nota Strategisch risicomanagement
DEFINITIEF November 2010
tbe/KD09002755
1
November 2010
Nota Strategisch Risicomanagement definitief
Colofon
Uitgave Gemeente Eindhoven Datum November 2010
-2-
November 2010
Nota Strategisch Risicomanagement definitief
Inhoudsopgave
Inhoudsopgave......................................................................................................3 Inleiding 4 1 1.1 1.2 1.3 1.4 1.5
Risicomanagement 5 Inleiding 5 Definities 5 Doelstellingen risicomanagement 7 Wat levert risicomanagement op? 8 Randvoorwaarden risicomanagement
2 2.1 2.2 2.3 2.4 2.5 2.6
Risicomanagement aanpak 9 Risicomanagement proces 9 Gemeentebrede aanpak 10 Verantwoordelijkheids- en bevoegdheidsverdeling 11 Actueel houden van het risicoprofiel 13 Risicomanagement in relatie tot het weerstandsvermogen 14 Risicomanagement in relatie tot het verbijzonderde interne controleplan, 213aonderzoeken en juridische zaken 15
3 3.1 3.2
Ontwikkelpad 16 Korte termijn (2010-2011) 16 Lange termijn (2012-2015) 18
8
Bijlage 1 Bepalen impact en waarschijnlijkheid van het risico....................19
-3-
November 2010
Nota Strategisch Risicomanagement definitief
Inleiding
Binnen de private en publieke sector is sprake van toenemende aandacht voor de beheersing van risico’s. Hiervoor is een aantal oorzaken aan te wijzen, zoals rampen die hebben plaatsgevonden, kostenoverschrijdingen van grote projecten en een reeks van schandalen. Een andere ontwikkeling is dat van organisaties wordt geëist dat zij hun doelstellingen expliciet maken én realiseren, terwijl ze daarbij in toenemende mate met onzekerheden te maken krijgen. Om die reden is er behoefte aan een raamwerk, waarbinnen risico’s kunnen worden geïdentificeerd, beoordeeld en beheerst. Risicomanagement is geen volledig nieuw begrip binnen de gemeente Eindhoven. Ook nu wordt op een aantal plekken binnen de organisatie al dan niet impliciet of expliciet risico’s geïdentificeerd en beheerst. Dit vindt alleen niet plaats vanuit een uniform kader. Hier bestaat ook binnen de gemeente Eindhoven behoefte aan het op een gestructureerde manier omgaan met risico’s. Risicomanagement is één van de tools om in control te komen. De verantwoordelijkheid hiervoor ligt bij het management, de ondersteuning bij de controller. Risicomanagement is een buitengewoon nuttig instrument dat ingezet kan worden om risico’s efficiënter en effectiever te beheersen en organisatiedoelstellingen te realiseren. Onbewust gebeurt er al veel op dit terrein binnen de gemeente Eindhoven. Het expliciet op de kaart zetten van risicomanagement draagt bij aan het risicobewustzijn van het management en geeft managers meer mogelijkheden proactief te sturen op risico’s. In het eerste hoofdstuk van deze notitie wordt beschreven, op welke wijze risicomanagement ingericht wordt binnen de gemeente Eindhoven. Gestart wordt met het theoretisch kader. Wat houdt risicomanagement in, wat zijn de doelstellingen en welke randvoorwaarden belangrijk zijn. In hoofdstuk 2 wordt de risicomanagement aanpak van de organisatie beschreven. Hierin wordt beschreven welke rollen en verantwoordelijkheden een ieder heeft en welke plek risicomanagement in de organisatie heeft. Tenslotte wordt in het laatste hoofdstuk een ontwikkelpad gegeven. Beschreven wordt wat we op de korte termijn willen bereiken en wat risicomanagement op de lange termijn zal inhouden voor de organisatie.
-4-
November 2010
Nota Strategisch Risicomanagement definitief
1
Risicomanagement
1.1
Inleiding
Organisaties willen iets bereiken. Het proces om de beoogde doelstellingen te realiseren is onzeker: er zijn risico’s die realisatie van doelstellingen in de weg kunnen staan. Van een professionele organisatie mag worden verwacht dat zij de risico’s tijdig onderkent en zo goed mogelijk probeert te beheersen. Gebeurtenissen van de laatste jaren laten zien hoe belangrijk het is dat bekend is hoe de gemeente er voor staat wat betreft risico’s. Er zijn veel voorbeelden van gemeenten die geconfronteerd werden met onvoorziene risico’s met grote financiële consequenties. Een in het oog springend voorbeeld is de Noord-Zuidlijn in Amsterdam. Dergelijke grote projecten en hiermee samenhangende risico’s kunnen een aanzienlijk effect hebben op de financiële beleidsvrijheid van de gemeente maar ook op het imago en de inrichting van de (project)organisatie. Reden te meer om als gemeente Eindhoven hieraan invulling te geven. Het doel van deze nota is hier concrete invulling aan te geven. Hieronder wordt allereerst een aantal begrippen gedefinieerd waarna het raamwerk voor risicomanagement binnen de gemeente Eindhoven wordt geschetst.
1.2
Definities
Risicomanagement is het continue proces van risico’s identificeren en kwantificeren, het ontwikkelen van optimale maatregelen om risico’s te beheersen, (het toezien op) de naleving van de getroffen maatregelen en het regelmatig actualiseren van risico’s en de bijbehorende risicobeheersing. Risicomanagement is niet koste wat kost risico’s vermijden, soms is het bewust accepteren van een risico de meest optimale beheersingmaatregel. Risicomanagement verschaft, wanneer goed uitgevoerd, een organisatie de mogelijkheid optimaal om te gaan met onzekerheden en dus ook de mogelijkheid om de voordelen te benutten die onzekerheden soms bieden. Risicomanagement wordt cyclisch ingezet voorafgaand aan en tijdens de processen die worden uitgevoerd om doelstellingen te realiseren. Beheersmaatregelen zijn activiteiten die de kans op het optreden van risico’s dan wel de gevolgen van risico’s beïnvloeden. Een risico is het gevaar van schade of verlies als gevolg van interne of externe omstandigheden. Het volgende is hierbij belangrijk:
-5-
November 2010
Nota Strategisch Risicomanagement definitief
b b
b
nagenoeg elke activiteit kent risico’s. Het is praktisch ondoenlijk met alle risico’s rekening te houden. de bandbreedtes van risico’s zijn vaak groot: sommige gebeurtenissen kunnen extreem grote schade veroorzaken terwijl de kans op vóórkomen uiterst gering is (het omgekeerde komt overigens ook voor). risico’s blijven vaak onbewust buiten beeld, terwijl zij de beoogde gang van zaken belemmeren. Risico’s vragen om expliciete aandacht.
Risico’s kunnen op verschillende manieren van elkaar worden onderscheiden. Denk hierbij bijvoorbeeld aan een verdeling in interne, externe en politieke risico’s. Bij interne risico’s gaat het onder andere om: b mogelijke schade door verkeerde inzet van productiemiddelen, als gevolg van arbeidsconflicten, niet onderkende integriteitrisico’s, reorganisaties, niet onderkende financieringsrisico’s en garantstellingen, onjuist verlopen aanbestedingen, hogere inkoopprijzen dan verwacht, wegvallen inkomstenbronnen (bijvoorbeeld externe financiers), enzovoort; b schade ontstaan bij productieprocessen als gevolg van technische problemen bij het produceren, gebrekkige kwaliteit van de producten en problemen in bedrijfsvoeringprocessen, zoals automatisering; b schade door onjuist bestuurlijk handelen, bijvoorbeeld als gevolg van claims vanwege gemeentelijke regelgeving (bijvoorbeeld belastingregels of subsidieregels), enzovoort; b risico’s ten aanzien van het onjuist of niet toepassen van de wet- en regelgeving (rechtmatigheid). Naast deze interne risico’s loopt de gemeente externe risico’s, zoals: b conjunctuurschommelingen veroorzaken onzekerheden zowel met betrekking tot inkomsten (onroerende zaakbelasting, toeristenbelasting, gemeentefonds) als uitgaven (bijstandsuitkeringen, e.d.). Het risico is dus dat de conjunctuur lager zal zijn dan verwacht, denk hierbij bijvoorbeeld aan de kredietcrisis; b exogene maatschappelijke ontwikkelingen en regelgeving van hogere overheden vormen risico’s, want kunnen leiden tot extra kosten voor de gemeente. Tot slot zijn er de beleidsmatige of politieke risico’s: imagoschade veroorzaakt door het handelen van bestuurders, omdat voor het resultaat van dat handelen onvoldoende maatschappelijk draagvlak blijkt te bestaan. Denk hierbij ook aan risico’s welke ontstaan bij het aftreden van het college of een politieke crisis.
-6-
November 2010
Nota Strategisch Risicomanagement definitief
1.3
Doelstellingen risicomanagement
Met het implementeren van risicomanagement wordt een aantal zaken beoogd: b
Inzicht krijgen in de strategische risico’s die de gemeente Eindhoven loopt en daarmee het risicobewustzijn te stimuleren. Dit doel is gericht op het in kaart brengen van de risico’s van de gemeente Eindhoven. Er moet meer inzicht komen in mogelijke gebeurtenissen die negatieve gevolgen voor de gemeente met zich meebrengen. Het gaat hierbij niet alleen om risico’s met financiële gevolgen maar ook om inzicht in niet-financiële gevolgen (bijvoorbeeld op politiek, imago of veiligheidsvlak). Inzicht in de risico’s die de gemeente loopt, begint bij het risicobewustzijn van de medewerkers in de organisatie. Als zij risicobewust zijn in hun dagelijkse werkzaamheden kan proactief worden ingespeeld op de risico’s door het op tijd nemen van passende beheersmaatregelen.
b
Onderbouwing berekening weerstandsvermogen Deze doelstelling richt zich op de wettelijke verplichting die voortvloeit uit de BBV. De gemeente dient een inventarisatie van de risico’s en de beschikbare weerstandscapaciteit te maken en bovendien beleid omtrent de weerstandscapaciteit en de risico’s te voeren.
b
Vermindering van het negatieve effect van risico’s op het bestaande beleid en de kwaliteit van de bestaande voorzieningen. Om dit doel te bereiken is eerst inzicht in de risico’s noodzakelijk. Deze doelstelling hangt zodoende nauw samen met bovenstaande doelstelling. Pas als er inzicht is in de risico’s kunnen deze ook beheerst worden zodat ze zo weinig mogelijk effect hebben op de uitvoering van het bestaande beleid en voorzieningen.
b
Optimaliseren van interne beheersing als onderdeel van integraal management Het managen en beheersen van risico’s maakt deel uit van het integrale management. Risicomanagement is één van de instrumenten die hiervoor beschikbaar is. Risicomanagement kan een bijdrage leveren aan: - Het stellen van prioriteiten Door het uitvoeren van een risicoanalyse ontstaat inzicht in de belangrijkste, meest risicovolle onderwerpen. Hierdoor kunnen vragen worden beantwoord als: aan welke onderdelen moet meer aandacht besteed worden? - Het ondersteunen van een beslissing Het uitvoeren van een risicoanalyse kan helpen om te komen tot de keuze voor bijvoorbeeld een alternatief, een bepaalde contractvorm of een strategie. - Het kwantitatief onderbouwen van de marges in een raming, planning of businesscase In dit geval wordt een risicoanalyse gebruikt om de haalbaarheid van de planning, de raming of businesscase aan te tonen.
-7-
November 2010
Nota Strategisch Risicomanagement definitief
1.4 b
b
b
b
b
1.5
Wat levert risicomanagement op? Risicomanagement draagt bij aan het vergroten van risicobewustzijn van de organisatie. Het draagt bij aan het reduceren van risico’s waaraan de organisatie blootstaat en daarmee aan de vermindering van de hoeveelheid middelen die nodig is om de gevolgen van risico’s af te dekken; Risicomanagement biedt inzicht en overzicht in de risico’s van de organisatie (en de projecten). Het leidt tot een keuze voor beheersmaatregelen die de sturing en beheersing van de organisatie en van de projecten versterkt; Concrete verbeterplannen voor sectoren of onderdelen hiervan of voor het halen van projectdoelstellingen. Risicomanagement draagt bij aan het realiseren van de doelstellingen. Een belangrijk onderdeel van risicomanagement is het weerstandsvermogen. Door risico’s in kaart te brengen binnen de gemeente en maatregelen te treffen ter beheersing van deze risico’s kan het noodzakelijke weerstandsvermogen nauwkeuriger worden bepaald. Risicomanagement biedt informatie die de besluitvorming op zowel bestuurlijk als ambtelijk niveau ondersteunt. Risico’s kunnen hierdoor explicieter worden meegewogen in de besluitvorming bijvoorbeeld over nieuwe projecten of beleidsontwikkelingen.
Randvoorwaarden risicomanagement
Om risicomanagement succesvol te laten worden binnen de gemeente Eindhoven is het belangrijk dat aan onderstaande randvoorwaarden wordt voldaan. b Één van de belangrijkste voorwaarden om risicomanagement succesvol binnen de organisatie te ontwikkelen is commitment van de Directieraad; b Risicomanagement moet zoveel mogelijk aansluiten bij de bestaande werkwijze binnen de organisatie. Dit betekent in eerste instantie dat de risico’s expliciet aan de orde moeten komen binnen de bestaande organisatie- en rapportagestructuur; b Risicomanagement volgt de zeggenschap. Dit betekent dat de verantwoordelijkheid voor een risico daar ligt waar ook de verantwoordelijkheid ligt van het werk waar het risico betrekking op kan hebben. Met andere woorden, iedereen is verantwoordelijk voor het signaleren en treffen van maatregelen voor de risico’s die binnen de eigen verantwoordelijkheid vallen. De uiteindelijke eindverantwoordelijkheid voor risico’s ligt bij het management; b Essentieel is dat er bereidheid is om open over risico’s te communiceren. Die bereidheid moet er zijn op alle niveaus waarop gesproken wordt over eventuele risico’s. Een louter op afrekenen gerichte cultuur zou van negatieve invloed kunnen zijn op een goed functionerend risicomanagement, vooral omdat tijdigheid hierbij van groot belang is. En dan gaat het niet alleen om tijdige kennis van risico’s en de genomen maatregelen, maar ook tijdige kennis, op alle ambtelijke en bestuurlijke niveaus, in het geval een risico zich manifesteert en de beheersmaatregelen niet afdoende blijken te zijn
-8-
November 2010
Nota Strategisch Risicomanagement definitief
2
Risicomanagement aanpak
Naar aanleiding van een eerste startnotitie is in de eerste helft van 2010 een pilot uitgevoerd op het gebied van risicomanagement. Deze pilot is uitgevoerd bij de sector Grond en Vastgoed en bij het gemeentebrede inkoop- en aanbestedingsproces. De pilot heeft geresulteerd in een gemeentebrede aanpak voor strategisch risicomanagement. Deze aanpak is gebaseerd op de in de startnotitie1 beschreven COSO-methodiek en wordt in dit hoofdstuk beschreven. De aanpak is toepasbaar op sector- proces en projectniveau.
2.1
Risicomanagement proces
Uitvoering risicoanalyse Voor de risicoanalyse zijn verschillende methodes beschikbaar, die echter vijf generieke stappen met elkaar gemeen hebben. Onderstaand worden deze stappen kort toegelicht. b
b
b
b
b
1
Risico’s identificeren Het op gestructureerde wijze identificeren van mogelijke toekomstige gebeurtenissen die van invloed zijn op het behalen van de doelstellingen, het duidelijk formuleren van deze gebeurtenissen in de vorm van risico’s en het vaststellen van de oorzaken van deze risico’s. Risico’s beoordelen Het beoordelen van de waarschijnlijkheid en de impact van risico’s vóór en na beheersing. (zie bijlage 1) Beheersmaatregelen in kaart brengen Selecteren en implementeren van gewenste reactie op geïdentificeerde risico’s. Er is een viertal generieke reacties mogelijk: vermijden, overdragen, beheersen of accepteren. Voor het beoordelen van de risico’s na beheersing dient de effectiviteit van de beheersmaatregelen te worden beoordeeld. Deze beoordeling van de beheersmaatregelen vormt aldus een onlosmakelijk onderdeel van de risicoanalyse. Risico’s beheersen Het in continuïteit bewaken van de risico’s en de achterliggende oorzaken en het observeren van mogelijke veranderingen daarin, met inbegrip van de werking van de beheersmaatregelen. Rapporteren en monitoren Het rapporteren over de oorzaak, aard en omvang van risico’s, de effectiviteit van de beheersmaatregelen en veranderingen daarin. De rapportage gebeurt zowel binnen vaste vooraf bepaalde structuren (richting, tijd, format) als op ad-hoc basis op de wijze en in de vorm zoals op dat moment nodig geacht.
Startnotitie risicomanagement juli 2009
-9-
November 2010
Nota Strategisch Risicomanagement definitief
Het risicoprofiel wordt vervolgens regelmatig geëvalueerd, ook wordt het effect van de genomen beheersmaatregelen gemeten en geëvalueerd. In de figuur hieronder is dit proces schematisch weergegeven.
2.2
Gemeentebrede aanpak
De eerste 4 stappen van bovenbeschreven risicoanalyse worden per sector doorlopen tijdens twee workshops van 2 uur. Tijdens de eerste workshop worden door sleutelfiguren uit de sector, het proces of een project (6 tot 10 mensen) de belangrijkste risico’s geïdentificeerd en beoordeeld (stap 1 en 2). Tijdens de tweede workshop worden de beheersmaatregelen gedefinieerd voor die risico’s die als hoog zijn geclassificeerd (stap 3 en4). Het resultaat van de twee workshops is een strategisch risicodocument op sectorniveau. De workshops worden gefaciliteerd door de afdeling Internal Control van de sector Control. Aan de 5e stap het monitoren en rapporteren over de risico’s worden aan het eind van de tweede workshop afspraken gemaakt. Dit kan bijvoorbeeld door de resultaten van de workshops op te nemen in de sector, afdelings- of projectplannen. Daarnaast wordt de status van de beheersmaatregelen periodiek besproken in het overleg tussen sectorhoofd/projectleider en directieraad, afdelingshoofd/projectleider en sectorhoofd en in het periodieke overleg tussen de gedeconcentreerde adviseur van Control en het sectorhoofd.
- 10 -
November 2010
Nota Strategisch Risicomanagement definitief
Ten minste één maal per jaar zal door de betrokkenen worden nagegaan of de risico’s zoals op genomen in het strategisch risicodocument nog actueel zijn en of er nieuwe risico’s zijn. Dit vindt plaats tijdens een workshop die wordt gefaciliteerd door de afdeling Internal Control van de Sector Control.
2.3
Verantwoordelijkheids- en bevoegdheidsverdeling
Net als de verantwoordelijkheid voor de gemeentelijke bedrijfsvoering valt ook risicomanagement onder de integrale verantwoordelijkheid van het College. Het College van B&W is uiteindelijk verantwoordelijk voor alle gemeentelijke doelstellingen en de risico’s die hiermee gepaard gaan en de bijbehorende acties die worden ondernomen om deze te beheersen. Risicomanagement is een vorm van integraal management wat inhoudt dat ‘de lijn’ verantwoordelijk is voor de realisatie van de doelstellingen en de risico’s die hiermee samenhangen. Voor de gemeente Eindhoven komt dat er op neer dat de sectoren verantwoordelijk zijn voor die risico’s die binnen de sector gelopen worden. Dit werkt door tot op afdelings- en projectniveau. Dit is een logische benadering gezien het feit dat de risico’s zich veelal functioneel, taakafhankelijk op afdelingsniveau uiten. Op dit niveau zijn de risico’s dan vaak ook eerder inzichtelijk te maken, en op dit niveau dienen ook de maatregelen geïmplementeerd te worden. b Gemeenteraad De gemeenteraad stelt de kaders en het college voert het beleid uit binnen de gestelde kaders. De gemeenteraad controleert vervolgens in hoeverre de uitvoering van het beleid door het college binnen de vastgestelde kaders heeft plaatsgevonden en of hierin voldoende rekening is gehouden met de aanwezige risico’s. Op het gebied van risicomanagement zijn de volgende kaders van belang: de paragraaf weerstandsvermogen en de risicoparagraaf in de jaarrekening en de risicobijlage in de programmabegroting. In het beleid kunnen gemeenteraad en college overeenkomen welke informatie de raad wanneer en op welke wijze wil hebben. Zo kan worden vastgelegd welke tussentijdse mutaties, inhoudelijk en financieel, op de plannen aan de gemeenteraad worden voorgelegd. b Het College van Burgemeester en Wethouders Het College is uiteindelijk eindverantwoordelijk voor de bedrijfsvoering van de gemeente Eindhoven en daarmee voor al haar beleid en bijkomende risico’s. Jaarlijks wordt de weerstandsparagraaf in de begroting opgesteld (zie §2.5). Daarnaast dient het College ervoor te zorgen dat de doelstellingen van risicomanagement worden bereikt. Het College dient bij elk voorstel na te gaan wat de belangrijkste risico’s zijn en dit te rapporteren aan de Raad zodat zij op de hoogte is van de risico’s die het realiseren van
- 11 -
November 2010
Nota Strategisch Risicomanagement definitief
de beleidsdoelstellingen in de weg kunnen staan. Het College heeft op basis van haar actieve informatieplicht de verantwoordelijkheid de Raad hierover te informeren. b Directieraad De Directieraad is integraal verantwoordelijk voor het strategische risicomanagement en daarmee voor het gehele risicoprofiel van de gemeente Eindhoven. Vanuit deze verantwoordelijkheid bepaalt de Directieraad de prioriteiten en de planning en zorgt zij ervoor dat bewust wordt omgaan met risico’s en dat risicomanagement gemeentebreed wordt gestimuleerd. Tevens dient de Directieraad te sturen op de meest urgente risico’s binnen de gemeente en is zij verantwoordelijk voor het realiseren en toepassen van de gedefinieerde beheersmaatregelen. Ieder lid van de Directieraad bespreekt met de sectorhoofden en/of projectleiders binnen zijn portefeuille periodiek de stand van zaken ten aanzien van het risicoprofiel van de sectoren en projecten. De uitvoering van strategisch risicomanagement wordt geborgd via de managementcontracten. b Sectorhoofden Het sectorhoofd is eindverantwoordelijk voor alle risico’s die binnen de afdelingen van de eigen sector bestaan. Het sectorhoofd moet zelf tijdig eventuele risico’s onderkennen en passende maatregelen nemen. Periodiek bespreekt het sectorhoofd de risico’s binnen de sector met de afdelingshoofden, waarbij beoordeeld wordt in hoeverre de beheersmaatregelen toereikend zijn. Daarnaast bespreekt het sectorhoofd de risico’s ook periodiek met de verantwoordelijke portefeuillehouder in de Directieraad. Het sectorhoofd vult de afdelingsrisico’s aan met eventuele afdelingsoverstijgende risico’s, die zich binnen de sector kunnen manifesteren. Het sectorhoofd dient er verder voor zorg te dragen dat het risicobewustzijn binnen de sector wordt gestimuleerd. Het sectorhoofd neemt de belangrijkste risico’s en bijbehorende beheersmaatregelen (en de acties die leiden tot realisatie van die maatregelen) op in het sectorplan. b Afdelingshoofden Het afdelingshoofd is verantwoordelijk voor de risico’s die zich voordoen binnen de eigen afdeling. De inventarisatie van risico’s start bij het afdelingshoofd die de risico’s beoordeelt tegen de achtergrond van de actuele ontwikkelingen en inzichten van het komende begrotingsjaar. Het afdelingshoofd kwantificeert de risico’s en draagt zorg voor communicatie van de risico’s binnen de afdeling en richting het sectorhoofd. Periodiek actualiseren de afdelingshoofden hun risico-overzichten ten behoeve van de verschillende rapportages (bijvoorbeeld afdelingsplan, begroting, jaarverslag, tussentijdse rapportages). Hierbij worden ook passende beheersmaatregelen ontworpen. Het afdelingshoofd is tevens verantwoordelijk voor het toepassen van deze beheersmaatregelen.
- 12 -
November 2010
Nota Strategisch Risicomanagement definitief
Projectmanager De projectmanager is verantwoordelijk voor alle risico’s die zich binnen het eigen project voordoen. De projectleider moet zelf tijdig eventuele risico’s onderkennen en passende maatregelen nemen. Periodiek bespreekt de projectleider de risico’s binnen het projectteam met de deelprojectleiders, waarbij wordt beoordeeld in hoeverre de beheersmaatregelen toereikend zijn. Daarnaast bespreekt de projectleider de risico’s ook periodiek met het sectorhoofd en/of de verantwoordelijke portefeuillehouder in de Directieraad. Voor projecten dient de risicorapportage aan te sluiten bij de belangrijke mijlpalen en beslismomenten van het project.
b Risicomanagementcoördinator Risicomanagement is vanuit de gedachte van integraal management een zaak van het management van de verschillende onderdelen van de organisatie. De regie op het gebied van risicomanagement ligt bij de concerncontroller. Om risicomanagement effectief te implementeren is een risicomanagementcoördinator aanwezig die toeziet op de gemaakte afspraken en die de sectoren en projecten ondersteunt bij hun taken op een voor hen nieuw vakgebied. De taak van risicomanagementcoördinator is bij de sector Control binnen de afdeling Internal Control/Stadspleinen ondergebracht. De taken van de risicomanagementcoördinator zijn: b Het faciliteren van de organisatie om op uniforme wijze risico’s te identificeren en te beoordelen. b Periodiek samenvoegen van de risico’s van alle sectoren en projecten tot een gemeentebreed strategisch risicodocument. b Fungeren als centraal aanspreekpunt in de organisatie op het gebied van Risicomanagement. Tevens tracht de coördinator het risicobewustzijn in de organisatie te verhogen. b Constateren of in de organisatie risicomanagement naar behoren verloopt, helpen de mogelijke problemen op te lossen en/of deze problemen aan de orde te stellen.
2.4
Actueel houden van het risicoprofiel
Op bestuursniveau moeten relevante risico´s ook worden meegenomen in de afwegingen. In b&w- en raadsvoorstellen moet daarvoor, waar dat van toepassing is, aandacht besteed worden aan de risico’s van het voorstel. In de dossiertoetsing door de gedeconcentreerde adviseur van de sector Control dient hier ook aandacht voor te zijn. Met name in de paragraaf kanttekeningen moet aandacht besteed worden aan de risico’s van het betreffende dossier. Bij het bepalen van de risico’s van het voorstel moeten steeds drie stappen worden doorlopen: b identificatie van risico’s
- 13 -
November 2010
Nota Strategisch Risicomanagement definitief
b b
analyse en beoordeling van risico’s beheersing van risico’s
In het dossier worden de uitkomsten gerapporteerd, zodanig dat het college en de raad zich een oordeel kunnen vormen over de risico´s en de voorgestelde wijze van afdoening of beheersing. Indien bovenstaande afweging hier aanleiding toe is, dient het risicoprofiel van de sector hierop aangepast te worden.
2.5
Risicomanagement in relatie tot het weerstandsvermogen
Risicomanagement en weerstandsvermogen zijn nauw met elkaar verbonden. Het weerstandsvermogen staat in artikel 11 van de BBV als volgt gedefinieerd: 1. Het weerstandsvermogen bestaat uit de relatie tussen: a. de weerstandscapaciteit, zijnde de middelen en mogelijkheden waarover de provincie onderscheidenlijk gemeente beschikt of kan beschikken om niet begrote kosten te dekken; b. alle risico's waarvoor geen maatregelen zijn getroffen en die van materiële betekenis kunnen zijn in relatie tot de financiële positie. 2. De paragraaf betreffende het weerstandsvermogen bevat ten minste: a. een inventarisatie van de weerstandscapaciteit; b. een inventarisatie van de risico's; c. het beleid omtrent de weerstandscapaciteit en de risico's. De hoogte van het weerstandsvermogen is daarmee het sluitstuk van het risicomanagementproces. Het is immers de buffer voor niet voorziene financiële risico’s. Het berekenen van het weerstandsvermogen is een complexe, technische aangelegenheid, waarbij niet alle risico’s die zijn geïdentificeerd kunnen en hoeven te worden gekwantificeerd. Tot nu toe gebruikt Eindhoven bij de bepaling van het weerstandsvermogen geen model maar wordt elk jaar aan de hand van de risicoparagraaf de ontwikkeling van het weerstandsvermogen bepaald. Op termijn is het uiteraard de bedoeling dat de koppeling tussen de resultaten van het risicomanagementproces en het weerstandsvermogen worden gelegd. Daarvoor is nodig dat risicomanagement gemeentebreed is uitgerold. Als dit het geval zullen de risicoprofielen van alle sectoren leiden tot een gemeentebreed risicoprofiel. Dit laatste vormt vervolgens input voor het jaarlijks bepalen van het weerstandsvermogen.
- 14 -
November 2010
Nota Strategisch Risicomanagement definitief
2.6
Risicomanagement in relatie tot het verbijzonderde interne controleplan, 213a-onderzoeken en juridische zaken
Het risicoprofiel van de gemeente Eindhoven vormt input voor het verbijzonderde interne controleplan, dat door de afdeling Internal Control opgezet en beheerd wordt. Via het instrument van verbijzonderde interne controle wordt vastgesteld of het management ook daadwerkelijk op (het voorkomen van) risico´s stuurt door het toepassen van de afgesproken beheersmaatregelen. De belangrijkste risico’s per sector zullen de belangrijkste controles zijn in de uit te voeren verbijzonderde interne controles binnen de sector. Binnen de afdeling Internal Control vinden ook de 213a onderzoeken plaats. Deze zijn op twee manieren verbonden met risicomanagement. Allereerst kunnen de gesignaleerde risico’s aanleiding vormen voor het college om een themaonderzoek in te stellen naar het betreffende beleid, proces of organisatieonderdeel. Ten tweede wordt bij de periodieke doelmatigheidsonderzoeken onderzocht hoe het risicomanagement bij een bepaald organisatieonderdeel wordt toegepast. In noodzakelijke gevallen zullen medewerkers van de sector Juridische Zaken worden betrokken bij de workshops risicomanagement om een bijdrage te leveren. Afstemming hierover vindt voorafgaand aan de workshop van elke sector plaats met de sector Juridische Zaken.
- 15 -
November 2010
Nota Strategisch Risicomanagement definitief
3
Ontwikkelpad
3.1
Korte termijn (2010-2011)
Voor de korte termijn is het doel ten aanzien van risicomanagement om het strategisch risicomanagement te introduceren binnen sectoren en (grote) projecten en/of thema’s. Concreet betekent dit voor een aantal sectoren en grote projecten een eerste risicoanalyse uit te voeren en een strategisch risicodocument op te stellen. Dit houdt in dat voor iedere geselecteerde sector of project twee workshops van 2 uur worden gehouden. Bij de workshop zijn de, in overleg met het sectorhoofd of de projectleider bepaalde medewerkers (ongeveer 8) aanwezig. Tussen de workshops zit ongeveer 2 weken. Voorafgaand aan de workshop is met iedere deelnemer een vooroverleg geweest van een halfuur waarin kort is aangegeven wat het doel is van de workshop en de aanpak. b Eerste workshop Tijdens de eerste workshop worden de eerste twee stappen van het risicomanagement proces doorlopen: het identificeren van de risico’s en het classificeren van de risico’s. De resultaten van de eerste bijeenkomst zijn vervolgens door de medewerkers van Control verwerkt in een verslag. b Tweede workshop Tijdens de tweede workshop wordt voor de risico’s die een hoge impact en een hoge kans hebben nagedacht over mogelijke beheersmaatregelen. Bij het bepalen van de beheersmaatregelen is rekening gehouden met enerzijds de mate waarin de sector of de proceseigenaar zelf in staat is invloed uit te oefenen op de beheersmaatregelen en anderzijds de mate waarin de beheersmaatregel bijdraagt aan de vermindering van het risico. Aan het einde van de tweede workshop is ook bekeken wat er met de resultaten van de workshops zal worden gedaan en hoe voorkomen kan worden dat het blijft bij de twee workshops. Het resultaat van de twee workshops is een strategisch risicodocument op sector/projectniveau met daarin voor de toprisico’s de bijbehorende te treffen maatregelen. 2010 Voor 2010 zullen in opdracht van de directieraad de volgende grote projecten/thema’s worden benaderd voor de workshop risicomanagement: - Huisvesting en digitalisering - Participatiebudget Daarnaast zullen onderstaande sectoren worden benaderd voor de workshops: Sector Zorg en Inkomen Sector Projectmanagement Sector Realisatie en Beheer
- 16 -
November 2010
Nota Strategisch Risicomanagement definitief
2011 In 2011 volgen de overige sectoren. De ervaring tijdens de pilots heeft geleerd dat een tijdige inplanning bij de sectoren erg belangrijk is omdat agenda’s van betrokkenen erg vol zitten. Daar zal dus extra aandacht voor zijn. De planning zal vooraf worden afgestemd met de directieraad. Eventueel zal ook in 2011 weer een mix gemaakt worden van thema’s/projecten en sectoren. Twee thema’s/project zijn op dit moment al bekend: het aankoop- en verwervingsbeleid en het project Strijp S Belangrijk hierbij is dat er sprake is van een groeiproces. In eerste instantie is het met name belangrijk om het risicobewustzijn binnen de organisatie te vergroten. Nadat de cyclus voor de eerste keer is doorlopen binnen een sector/project zullen bij de tweede cyclus naar verwachting de resultaten van de eerste cyclus kwalitatief kunnen worden aangescherpt. Ook zal op dat moment de relatie tussen de gesignaleerde risico’s en het noodzakelijke weerstandsvermogen worden gelegd. Op basis van deze strategische risicodocumenten per sector wordt een gemeentebreed risicodocument opgesteld. De tijdsbesteding per sector/project is als volgt: Medewerker
Rol
gedeconcentreerde medewerker P&C (sector Control) medewerker IC (sector Control)
Inventariseren strategische risico’s o.b.v. inhoudelijke kennis over de sector Bijwonen workshop Meedenken over risico’s o.b.v accountrol verbijzonderde IC Bijwonen workshop Coördineren pilot Voorbereiden workshop Bijwonen workshop Toezien op naleving voorgestelde methodiek Uitwerken resultaten workshop Evalueren pilot Bijwonen workshop Accorderen resultaten workshop Evalueren pilot Bijwonen workshop Voorbespreken en evalueren pilot
Risicomanagementcoördinator (sector Control)
Sectorhoofd/projectmanager
Afdelingshoofden (± 4) Beleidsadviseurs (± 4) Deelprojectleiders Projectcontroller
- 17 -
Benodigde tijd 4 uur 4 uur 4 uur 4 uur 8 uur 8 uur 4 uur 4 uur 8 uur 4 uur 1 uur 1 uur 4 uur 1 uur
November 2010
Nota Strategisch Risicomanagement definitief
3.2
Lange termijn (2012-2015)
Zoals beschreven in $2.5 is het op termijn de bedoeling dat de koppeling tussen de resultaten van het risicomanagementproces en het weerstandsvermogen worden gelegd. Daarvoor is nodig dat risicomanagement gemeentebreed is uitgerold. Als dit het geval zullen de risicoprofielen van alle sectoren leiden tot een gemeentebreed risicoprofiel. Dit laatste vormt vervolgens input voor het jaarlijks gemeentebreed bepalen van het weerstandsvermogen. In de toekomst zal ook in b&w- en raadsvoorstellen aandacht moeten zijn voor bijbehorende risico’s.
- 18 -
November 2010
Nota Strategisch Risicomanagement definitief
Bijlage 1 Bepalen impact en waarschijnlijkheid van het risico
Omvang van het risico (impact) Voor het bepalen van de omvang van het risico gaan we uit van een situatie dat het risico zich daadwerkelijk voordoet. Voor het inschatten van de omvang van het risico wordt de methode van intersubjectiviteit gehanteerd. Dit houdt in dat de keuze van de waarde wordt gebaseerd op consensus binnen een groep medewerkers die goed op de hoogte is van het organisatieonderdeel/het project. Voor het bepalen van de impact op de doelstellingen wordt de volgende indeling gehanteerd. Klasse
Impact
Imagobeeld
Referentiebeeld
1
Zeer klein
Enkele personen
Geen bedreiging voor de doelstellingen
2
Klein
Lokale pers
Minimale bedreiging voor de doelstellingen
3
50/50
Regionale pers
Bedreiging voor doelstellingen
4
Groot
Landelijke pers
Ernstige bedreiging voor doelstellingen
5
Zeer groot
Internationale pers
Zeer ernstige bedreiging voor doelstellingen
Waarschijnlijkheid dat het risico zich voordoet (kans) Voor het inschatten van de kans op het optreden van een risico wordt de volgende indeling gehanteerd. Klasse
Referentiebeeld
1
<1x per 10 jaar
2
1 keer per 5-10 jaar
3
1 keer per 2 -5 jaar
4
1 keer per 1-2 jaar
5
1 keer per jaar of meer
- 19 -
November 2010
Nota Strategisch Risicomanagement definitief
Indeling van de risico’s Als voor de risico’s de verwachte impact en kans zijn bepaald levert vermenigvuldiging hiervan de totale omvang van het risico op. Het gaat dus om een score van minimaal 1 en maximaal 25. Hierbij geldt hoe donkerder de kleur op de risicokaart, hoe groter de potentiële impact van het risico en hoe hoger de prioriteit om het risico aan te pakken. De risicokaart ziet er als volgt uit:
IMPACT 1
2
3
1
KANS
2
3
4
5
Risicoklasse Laag Gemiddeld Urgent
- 20 -
4
5
