige wijze risicomanagementbeleid te voeren is het aanbevelingswaardig dat het begrip risico voor iedereen in een organisatie gelijk is. Ik zal hier in hoofdstuk 8 bij de aanbevelingen nog op terugkomen. 6.1.1.3 Onderdelen van het vastgestelde risicomanagementbeleid Welke aspecten hebben gemeente in het risicomanagementbeleid geformuleerd?
Tabel 3:
Aandachtsgebieden in beleid (vraag 2)
Slechts acht van de 18 gemeenten (44,4%) besteden aandacht aan alle genoemde aspecten. De doelstellingen van risicomanagement, de definitie van risico, de risicoreactie en het weerstandsvermogen zijn door bijna 90% van de gemeenten als een aspect genoemd van het beleid. Opmerkelijk is de beperktere aandacht voor de risicotolerantie (56%). In de volgende paragraaf kom ik op de risicotolerantie terug.
Patrick Schouten
Risicomanagement
54
Uit de literatuurstudie blijkt dat alle genoemde aspecten van belang zijn voor het risicomanagementbeleid. Het feit dat slechts acht gemeenten alle aspecten benoemen roept vragen op of bij de andere tien gemeenten sprake is van (integraal) risicomanagement. Bij de beantwoording van de onderzoeksvragen en de conclusies ga ik hier nader op in. 6.1.1.4 Risicotolerantie Het bepalen van de risicotolerantie vind ik een voorwaarde voor het formuleren van beheersmaatregelen, want de risicotolerantie bepaalt de risicoreactie (verzekeren, accepteren, vermijden of beperken). Dit baseer ik onder andere op de mening van Paape, die in 2008 heeft gesteld dat een ³in control verklaring´ niets waard is zonder vermelding van de risicotolerantie.45 Uit de enquête blijkt, dat acht gemeenten hebben bepaald hoeveel risico acceptabel is en zeven daarvan de risicotolerantie hebben gekwantificeerd.
Tabel 4:
Kwantificering risicotolerantie (vraag 8)
+HWEHKHHUVHQYDQDOOHULVLFR¶VLVQDDUPLMQPHQLQJQLHWPRJHOLMN+LHUYRRU]LMQWZHH redenen: 1. Onvolledigheid van de risico-inventarisatie. Het is onmRJHOLMNDOOHULVLFR¶VLQEHHOGWHKHEEHQ 2. Niet elk risico zal zich voordoen en de financiële impact is slechts te schatten. Een baten-lastenanalyse is noodzakelijk om te bepalen welke risicoreactie de voorkeur verdiend. Bij elf gemeenten (57,9%) is geen risicotolerantie vastgesteld. Zonder risicotolerantie zijn JHPHHQWHQQLHWLQVWDDWLQWHVFKDWWHQRIULVLFR¶VDFFHSWDEHO]LMQSDVVHQELQQHQGHWROHUDQWLH óf dat de gemeenten beheersingsmaatregelen treffen (verzekeren, vermijden of beperken). Mijn verwachting was dat alle gemeenten de risicotolerantie kwantificeren. Zeven gemeenten hebben de risicotolerantie gekwantificeerd. De wijze waarop deze kwantificering heeft plaatsgevonden, is verschillend:
45
x
5x als percentage van het weerstandsvermogen.
x
2x per risico.
prof. dr. Leen Paape RA RO CIAµLQFRQWURO¶YHUNODULQJHQJHEDNNHQOXFKWRIHHQWHNRHVWHUHQIHQRPHHQ"
Patrick Schouten
Risicomanagement
55
Ik had verwacht dat de kwantificering van de risicotolerantie bij meer gemeenten zou plaatsvinden en dat de wijze waarop gemeenten kwantificeren vaker op dezelfde wijze zou zijn. In hoofdstuk 8 zal ik hier nog nader op ingaan. 6.1.1.5 Modellen voor risicomanagement Veertien van de negentien gemeenten (74%) maken gebruik van een model voor risicomanagement. Gemeenten hanteren voor risicomanagement verschillende modellen en soms hanteren gemeenten meerdere modellen voor risicomanagement. Het aantal respondenten volgens de bijlage is 13. De afwijking is het gevolg van een verdiepend interview.
Tabel 5:
Toegepaste modellen voor risicomanagement (vraag 6)
Het is verrassend dat NARIS (11 gemeenten) en zelf ontwikkelde modellen (acht gemeenten) de meest genoemde antwoorden zijn. Verrassend omdat de gemeenten de algemeen bekende modellen in beperkte mate gebruiken. NARIS is een instrument dat het Nederlands Adviesbureau voor Risicomanagement (NAR) heeft ontwikkeld voor de publieke sector. NARIS borgt het risicomanagementproces van risico's tot en met beheersing, monitoring en rapportage. Volgens mij hoeft risicomanagement niet volgens een model uitgevoerd te worden, echter een model kan wel handvatten geven. Risicomanagement is een complex proces waarbij veel facetten een rol spelen. Een model geeft structuur aan de opzet en uitvoering van risicomanagement. Ik vind dat gemeenten die geen model hanteren, een groot risico lopen dat risicomanagement niet goed werkt waardoor de organisatie haar doelstellingen niet haalt. 6.1.1.6 Verantwoordelijkheden en bevoegdheden Een ander belangrijk onderdeel van Beleid & Organisatie is de verdeling van verantwoordelijkheden voor risicomanagement, die te splitsen is in de eindverantwoordelijkheid voor het beleid en de verantwoordelijkheid voor de uitvoering.
Patrick Schouten
Risicomanagement
56
De enquête toont aan dat de verantwoordelijkheden bij verschillende organen/functies binnen de gemeentelijke organisatie liggen:
Tabel 6:
Eindverantwoordelijken voor risicomanagementbeleid (vraag 9)
Uit de enquête blijkt dat de eindverantwoordelijkheid voornamelijk ligt bij het college van B&W (42%). 21% van de gemeenten heeft aangegeven dat de gemeenteraad verantwoordelijk is voor het risicomanagementbeleid en nog eens 21% van de gemeenten geeft aan dat deze bij de (concern)controller ligt. Mijn verwachting was dat de gemeenteraad en het college van B&W een 100% score op zou leveren. Deze verwachting komt voort uit de situatie zoals deze ook is geschetst in 6.1.1.1. Gemeenten lijken bij de beantwoording van deze vraag dus geredeneerd te hebben vanuit de kaderstelling of uitvoering. Verbazend is dat naast de gemeenteraad en het college van B&W nog andere functies/organen benoemd worden, deze zijn nooit eindverantwoordelijk. De eindverantwoordelijkheid ligt altijd bij het college en/of de gemeenteraad.
Tabel 7:
Verantwoordelijken uitvoering risicomanagement (vraag 10)
De (concern)controller is in het vaakst genoemd als verantwoordelijke voor de uitvoering van het risicomanagement. 26% van de gemeenten geeft aan dat het college hiervoor verantwoordelijk is.
Patrick Schouten
Risicomanagement
57
Zoals is gebleken uit de in hoofdstuk 3 besproken literatuur en deskundigengesprekken is risicomanagement de verantwoordelijkheid van iedereen binnen een organisatie die betrokken is bij het bereiken van de doelstellingen en niet van één persoon of afdeling. Mijn verwachting was dan ook dat alle gemeenten meerdere antwoorden zouden gegeven. Bij deze vraag waren meerdere antwoorden mogelijk. Vijf gemeenten hebben één persoon als verantwoordelijke voor de uitvoering aangewezen. Nog zeven andere gemeenten hebben één antwoord gegeven, maar die hebben daarmee wel een gedeelde verantwoordelijkheid aangegeven, namelijk het college van B&W (drie keer), het managementteam (drie keer) en de lijnmanagers (één keer). De enquêteresultaten wekken de indruk dat niet alle belanghebbenden hierbij een rol spelen. Dit zou betekenen dat de basis voor goed risicomanagement ontbreekt. Uit de deskundigeninterviews en de literatuurstudie is gebleken dat risicomanagement een grotere kans van slagen heeft als risicomanagement breed gedragen is. Eén van de principes van ISO 31000 is dat risicomanagement transparant en overal aanwezig is. Ook bij COSO blijkt dit doordat COSO zowel alle doelstellingen (strategisch, operationeel) als de onderdelen van de organisatie betrekt in de kubus (zie paragraaf 3.6). Uit de enquête blijkt dat de vastlegging van de verantwoordelijkheden en bevoegdheden niet eenduidig is. Er is een grote diversiteit aan documenten genoemd. Twee gemeenten geven aan dat de verantwoordelijkheden en bevoegdheden niet zijn vastgelegd. De vastlegging van de bevoegdheden en verantwoordelijkheden is nodig om in de uitvoeringsfase vast te stellen of nakoming is nageleefd. Tevens is een vastlegging hiervan een manier om de medewerkers bewust te maken van risicomanagement en hun taak en rol. 6.1.1.7 Beheersing verantwoordelijkheden en bevoegdheden De beheersing van de goede werking van de bevoegdheden en verantwoordelijkheden gebeurt op verschillende manieren.
Tabel 8:
Beheersing werking (vraag 12)
Patrick Schouten
Risicomanagement
58
Net als bij de vastlegging is ook hier de grote diversiteit in de beheersingsmaatregelen opvallend. Veertien van de negentien gemeenten geven aan interne controles uit voeren op de werking van de bevoegdheden en verantwoordelijkheden en twaalf gemeenten geven aan functiescheidingen ingevoerd te hebben. Ik had verwacht dat alle gemeenten ten minste functiescheidingen en interne controles als beheersingsmaatregel hadden genoemd. In elke organisatie is administratieve organisatie en interne beheersing noodzakelijk. Starreveld46 geeft aan dat beide beheersingsmaatregelen noodzakelijk zijn in organisaties met meer dan één functionaris. Overigens is ook opvallend dat twee gemeenten aangeven geen beheersingsmaatregelen te hebben geformuleerd. Bij de verdiepende interviews (paragraaf 6.2) zal ik nader ingaan op deze beheersingsmaatregelen. 6.1.2
Risico-inventarisatie en risicoanalyse
Alle gemeenten voeren een risico-inventarisatie en risicoanalyse uit. Deze uitkomst sluit aan bij de verwachting dat alle gemeenten en risico-inventarisatie en risicoanalyse uitvoeren. Het BBV (zie paragraaf 2.3) schrijft voor aandacht te besteden aan het risicoprofiel in relatie tot het weerstandsvermogen. Deze regel dwingt gemeenten een relatie te leggen tussen de ULVLFR¶VHQKHWZHHUVWDQGVYHUPRJHQ'H]HUHODWLHPDDNWHHQLQYHQWDULVDWLHHQDQDO\VH van de ULVLFR¶VQRRG]DNHOLMN 59% van de gemeenten geeft aan bottom-up de risico-inventarisatie en -analyse uit te voeren. Hiervoor zijn interviews de meest gebruikte methoden gevolgd door vragenlijsten. Zes gemeenten hebben aangegeven slechts één methode te gebruiken.
Tabel 9:
Methoden van risico-inventarisatie en risico-analyse (vraag 16)
Opvallend bij deze enquêteresultaten is de relatie met de enquêteresultaten bij de vragen over de verantwoordelijkheden. De verantwoordelijkheid voor risicomanagement is bij de meeste gemeenten belegd bij één persoon of één orgaan.
46
Starreveld, Van Leeuwen en Van Nimwegen, april 2002, Bestuurlijke informatieverzorging, deel 1 algemene grondslagen.
Patrick Schouten
Risicomanagement
59
Bij het opstellen van de enquête was mijn verwachting dat de combinatie van bottom-up en top-down het meest genoemd zou worden. Deze verwachting was gebaseerd op de ervaringen in de praktijk. Echter na de analyse van de antwoorden over de verantwoordelijkheden was mijn verwachting gewijzigd naar top-down als meeste gegeven antwoord. Beide veronderstellingen blijken nu gelogenstraft te worden. De focus wordt top-down bepaald, waarna de risicoanalyse bottom-up informatie oplevert, die na prioritering op het juiste niveau in de organisatie leidt. Dit betekent dus niet, dat de top DOOHULVLFR¶VDQDO\VHHUW5LVLFR¶V]LMQRSYHUVFKLOOHQGHQLYHDXVJHwQYHQWDULVHHUGHQ geanalyseerd om die vervolgens aan een hoger niveau te rapporteren. Op deze wijze komen YDQRQGHUDIGHEHODQJULMNVWHULVLFR¶VQDDUERYHQ+HWWRSQLYHDX]DO]HOIRUJDQLVDWLHEUHGH ULVLFR¶VLQYHQWDULVHUHQHQDQDO\VHUHQ De voordelen van de combinatie zijn: x
Afdelingen/organisDWLHRQGHUGHOHQ]LMQ]HOIKHWEHVWLQVWDDWGHULVLFR¶VYRRUKXQ afdeling/organisatiedeel in te schatten. Zij zijn bekend met de doelstellingen, de wijze YDQUHDOLVDWLHGDJHOLMNVHUPHHEH]LJ HQGHGDDUPHHVDPHQKDQJHQGHULVLFR¶V
x
Zodoende worden ook risicR¶VRQGHUNHQGGLHKHWEHKDOHQYDQGH organisatiedoelstellingen kunnen bedreigen, maar de afdelingen/ organisatieonderdelen overstijgen.
Het is van belang om de focus van de risicoinventarisatie en ±analyse zo te kiezen, dat deze aansluit op de strategische doelstellingen van de organisatie. Uit de enquête en de verdiepende interviews blijkt dat deze aansluiting ontbreekt. Bij de inrichting van de risico-inventarisatie en ±analyse hebben de gemeenten niet geredeneerd vanuit de strategische doelstellingen van de organisatie. De redenen om een risico-inventarisatie en risicoanalyse uit te voeren zijn als volgt:
Tabel 10: Redenen voor risico-inventarisatie en -analyse (vraag 15)
De meeste gemeenten doen een risico-inventarisatie en ±analyse bij grote projecten, de begroting en de jaarrekening. Amper de helft doet dit ook voor de kwartaalrapportages. Overigens wijkt het aantal gemeenten die een risico-inventarisatie en ±analyse uitvoeren voor het jaarverslag af (15) van het aantal volgens de enquêteresultaten (bijlage 4). Deze afwijking is naar voren gekomen naar aanleiding van de verdiepende interviews.
Patrick Schouten
Risicomanagement
60
Mijn verwachting is uitgekomen, dat gemeenten de inventarisatie en analyse in ieder geval voor de begroting en de jaarrekening uitvoeren. Het BBV schrijft dit voor (zie paragraaf 2.3). 2RNKHWLQYHQWDULVHUHQHQDQDO\VHUHQYDQULVLFR¶VELMJURWHSURMHFWHQVOXLWDDQELMGH verwachting. Hierop zal ik nader ingaan bij de verdiepende interviews (paragraaf 6.2) en de resultaten van de jaarrekeninganalyse (paragraaf 6.3). Opvallend is dat vier gemeenten aangeven een risico-inventarisatie en -analyse te doen ná incidenten. Mijn overtuiging is dat elke gemeente ná een incident een risico-inventarisatie en ±analyse moet uitvoeren en daarbij de volgende stappen moet onderkennen: x
Is een inschattingsfout gemaakt voor de kans dat het risico zich voordoet? Bij een ontkennend antwoord is dit een situatie van kleine kans, grote impact die zich in de praktijk kan voordoen. Als de inschatting van de kans wel fout was, dan zal dit gevolgen moeten hebben voor de beheersingsmaatregelen en zal dit dus leiden tot aanpassing van het risicomanagementsysteem.
x
Zijn de beheersingsmaatregelen toereikend geweest? Na het onderkennen van het risico moet een gemeente beoordelen of het risico ligt binnen de risicotolerantie. Als het risico niet binnen de tolerantie ligt, dan moet de gemeente beheersingsmaatregelen nemen. Na een incident is het nodig te analyseren of de genoemde beheersingsmaatregelen toereikend zijn geweest. Bij een ontkennend antwoord moet de gemeente de maatregelen aanpassen en daarmee ook het risicomanagementsysteem. Incidenten hoeven niet te betekenen dat beheersingsmaatregelen niet gewerkt hebben. Bij de beantwoording van de onderzoeksvragen ga ik in hoofdstuk 7 hierop in.
6.1.3
Beheersingsmaatregelen
Het is interessant om te zien wie een betrokkenheid heeft bij het formuleren van de beheersingsmaatregelen in relatie met de (eind)verantwoordelijkheid, maar ook om te zien wie betrokken is, als onderdeel van het risicomanagement als geheel.
Tabel 11: Betrokkenen bij formuleren beheersmaatregelen (vraag 18)
Patrick Schouten
Risicomanagement
61
Bij tien gemeenten spelen ook de juristen een rol in de formulering van de beheersmaatregelen. Dertien van de negentien gemeenten geven aan dat meer dan drie van de keuzemogelijkheden een rol spelen bij de formulering van beheersingsmaatregelen. De andere gemeenten hebben twee of in één geval slechts één keuzemogelijkheid aangegeven. Mijn verwachting was dat gemeenten meerdere mogelijkheden zouden kiezen. De resultaten van de enquête bevestigen de verwachting. Beheersingsmaatregelen moeten breed in de organisatie gedragen worden om effectief te werken. Het opleggen vanuit de top kan leiden tot beheersingsmaatregelen die in de praktijk niet werkbaar zijn. Dit kan ten koste gaan van de kwaliteit van de beheersingsmaatregel, maar ook van de effectiviteit en efficiency van de functionarissen. Het is dan ook van belang dat de beheersingsmaatregelen die de gemeente invoert op verschillende niveaus zijn besproken. Uit de enquêteresultaten blijkt dat gemeenten meerdere beheersingsmaatregelen hebben in het kader van risicomanagement. Mijn verwachting is hiermee bevestigd, dat gemeenten meerdere beheersingsmaatregelen hanteren. Het treffen van één of twee beheersingsmaatregel(en) is naar mijn mening niet afdoende voor goede risicobeheersing. 5LVLFR¶VYHUHLVHQHHQVHWYDQEHKHHUVLQJVPDDWUHJHOHQGLH]RZHOYRRUDILGHQWLILFHUHQ DOV achteraf (beheersen) werken. 6.1.4
Monitoring en rapportage
Tabel 12: Wijze van monitoring (vraag 20)
Negen gemeenten geven aan dat monitoring middels interne controlerapportages plaatsvindt en dertien middels andere instrumenten. 8LWGHHQTXrWHUHVXOWDWHQEOLMNWGDWGHZLM]HZDDURSJHPHHQWHQGHULVLFR¶VHQ beheersingsmaatregelen monitoren niet eenduidig is. Ik ga in de verdiepende interviews nader in op de rapportages over de uitgevoerde interne controles.
Patrick Schouten
Risicomanagement
62
De gemeenten rapporteren op verschillende wijze over de uitvoering van het risicomanagement.
Tabel 13: Rapportages risicomanagement (vraag 21)
Zestien gemeenten rapporteren daarover in de jaarrekening, waarbij zes gemeenten aangegeven alleen in de jaarrekening te rapporteren. Slechts vier gemeenten rapporteren ook over het uitgevoerde risicomanagementbeleid in afzonderlijke rapportages. De verwachting was, dat alle gemeenten in de jaarrekening rapporteren over het gevoerde beleid, aangezien het BBV dit voorschrijft (zie paragraaf 2.3). Het lijkt erop dat de gemeenten die aangeven niet in de jaarrekening te rapporteren niet voldoen aan de regelgeving. Bij de analyse van de jaarstukken zal ik verder ingaan op dit onderdeel (zie paragraaf 6.3). Daarnaast had ik verwacht, dat alle gemeenten afzonderlijk rapporteren over risicomanagement en in de voortgangsrapportages aandacht besteden aan risicomanagement. Op grond van de literatuur is de evaluatie van het risicomanagement onderdeel van het proces risicomanagement. Blijkens de enquêteresultaten is mijn verwachting niet uitgekomen.
Tabel 14: Frequentie rapporteren (vraag 22)
Negen gemeenten rapporteren alleeQLQGHEHJURWLQJHQKHWMDDUYHUVODJRYHUULVLFR¶VTwee gemeenten rapporteren per kwartaal, waaronder in de begroting en het jaarverslag. Acht gemeenten rapporteren (ook) op andere momenten. Deze JHPHHQWHQUDSSRUWHUHQRYHUULVLFR¶V in de tussentijdse rapportages en in de projectrapportages.
Patrick Schouten
Risicomanagement
63
Deze resultaten bevestigen de verwachting dat alle gemeenten minimaal rapporteren over de ULVLFR¶VLQKHWMDDUYHUVODJHQGHEHJURWLQJ. Deze verwachting is gebaseerd op artikel 11 van het BBV (zie paragraaf 2.3), dat voorschrijft dat in de weerstandsparagraaf van de begroting HQGHMDDUVWXNNHQJHUDSSRUWHHUGPRHWZRUGHQRYHUULVLFR¶V%LMGHDQDO\VHYDQGHMDDUVWXNNHQ (paragraaf 6.3) behandHOLNGHYHUDQWZRRUGLQJRYHUGHULVLFR¶V De rapportages over risicomanagement bevatten het volgende:
Tabel 15: Inhoud rapportages risicomanagement (vraag 23)
%LMQDDOOHJHPHHQWHQUDSSRUWHUHQRYHUGHULVLFR¶VKHW]LMGHEHODQJULMNVWHULVLFR¶VLQFOXVLHI impact en kans, dan wel over de ontwikkeling in de tijd. Negen gemeenten rapporteren daarnaast nog over de werking van de beheersingsmaatregelen en zeven over incidenten. Op basis van de beantwoording van de eerdere vragen was de verwachting, dat alle gemeenten zouden aangeven te rapporteren over de werking van de beheersingsmaatregelen. Bij de vraag eerder in deze paragraaf Op welke wijze rapporteert uw gemeente over de uitvoering van het risicomanagement? hebben alle gemeenten aangegeven zich in minimaal één document hierover te verantwoorden. Het is opvallend dat slechts negen gemeenten over de werking van de beheersingsmaatregelen rapporteren en zeven over incidenten. Opvallend omdat deze rapportages de verantwoording vormen aan de bestuurders van de organisatie. De bevindingen in de rapportages kunnen voor de bestuurders aanleiding zijn om het bestaande beleid te wijzigen. De beheersingsmaatregelen vormen een cruciaal onderdeel van het risicomanagementsysteem. Zonder rapportages over de werking van deze beheersingsmaatregelen zijn de bestuurders niet in staat om het stelsel van beheersingsmaatregelen, en daarmee het risicomanagementsysteem, te beoordelen en zonodig aan te passen. Ditzelfde geldt voor het achterwege laten van rapportages over incidenten.
Patrick Schouten
Risicomanagement
64
De vraag :DWUDSSRUWHHUWXZJHPHHQWHRYHUULVLFR¶VHQULVLFRPDQDJHPHQW" levert een scala aan antwoorden:
Tabel 16: Onderwerpen rapportages (vraag 25)
$OOHJHPHHQWHQJHYHQDDQLQGHUDSSRUWDJHDDQGDFKWWHEHVWHGHQDDQGHILQDQFLsOHULVLFR¶VHQ 65% RRNDDQGHVWUDWHJLVFKHHQRSHUDWLRQHOHULVLFR¶V:DWEHWUHIWKHWEHOHLGJHHIWGHKHOIW aandacht aan de opzet respectievelijk de wijzigingen van het beleid. De risicotolerantie is slechts bij 25% van de gemeenten onderdeel van de rapportage. 'HUHVXOWDWHQWRQHQDDQGDWJHPHHQWHQYRRUDORYHUGHULVLFR¶VUDSSRUWHUHQHQLQPLQGHUH mate over het risicomanagement. Dit is conform de verwachting. Opmerkelijk is dat tien gemeenten hebben aangegeven aandacht te besteden aan de risicotolerantie (zie paragraaf 6.1.1.4), maar hier slechts vijf gemeenten zeggen daarover te rapporteren. Dit aspect is naar mijn mening onderbelicht en verdient meer aandacht bij het risicomanagement van gemeenten (zie ook paragraaf 6.1.1.4). 6.1.5
W eerstandsvermogen
Alle gemeenten hebben de paragraaf Weerstandsvermogen opgenomen in de begroting en de jaarrekening. Vijf gemeenten vermelden de paragraaf ook in andere rapportages.
Tabel 17: Onderwerpen rapportages(vraag 26)
Patrick Schouten
Risicomanagement
65
In artikel 11 van het BBV (zie paragraaf 2.3) is de verplichting opgenomen dat gemeenten in de begroting en de jaarrekening een paragraaf Weerstandsvermogen opnemen. De enquête bevestigt dat alle gemeenten voldoen aan deze wettelijke verplichting. In paragraaf 6.3 zal ik de inhoud van de paragraaf Weerstandsvermogen in de jaarstukken analyseren.
Tabel 18: Verantwoordelijkheid paragraaf Weerstandsvermogen (vraag 27)
De verantwoordelijkheid voor het opstellen van de paragraaf Weerstandsvermogen ligt in negen gemeenten bij de (concern)controller en in acht gemeenten bij het college van B&W. Negen gemeenten hebben bij deze vraag slechts één antwoord gegeven. Zoals eerder aangegeven in paragraaf 6.1.1.6 is risicomanagement de verantwoordelijkheid van iedereen die bijdraagt aan het bereiken van de organisatiedoelstellingen. De paragraaf Weerstandsvermogen is de uitkomst van het proces van risicomanagement waardoor deze paragraaf ook de (gedeelde) verantwoordelijkheid is van iedereen die bijdraagt aan het bereiken van de organisatiedoelstellingen. In het BBV ontbreekt hoe een gemeente de weerstandscapaciteit moet bepalen. In de enquête hebben alle gemeenten aangegeven hoe ze dat doen. Uit de gegeven antwoorden blijkt dat geen sprake is van een eenduidige definitie of bepaling. Wel zijn er onderdelen te onderkennen, die bij veel gemeenten deel uitmaken van de weerstandscapaciteit: x
Algemene reserve
x
Onbenutte belastingcapaciteit
x
Post onvoorzien.
Deze onderdelen zijn ook genoemd in de Nota van toelichting op het BBV 47. +HWRYHU]LFKWYDQGHULVLFR¶VLQGHSDUDJUDDIZHHUVWDQGVYHUPRJHQNRPWDOVYROJWWRWVWDQG:
Tabel 19: 7RWVWDQGNRPLQJULVLFR¶V (vraag 29) 47
Ministerie van Binnenlandse Zaken en Koninkrijksrelaties, 2003, Nota van toelichting op het BBV.
Patrick Schouten
Risicomanagement
66
De helft van de gemeenten gebruikt interviews (53%) en/of vragenlijsten. Zowel vragenlijsten als interviews zijn naar mijn mening een geschikt instrument voor de totstandkoming van het overzicht. Daarbij plaats ik wel de kanttekening dat één instrument niet toereikend is. Ik heb in paragraaf 6.1.2 aangegeven dat de risico-inventarisatie en analyse zowel top-down als bottom-up tot stand moeten komen. Dit is niet mogelijk met één instrument, aangezien er geen instrument is dat geschikt is voor top-down en bottum-up. Een vragenlijst is een instrument dat vooral top-down is gericht, evenals interviews. Een instrument dat als bottom-up gezien kan worden, is de workshop om bijvoorbeeld per DIGHOLQJRUJDQLVDWLHRQGHUGHHOGHULVLFR¶VLQNDDUWWHEUHQJHQHQWHDQDlyseren. Overigens ben ik van mening, dat een teveel aan instrumenten evenmin zal leiden tot een goede inventarisatie, want dan zal het gebruik van het instrument het doel worden. 5LVLFR¶V]LMQJHGHILQLHHUGDOVhet effect van onzekerheid op doelstellingen. 9RRUGHEHSDOLQJYDQKHWZHHUVWDQGVYHUPRJHQLVHHQNZDQWLILFHULQJYDQGHULVLFR¶VQRGLJ 'HYUDDJLVRIDOOHULVLFR¶VJHNZDQWLILFHHUGNXQQHQZRUGHQ,QGHHQTXrWHKHEEHQGH JHPHHQWHQJHDQWZRRUGKRH]LMULVLFR¶VNZDQWLILFHUHQAcht gemeenten geven aan dat zij dat doen door de kans te vermenigvuldigen met de (financiële) impact. Vijf gemeenten gebruiken risicosimulatie met behulp van NARIS en MonteCarlo simulatie. In 6.1.1.4 YLQGWXPHHURYHUGHNZDQWLILFHULQJYDQGHULVLFR¶V Het is in mijn optiek niet altijd mogelijk (of bijzonder lastig) om risico¶s financieel te maken. ,QWHJULWHLWULVLFR¶Ven imagoschadeULVLFR¶V]LMQKLHUYDQYRRUEHHOGHQ'H]HULVLFR¶V]XOOHQ gemeenten toelichten in de paragraaf Weerstandsvermogen en daarbij aangeven dat deze niet financieel zijn te vertalen. Daarnaast is het voor langlopende en complexe projecten moeilijk om risico¶s financieel te maken. Ik vind dat voor zulke risico¶s minstens drie scenario¶s doorgerekend moeten worden: optimistisch, realistisch en pessimistisch. Op deze manier is het mogelijk om bij de beslissing alle mogelijke uitkomsten te betrekken en de betrokken te informeren. 6.1.6
Stellingen
In de statistiek maakt men onderscheid tussen de mediaan en het gemiddelde. De mediaan is het middelste van de gegeven antwoorden (hier het 10e van de 19 gerangschikte antwoorden). Voor de berekening van het gemiddelde is aan de antwoordmogelijkheden een cijfer toegekend, waarna de som van de cijfers is gedeeld door 19 (het aantal reacties). Antwoorden zijn op een schaal van 1 tot 5 (1 = helemaal eens, 5 = helemaal oneens). Bij alle stellingen is het gemiddelde en de mediaan gegeven om de antwoorden te kunnen analyseren en de uitbijters en/of opvallende zaken inzichtelijk te maken. Hiermee is de stelling gefundeerd te accepteren of te verwerpen. Als het gemiddelde en de mediaan afwijken, is dit toegelicht.
Patrick Schouten
Risicomanagement
67
Tabel 20: Stelling 1
De mediaan van deze stelling is 3 en het gemiddelde 2,8. De praktijkervaring van CI-Branchegroepleden en de recente media-aandacht voor risicomanagement bij gemeenten (bijvoorbeeld Noord-Zuidlijn in Amsterdam en het geëscaleerde strandfeest in Hoek van Holland op 23 augustus 2009) zijn de aanleiding geweest voor deze stelling. Ik had verwacht dat de meerderheid van de gemeenten deze stelling zou omarmen, maar het gemiddelde is ³niet eens/niet oneens´. Slechts twee gemeenten zijn het helemaal eens met de stelling en zeven gemeenten enigszins eens. Liefst tien gemeenten geven dus een ander antwoord dan ik had verwacht. Harde conclusies zijn hieruit niet te trekken zonder nadere analyse, maar gesteld kan worden dat gemeenten dit soort incidenten niet als onderdeel van het risicomanagement zien.
Tabel 21: Stelling 2
De mediaan van deze stelling is 3 en het gemiddelde 2,8. De aanleiding voor dit onderzoek en deze stelling in mijn perceptie is dat risicomanagement bij gemeenten nog in de kinderschoenen staat. De verwachting was daarom dat deze stelling verworpen zou worden. Op basis van de praktijkervaringen van de CI-Branchegroepleden en recente gebeurtenissen was de verwachting dat gemeenten het niet eens zouden zijn met deze stelling. Het is verrassend dat de gemiddelde uitkomst ³enigszins mee eens´ is. Bijna de helft van de gemeenten is van mening dat risicomanagement goed is ingevoerd en effectief werkt. Slechts vier gemeenten verwerpen de stelling conform onze verwachting.
Patrick Schouten
Risicomanagement
68
Bij deze stelling heb ik ook een relatie gelegd met de rapportcijfers, die de gemeenten zichzelf hebben gegeven voor hun risicomanagement.
Tabel 22: Rapportcijfers risicomanagement
De mediaan van deze stelling is 6 en het gemiddelde 6,3. De gemeente met een 8 is helemaal eens met de stelling dat het risicomanagement goed is ingevoerd en effectief werkt. Daarentegen zijn de gemeenten met een 5 het met deze stelling helemaal oneens. Hieruit blijkt de gewenste consistentie in hun beantwoording. De gemeenten geven zichzelf gemiddeld een 6,3 als rapportcijfer voor het risicomanagement. Uitschieters zijn de 2 gemeenten die zichzelf een onvoldoende geven en de gemeente die zichzelf een 8 toekent. In de verdiepende interviews zijn een gemeente met een 5 en de gemeente met de 8 betrokken (zie paragraaf 6.2). In paragraaf 7.8 bepaal ik zelf een cijfer voor het risicomanagement voor de gemeenten in de verdiepende interviews. Dit leidt tot interessante uitkomsten.
Tabel 23: Stelling 3
De mediaan van deze stelling is 5 en het gemiddelde 4,5. In 6.1.1.6 van dit onderzoek heb ik aangegeven dat risicomanagement een taak is van iedereen die meewerkt aan het realiseren van de doelstellingen van de organisatie. De uitkomsten van deze stelling bevestigen de verwachting dat risicomanagement niet een taak van de afdeling Financiën is, want het gemiddelde is ³helemaal mee eens´.
Patrick Schouten
Risicomanagement
69
Opvallend is dat slechts één gemeente het enigszins met de stelling eens is en dus risicomanagement als een taak van de afdeling Financiën beschouwt. Deze gemeente is, mede om dit antwoord, in de verdiepende interviews betrokken.
Tabel 24: Stelling 4
De mediaan van deze stelling is 5 en het gemiddelde 4,3. Gemiddeld zijn de gemeenten het ³enigszins oneens´ met deze stelling. Twaalf gemeenten (63%) zijn het helemaal oneens met de stelling, wat aansluit bij mijn verwachting. Twee gemeenten geven aan het enigszins met deze stelling eens te zijn. Risicomanagement is volgens mij niet afhankelijk van de omvang van de organisatie. Elke gemeentelijke organisatie heeft doelstellingen, waarbij het voor de realisatie van deze doelstellingen noodzakelijk is om risicomanagement uit te voeren (zie ook paragraaf 3.5), ongeacht de omvang. Bij de verdiepende interviews ga ik nader in op deze stellingen. Eén van de gemeenten die het enigszins eens is met de stelling is om die reden in de verdiepende interviews betrokken.
Tabel 25: Stelling 5
De mediaan van deze stelling is 4 en het gemiddelde 3,2. Het gemiddelde antwoord is ³niet eens/niet oneens´. Tien van de negentien gemeenten hebben deze stelling (gedeeltelijk) verworpen en geven daarmee aan dat de accountantscontrole wel degelijk invloed heeft op het risicomanagement.
Patrick Schouten
Risicomanagement
70
Dit sluit aan bij mijn verwachting. Mijn ervaring is dat gemeenten de accountant zien als expert op het gebied van risicomanagement en hem daarom regelmatig om advies vragen. Daarbij valt op dat de vragen meestal financieel gericht zijn. Als u kijkt naar de beantwoording van de vraag Wat rapporteert uw gemeenten over risico¶s en risicomanagement? (zie paragraaf 6.1.4) valt op dat 2/3 van de gemeenten, naast de ILQDQFLsOHULVLFR¶VRRNGHVWUDWHJLVFKHULVLFR¶VHQRSHUDWLRQHOHULVLFR¶VQRHPW'DDUGRRU ontstaat gerede twijfel over mijn veronderstelling, dat gemeenten het risicomanagement vooral richten op financiële ULVLFR¶VOpvallend is dat bij de analyse van de jaarstukken (paragraaf 6.3) de conclusie is dat in de paragraaf Weerstandsvermogen alleen de financiële ULVLFR¶V]LMQopgenomen.
Tabel 26: Stelling 6
De mediaan van deze stelling is 3 en het gemiddelde 2,5. Gemiddeld is het antwoord op deze stelling ³niet eens/niet oneens´ met een sterke neiging naar ³enigszins mee eens´. Elf gemeenten geven aan het niet eens/oneens te zijn met deze stelling. Mijn verwachting was dat de gemeenten het eens zouden zijn met deze stelling, omdat gemeenschapsgeld anders beter aan andere activiteiten besteed kan worden met een positieve maatschappelijk baten-lastenanalyse. Opvallend is dat één gemeente stelt dat de kosten hoger zijn dan de baten. Heeft deze gemeenten dan teveel geïnvesteerd in het risicomanagementsysteem c.q. de beheersingsmaatregelen? Invoering van een risicomanagementsysteem (waarvan de beheersingsmaatregelen een onderdeel zijn) vraagt om een baten-lastenanalyse. Bij de baten gaat het wat mij betreft niet altijd om de financiële vertaling, maar om de perceptie van de baten (nut en noodzaak). Zeven gemeenten zijn het eens met de stelling. Net als ik lijken zij de baten ruimer te interpreteren dan de financiële voordelen.
Patrick Schouten
Risicomanagement
71
6.1.7 Stadium van risicomanagement bij de gemeenten De stadia zijn afkomstig uit het onderzoek ³Risicomanagement in tijden van crisis´48.
Tabel 27: Stadium risicomanagement (vraag 32)
De mediaan is 3 en het gemiddelde 3,4. Voor de analyse is een koppeling gemaakt met de door gemeenten zelf gegeven rapportcijfers (zie bijlage 5). Op basis van de rapportcijfers was de verwachting dat één gemeente aan zou geven in stadium 5 te zitten, maar twee andere gemeenten hebben hier ook aangegeven dat stadium 5 van toepassing is. Als rapportcijfer hebben deze gemeenten zichzelf een 6 respectievelijk 7 gegeven. Ik ben van mening dat alleen bij gemeenten in stadium 4 en 5 sprake is van een goed opgezet en uitgevoerd risicomanagementsysteem. Stadium 5 heeft als YRRUGHHOGDWGHULVLFR¶VJHNRSSHOG]LMQDDQGHGRHOHQGLHGHJHPHHQWHQVWHOWDit stadium sluit aan met de definitie van risico volgens ISO 31000; ULVLFR¶V]LMQGDDUin ook gekoppeld aan de doelen. Mijn verwachting was dat veel gemeenten in stadium 2 of 3 zouden zitten. 63% van de gemeenten vindt dit ook, maar 37% heeft aangeven in stadium 4 of 5 te zitten. Mijn verwachting is daarmee niet bewaarheid. Door de verdiepende interviews en door analyse van de paragraaf Weerstandsvermogen heb ik zelf beoordeeld in welk stadium de gemeenten zich bevinden.
48
NIVRA, RUG, Nyenrode, PwC (2009).
Patrick Schouten
Risicomanagement
72
De vergelijking van de onderzoeksuitkomsten van dit CI-onderzoek met de uitkomsten van het NIVRA-onderzoek49 toont opmerkelijke verschillen. Stadium
O ns onderzoek
N I V R A-onderzoek
A fwij king
1
0
14%
-/- 14%
2
16%
38%
-/- 22%
3
47%
23%
+ 24%
4
21%
13%
+ 8%
5
16%
12%
+ 4%
Tabel 28: Vergelijking onderzoekspercentages
In bovenstaande tabel zijn de cijfers van het NIVRA-onderzoek overgenomen. Deze cijfers zijn van de gehele populatie van het onderzoek, waaronder dus organisaties in de publieke als private sector. Opvallend is dat geen enkele gemeente in stadium 1 zit, terwijl in het NIVRA-onderzoek 14% van de respondenten (ook niet gemeenten) daarvoor kiest. Als de percentages van het NIVRA-onderzoek toegepast zouden zijn, bevinden drie gemeenten zich in stadium 1 en vier gemeenten in stadium 2. Daarnaast valt het op dat de gemeenten zichzelf gemiddeld in een hoger stadium plaatsen dan de organisaties in het NIVRA-onderzoek.
6.2
Resultaten verdiepende interviews
Bij zes gemeenten is een verdiepend interview uitgevoerd. De enquêteresultaten vormden de basis voor de selectie van de gemeenten. Tijdens de verdiepende interviews is ingegaan op de enquêteresultaten, waarbij toelichting is gevraagd voor gegeven antwoorden, eventueel onderbouwd met documentatie. In deze paragraaf beschrijf ik de resultaten van de verdiepende interviews. 6.2.1
Beleid en organisatie
Beleid en vastlegging beleid De beantwoording van de eerste vraag van de enquête was voor mij aanleiding een gemeente te betrekken in de verdiepende interviews. Deze gemeente heeft als enige het risicomanagementbeleid niet beschreven. Het verdiepende interview heeft uitgewezen, dat deze gemeente wel aan risicomanagement doet, maar het beleid nog niet formeel heeft vastgelegd in een notitie of ander beleidsdocument. De gemeente heeft de kredietcrisis aangegrepen om het risicomanagement meer structuur en inhoud te geven. Op onderdelen is risicomanagement in de gemeente al vormgegeven.
49
NIVRA, Nyenrode, Rijksuniversiteit Groningen en PricewaterhouseCoopers (2006).
Patrick Schouten
Risicomanagement
73
9RRUGHJURQGH[SORLWDWLHLQYHQWDULVHHUWGHJHPHHQWHGHULVLFR¶VHQYRHUWeen scenarioanalyse uit. Twee keer per jaar stelt de gemeente een rapportage op over de voortgang van de JURQGH[SORLWDWLHZDDUELMRRNDDQGDFKWLVYRRUGHULVLFR¶V De gemeente heeft besloten om risicomanagement voorlopig niet vast te leggen in een beleidsstuk, maar de medewerkers eerst bewust te maken van de noodzaak van risicomanagement. In paragraaf 6.1.1.1 bleek dat er grote diversiteit is in de vastleggingen van het beleid. Bij de gemeenten waar verdiepende interviews zijn geweest is dat ook het geval. Zij blijken het beleid in meerdere documenten te hebben vastgelegd, maar slechts op onderdelen. Alle zes gemeenten vertelden dat bij de grondexploitatie sprake is van risicomanagementbeleid. Twee gemeenten, waar verdiepende interviews zijn gehouden, hebben in de enquête aangegeven dat het beleid in een raadsbesluit vastligt. Bij één gemeente zijn in dit raadsbesluit de kaders gesteld voor het beleid (conform de verwachting in paragraaf 6.1.1.1). Dit raadsbesluit is het startpunt van een gemeentebrede implementatie van risicomanagement. In dit raadsbesluit staan onder andere de volgende uitgangspunten: x
Risicomanagement is een sturingsinstrument, maar geen controle-instrument.
x
Risicomanagement vraagt om maatwerk.
x
Risicomanagement is te onderscheiden in meer beheersingsniveaus.
x
Verantwoordelijkheden zijn bij de directeuren belegd
Risicodefinitie In de definitie van risico hebben slechts twee gemeenten de relatie met de doelstellingen gelegd. Opvallend is dat drie van de vijf gemeenten (één heeft geen beleid en daarmee ook geen definitie) risico als een negatief effect voor de gemeente zien. Daarbij hebben alle drie de gemeenten tijdens de verdiepende interviews aangegeven de positieve kant (kans) te hebben overwogen. Twee gemeenten hebben uiteindelijk toch gekozen voor de negatieve benadering, de andere gemeente probeert deze positieve kant wel mee te nemen bij de inventarisatie en analyse. Ik acht het waarschijnlijk, dat de positieve kansen in de publieke sector minder van toepassing zijn dan bij een private organisatie. Daarvoor heb ik drie argumenten: x
Sturingsinstrument In tegenstelling tot de publieke sector is in de private sector winstmaximalisatie een doelstelling. Bij gemeenten is de (structureel sluitende) begroting leidend, waarbij de gemeenten de maatschappelijke doelstellingen moeten behalen op een doelmatige en rechtmatige wijze.
Patrick Schouten
Risicomanagement
74
x
Risicotolerantie In de publieke sector ligt de risicotolerantie lager, oftewel de mate van acceptatie van ULVLFR¶VLVODJHUGDQLQde private sector. Organisaties in de publieke sector voeren hun activiteiten uit met gemeenschapsgeld. Hiermee willen de organisaties minder risico lopen dan organisaties in de private sector waarbij het om eigen middelen gaat. Bij publieke organisaties is daar de extra druk dat de gemeenschap een mening gaat vormen over de activiteiten.
x
Rendement Bij publieke organisaties zal het maatschappelijk rendement hoger moeten zijn dan de JHORSHQULVLFR¶V%LMSULYDWHRUJDQLVDWLHV]DOKHWILQDQFLsOHUHQGHPHQWZLnst) van de DFWLYLWHLWKRJHUPRHWHQ]LMQGDQGHJHORSHQULVLFR¶V. Publieke organisaties willen de gestelde maatschappelijke doelen (van de begroting) halen met de daarvoor beschikbaar gestelde middelen. Het maatschappelijk rendement zal niet beter zijn als meer risico gelopen wordt.
Risicotolerantie Twee van de zes gemeenten hebben een gekwantificeerde risicotolerantie. Eén gemeente heeft de risicotolerantie alleen voor de financiering en voor het grondbedrijf gekwantificeerd. De andere gemeente heeft deze integraal gekwantificeerd, waarbij de weerstandscapaciteit de EHUHNHQGHULVLFR¶VYRRUWRWPRHWDIGHNNHQ Model voor risicomanagement Drie gemeenten gaven aan geen model voor risicomanagement te gebruiken. De geïnterviewden onderkenden dat ze hiermee het risico lopen, dat er geen duidelijke structuur is voor het risicomanagement. Eén van de gemeenten gaf aan dat de gemeente eerst integraal risicomanagementbeleid zou moeten formuleren en daarna pas een model zou moeten kiezen. De reden hiervoor is dat het nut en de noodzaak van risicomanagement in de organisatie onderkend moeten worden. Alleen als dat het geval is, is de kans van slagen voor een gekozen model om de opzet en de uitvoering te structureren groter. V erantwoordelij kheden en bevoegdheden De eindverantwoordelijkheid voor risicomanagement is bij de zes gemeenten belegd bij: x
De gemeenteraad (1x)
x
Het college van B&W (2x)
x
De gemeentesecretaris (1x)
x
De (concern)controller (2x)
In paragraaf 6.1.1.6 ben ik ingegaan op de verantwoordelijkheden van de gemeenteraad en het college van B&W. De gemeenten waar verdiepende interviews zijn gehouden waar de gemeentesecretaris of de concerncontroller eindverantwoordelijk is, hebben de vraag geïnterpreteerd als ³:LHYHUDQWZRRUGHOLMNLVYRRUGHXLWYRHULQJ´. De gemeenten onderkennen dat de gemeenteraad of het college eindverantwoordelijk is. Patrick Schouten
Risicomanagement
75
In paragraaf 6.1.1.6 heb ik aangegeven dat iedereen die betrokken is bij het bereiken van de doelstellingen van een organisatie, betrokken moet zijn bij risicomanagement. Geen van de zes gemeenten heeft alle antwoordmogelijkheden gekozen. Alle zes interpreteerden deze vraag als ³Bij wie is de uitvoering van risicomanagement belegd´. De verdiepende interviews tonen aan dat de bevoegdheden en verantwoordelijkheden niet specifiek zijn vastgelegd voor risicomanagement, maar onderdeel uitmaken van andere documenten waarin bevoegdheden en verantwoordelijkheden zijn vastgelegd. Eén gemeente geeft aan dat het vastleggen van de verantwoordelijkheden verbetering behoeft. Het nut en de noodzaak van de vastleggingen worden soms niet onderkend door de medewerkers. Hierdoor is het lastiger om medewerkers aan te spreken op de verantwoordelijkheden. Eén gemeente heeft aangegeven dat de bevoegdheden en verantwoordelijkheden voor risicomanagement vastgelegd zijn in persoonlijke managementdoelstellingen en de realisatie daarvan invloed heeft op het salaris. Het gaat voor dit onderzoek te ver om uitgebreid hierop in te gaan, maar naar mijn mening zijn hier voor- en nadelen: x
Het kan een positief effect hebben op de mate, waarin een medewerker zich inzet om de doelstellingen te behalen.
x
Het kan ertoe leiden dat de medewerker organisatiedoelstellingen ondergeschikt maakt aan zijn eigen doelstellingen.
Het koppelen van een financiële beloning aan de realisatie van doelstellingen kan bijdragen aan een groter verantwoordelijkheidsgevoel. De doelstellingen van de medewerker moeten er dan wel toe bijdragen dat de doelstellingen van de organisatie worden behaald. Beheersing van verantwoordelij kheden en bevoegdheden In de verdiepende interviews is een gemeente betrokken, die geen maatregelen heeft getroffen voor de beheersing van de verantwoordelijkheden en bevoegdheden. Daaruit blijkt dat die geen specifieke maatregelen heeft genomen voor de verantwoordelijkheden en bevoegdheden voor risicomanagement, maar wel algemeen geformuleerde maatregelen zoals een mandaatregeling. Op die manier creëert risicomanagement waarde, maakt het onderdeel uit van de bedrijfsprocessen en houdt het rekening met menselijke omstandigheden (drie principes van ISO 31000). De verdiepende interviews bevestigen dat geen van de gemeenten specifieke beheersingsmaatregelen heeft getroffen voor verantwoordelijkheden en bevoegdheden voor risicomanagement, maar dat dit algemeen getroffen maatregelen betreft, waaronder een mandaatregeling. Wel heeft één gemeente aangegeven dat bij projecten met een hoog risico (zowel financieel als niet-financieel) sprake is van specifieke beheersingsmaatregelen. 6.2.2
Risico-inventarisatie en risicoanalyse
Op basis van het BBV was de verwachting dat alle gemeenten een risico-inventarisatie en ±analyse uitvoeren. Uit de enquête bleek dat twee van de negentien gemeenten dat niet hebben gedaan. Beide zijn betrokken in de verdiepende interviews.
Patrick Schouten
Risicomanagement
76
Deze twee gemeenten hebben aangegeven dat er geen integrale risico-inventarisatie en ±analyse is uitgevoerd, maar wel op onderdelen, waarbij in de ene gemeente een structuur ontbreekt voor de inventarisatie. Opvallend is dat geen van de gemeenten waar verdiepende interviews zijn gehouden de YROOHGLJKHLGYDQGHULVLFR¶VLQGHSDUDJUDDIWeerstandsvermogen durft te garanderen. Eén JHPHHQWHYHUWHOGH]HOIV]HNHUWHZHWHQGDWGHYHUPHOGHULVLFR¶VQLHWYROOHGLJ]LMQ Desgevraagd bleek het om een paar belangrijke, politiek geYRHOLJHSURMHFW ULVLFR¶VWHJDDQ Alhoewel de paragraaf WHHUVWDQGVYHUPRJHQQLHWDOOHULVLFR¶VEHKRHIWWHEHYDWWHQPRHWHQ GDDULQZHODOOHEHODQJULMNHULVLFR¶VZRUGHQEHQRHPGRRNLQGLWJHYDO Eén gemeente doet de risico-inventarisatie en ±analyse top-down en drie doen dat bottom-up. Op basis van de verdiepende interviews concludeer ik dat de risico-inventarisatie en ±analyse ongestructureerd plaatsvindt, waardoor niet duidelijk is of er sprake is van top-down of bottom-up. Bij slechts één gemeente is sprake van een duidelijke benadering, maar de gemeente zelf noemt die bottom-up, terwijl ik die beschouw als top-down. Daar fungeert de afdeling Financiën als coördinator. Die geeft alle afdelingshoofden en projectleiders de opdracht om in een model aan WHJHYHQZHONHULVLFR¶V]LMRQGHUNHQQHQinclusief de kans en de impact. De JHPHHQWHJHHIWDDQEHZXVWJHHQJUHQVEHGUDJYRRUGHULVLFR¶VWHQRHPHQ'HDIGHOLQJ )LQDQFLsQDQDO\VHHUWDOOHJHPHOGHULVLFR¶VHQUDSSRUWHHUWDDQKHWFROOHJHYDQ% W welke ULVLFR¶VLQGHSDUDJUDDIWeerstandsvermogen opgenomen moeten worden. Het college van % :EHVOXLWZHONHULVLFR¶VLQGHSDUDJUDDIWeerstandsvermogen komen. De DIGHOLQJVRYHUVWLMJHQGHULVLFR¶VLQYHQWDULVHHUWHQDQDO\VHHUWGHDIGHOLQJ)LQDQFLsQVDPHQPHt de afdelingshoofden en projectleiders. 6.2.3
Beheersingsmaatregelen
Het verschilt per gemeente wie betrokken is bij de formulering van de beheersingsmaatregelen. Positief is wat mij betreft, dat alle gemeenten tijdens de verdiepende interviews beaamden dat iedereen in de organisatie het nut en de noodzaak van beheersingsmaatregelen moet onderkennen. Het ontbreken daarvan vergroot de kans op het disfunctioneren van deze maatregelen aanzienlijk. Daarom betrekken de gemeenten iedereen bij de formulering daarvan, zoals beschreven in paragraaf 6.1.3. Eén gemeente meldde dat een veelheid aan beheersingsmaatregelen is genomen, afhankelijk van het risico. Een andere gemeente vertelde dat de beheersingsmaatregelen zich vooral richten op de projecten. De verdiepende interviews hebben voor mij duidelijk gemaakt dat geen enkele gemeente specifieke beheersingsmaatregelen heeft getroffen voor risicomanagement.
Patrick Schouten
Risicomanagement
77
6.2.4
Monitoring en rapportage
'HZLM]HZDDURSJHPHHQWHQGHULVLFR¶VEHKHHUVHQHQPRQLWRUHQYHUVFKLOWenorm. Twee gemeenten hebben in de enquête aangegeven gebruik te maken van rapportages van uitgevoerde verbijzonderde interne controles. Tijdens het interview bleek dat er geen sprake is van verbijzonderde interne controles voor risicomanagement, maar van algemene verbijzonderde interne controles, waarvan risicomanagement een onderdeel is. Eén gemeente maakt gebruik van een rapportage top 10. ,QGH]HUDSSRUWDJHZRUGHQGHEHODQJULMNVWHULVLFR¶VJHQRHPGGHEHKHHUVLQJVPDDWUHJHOHQ en de voortgang van de ULVLFR¶V'LHJHPHHQWHKHHIWJHNR]HQYRRUHHQWRSDOVHHUVWHVWDS voor de professionalisering van het risicomanagement. Alhoewel de afdelingshoofden alleen ILQDQFLsOHULVLFR¶VUDSSRUWHUHQLVGLHJHPHHQWH]LFKHUYDQEHZXVWGDWRRNQLHW-financiële risico¶VUHOHYDQWzijn. Eén gemeente maakt gebruik van afzonderlijke rapportages over de uitvoering van het risicomanagement. Bij de vijf andere gemeenten in de verdiepende interviews is geen sprake van een afzonderlijke rapportage over de uitvoering van het risicomanagement. Eén gemeente gaf als reden het ontbreken van een gestructureerd risicomanagementbeleid. Alle gemeenten rapporteren wel over het risicomanagementbeleid in verschillende documenten (begroting, jaarstukken, tussentijdse rapportages en voortgangsrapporten over projecten). Voor zover sprake is van rapportages over het risicomanagement bespreken de gemeenten deze in verschillende organen. In één gemeente bespreekt de raad het risicomanagement naar aanleiding van opmerkingen in het accountantsrapport. ,QGHUDSSRUWHQRYHUULVLFR¶VHQULVLFRPDQDJHPHQWOLJWGHIRFXVRSGHILQDQFLsOHULVLFR¶V zoals ook bleek in paragraaf 6.1.4. Eén gemeente heeft de strategische en operationele ULVLFR¶VQRJRQYROGRHQGHLQEHHOGals gevolg van het ontbreken van een gestructureerd en integraal risicomanagementbeleid. 6.2.5
W eerstandsvermogen
De verdiepende interviews hebben ten aanzien van de plaats van en de verantwoordelijkheid voor de paragraaf Weerstandsvermogen geen andere inzichten opgeleverd dan zijn beschreven in paragraaf 6.3.1.5. Voor wat betreft de weerstandscapaciteit maken de gemeenten een onderscheid tussen beschikbare weerstandscapaciteit en benodigde weerstandscapaciteit. De benodigde weerstandscapaciteit bepalen alle JHPHHQWHQGRRUHHQDQDO\VHYDQGHULVLFR¶VZDDUELMGH NDQVHQGHLPSDFWYDQGHULVLFR¶VEHSDOHQGHIDFWRUHQ]LMQ De beschikbare weerstandscapaciteit bestaat voor de gemeenten uit een aantal specifieke reserves. In paragraaf 6.3 ga ik nader hierop in.
Patrick Schouten
Risicomanagement
78
6.2.6 Stellingen Tijdens de verdiepende interviews hebben alle gemeenten hun stellingname gemotiveerd. De algemene analyse hiervan is opgenomen in paragraaf 6.1.6. Ik behandel hier de gemeenten die een afwijkende stellingname hebben ten opzichte van het gemiddelde en de bijzonderheden. Risicomanagement lij kt bij veel gemeenten onderbelicht Eén gemeente verwerpt deze stelling, met het argument: Er is veel aandacht voor, maar tussen de aandacht en het doen zit een wereld van verschil. Er zou dus veel meer aan gedaan moeten worden. Twee andere gemeenten zeiden onvoldoende inzicht te hebben in de situatie bij andere gemeenten. Risicomanagement is bij uw gemeente goed ingevoerd en wer kt effectief Eén gemeente is het helemaal eens met deze stelling. Hierbij is een directe relatie te leggen met het rapportcijfer 8, dat deze gemeente zichzelf toekent voor het risicomanagement. Deze JHPHHQWHJHHIWDDQGDWGLWJHHQJDUDQWLHLVGDWULVLFR¶V]LFKQLHWPHHr voordoen, maar wel dat het aantal tegenvallers en de financiële impact fors verminderd zijn. De vijf andere gemeenten vinden dat het risicomanagement bij hun gemeente nog niet goed is ingevoerd. Zij noemen als belangrijke tekortkomingen: x
Integraal risicomanagement ontbreekt. Op onderdelen is er risicomanagement, maar niet organisatiebreed.
x
Onvoldoende structuur in het risicomanagement. De organisatieonderdelen die risicomanagement uitvoeren, doen dat veelal op een eigen manier, want een gemeentekader ontbreekt.
Alle gemeenten zeggen dat de grootste zorg zit in de bewustwording. Risicomanagement is een proces dat tussen de oren moet zitten in plaats van een kunstje moet worden aan de hand van uitgebreide checklisten. De gemeente met het rapportcijfer 8 heeft aangegeven dat eerst de bewustwording is gecreëerd, alvorens over te gaan tot de implementatie en uitvoering van risicomanagementinstrumenten. Risicomanagement is een taak van de afdeling F inanciën Eén van de gemeenten, waar een verdiepend interview is geweest, is het enigszins eens met de stelling. Deze gemeente bleek de coördinatie van de paragraaf Weerstandsvermogen bij de afdeling financiën te hebben belegd, waarbij de afdeling Financiën zorg draagt voor de YHU]DPHOLQJYDQDOOHULVLFR¶VYDQXLWGHRUganisatie (zie ook paragraaf 6.2.2). Naast die coördinerende taak heeft de afdeling Financiën een rol bij de analyse van de aangeleverde ULVLFR¶VHQGHDIGHOLQJVRYHUVWLMJHQGHULVLFR¶V'HJHPHHQWHYLQGWGXVeigenlijk dat de verantwoordelijkheid voor de informatieverzameling bij de afdeling financiën ligt, maar dat iedereen in de organisatie verantwoordelijk is voor risicomanagement.
Patrick Schouten
Risicomanagement
79
Goed risicomanagement is alleen mogelij k bij grote gemeenten (100.000+) De gemeenten in de verdiepende interviews zijn te verdelen in drie groepen: 1. Gemeenten die het oneens zijn (drie keer). 2. Gemeenten die het eens zijn (één keer) 3. Gemeenten zonder voorkeur (twee keer). Voorstanders noemden als argumenten: x
Voor goed risicomanagement is hoger opgeleid personeel nodig; grote gemeenten zijn beter in staat hoger opgeleiden aan zich te binden dan kleinere gemeenten.
x
Grote gemeenten zijn over het algemeen complexer dan kleine(re) gemeenten. Kleine(re) gemeenten zijn overzichtelijker wat risicomanagement eenvoudiger maakt.
Tegenstanders gaven als motivatie: x
Risicomanagement is niets meer en niets minder dan je boerenverstand gebruiken!
x
Risicomanagement is een reguliere taak van iedereen, die bij een gemeente werkt; daarbij is er geen onderscheid tussen grote en kleine gemeenten.
De accountantscontrole heeft geen invloed op het risicomanagement van uw gemeente De gemeenten geven allemaal aan dat de accountantscontrole invloed heeft, namelijk omdat in de rapportages aandacht gevraagd wordt voor risicomanagement. De gemeenten zeggen dat de accountant invloed heeft op het risicomanagement door zijn opmerkingen in het rapport van bevindingen over (tekortkomingen in de opzet c.q. de werking van) de beheersingsmaatregelen. De gemeenten onderkennen dat die opmerkingen niet specifiek voor KHWULVLFRPDQDJHPHQW]LMQPDDUGDWGHPDDWUHJHOHQZHOJHWURIIHQ]LMQRPULVLFR¶VWH beheersen. Bij uw gemeente zijn de baten van risicomanagement hoger dan de kosten Alle gemeenten vonden deze stelling lastig te beantwoorden, omdat de baten van risicomanagement moeilijk te bepalen zijn. Logischerwijs geven ze aan dat dit alleen goed mogelijk is, als er een incident optreedt en de getroffen beheersingsmaatregelen de schade beperken.
6.3
Resultaten analyse jaarstuk ken
6.3.1
A lgemeen
Slechts zes gemeenten geven in de paragraaf Weerstandsvermogen een definitie van risico. Alle gemeenten vermelden in de paragraaf Weerstandsvermogen GDWDOOHHQGHULVLFR¶V]LMQ opgenomen, die niet zijn gedekt (door bijvoorbeeld voorzieningen of verzekeringen).
Patrick Schouten
Risicomanagement
80
Volgens het BBV is het weerstandsvermogen een relatie tussen enerzijds de geïdentificeerde ULVLFR¶Vwaarvoor geen maatregelen zijn getroffen en die van materiële betekenis kunnen zijn voor de financiële positie en anderzijds de middelen en mogelijkheden waarover een gemeente beschikt of kan beschikken om niet begrote kosten te dekken (zie paragraaf 2.3). Achttien van de vijfentwintig gemeenten maken deze relatie zichtbaar in de paragraaf. In drie gevallen betreft dit een mededeling zonder dat deze relatie uit de paragraaf is te herleiden. Ik vind, dat alle gemeenten moeten aangeven in hoeverre hun weerstandsvermogen voldoet aan de in het beleid gestelde normen. Nu blijkt bij zeven gemeenten niet duidelijk uit de paragraaf Weerstandsvermogen of zij voldoen aan het beleid en voldoende weerstandscapaciteit hebben in relatie tot de geïdentificeerde ULVLFR¶V 6.3.2
W eerstandscapaciteit
Zoals aangegeven in paragraaf 2.3 ontbreken in het BBV en de Nota van toelichting op het BBV voorschriften voor de weerstandscapaciteit. In de nota staan een aantal componenten, die tot de weerstandscapaciteit gerekend kunnen worden, maar gemeenten moeten zelf beleid formuleren, onder andere voor de samenstelling van de weerstandscapaciteit. De genoemde componenten zijn: 1. Algemene reserves (vrij aanwendbaar) 2. Post onvoorzien 3. Begrotingsruimte 4. Stille reserves 5. Onbenutte belastingcapaciteit 6. Kostenreductie (bezuinigingen). Alle gemeenten gebruiken (een deel van) de algemene reserves bij de bepaling van de weerstandscapaciteit. De post onvoorzien en de onbenutte belastingcapaciteit zijn bij respectievelijk tien en twaalf gemeenten opgenomen in de weerstandscapaciteit, maar ze zijn QLHWJHNZDQWLILFHHUGRIRS¼JHVWHOG Begrotingsruimte is bij vijf gemeenten genoemd als onderdeel van de weerstandscapaciteit, maar bij geen enkele gemeente heeft dit geleid tot een kwantificering. Opvallend is dat slechts drie van de vijfentwintig gemeenten bezuinigingen noemen. De stille reserves zijn door elf gemeenten in de weerstandsparagraaf meegenomen. x
In vier gevallen zijn deze stille reserves niet gekwantificeerd opgenomen in de opstelling van de weerstandscapaciteit.
x
In vier gevallen is een bewuste keuze gemaakt om deze post geen onderdeel van de weerstandscapaciteit te laten zijn. De hiervoor gegeven reden is dat de stille reserves pas liquiditeiten opleveren als de onderliggende activa verkocht worden. Deze gemeenten achten zo een verkoop ongewenst, omdat dit ten koste zou gaan van het huidige beleid.
Patrick Schouten
Risicomanagement
81
x
In drie gevallen zijn de stille reserves gekwantificeerd. De kwantificering heeft in één geval geleid tot een bedrag. Deze gemeente berekent de stille reserves als volgt: Marktwaardes -/- boekwaardes = stille reserves. De marktwaarde is 80% van de WOZ-waarde van de onroerende zaken. Daarnaast heeft deze gemeente aandelen, die stille reserves bevatten. De gemeente heeft deze niet in de weerstandscapaciteit opgenomen, omdat de jaarlijkse winstuitkeringen zijn meegenomen in de begroting als inkomstenpost. Dit laatste argument is wat mij betreft discutabel. De gemeente kan de aandelen op elk moment verkopen waarmee de stille reserves gerealiseerd zijn.
Elf van de vijfentwintig gemeenten hebben een minimumomvang voor de weerstandscapaciteit bepaald: x
Minimumbedrag per inwoner
x
Minimumbedrag (op basis van jaarlijkse evaluatie)
x
Minimum YDQGHJHNZDQWLILFHHUGHULVLFR¶V.
De weerstandscapaciteit bestaat uit: 1. Structurele weerstandscapaciteit 2. Incidentele weerstandscapaciteit. Slechts zeven van de vijfentwintig gemeenten maken dit onderscheid in de jaarstukken. Het bovenstaande illustreert dat het ontbreken van een wettelijke richtlijn ertoe heeft geleid, dat gemeenten de opbouw van de weerstandscapaciteit op verschillende manieren invullen. Dit verhindert een zinvolle onderlinge vergelijking. In mijn aanbevelingen zal ik hiervoor een mogelijke oplossing voorstellen. 6.3.3 5LVLFR¶V Uit de enquêteresultaten concludeer ik dat gemeenten de inventarisatie op veel verschillende manieren uitvoeren. De analyse van de jaarrekeningen bevestigt dit beeld. Deze constatering is begrijpelijk, omdat de wet- en regelgeving geen duidelijke voorschriften geeft, maar het maakt de onderlinge vergelijkbaarheid van gemeenten lastig. Bij eenentwintig van de vijfentwintig gemeenten ontbreekt in de paragraaf Weerstandsvermogen hoe de inventarisatie is uitgevoerd. In drie gevallen is wel aangeven dat de inventarisatie is uitgevoerd conform het geformuleerde beleid. 'HJHPHHQWHQSUHVHQWHUHQGHULVLFR¶V op de volgende manieren: x
Top 10.
x
$OOHHQDDQWDOOHQZDDUELMGHJHPHHQWHDDQJHHIWKRHYHHOULVLFR¶VUHVWHUHQQá de DQDO\VHGH]HULVLFR¶VEHWUHNWGHJHPHHQWHLQGHEHRRUGHOLQJYDQKHW weerstandsvermogen).
Patrick Schouten
Risicomanagement
82
x
In een matrix (met kans en impact).
x
Uitgebreide beschrijvingen.
Opvallend is dat in de paragraaf WHHUVWDQGVYHUPRJHQGHILQDQFLsOHULVLFR¶V]LMQRSJHQRPHQ In de beantwoording van de enquête geven gemeenten aan ook aandacht te besteden aan de VWUDWHJLVFKHHQRSHUDWLRQHOHULVLFR¶V8LWGHDQDO\VHYDQGHMDDUstukken blijkt dit niet. Evenals bij de weerstandscapaciteit is volgens mij de richtlijn (artikel 11 lid 2b BBV) te DOJHPHHQJHIRUPXOHHUG(ULVJHHQGXLGHOLMNHULFKWOLMQGLHRPVFKULMIWKRHGHULVLFR¶V verantwoord moeten worden in de paragraaf en hoe de inventarisatie moet plaatsvinden. In de aanbevelingen zal ik hierop terugkomen. 6.3.4
Beleid
$UWLNHOOLGFZHNWGHLQGUXNGDWKHWEHOHLGRPWUHQWGHZHHUVWDQGVFDSDFLWHLWHQULVLFR¶V integraal in de paragraaf Weerstandsvermogen opgenomen moet worden. Als dit de bedoeling is geweest van het BBV, dan is mijn conclusie dat geen enkele van de vijfentwintig gemeenten daaraan voldoet! In vijftien van de vijfentwintig JHYDOOHQYHUZLM]HQ]HQDDUGHEHWUHIIHQGHQRWD¶VQotities of zijn slechts enkele aspecten van het beleid beschreven. Deze aspecten hebben betrekking op: x
de norm voor het weerstandsvermogen;
x
de wijze van inventariseren;
x
de onderdelen van het weerstandsvermogen;
x
de s\VWHPDWLHNYRRUNZDQWLILFHUHQYDQULVLFR¶s.
Deze aspecten zijn voornamelijk gericht op het weerstandsvermogen. Ik ben van mening dat in de paragraaf WHHUVWDQGVYHUPRJHQPHHUEHVFKUHYHQPRHWZRUGHQGDQDOOHHQGHULVLFR¶VHQ GHZHHUVWDQGVFDSDFLWHLW5LVLFRPDQDJHPHQWRPYDWPHHUGDQGHULVLFR¶VHQGHILQDQFLsOH EXIIHURPGHHYHQWXHOHILQDQFLsOHJHYROJHQYDQGHULVLFR¶VRSWHYDQJHQ,Qparagraaf 8.3 zal ik aanbevelingen doen.
Patrick Schouten
Risicomanagement
83
7
O nderzoeksvragen en stellingen
7.1
Inleiding
In dit hoofdstuk beantwoord ik de in paragraaf 1.4 geformuleerde onderzoeksvragen aan de hand van de resultaten uit de enquête, de verdiepende interviews, de analyse van de jaarstukken en de deskundigeninterviews. In paragraaf 1.4 heb ik de volgende onderzoeksvragen geformuleerd: 1. Is er theorie over risicomanagement voor organisaties in de publieke sector? 2. Wat zijn de bijzondere aspecten verbonden aan risicomanagement bij 100.000+ gemeenten? 3. Hoe tevreden zijn de gemeenten over het risicomanagement? 4. Welk model hanteren 100.000+ gemeenten voor risicomanagement? 5. ,VULVLFRPDQDJHPHQWELMJHPHHQWHQDOOHHQJHULFKWRSILQDQFLsOHULVLFR¶V" 6. Is goed risicomanagement alleen mogelijk bij grote gemeenten (100.000+)? 7. Doen 100.000+ gemeenten met een slechte financiële positie meer aan risicomanagement dan gemeenten met een goede financiële positie? 8. Zijn de baten van risicomanagement hoger dan de lasten?
7.2.
O nderzoeksvraag 1
Is er theorie over risicom anagement voor organisaties in de publieke sector? In hoofdstuk 3 is het theoretische kader geschetst voor openbaar bestuur en risicomanagement. Allereerst is openbaar bestuur beschreven, waarbij aandacht is besteed aan de elementen van bestuur. Ik heb daarbij de relatie gelegd tussen de elementen van bestuur, zoals Starreveld deze noemt en de elementen in de handleiding openbaar bestuur van het ministerie van Financiën50. Vervolgens heb ik aandacht besteed aan de volgende vijf modellen voor risicomanagement: 1. COSO Enterprise Risk Management Framework (COSO ERM) 2. ISO 31000 3. INTOSAI51 4. Beheersingsmodel van risicomanagement (van Louwman en Steens) 5. Australia Framework.
50
51
0LQLVWHULHYDQ)LQDQFLsQ ³+DQGOHLGLQJ*RYHUQPHQWJRYHUQDQFHHHQLQVWUXPHQWWHUWRHWVLQJYDQJRYHUQDQFHELMGH Rijksoverheid, 5 januari, p. 13. INTOSAI Internal Control Standard Committee, 2004, The Guidelines for Internal Control Standards for the Public Sector.
Patrick Schouten
Risicomanagement
84
De modellen onder 1 en 2 zijn algemene modellen, die toepasbaar zijn voor alle sectoren. De modellen 3 tot en met 5 zijn specifiek ontwikkeld voor de publieke sector. Ik heb de modellen beschreven en daarbij overeenkomsten en verschillen onderkend. De belangrijkste overeenkomst is dat deze modellen een algemeen raamwerk/stappenplan bevatten. Ze verschillen wat betreft de focus op de verschillende onderdelen van risicomanagement (o.a. ISO omvat méér dan ³het proces´!). Het antwoord op de onderzoeksvraag is bevestigend, er is theorie over risicomanagement in de publieke sector.
7.3
O nderzoeksvraag 2
Wat zijn de bijzondere aspecten verbonden aan risicomanagement bij 100.000+ gemeenten? De modellen voor risicomanagement vertonen verschillen. Voor de publieke sector zijn specifieke aspecten te onderkennen. In INTOSAI en het Framework Australia staan onder andere de volgende specifieke elementen voor de publieke sector: a. 'HSROLWLHNHHQVRFLDOHGRHOVWHOOLQJHQHQGDDUDDQJHUHODWHHUGHULVLFR¶V b. De behoefte aan publieke verantwoording en transparantie c. Het gebruik van publieke gelden d. De voorname rol van de budgetcyclus. Daarnaast zijn in hoofdstuk 2 de volgende specifieke kenmerken naar voren gekomen: x
Cultuur
x
Maatschappelijke verantwoordelijkheid.
Deze specifieke elementen vormen het verschil tussen de publieke en de private sector, waarmee gemeenten bij de inrichting en uitvoering van risicomanagement rekening moeten houden.
7.4
O nderzoeksvraag 3
Hoe tevreden zijn de gemeenten over het risicomanagement? Bij deze vraag is de focus voornamelijk gelegd op de opzet en werking van het risicomanagement. Daarbij zijn de opzet en werking niet getoetst, maar de gemeenten gevraagd naar hun ervaringen.
Patrick Schouten
Risicomanagement
85
Het gaat bij de opzet om de inrichting van het risicomanagement. Daarbij zijn de volgende onderdelen te onderscheiden: x
Bevoegdheden en verantwoordelijkheden
x
Beheersing van de bevoegdheden en verantwoordelijkheden
x
Monitoring en rapportage.
Deze onderdelen spelen een belangrijke rol in het beleid. Daarin formuleert de gemeenteraad de kaders en het college de verdere invulling voor de uitvoering. De resultaten van de enquête en de verdiepende interviews hebben aangetoond, dat het beleid voor risicomanagement in verschillende documenten is vastgelegd. Daaruit is ook gebleken, dat het beleid voor risicomanagement vaak versnipperd vastligt. De bevoegdheden en verantwoordelijkheden voor risicomanagement zijn bij gemeenten niet afzonderlijk vastgelegd. Wel is de verdeling van gemeentelijke bevoegdheden en verantwoordelijkheden in diverse documenten vastgelegd, waarin onder andere ook de bevoegdheden en verantwoordelijkheden voor risicomanagement zijn opgenomen. Daarbij valt onder meer te denken aan een mandaatregeling, een organisatieverordening en, meer specifiek, richtlijnen en procedures voor projectbeheersing. Bij de beheersing van de bevoegdheden en verantwoordelijkheden is sprake van een diversiteit aan beheersingsmaatregelen. Deze beheersingmaatregelen zijn versnipperd vastgelegd in verschillende documenten. De getroffen beheersingsmaatregelen zijn algemeen, dus niet specifiek gericht op de bevoegdheden en verantwoordelijkheden voor risicomanagement. Het is weinig verbazingwekkend dat ook bij de monitoring en rapportage sprake is van versnippering. De monitoring van de beheersingsmaatregelen is onderdeel van de algemeen geformuleerde beheersingsmaatregelen, die dus niet specifiek op risicomanagement zijn gericht. Dit geldt ook voor de rapportages. Specifieke rapportages over risicomanagement zijn er nauwelijks. Het onderzoek naar risicomanagement bij 100.000+ gemeenten heeft het volgende aangetoond: x
de opzet van het risicomanagement is vaak versnipperd in de organisatie vastgelegd, wat integraal risicomanagement bemoeilijkt;
x
de opzet van risicomanagement is vaak niet duidelijk gestructureerd. Reden hiervoor zijn de versnippering van risicomanagement in de organisatie, zowel in de wijze van uitvoering als de opzet van het risicomanagement.
Veertien gemeenten hebben aangegeven een model van risicomanagement te gebruiken. Toch zijn de conclusies dat sprake is van versnippering en het ontbreken van integraal risicomanagement. Juist een model zou deze onderdelen moeten kunnen ondervangen.
Patrick Schouten
Risicomanagement
86
Gemeenten lijken de modellen niet goed te hanteren. Risicomanagement is een complex proces, waarbij veel facetten een rol spelen. Een goed model kan structuur aan de opzet van risicomanagement geven. In mijn aanbevelingen kom ik hierop terug. De enquête en de verdiepende interviews hebben mij inzicht gegeven in de werking van risicomanagement bij gemeenten. De bevindingen over de opzet van het risicomanagement geven al een indicatie voor de beantwoording van deze onderzoeksvraag. Gemeenten doen aan risicomanagement, maar door het ontbreken van een goede opzet (gestructureerd, integraal proces van risicomanagement), is er sprake van een versnipperde en ongestructureerde uitvoering. Het onderzoek heeft aangetoond dat bij gemeenten een aantal afdelingen aan risicomanagement doen. De grondexploitatie is een proces/activiteit waarin/bij gemeenten veel aandacht besteden aan de risico¶V$OOHJHPHHQWHQwaarbij verdiepende interviews zijn gedaan, doen daarvoor aan risicomanagement. De wijze waarop de uitvoering plaatsvindt, verschilt per gemeente. Evenals bij de opzet heb ik geconstateerd dat bij 100.000+ gemeenten:
7.5
x
de werking van risicomanagement versnipperd is;
x
de werking van risicomanagement niet gestructureerd is.
O nderzoeksvraag 4
Welk model hanteren 100.000+ gemeenten voor het risicomanagement? In paragraaf 6.1.1.5 ben ik ingegaan op de modellen die 100.000+ gemeenten hanteren voor risicomanagement. Veertien van de negentien gemeenten hanteren een model, meestal NARIS of een zelf ontwikkelde model. Eén gemeente heeft tijdens de verdiepende interviews aangegeven te overwegen ISO 31000 als model voor risicomanagement te gaan gebruiken. Deze uitkomsten zijn verrassend, omdat de verwachting was dat de gemeenten vooral de modellen van COSO en INK/EFQM zouden gebruiken. Tijdens de verdiepende interviews bij zes gemeenten bleek dat zij een eigen model of NARIS gebruiken, omdat die meer handvatten geven voor de opzet en uitvoering van risicomanagement dan COSO en INK/EFQM. Daarnaast is in deze modellen ruimte voor de specifieke elementen van gemeenten.
7.6
O nderzoeksvraag 5
Is risicomanagement bij 100.000+ gemeenten alleen gericht op ILQDQFLsOHULVLFR¶V?
Patrick Schouten
Risicomanagement
87
In paragraaf 6.1.6 gaf ik aan dat er gerede twijfel was over de bevestiging van mijn verwachting dat gemeenten risicomanagement voornamelijk financieel benaderen. Deze twijfel werd veroorzaakt doordat gemeenten in de rapportages over risicomanagement naast GHILQDQFLsOHULVLFR¶VDOOHJHPHHQWHQ RRNUDSSRUWHUHQRYHUVWUDWHJLVFKHULVLFR¶VHQ RSHUDWLRQHOHULVLFR¶VLQEHLGHJHYDOOHQJHPHHQWHQ 7LMGHQVGHverdiepende interviews is dat door de betrokken gemeenten bevestigd. Overigens vertelde één gemeente dat de VWUDWHJLVFKHHQRSHUDWLRQHOHULVLFR¶VQRJRQYROGRHQGHLQEHHOG]LMQGRRUKHWRQWEUHNHQYDQ een integraal en gestructureerd risicomanagementsysteem. Uit de analyse van de jaarstukken (paragraaf 6.3) blijkt dat de daarin genoePGHULVLFR¶V DOOHPDDOILQDQFLsOHULVLFR¶V]LMQ 'HUHGHQHQZDDURPJHPHHQWHQJHHQVWUDWHJLVFKHHQRIRSHUDWLRQHOHULVLFR¶VRSQHPHQLQGH paragraaf Weerstandsvermogen kunnen zijn: x
GHPHHQWHQKHEEHQGLHULVLFR¶VLQJHVFKDWHQKHWQLHWQRRG]DNHOLMNJHDFKWGH]Hin de paragraaf Weerstandsvermogen op te nemen, omdat: o GH]HULVLFR¶VELQQHQGHULVLFRWROHUDQWLHYDOOHQ; o GHRPYDQJYDQGH]HULVLFR¶VQDDUYHUZDFKWLQJQLHWYDQPDWHULsOHEHWHNHQLV]LMQ.
x
De kwaliteit van het risicomanagementsysteem leidt niet anders dan tot financiële ULVLFR¶V.
x
Politieke redenen.
x
([SOLFLHWHUHGHQHQRPULVLFR¶VQLHWWHEHQRHPHQELMYRRUEHHOGLQJHYDOYDQFODLPV
Uit de analyse van de jaarstukken blijken alleen financiële ULVLFR¶V'DDUHQWHJHQKHEEHQ de enquête en de verdiepende interviews aangetoond dat het risicomanagement zich ook op andersoortige ULVLFR¶VULFKWHiermee kan de onderzoeksvraag negatief beantwoord worden.
7.7
O nderzoeksvraag 6
Is goed risicomanagement alleen mogelijk bij grote gemeenten (100.000+) In ISO 31000 is in principe 3b aangegeven dat risicomanagement een integraal onderdeel is van alle organisatieprocessen. In principe 3 is aangegeven dat risicomanagement systematisch, gestructureerd en tijdig is. Deze onderzoeksvraag is als stelling is in de enquête opgenomen. De resultaten zijn beschreven in paragraaf 6.1.6. In paragraaf 6.2.6 staan de toelichtingen tijdens de verdiepende interviews. De uitkomsten van de enquête leiden tot verwerping van deze stelling, want ruim 79% is het hiermee oneens. Mijn verwachting is hiermee uitgekomen dat de gemeenten de stelling zouden verwerpen en daarmee de onderzoeksvraag ontkennend antwoorden. Ik vind dat goed risicomanagement niet alleen bij grote gemeenten mogelijk is. De kwaliteit van risicomanagement is niet afhankelijk van de omvang van een organisatie, maar van de wijze waarop de medewerkers met risicomanagement omgaan.
Patrick Schouten
Risicomanagement
88
De uitvoering van risicomanagement is een verantwoordelijkheid van iedereen die betrokken is bij het bereiken van de doelstellingen. Om die te bereiken, zal iedereen aan risicomanagement moeten doen. Elke gemeentelijke organisatie heeft doelstellingen, waarbij het voor de realisatie van deze doelstellingen noodzakelijk is om risicomanagement uit te voeren (zie ook paragraaf 3.5), ongeacht de omvang.
7.8
O nderzoeksvraag 7
Doen 100.000+ gemeenten met een slechte financiële positie meer aan risicomanagement dan 100.000+ gemeenten met een goede financiële positie? In dit onderzoek is voor de definitie van slechte financiële positie gekozen voor de verhouding van het eigen vermogen ten opzichte van het totale vermogen. Het eigen vermogen speelt een belangrijke rol bij de bepaling van het weerstandsvermogen. $QGHUHUDWLR¶V]RDOVUHQWDELOLWHLWHQOLTXLGLWHLW ]LMQEXLWHQEHVFKRXZLQJgelaten bij de toetsing van deze stelling. Op basis van de jaarstukken 2008 zijn de gemeenten onderverdeeld in categorieën. Voor elke gemeente is het eigen vermogen gedeeld door het totale vermogen. Daarbij zijn tien categorieën onderscheiden. In de onderstaande tabel is per categorie het aantallen gemeenten vermeld. C ategorie 10 9 8
E igen vermogen ten opzichte van totaal vermogen 90%-100% 80%-90% 70%-80%
A antal gemeenten in categorie 0 0 1
7
60%-70%
0
6
50%-60%
0
5
40%-50%
5
4
30% - 40%
1
3
20% - 30%
7
2
10% -20%
5
1
0% - 10%
0
Totaal
19
Tabel 29: Vermogenspositie gemeenten
Patrick Schouten
Risicomanagement
89
Voor de beantwoording van deze onderzoeksvraag heb ik een koppeling gemaakt met de rapportcijfers die gemeenten zichzelf hebben gegeven voor hun risicomanagement. In onderstaande tabel zijn de rapportcijfers gekoppeld aan de categorieën, zoals die in bovenstaande tabel zijn weergegeven. Categorie
Rapportcijfer
8 5 5 5 5 5 4 3 3 3 3 3 3 3 2 2 2 2 2
6 6 6 6 6 6 7 7 7 7 6 6 5 5 8 7 6 6 6
Tabel 30: Vergelijking vermogenspositie en rapportcijfer voor risicomanagement
Deze koppeling laat een grote spreiding zien. Op basis van bovenstaande analyse moet ik deze onderzoeksvraag negatief beantwoorden vanwege de volgende redenen: x
De gemeente met het hoogste rapportcijfer 8 heeft een slechte financiële positie.
x
De gemeenten met rapportcijfer 7 hebben een slechtere financiële positie dan ruim de helft van de gemeenten met rapportcijfer 6.
x
De gemeenten met rapportcijfer 7 hebben een financiële positie die gelijkwaardig is aan die van de gemeenten met rapportcijfer 5.
x
Ruim de helft van de gemeenten met rapportcijfer 6 vormt de groep met de beste financiële positie.
x
Bij de gemeenten met een rapportcijfer 6 zijn er grote verschillen in de financiële positie. Die varieert van categorie 2 tot categorie 8!
x
De twee gemeenten met rapportcijfer 5 hebben een betere financiële positie dan de gemeente met rapportcijfer 8.
Patrick Schouten
Risicomanagement
90
Uit de vorenstaande tabel lijkt er geen causale relatie te zijn tussen de financiële positie van een gemeente en het cijfer dat zij zichzelf geven voor de kwaliteit van het risicomanagement. In bovenstaande analyse zijn de rapportcijfers opgenomen die gemeenten zichzelf hebben gegeven voor hun risicomanagement. Voor gemeenten waar verdiepende interviews zijn gehouden, heb ik op basis van de beschikbare informatie (enquête, verdiepende interviews en jaarstukken) een rapportcijfer berekend voor het risicomanagement aan de hand van de volgende vragen: x
Is er sprake van integraal risicomanagement?
x
Is het risicomanagement gestructureerd?
x
Is er sprake van een (gekwantificeerde) risicotolerantie?
x
Is de (op basis van artikel 11 BBV) vereiste informatie opgenomen in de paragraaf Weerstandsvermogen?
Dit heeft geleid tot het volgende resultaat: Gemeente
H un rapportcijfer
M ijn rapportcijfer
1
8
8
2
6
5
3
6
4
4
6
4
5
6
4
6
5
5
Tabel 31: Vergelijking rapportcijfers vermogenspositie volgens gemeente respectievelijk onderzoeker
Mijn rapportcijfers wijken vrijwel allemaal af van het rapportcijfer dat elke gemeente zichzelf heeft gegeven. De belangrijkste oorzaken voor deze afwijkingen zijn: x
Ontbreken van integraal risicomanagement.
x
Ontbreken van structuur in het beleid.
x
Beperkte informatieve waarde van de paragraaf Weerstandsvermogen.
Patrick Schouten
Risicomanagement
91
Verder heb ik een relatie gelegd tussen de financiële positie en het stadium, waarin risicomanagement zich bevindt volgens de betreffende gemeente. Categorie 8 5 5 5 5 5 4 3 3 3 3 3 3 3 2 2 2 2 2
Stadium 3 4 3 3 3 2 3 5 5 4 3 3 2 2 5 4 4 3 3
Tabel 32: Koppeling vermogenspositie en risicomanagementstadium
Voor deze onderzoeksvraag hanteer ik het volgende uitgangspunt: gemeenten houden weerstandscapaciteit aan om financiële tegenvallers te kunnen opvangen. Zoals blijkt uit de analyse van de jaarstukken bestaat dit weerstandsvermogen voornamelijk uit de algemene reserves (= eigen vermogen). Bij gemeenten met goed risicomanagement (stadium 5) is het voldoende om een relatief lage reservepositie aan te houden (= bate van risicomanagement!). Deze gemeenten beheersen de risico¶s. Gemeenten in stadium 5 hebben een lagere reservepositie (categorie 1 tot 3). Ook deze analyse vertoont geen causale relatie tussen de financiële positie en het stadium van het risicomanagement. De onderzoeksvraag kan hiermee ontkennend beantwoord worden.
Patrick Schouten
Risicomanagement
92
7.9
O nderzoeksvraag 8
Zijn de baten van risicomanagement hoger dan de lasten? Deze onderzoeksvraag is ook als stelling opgenomen in de enquête (zie paragraaf 6.1.6). Bij de enquêteresultaten is geconcludeerd dat zeven gemeenten het eens zijn met de stelling en daarmee net als ik de baten ruimer interpreteren dan de financiële voordelen. De baten van risicomanagement zijn naar mijn mening hoger dan de lasten, omdat integraal risicomanagement: x
Medewerkers productiever maakt omdat ze serieus genomen worden en daarbij de aandacht en controle krijgen die ze verdienen.
x
Duidelijkheid schept en processen dus efficiënter verlopen en zal leiden tot kostenbesparing.
x
De derving door niet-integer handelen laat afnemen doordat men genomen maatregelen toepast.
Patrick Schouten
Risicomanagement
93
8
Samenvatting, conclusies en aanbevelingen
8.1
A anleiding van het onderzoek
De CI-Branchegroep Publieke Sector wil met dit onderzoek bijdragen aan het maatschappelijk debat en een bijdrage leveren aan de kwaliteit van het risicomanagement bij gemeenten. 2QGHUDQGHUHGHULVLFR¶VYDQGHNUHGLHWFULVLVGHEH]XLQLJLQJHQRSKHW*HPHHQWHIonds en de toenemende eisen van burgers bieden gemeenten uitgelezen kansen om risicomanagement vorm en inhoud te geven. Hierbij valt onder andere te denken aan:
8.2
x
Heroverwegen wat de kerntaken zijn.
x
Aanbestedingen voor veel lagere prijzen dan begroot door ³leegloop´ bij aannemers.
x
De kans en impact verkleinen van plotselinge gebeurtenissen, die gevolgen kunnen hebben voor de realisatie van de doelstellingen.
O nderzoeksopzet
Het onderzoek voor deze scriptie bestond uit zes onderdelen: 1. Literatuurstudie 2. Gesprekken met deskundigen. Deskundigen op het gebied van risicomanagement c.q. 100.000+ gemeenten zijn geïnterviewd. Doelstelling hiervan was om kennis en inzicht te krijgen over risicomanagement. 3. Analyse jaarstukken. Ik heb de jaarstukken 2008 van de 100.000+ gemeenten geanalyseerd, waarbij speciale aandacht voor de paragraaf Weerstandsvermogen. 4. Enquête. Negentien van de vijfentwintig gemeenten hebben meegewerkt aan een enquête. 5. Verdiepende interviews. 6. Via analyse van de enquêtes zijn zes gemeenten geselecteerd voor een verdiepend interview. Tijdens deze verdiepende interviews hebben de gemeenten aanvullende vragen beantwoord en relevante documentatie verstrekt. Doel van het onderzoek is tweeledig: 1. Inzichtelijk maken wat de knelpunten zijn bij het risicomanagement. 2. Gemeenten helpen het risicomanagement te verbeteren.
Patrick Schouten
Risicomanagement
94
8.3
Conclusies
In deze paragraaf volgen de conclusies (als antwoord op de probleemstelling). De geformuleerde probleemstelling is:
Wat doen de 100.000+ gemeenten voor het beheersen van de ULVLFR¶V" Uit het onderzoek blijkt het volgende: x
Aanpak niet uniform gestructureerd Alle 100.000+ gemeenten doen aan risicomanagement. De opzet en de uitvoering verschillen per gemeente en ook binnen de meeste gemeenten. Bijna alle gemeenteraden en/of colleges van burgemeester en wethouders geven geen heldere kaders en richtlijnen aan de medewerkers voor de implementatie en uitvoering van risicomanagement. Hierdoor is er geen uniforme structuur in de aanpak, waardoor integraal risicomanagement onmogelijk is. Deze conclusie is opvallend, omdat veertien van de negentien gemeenten een model gebruiken voor risicomanagement. Een model is het middel bij uitstek om structuur te geven aan de opzet en uitvoering van risicomanagement. Bijna alle 14 gemeenten KHEEHQGH]HNDQVRPULVLFR¶VWHEHKHHUVHQQRJQLHWYROOHGLJ EHQXW
x
Integraal risicomanagement ontbreekt In ISO 31000 is risicomanagement een integraal onderdeel van alle processen in de organisatie; dus geen afzonderlijke activiteit c.q. proces. Bij de meeste gemeenten is dit nog niet het geval. Het gebeurt slechts voor een deel van de processen, fragmentarisch en relatief vaak door stafmedewerkers in plaats van door de verantwoordelijke leidinggevenden.
x
Bewustzijn van nut en noodzaak van risicomanagement ontbreekt Risicobewustzijn is de basis voor effectief risicomanagement. De geïnterviewden concluderen, dat dit bij de meeste gemeenten onvoldoende aanwezig is. Het creëren van risicobewustzijn begint bij de top van de organisatie, waarna zij dit ook bij de andere medewerkers moet opwekken en ervoor zorgen dat de medewerkers ook hiernaar handelen. De tone at the top bepaalt dus hoe de medewerkers omgaan met risicomanagement.
x
Richtlijnen in wet- en regelgeving ondersteunen niet In de wet- en regelgeving zijn fragmentarisch richtlijnen gegeven voor de opzet en uitvoering van risicomanagement, zonder dat deze term wordt genoemd. In het BBV zijn richtlijnen gegeven voor de paragraaf Weerstandsvermogen. Deze richtlijnen zijn algemeen geformuleerd, waardoor zij onvoldoende handvatten bieden voor de beleidsformulering en -uitvoering en de verantwoording daarover in de paragraaf Weerstandsvermogen.
Mijn conclusie is dat de opzet, de implementatie en de uitvoering van risicomanagement bij 100.000+ gemeenten voor verbetering vatbaar zijn.
Patrick Schouten
Risicomanagement
95
De aspecten die een rol spelen bij het risicomanagement van 100.000+ gemeenten zijn: x
De aanpak van risicomanagement (systematisch, gestructureerd en tijdig).
x
Integraliteit van risicomanagement.
x
Risicobewustzijn
x
Richtlijnen in wet- en regelgeving.
x
Risicomanagement betrekken bij de besluitvorming.
x
Risicomanagement richt zich expliciet op onzekerheden.
x
Risicomanagement is dynamisch, interactief, reageert op verandering en faciliteert continu verbetering en versterking van de organisatie.
Hiermee is ook de probleemstelling beantwoord.
8.4
A anbevelingen
De volgende aanbevelingen kunnen leiden tot beter risicomanagement bij 100.000+ gemeenten en wellicht ook bij andere organisaties in de publieke sector. x
Toepassing van ISO 31000 Ik acht ISO 31000 het beste raamwerk voor risicomanagement. ISO 31000 biedt namelijk handreikingen voor de opzet, de implementatie en de uitvoering van risicomanagement: De principes zijn het belangrijkste; daaruit vloeit het proces voort. De top van de organisatie creëert met behulp van ISO 31000 risicobewustzijn bij de medewerkers. Daarnaast kan de top ISO 31000 gebruiken om structuur te geven aan de opzet en de uitvoering van risicomanagement. ISO 31000 noemt een aantal principes van risicomanagement die de gemeenten niet of nauwelijks naleven: o Het is een integraal onderdeel van de organisatieprocessen. o Het is onderdeel van de besluitvorming. o Het richt zich expliciet op onzekerheden. o Het is systematisch, gestructureerd en tijdig. o Het houdt rekening met menselijke en culturele omstandigheden. o Het is dynamisch, interactief, reageert op verandering en faciliteert continu verbetering en versterking van de organisatie. Gezien het bovenstaande is het gewenst dat gemeenten op korte termijn ISO 31000 gaan toepassen. Ik heb er vertrouwen in dat de praktijk dan zal aantonen dat ISO 31000 een goede basis biedt voor effectief risicomanagement.
Patrick Schouten
Risicomanagement
96
x
Rol ministerie van Financiën, Staten Generaal, provincies en brancheorganisaties De VNG, het IPO, de provincies en het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties moeten een bepalende rol gaan spelen bij de opzet en de uitvoering van risicomanagement. Het ministerie kan in een besluit voorschrijven dat gemeenten ISO 31000 moeten toepassen en specifieke richtlijnen geven voor risicomanagement. De provincies, de VNG en het IPO moeten de gemeenten ondersteunen bij de opzet, de implementatie en de uitvoering van risicomanagement. Door de veelvuldige contacten met gemeenten hebben zij het overzicht en kunnen hierdoor de gemeenten onderling vergelijken en daaruit een best practice afleiden.
x
Gebruik maken van ervaringen Gemeenten moeten meer gebruik maken van ervaringen tijdens andere projecten, zowel intern als bij andere organisaties (positief én negatief). De beste methode hiervoor is de reference class forecasting-methode van Flyvbjerg. Het zou een grote stap voorwaarts zijn als 100.000+ gemeenten deze methode hanteren bij grote projecten. Ministeries die veel ervaring hebben met grote projecten moeten als coördinator optreden voor grote projecten van gemeenten, zodat die optimaal kunnen profiteren van de daar aanwezige kennis en vaardigheden.
x
Arnhem als best practice De gemeente Arnhem onderscheidt zich van de andere gemeenten door het grote risicobewustzijn en de integraliteit van het risicomanagement. Deze gemeente heeft gecoQVWDWHHUGGDWULVLFRPDQDJHPHQWZDDUGHFUHsHUWGRRUGDWULVLFR¶V]LFKPLQGHUYDDN voordoen en de financiële impact kleiner is sinds de implementatie van het huidige risicomanagementsysteem.
x
BBV verduidelijken Het BBV moet explicieter voorschrijven: o Het proces voor de totstandkoming van de beleidsformulering. In het BBV moeten richtlijnen geven voor de wijze waarop gemeenten het beleid moeten formuleren. o Het proces voor de totstandkoming van de paragraaf Weerstandsvermogen. Het BBV is in de huidige situatie te vrijblijvend.Het BBV zou voor moeten schrijven welke stappen gemeenten moeten nemen om tot een paragraaf Weerstandsvermogen kunnen komen. o De opzet van de paragraaf Weerstandsvermogen. Het BBV zou een voorgeschreven format moeten geven.
Patrick Schouten
Risicomanagement
97
L iteratuurlijst Anderson, (2009), ³'HUROYDQGHSXEOLFFRQWUROOHU´M A B, nummer 1/2 Argyris, (1990) ³The Dilemma of Implementing Controls, The Case of Managerial Accounting´A ccounting, O rganisations and Society 15-6 Bakker, B, (2009), ³,62-QRUPULVLFRPDQDJHPHQW´de A ccountant april, p. 38-39. Bebbington, J., C. Larrinaga and J.M. Moneva, (2008), ³Corporate social reporting and reputation risk management´, A ccounting A uditing and accountability journal, 21 (3), p. 337-361 Bhattacharyya, M., Contemporary financial risk management: T he role of value at risk models, 292-296. Bossert, J. (2002 ³Good governance: de leidraad voor goed bestuur en management´, O verheidsmanagement, 2002/9. Chenhall, (2003) Management control systems design within its organizational context: findings from contingency-based research and directions for the future, A ccounting O rganizations and Society, vol. 28 ± 2003. Cools, (2005) Controle is goed, vertrouwen nog beter: O ver bestuurders en corporate governance, study for Stichting Management Studies (Van Gorcum 2005). Claes, (2008) Risicomanagement, Groningen Noordhoff uitgevers. COSO, (1992) Internal Control. Integrated F ramewor k, COSO. COSO, (2004) E nterprise Risk M anagement ± Integrated F ramewor k, COSO. COSO, (2006) Internal Control over F inancial Reporting ± G uidance for Smaller Public Companies, COSO. COSO, (2009) G uidance on monitoring internal control systems, COSO. Dees, Budding, Van Schaik, Van Tiel, (2009) E xterne verslaggeving van publieke organisaties, Den Haag, SDU uitgevers.
Patrick Schouten
Risicomanagement
98
Deloitte; (2009) brochure Risicomanagement, meer dan de som der delen, Rotterdam. Deloitte, (2007) H andreiking raadsleden, Rotterdam. Drew, A., P.C. Kelly, and T. Kendrick, (2006) CLASS: Five elements of corporate governance to manage strategic risk, Business Horizons, 49, p.127-138. Droogsma, J. (2007), Hebben de COSO-modellen toegevoegde waarde voor de Rijksoverheid, M A B maart, p. 94-101 Duffhues, P.J.W., (2002) Recente ontwikkelingen in financieel risicomanagement, M A B april, p. 138-149. Eisenhardt, (1989) Agency T heory: A n Assessment and Review, Academy of Management Review 14-1. Fischer, (1995) Contigency-based research on Management Control Systems: a categorization by level of complexity, Journal of A ccounting L iterature, 14 1995. Fijneman, (2009) Informatiebeveiliging en finance & control, van kopzorg tot hoofdzaak? M A B nummer 4. Gemeente Sluis, (2006) Nota weerstandsvermogen gemeente Sluis, februari 2006. G ids gemeentebesturen 2009, 2008, SDU uitgevers. Hofstede, (1981) Management Control of Public and Not-for-profit Organisations, A ccounting, O rganizations and Society 6-3. International Organization for Standardization, (2009) ISO 31000 Risk managementPrinciples and guidelines. International Organization for Standardization, (2009) ISO G uide 73. INTOSAI, (2004) G uidelines for internal control standards for the public sector, INTOSAI. Joyce Hendrikx, Joyce, Vincent Kruithof en Noël Engbersen, (2008) Limburg moderniseert financieel toezicht gemeenten´SD U uitgevers T PC, april, p. 53-57. Patrick Schouten
Risicomanagement
99
Hortensius, D, (2009) ISO 31000: raamwerk voor integraal risicomanagement, K waliteit in bedrijf, januari, p. 14-18. De Koning, (2000) Bestuurlij ke Informatieverzorging, in het bijzonder Informatiecontrole, NIVRA-Nyenrode. Klumper, (2009) Toepassing van de monitoring-component van het COSO-raamwerk, M A B nummer 3. Koster en Snijders, (1997) HHQFRQWLQXHDIZHJLQJYDQULVLFR¶VWHJHQJHQRHJHQV, T ac, 1997 Louwman, J.H.G, & H.B.A.Steens, (1994) Risicomanagement, een beheersingsmodel, Deventer, Kluwer Bedrijfswetenschappen. Marle, E. van, en G Haisma, (2009) ³ISO 310000 stimuleert integraal risicomanagement´, T PC, februari, p.14-19. Meijerink & Minderman, (2004) Naar een andere publieke sector, Den Haag, SDU uitgevers. Moerkamp, (2006) ³Lange geschiedenis van corporate governance geeft UK een koppositie´, B & G, oktober, p. 10-11. Moorsel van, en Visser, (2003) ³een theoretisch kader voor integraal risicomanagement, toegespitst op de overheid´, O verheidsmanagement, 2003/2, p 44-47. Merchant. & Van der Stede, (2003) M anagement control systems: performance measurement, evaluation and incentives, Amsterdam, Pearson. Ministerie van Binnenlandse Zaken en Koninkrijksrelaties, (2003) Besluit accountantscontrole provincies en gemeenten. Ministerie van Binnenlandse Zaken en Koninkrijksrelaties (2003) Besluit begroting en verantwoording provincies en gemeenten. Ministerie van Binnenlandse Zaken en Koninkrijksrelaties, (2003), Nota van toelichting op het B B V .
Patrick Schouten
Risicomanagement
100
Ministerie van Binnenlandse Zaken en Koninkrijksrelaties, (2003) Gemeentewet. Ministerie van Binnenlandse Zaken en Koninkrijksrelaties, (2003) Provinciewet. Ministerie van Binnenlandse Zaken en Koninkrijksrelaties, (2003), ³EHVOXLWvan 17 januari 2003, houdende de voorschriften voor de begrotings- en verantwoordingsdocumenten, uitvoeringsinformatie en informatie voor derden van provincies en gemeenten (besluit begroting en verantwoording provincies en gemeenten) Ministerie van Financiën, (2000) ³H andleiding Government governance, een instrument ter toetsing van governance bij de Rij ksoverheid, 5 januari, p.8. Mulders, (2008) ³Soft control? Hard nodig!´, M C A , juni. NIVRA e.a. (2009), ³Risicomanagement in tijden van crisis´. Paape, ´µ,QFRQWURO¶YHUNODULQJHQJHEDNNHQOXFKWRIHHQWHNRHVWHUHQIHQRPHHQ"´, NIVRA-Nyenrode. PricewaterhouseCoopers, (2006) ³Risicomanagement, De praktij k in Nederland´PwC Provinciale onderzoekscommissie Noord-Holland, (2009)´T R IPL E-R:R E G E LS, R E N D E M E N T , R ISI C O´,Provincie Noord-Holland, mei. Romney & Steinbart, (2008) A ccounting Information Systems, Prentice Hall. Sieverdink, A en L. Paape; (1998) ³De veranderende rol van de accountant´B & G, november, p. 27 t/m 29. Simons, (1995) L evers of control, Harvard 1995. Smorenberg, D. (2006), ³een norm voor weerstandsvermogen´, B & G, oktober, p.27-30. Staatsblad van het Koninkrijk der Nederlanden, (2002), ³ZHWYDQIHEUXDULWRW wijziging van de Gemeentewet en enige andere wetten tot dualisering van de inrichting, de bevoegdheden en de wer kwijze van het gemeentebestuur (W et dualisering JHPHHQWHEHVWXXU ´.
Patrick Schouten
Risicomanagement
101
Speklé, (2006) H et ontwerp van effectieve controlstructuren: empirische bevindingen, NIVRA-Nyenrode. Starreveld, (2002) Bestuurlij ke Informatieverzorging Deel 1, Stenfert Kroese. Starreveld, (2004) Bestuurlij ke Informatieverzorging Deel 2A, Stenfert Kroese. Starreveld, (2008) Bestuurlij ke Informatieverzorging Deel 2B, Stenfert Kroese. Steen ´Hoogleraren kraken Vrehen-rapport´N R C handelsblad, 1 juli. Tillema ³Benchmarking en prestatieverbetering in de publieke sector´M A B, nummer 3. Verschuren P. en H. Doorewaard, (2000) H et ontwerpen van een onderzoek, Utrecht, Lemma; 3e druk, ISBN 90-5189-886-X. Van Egten & Veldman, (2008) De controlfunctie in de publieke en non±profitsector, Den Haag, SDU uitgevers. Bruno van Wayenburg, B. van, ³Realistisch budgetteren met Bent Flyvbjerg Te laat, te duur, te rooskleurig´, Intermediair 17 april, p. 40-41. Yin, Robert K.,(2003) C ase Study Research, Design and Methods, Thousand Oaks, Sage Publications, Inc., 3e ed., ISBN 0-7619-2553-8. VNG, (2003) H andreiking voor financiële en controle verordeningen, Den Haag Jaarstukken 2008 alle 100.000+ gemeenten W ebsites:
http://www.abnamro.nl/nl/zakelijk/risico_management/overzicht.html
http://www.accountant.nl/Accountant/Nieuws/Provincie+NoordHolland+niet+in+control+tij dens+
http://actueel.nl.pwc.com/site/publieke_sector/binnenlands_bestuur/469/gestructureerde _aanpak_risicomanagement_ontbreekt_bij_middelgrote_gemeenten.html?internalreferre r=list
Patrick Schouten
Risicomanagement
102
http://binnenlandsbestuur.nl/nieuws/2009/07/groen-oranje-of-rood-voorgesubsidieerde.121589.lynkx
http://binnenlandsbestuur.nl/nieuws/2009/03/lessen-in-risicobeheersing.109705.lynkx
www.ci.nl
www.commissiecorporategovernance.nl
www.coso.org
http://www.coso.org/documents/COSOBoardsERM4pagerFINALRELEASEVERSION82409.pdf
www.deloitte.nl
www.ey.nl
www.genootschapvoorrisicomanagement.nl
www.hm-treausury.gov.uk
http://www.integriteitoverheid.nl/handreikingen/modelaanpak/ambtenaren
www.metatopos.org
www.minbzk.nl
www.minfin.nl
www.nivra.nl
http://oag.treasury.gov.za
www.proboards.nl/data_docs/COSO_ERM_executiveSummary_dutch.pdf
www.risicomanagement.nl
http://www.scotland.gov.uk/Home
http://statline.cbs.nl/StatWeb/publication/?DM=SLNL&PA=70072ned&D1=088&D2=0,3,13,45,70,92,601&D3=12-14&VW=T
Patrick Schouten
Risicomanagement
103
B IJ L A G E 1:
E nkele artikelen uit wet- en regelgeving
G emeentewet: A rtikel 212 1.
De raad stelt bij verordening de uitgangspunten voor het financiële beleid, alsmede voor het financiële beheer en voor de inrichting van de financiële organisatie vast. Deze verordening waarborgt dat aan de eisen van rechtmatigheid, verantwoording en controle wordt voldaan. De verordening bevat in ieder geval: a) regels voor waardering en afschrijving van activa; b) grondslagen voor de berekening van de door het gemeentebestuur in rekening te brengen prijzen en van tarieven voor rechten als bedoeld in artikel 229b, alsmede, voor zover deze wordt geheven, voor de heffing bedoeld in artikel 15.33 van de Wet milieubeheer; c) regels inzake de algemene doelstellingen en de te hanteren richtlijnen en limieten van de financieringsfunctie.
A rtikel 213 2.
De raad stelt bij verordening regels vast voor de controle op het financiële beheer en op de inrichting van de financiële organisatie. Deze verordening waarborgt dat de rechtmatigheid van het financiële beheer en van de inrichting van de financiële organisatie wordt getoetst.
3.
De raad wijst een of meer accountants aan als bedoeld in artikel 393, eerste lid, van Boek 2 van het Burgerlijk Wetboek, belast met de controle van de in artikel 197 bedoelde jaarrekening en het daarbij verstrekken van een accountantsverklaring en het uitbrengen van een verslag van bevindingen.
4.
De accountantsverklaring geeft op grond van de uitgevoerde controle aan of: a) de jaarrekening een getrouw beeld geeft van zowel de baten en lasten als de grootte en samenstelling van het vermogen; b) de baten en lasten, alsmede de balansmutaties rechtmatig tot stand zijn gekomen; c) de jaarrekening is opgesteld in overeenstemming met de bij of krachtens algemene maatregel van bestuur te stellen regels, bedoeld in artikel 186 en d) het jaarverslag met de jaarrekening verenigbaar is.
5.
Het verslag van bevindingen bevat in ieder geval bevindingen over: a) de vraag of de inrichting van het financiële beheer en van de financiële organisatie een getrouwe en rechtmatige verantwoording mogelijk maken en b) onrechtmatigheden in de jaarrekening.
Patrick Schouten
Risicomanagement
104
6.
De accountant zendt de accountantsverklaring en het verslag van bevindingen aan de raad en een afschrift daarvan aan het college.
7.
Bij algemene maatregel van bestuur kunnen nadere regels worden gesteld met betrekking tot de reikwijdte van en de verslaglegging omtrent de accountantscontrole, bedoeld in het tweede lid.
8.
Accountants als bedoeld in het tweede lid kunnen in gemeentelijke dienst worden aangesteld en worden in dat geval door de raad benoemd, geschorst en ontslagen.
9.
Indien de raad op grond van het tweede lid accountants heeft aangewezen die in gemeentelijke dienst zijn aangesteld, is: a) het bepaalde bij en krachtens de artikelen 25, 25a en 27 van de Wet toezicht accountantsorganisaties van overeenkomstige toepassing op deze accountants; b) het bepaalde bij en krachtens de artikelen 14, 18, 19, 20 en 21 van de Wet toezicht accountantsorganisaties van overeenkomstige toepassing op de gemeente; en c) het bepaalde bij en krachtens de artikelen 15 en 16 van de Wet toezicht accountantsorganisaties van overeenkomstige toepassing op de personen die de dagelijkse leiding hebben over het onderdeel van de gemeente waarbij de in de aanhef bedoelde accountants werkzaam zijn.
10.
Indien een gemeente wordt aangewezen als organisatie van openbaar belang als bedoeld in artikel 1, eerste lid, onderdeel h, van de Wet toezicht accountantsorganisaties, zijn de artikelen 22 tot en met 24 van die wet van overeenkomstige toepassing op deze gemeente.
A mbtenarenwet A rtikel 125quater Het bevoegd gezag van ambtenaren die door of vanwege het rijk, de provincies, de gemeenten of de waterschappen zijn aangesteld, a. voert een integriteitsbeleid dat is gericht op het bevorderen van goed ambtelijk handelen en dat in ieder geval aandacht besteedt aan het bevorderen van integriteitsbewustzijn en aan het voorkomen van misbruik van bevoegdheden, belangenverstrengeling en discriminatie; b. zorgt ervoor dat het integriteitsbeleid een vast onderdeel uitmaakt van het personeelsbeleid in ieder geval door integriteit in functioneringsgesprekken en werkoverleg aan de orde te stellen en door het aanbieden van scholing en vorming op het gebied van integriteit; c. draagt zorg voor de totstandkoming van een gedragscode voor goed ambtelijk handelen;
Patrick Schouten
Risicomanagement
105
d. stelt in overeenstemming met de Tweede Kamer, onderscheidenlijk provinciale staten, de raad of het algemeen bestuur, vast op welke wijze jaarlijks verantwoording wordt afgelegd over het gevoerde integriteitsbeleid en over de naleving van de gedragscode. A rtikel 125quinquies 1. Voor zover deze onderwerpen niet bij of krachtens de wet zijn geregeld, worden voor de ambtenaren, door of vanwege het rijk aangesteld, bij of krachtens algemene maatregel van bestuur voorschriften vastgesteld betreffende: a. de verplichte aflegging van de eed of belofte door de ambtenaar bij zijn aanstelling; b. de melding en de registratie van nevenwerkzaamheden die de belangen van de dienst voor zover deze in verband staan met de functievervulling, kunnen raken; c. de openbaarmaking van de krachtens onderdeel b geregistreerde nevenwerkzaamheden van ambtenaren aangesteld in een functie waarvoor ter bescherming van de integriteit van de openbare dienst openbaarmaking van nevenwerkzaamheden noodzakelijk is; d. het verbieden van nevenwerkzaamheden waardoor de goede vervulling van de functie of de goede functionering van de openbare dienst, voor zover deze in verband staat met de functievervulling, niet in redelijkheid zou zijn verzekerd; e. de melding van financiële belangen respectievelijk van het bezit van en transacties in effecten, die de belangen van de dienst voor zover deze in verband staan met de functievervulling, kunnen raken voor ambtenaren aangesteld in een functie waaraan in het bijzonder het risico van financiële belangenverstrengeling of het risico van oneigenlijk gebruik van koersgevoelige informatie verbonden is; f. een procedure voor het omgaan met bij een ambtenaar levende vermoedens van misstanden binnen de organisatie waar hij werkzaam is. 2. Het bevoegd gezag van provincies, gemeenten en waterschappen stelt voor de ambtenaren door of vanwege deze lichamen aangesteld, onder gelijk voorbehoud voorschriften vast omtrent de onderwerpen, genoemd in het eerste lid. Als ambtenaar aangesteld door of vanwege een waterschap wordt aangemerkt hij die is aangesteld door het in het reglement van die instelling daartoe aangewezen gezag teneinde in dienst van het waterschap werkzaam te zijn. 3. De ambtenaar die te goeder trouw de bij hem levende vermoedens van misstanden meldt volgens de procedure, bedoeld in het eerste lid onder f, zal als gevolg van het melden van die vermoedens geen nadelige gevolgen voor zijn rechtspositie ondervinden tijdens en na het volgen van die procedure.
Patrick Schouten
Risicomanagement
106
B IJ L A G E 2:
Modellen met betrek king tot risicomanagenent
INK- model
Patrick Schouten
Risicomanagement
107
B IJ L A G E 3: 3
Samenvatting interviews
Resultaten interviews
In deze paragraaf zijn de resultaten van de vijf interviews met deskundigen beschreven. De eerste drie interviews gingen over risicomanagement in het algemeen. Tijdens de andere twee interviews is vooral gesproken over risicomanagement bij overheidsorganisaties. In paragraaf 3.1 vindt u een gezamenlijke samenvatting van de eerste drie interviews. In paragraaf 3.2 is het interview met Maarten van Zwieten uitgewerkt en in 3.3 het interview met Tjerk Budding. Omdat gedurende het onderzoek is gekozen om ISO 31000 als norm te hanteren, is voor de uitwerking van de interviews gekozen voor het volgende onderscheid:
3.1
x
het proces;
x
het raamwerk;
x
de principes, ,QWHUYLHZVPHW(GG\9DDVHQ$UMHQ5RQQHUHQ5REHUW¶W+DUW
De interviews zijn samengevat. Daarbij zijn drie onderdelen te onderkennen: 1. Algemeen 2. ISO 31000, principes en het proces 3. Verschillen tussen de publieke sector en private sector. Algemeen Gemeenten ervaren risicomanagement als moeilijk. De reden hiervoor is dat risicomanagement naar de toekomst kijken is. Audit en Administratieve Organisatie /Interne Beheersing (AO/IB) zijn makkelijker, dat is verleden. Risicomanagement is ook lef tonen, durf je verwachtingen uit te spreken en daar maatregelen voor te nemen. De deskundigen verschillen van mening over de wenselijkheid van de functie van risicomanager: 1) Risicomanagement moet in alle functies verweven zijn, waardoor een risicomanager eigenlijk niet noodzakelijk is. Wel is van belang, dat er een risico-eigenaar is en dat het bestuur zijn eindverantwoordelijkheid voor risicomanagement uitdraagt. 2) Een risicomanager kan een katalysator zijn voor het creëren van risicobewustzijn bij het bestuur en de medewerkers. De senioriteit van de risicomanager is daarbij een aandachtspunt: de ervaring leert, dat het een groot verschil maakt of de risicomanager een trainee is of de hoogste bestuurder. Daaruit blijkt ook hoe belangrijk het bestuur risicomanagement vindt.
Patrick Schouten
Risicomanagement
108
De mate van diversiteit van de bestuursleden beïnvloedt de onderlinge feedback. Afgaande op recente mediaberichten lijkt deze diversiteit bij sommige woningcorporaties slechts in beperkte mate aanwezig. Gemeenten en provincies lopen vooral bij grote projecten en open-einde regelingen significante ULVLFR¶V=LMEHKHHUVHQGHULVLFR¶VYDQDIGHOLQJRYHUVWLMJHQGHSURMHFWHQ onvoldoende. Ook de Commissie-Veerman concludeerde dit in 2009: het gebrek aan samenwerking tussen de gemeentelijke afdelingen was een belangrijke oorzaak voor de budgetoverschrijding bij de aanleg van de Noord-Zuidlijn. Gemeenten worden tijdens deze economische crisis hard geraakt doordat: x
er minder leges binnen komen;
x
projecten vertraging oplopen of niet meer door gaan;
x
gesubsidieerde instellingen in de problemen komen en vragen om meer subsidies;
x
het aantal uitkeringsgerechtigden oploopt.
Dit maakt risicomanagement des te belangrijker. Sommige gemeenten hebben speciale crisisteams gevormd om in beeld WHEUHQJHQZHONHULVLFR¶VGHJHPHHQWHORRSWDOVJHYROJYDQ de economische crisis. ISO 31000 - de principes Het is belangrijk, dat organisaties zich bewust zijn van de aard, de kans en de impact van de ULVLFR¶VHQGDarvoor weloverwogen maatregelen treffen. Risicomanagement is veel krachtiger als de top het goede voorbeeldgedrag toont. Een best practice van een model biedt geen garantie voor succes. Sommige banken zijn hiervan een voorbeeld: de opzet was voldoende, maar de werkelijkheid was anders. Als risicomanagement geformaliseerd wordt (³checklisten afvinken´), dan dreigt het risico GDWGHGRHOVWHOOLQJQLHWZRUGWEHKDDOGQDPHOLMNKHWEHKHHUVHQYDQGHULVLFR¶V De organisatiecultuur is belangrijker dan het streven elk risico te beheersen. $DQHONHGRHOVWHOOLQJNOHYHQULVLFR¶VHQPDQDJHUV]LMQHURPGLHWHEHKHHUVHQ+HWLVGHYUDDJ of managers voldoende transparant zijn over hun risicomanagementsysteem. Vanuit het bestuur of het managementteam moet een cultuur ontstaan, die aanmoedigt om actief aan risicomanagement te doen. Alleen dan zal de totale organisatie daaraan een bijdrage willen leveren. De tone at the top is één van de belangrijkste succesfactoren. ISO 31000 - het proces Veel organisaties trappen LQGH]HOIGHYDONXLOKHWEHQRHPHQYDQDOOHULVLFR¶VGLH]HNXQQHQ EHGHQNHQ+HWLVSUDNWLVFKRQPRJHOLMNRPDOGH]HULVLFR¶VJRHGXLWWHZHUNHQNDQVPDDO impact). Een belangrijke stap bij de risico-identificatie is het benoemen van risicocategorieën.
Patrick Schouten
Risicomanagement
109
Elk systeem heeft een levenscyclus, dus ook het proces voor risicomanagement in ISO 31000. Een cyclus is aan verandering onderhevig, waardoor een periodieke evaluatie noodzakelijk is. Dit geldt dus ook voor het risicomanagementsysteem. Periodiek moeten organisaties evalueren of het risicomanagementsysteem goed werkt en of er aanpassingen nodig zijn (het beste is voor dat moment). Verschillen tussen de publieke sector en de private sector
3.2
x
&DWHJRULHsQYDQULVLFR¶V Bij gemeenten gaat het om de rechtmatigheid en de doelmatigheid, waardoor de ILQDQFLsOHULVLFR¶VEHSHUNWHU]LMQGDQLQGHSULYDWHVHFWRU+HWKDQGHOHQYDQJHPHHQWHQ is ingeperkt door wet en regelgeving (zie ook hoofdstuk 2). Bij de private sector zijn de wettelijke beperkingen in mindere mate aanwezig. Voor wat betreft de doelmatigheid gaat het om publiek geld, waardoor de publieke verantwoording een grotere rol speelt dan bij de private sector.
x
3ROLWLHNHHQDIEUHXNULVLFR¶V %LMJHPHHQWHQNXQQHQNOHLQHULVLFR¶VOHLGHQWRWJURWHSROLWLHNHRIDIEUHXNULVLFR¶V,Q de private sector is dit risico beperkter.
x
Bestuur Collegeleden blijken in hun eerste benoemingsperiode relatief veel populaire beslissingen te nemen en in de tweede periode meer impopulaire beslissingen. Bestuursleden van een gemeente blijven over het algemeen wat langer in functie dan de bestuurleden in de private sector.
x
Pluriform risicoprofiel Een gemeente is een erg complexe organisatie: er zijn 400 verschillende diensten te onderscheiden, waardoor een hoog en breed risicoprofiel ontstaat. Veel van deze diensten zijn wettelijk verplicht gesteld door de rijksoverheid. Bij private organisaties is de complexiteit over het algemeen minder.
x
Risicomijdend gedrag Gemeentebestuurders en -managers zijn geneigd tot overbeheersing en risicomijding. *HPHHQWHQSUREHUHQDOOHULVLFR¶VRSYHUVFKLOOHQGHPDQLHUHQDIWHGHNNHQ Er is daarbij vrijwel geen oog voor efficiëntie in de dagelijkse bedrijfsvoering. Een voorbeeld hiervan zijn de beheersingsmaatregelen voor het risico van uitval van de ICT: gemeenten hebben vaak naast een back-upprocedure, ook een bedrijfsschadeverzekering en bovendien een uitwijkserver. De oorzaak van de overbeheersing is dat gemeenten op verschillende organisatieniveaus maatregelen nemen, waardoor dubbelingen ontstaan in de beheersingsmaatregelen. Interview M aarten van Z wieten
Maarten van Zwieten heeft ruime ervaring met risicomanagement in de publieke sector. Hij heeft 22 jaar bij verschillende ministeries gewerkt.
Patrick Schouten
Risicomanagement
110
Vanaf 2005 is hij zelfstandig ondernemer. Hij heeft tientallen risicoanalyses en ±workshops gefaciliteerd, zowel op het niveau van beleidsprogramma als ook bij projecten. Daarnaast heeft hij vele workshops begeleid die gericht zijn op integriteitsULVLFR¶V Maarten is tevens docent bij de Rijksacademie voor Financiën en Economie en als gastdocent aan de Bestuursacademie en de Vrije Universiteit. Het interview bestaat uit drie delen: 1. ISO 31000 Van Zwieten is ingegaan op ISO 31000, met name op de principes. 2. Verschillen tussen de private en de publieke sector Van Zwieten heeft de verschillen benoemd en geïllustreerd met voorbeelden 3. Noord-Zuidlijn Amsterdam De Noord-Zuidlijn is als casus meermalen ter sprake gekomen. Principes Van Zwieten vindt de indeling van ISO 31000 goed (principes, raamwerk en proces). Op deze manier zijn de principes belangrijk, dit in tegenstelling tot andere modellen. Bij de andere modellen is sprake van een raamwerk en/of een proces. De principes beschrijven het belang van de organisatiecultuur. Die is voor Van Zwieten de kritische succesfactor voor effectief risicomanagement. Veel medewerkers van organisaties, die onbekend zijn met risicomanagement, beschouwen het als een extra administratieve last, die de uitvoering van hun primaire taken verstoort. Van Zwieten is van mening dat risicomanagement een onlosmakelijk onderdeel is van de dagelijkse bedrijfsvoering en daarmee van het takenpakket van iedereen binnen de organisatie. Bij de strategiebepaling en ±uitvoering is voldoende aandacht voor risicomanagement onontbeerlijk om succes te behalen. Van Zwieten vindt het belangrijk GDWEHVWXXUGHUVPDQDJHUVRYHUULVLFR¶VSUDWHQPHWGH medewerkers. Hierdoor ontstaat een cultuurverandering, doordat het risicobewustzijn wordt vergroot en de medewerkers als vanzelfsprekend aan risicomanagement gaan doen. Het bovenstaande is aan te sluiten met de volgende principes van ISO 31000: x
Risicomanagement is een integraal onderdeel van de bedrijfsprocessen.
x
Risicomanagement is dynamisch, interactief, reageert op verandering en faciliteert continu verbetering en versterking van de organisatie.
Van Zwieten zijn ervaring met risicomanagement bij overheidsinstellingen is dat die organisaties de processtap risicoanalyse zetten, maar moeite hebben om de vervolgstappen te doen. Belangrijke oorzaken daarvoor zijn: 1. Vooroordelen over risicomanagement (het is veel, extra en moeilijk werk). 2. Politiek-EHVWXXUOLMNHRQJHZHQVWKHLGRPH[SOLFLHWHQWUDQVSDUDQWWH]LMQRYHUULVLFR¶V. 3. Verkokering en territoriumgedrag.
Patrick Schouten
Risicomanagement
111
De laatste twee punten ziet Van Zwieten bij de overheid niet snel veranderen, waardoor het vrijwel onmogelijk is om een realistische organisatiebrede risicotolerantie te bepalen. Daardoor voldoen die organisaties niet aan het ISO 31000 principe: risicomanagement is transparant en overal aanwezig. De creatie van een centraal coördinatiebureau zal dit probleem niet kunnen oplossen. In Nederland is de (bureaucratische) overlegcultuur ook van toepassing voor risicomanagement. Daarnaast laat het ministerie van Financiën instellingen vrij in hoe zij risicomanagement regelen; in Groot-Brittannië is dit dwingend voorgeschreven. Ook de VNG en het IPO zullen deze rol niet willen c.q. kunnen uitvoeren. In Nederland maakt men nauwelijks gebruik van de ervaringen tijdens eerdere grote overheidsprojecten. Dit zou bijvoorbeeld kunnen door het verplicht toepassen van de reference class forecasting methode van Flyvbjerg. Deze methode vereist dat vooraf nagegaan wordt: x
Waar zijn vergelijkbare projecten uitgevoerd (in Europa)?
x
Wat waren de werkelijke kosten?
x
WDWZDUHQGHRSJHWUHGHQULVLFR¶V"
x
Wat waren andere relevante ervaringen?
Deze methode is een werkelijkheidstoets, die in Nederland slechts sporadisch is gebruikt onder andere voor de Noorderzeelijn. Voor dit project was de toepassing van de reference class forecasting methode en de daaruit resulterende kostenraming de belangrijkste reden om het niet uit te voeren. In Groot-Brittannië en Denemarken is de toepassing van reference class forecasting verplicht bij grote infrastructurele projecten. Het gebruik van deze methode leidt tot de toepassing van het ISO 31000 principe: risicomanagement is gebaseerd op de best beschikbare informatie. Van Zwieten zou graag zien dat organisaties in Nederland proactiever en preventiever KDQGHOHQ5LVLFR¶V]LMQQRRLWXLWWHVOXLWHQHUJDDWDOWLMGZHOLHWVmis), dus daarom is het essentieel de bedrijfsvoering c.q. de sturing en beheersing zodanig in te richten dat de kans en de impact van grote calamiteiten worden beperkt. Als een organisatie dit goed en transparant regelt, dan leidt het optreden van een risico tot een beheerste discussie in plaats van een hoogoplopende ruzie en ³zwarte pieten´ Proactief en preventief handelen, sluit aan bij het ISO 31000 principe: risicomanagement is dynamisch, interactief, reageert op verandering en faciliteert continu verbetering en versterking van de organisatie.
Patrick Schouten
Risicomanagement
112
Verschillen tussen de publieke en de private sector De belangrijkste verschillen tussen organisaties in de private sector en de publieke sector zijn: x
,QGHSULYDWHVHFWRUNXQQHQGHULVLFR¶VEHWHUYHUERUJHQEOLMYHQ Risicomanagement is bij de organisaties in de private sector onderdeel van de interne bedrijfsvoering. Bij gemeenten moet de gemeenteraad geïnformeerd worden. Documenten van de raad zijn op grond van de Wet Openbaar Bestuur in principe voor iedereen in te zien, waardoor deze eerder in de publiciteit kan komen. Hierdoor kan de indruk ontstaan dat het bij de overheid vaker mis gaat dan bij organisaties in de private sector.
x
Financiering van tegenvallers Bij organisaties in de private sector geldt dat die failliet gaan als er een tegenvaller is, die niet gefinancierd kan worden. Gemeenten kunnen in principe niet failliet gaan. Door belastingverhoging en verlaging van het voorzieningenniveau verhalen gemeenten de financiële strop op de burgers. Van Zwieten is van mening, dat het voorgaande punt een belangrijke reden is waarom het risicobewustzijn bij ambtenaren en bestuurders groter moet zijn dan bij organisaties in de private sector.
x
Belanghebbenden Een risicoanalyse begint meestal met een omgevingsanalyse, waarvan een onderdeel is het in kaart brengen van de belanghebbenden. Bij een gemeente is het aantal belanghebbenden veel groter dan bij organisaties in de private sector. De belanghebbenden verwachten in principe allemaal dat aan hun wensen en eisen tegemoet gekomen zal worden, maar dat is praktisch onmogelijk. Redenen hiervoor zijn: o
Wet- en regelgeving inzake onder andere participatie en overlegmomenten.
o
Juridische complexiteit.
o
Wet- en regelgeving van de Europese Unie.
Het aantal belanghebbenden en de genoemde redenen zijn de voornaamste oorzaken waarom projecten vertragingen oplopen. x
³0DNHRUEX\´YRRUULVLFRPDQDJHPHQW Kenmerkend voor overheidsorganisaties is dat die heel vaak kiezen YRRU³PDNH´ in plaats van ³EX\´ Dit geldt zowel voor de aanschaf materiële zaken als voor niet materiële zaken, zoals risicomanagement. De reden hiervoor is dat gemeenten vinden dat hun situatie uniek is, dus niet te vergelijken met andere gemeenten. Van Zwieten geeft aan dat gemeenten het overzicht ontberen op wat er elders in Nederland/Europa/ de wereld gebeurt.
Patrick Schouten
Risicomanagement
113
Oplossingen daarvoor kunnen zijn: x
Een wereld-projectendatabase Daarin kunnen vergelijkbare uitgevoerde projecten worden opgezocht om vervolgens uit die ervaringen lering te trekken.
x
Meer gebruik maken van publiek-private samenwerking (PPS-constructies) Publiek-Private Samenwerking (PPS) is een samenwerkingsvorm tussen één of meer overheidsorganisaties en één of meer private ondernemingen. Tijdens de PPS-constructie wordt een keuze gemaakt wie wat gaat doen en daarbij wordt ook helder gemaakt wie welke verantwoordelijkheid heeft. Ook het risico-eigenaarschap komt goed aan de orde.
x
Politieke druk Bij organisaties in de publieke sector is sprake van grotere politieke druk dan bij private organisaties. Een voordeel van de toepassing van reference class forecasting is dat de betrokken objectieve buitenstaanders geen last hebben van de politieke druk, die projectmanagers wel ondervinden.
Noord-Zuidlijn Gedurende het interview grijpt Van Zwieten vaak terug op de Noord-Zuidlijn. Hij noemt daarbij de volgende punten: x
(ULVRQYROGRHQGHRYHUGHULVLFR¶VJHVSURNHQ Van Zwieten is van mening dat als er voldoende over de ULVLFR¶VZDVJHVSURNHQHU nooit een Noord-Zuidlijn gekomen zou zijn. Er zou dan voldoende inzicht zijn geweest LQGHULVLFR¶VGLHGHJHPHHQWH]RXgaan lopen en een reëlere kostenbegroting zijn gemaakt. Dan had het project niet doorgegaan.
x
Ontbreken van risico(management)bewustzijn Van Zwieten noemt de Noord-Zuidlijn als een voorbeeld van het ontbreken van voldoende risico(management)bewustzijn. Van Zwieten geeft aan dat de kosten-batenanalyse over het algemeen voor projecten ook beter moeten. De gevolgen van de Noord-Zuidlijn zullen door verhoging van de belastingen en het verlagen van het voorzieningenniveau verhaald worden op de burger.
x
Risico-eigenaarschap Van Zwieten vindt het ongelofelijk dat de gemeente Amsterdam alles moet betalen wat misgaat bij de Noord-Zuidlijn. Als voorbeeld noemde hij een fout van een ingenieursbureau, waarvan Amsterdam de financiële gevolgen moest betalen. Vanwege de complexiteit van dit soort projecten vindt hij dat risicomanagement bij elk project verplicht moet worden mét duidelijkheid over de daaraan te stellen eisen (hoe moet het eruit zien). Eén van de eisen zou moeten zijn: expliciet uitmaken wie de risico-eigenaar is (opdrachtnemer en/of opdrachtgever) en expliciet afspraken maken over risicobeheersing in de constellatie van risico-eigenaar en politieke verantwoordelijkheid.
Patrick Schouten
Risicomanagement
114
3.3
Interview T jer k Budding
Tjerk Budding is hoofddocent Accounting bij de postdoctorale opleiding tot Public Controller van de Vrije Universiteit. Tevens is hij daar verbonden aan de afdeling Accounting van de Economische Faculteit voor onderwijs en onderzoek, gericht op overheids- en non-profit organisaties. Hij is afgestudeerd op een onderzoek naar het risicomanagement bij gemeenten, dat was gericht op de kwaliteit van de risicoparagraaf in de begroting en het jaarverslag. In 2008 is hij gepromoveerd op een onderzoek naar de beoordeling van managers bij gemeenten en om te bepalen welke beoordelingsstijlen hun aansporen om hun werk goed te doen (doelmatig, doeltreffend en rechtmatig). Budding is medeauteur van het in 2009 verschenen boek Externe verslaggeving van publieke organisaties. Het interview bestaat uit drie onderdelen: 1. Algemeen In het interview komen eerst een aantal algemene zaken aan bod, zoals de definitie van risicomanagement en de praktijkervaringen van Budding. 2. ISO 31000 Evenals Van Zwieten gaat Budding vooral in op de principes en ook besteedt hij aandacht aan het proces. 3. Verschillen tussen de publieke sector en de private sector Budding geeft aan welke verschillen hij onderkent tussen de publieke en de private sector. Algemeen Budding geeft als definitie voor risicomanagement: Goed zicht hebben op factoren die het succes of de belemmering van het beleid bepalen, ZDDUELMULVLFR¶VRRNSRVLWLHIJH]LHQNXQQHQZRUGHQ Hij vindt, dat risicomanagement niet alleen gericht moeten zijn op financiële risico¶s, maar ook op bijvoorbeeld juridische en imagorisico¶s. Goed risicomanagement voldoet volgens Budding aan de volgende twee eisen: 1. Verankering in de organisatie (³tussen de oren´ van alle medewerkers en bestuurders). 2. Goede risicorapportage. Budding heeft de indruk dat bij provincies en 100.000+ gemeenten nog geen sprake is van goed risicomanagement. Ze hebben er aandacht voor, maar het beklijft niet. Als rapportcijfer geeft Budding een 4,5 terwijl het doel een 8,5 zou moeten zijn. Bij zijn afstudeeronderzoek over de risicoparagrafen was zijn conclusie dat de kwaliteit daarvan dramatisch was. Het was vaak een algemeen verhaal, zonder aandacht voor de materialiteit. Patrick Schouten
Risicomanagement
115
Het BBV lijkt een verbetering, maar Budding constateert dat de risicoparagraaf van veel gemeenten nog steeds weinig informatie geeft. Budding heeft meegemaakt, wat het risico is van een ruime vermogenspositie. Bestuurders van de betreffende organisatie stelden dat de financiële buffer voldoende was om de eventuele financiële gevROJHQYDQRSWUHGHQGHULVLFR¶VWHGUDJHQHQGDWHUGDDURPJHHQ behoefte was aan risicomanagement. Op bestuursniveau was daar dus wel risicobewustzijn. Echter, de politici wilden geen aandacht besteden aan risicomanagement, terwijl de ambtenaren dat wel wilden. Budding vindt dat gemeenten grote risico¶s lopen op het gebied van ICT-beleid en grondbeleid. Redenen hiervoor zijn: x
Het gaat meestal om veel geld.
x
Het betreft vaak contracten voor langere tijd.
x
Gemeenten hebben minder ervaring en deskundigheid dan de leveranciers.
Als voorbeeld geeft Budding de ontwikkeling van maatwerksoftware voor bepaalde beleidsterreinen. Sommige gemeenten zijn hierdoor in de problemen gebracht, doordat het kostenbudget ruimschoots is overschreden en er geen werkbaar product is opgeleverd (hetzij door grote problemen tijdens het ontwikkelproces, danwel door opzegging van de contractrelatie met de leverancier omdat deze niet bleek te kunnen voldoen aan de gestelde eisen). De afhankelijkheid van de gemeenten van een zeer beperkt aantal leveranciers vormt hierbij een struikelblok. ISO 31000 De organisatie van de verslaggeving bij gemeenten is een knelpunt door de scheiding tussen de financiële functie en de beleidsfunctie. Dit geldt ook voor risicomanagement. De samenhang ontbreekt tussen de beleidsfunctie (bepalen van de doelstellingen) en de ILQDQFLsOHIXQFWLHEHQRHPHQYDQGHULVLFR¶V (HQRSWLPDOHVLWXDWLHLVGDWGHEHOHLGVIXQFWLH GHGRHOVWHOOLQJHQpQGHULVLFR¶VIRUPXOHHUWHQYHUYROJHQVGHILQDQFLsOHIXQFtie daarop een beoordeling uitvoert en zonodig kritische vragen stelt. Budding schetst een voorbeeld van een onderzoek in 2008 van twee risico-instrumenten bij een grote gemeente. Het bleek dat alleen stafmedewerkers ze hanteerden, terwijl ze voor de managers in de lijnorganisatie waren bedoeld. Dit leidde dus niet tot het beoogde doel: risicobewustzijn in de gehele organisatie, waardoor de medewerkers actief en integraal ULVLFR¶V]RXGHQmanagen. Het bovenstaande sluit niet aan met de volgende principes van ISO 31000: x
Het is een integraal onderdeel van de bedrijfsprocessen.
x
Het is systematisch, gestructureerd en tijdig.
Patrick Schouten
Risicomanagement
116
Budding vindt de kwaliteit van het personeel van belang voor de kwaliteit van het risicomanagement. Kleine gemeenten kunnen relatief makkelijk risicobewustzijn creëren, maar het aantrekken van kwalitatief goed personeel is voor hun lastig. Een toenemende omvang van de organisatie heeft volgens Budding een negatieve invloed op de kwaliteit van het risicomanagement, doordat dit leidt tot meer afdelingen en organisatielagen. Als gevolg van de hogere salarissen werken bij provincies meer academici dan bij gemeenten. Die hebben in principe een hoog kennisniveau, maar doordat zij lang bij de provincies in dienst blijven, ontstaat een gebrek aan doorstroming en door de periodieke salarisverhoging ook een verkrapping van het personeelsbestand (minder medewerkers). Budding refereert aan een onderzoek waaruit gebleken is dat de ideale grootte van een gemeente 43.000 inwoners is. Daarboven wordt een gemeente steeds inefficiënter. Hij is van mening dat bij gemeenten met meer dan 20.000 inwoners risicomanagement goed te organiseren is. Bij kleinere gemeenten is dit moeilijker. Het belang van de kwaliteit van de medewerkers sluit aan bij het volgende principe van ISO 31000: Risicomanagement houdt rekening met menselijke en culturele omstandigheden Budding vindt de risico-inschatting een lastig punt. Hij vindt een nadeel van het berekenen van het risico door de verwachte kans te vermenigvuldigen met de geschatte impact, dat bij het optreden van het risico de impact 100% is in plaats van het verwachte kanspercentage. Een alternatieve methode is het berekenen van het risico door een normbedrag per inwoner te bepalen en in aanvulling daarop periodiek te beoordelen of het weerstandsvermogen YROGRHQGHLVRPGHLPSDFWYDQGHULVLFR¶VRSWHYDQJHQ'LWbespaart tijd, maar een nadeel is dat de risicofactoren daardoor mogelijk niet volledig onderkend worden (stapeling van ULVLFR¶V . Risico-inschatting is één van de processtappen die ISO 31000 onderkent. Verschillen tussen de publieke en de private sector De belangrijkste verschillen tussen organisaties in de publieke sector enerzijds en de private sector anderzijds zijn volgens Budding: x
Politieke druk In de publieke sector is vaak sprake van politieke wenselijkheid van het project. Daarom worden, voorafgaand aan de besluitvorming door de gemeenteraad, daaraan QLHWDOOHGRRUGHDPEWHQDUHQRQGHUNHQGHULVLFR¶VJHPHOGHQGHLPSDFWYDQwel JHPHOGHULVLFR¶Vgebagatelliseerd. Dit verhoogt namelijk de kans op goedkeuring van het projectvoorstel aanzienlijk.
Patrick Schouten
Risicomanagement
117
x
Afrekenen op fouten $OVWLMGHQVGHXLWYRHULQJYDQKHWSURMHFWULVLFR¶VRSWUHGHQGDQwordt in de publieke sector het project in bijna alle gevallen niet meer gestopt, zowel uit electoraal oogpunt (prestigeproject) als ook vanwege de geaccepteerdheid van deze werkwijze. In de publieke sector blijkt wanbeleid van bestuurders zelden te leiden tot ontslag (en nog veel minder vaak tot persoonlijke aansprakelijkstelling), zelfs niet als aantoonbaar is dat ze bijtijds wisten of hadden kunnen weten dat ze verwijtbaar handelden.
x
Wettelijk kader Voor de publieke sector geldt een wettelijk kader. Dit is volgens Budding goed, maar er moet actiever met het instrument risicomanagement worden omgegaan, zowel in woorden als in daden. Hij ziet hierbij een aanjagende rol voor de VNG en het IPO, onder andere voor uitwisseling van kennis en ervaring, benchmarking en het stimuleren van ³elkaar helpen´.
Patrick Schouten
Risicomanagement
118
B IJ L A G E 4:
E nquêteresultaten
Patrick Schouten
Risicomanagement
119