RAAMWERK OF KOOI? Geschiktheid van ISO-31000 als instrument voor risicomanagement bij de Provinciale overheid
Drs. R.F.D. BOSMAN Maastricht, 9 december 2009 MBA-Controlling Business School Nederland
Begeleider: drs. J. van den Brink
RAAMWERK OF KOOI? Geschiktheid van ISO-31000 als instrument voor risicomanagement bij de Provinciale overheid
SAMENVATTING Organisaties worden steeds meer geconfronteerd met risico’s, die adequaat dienen te worden gemanaged, omdat hun stakeholders dat van ze verwacht. Dit geldt ook zeker voor de overheid. De overheid wordt in deze tijd sterk op haar functioneren aangesproken en er bestaat een groeiende onvrede over de prestaties van de overheid. Veranderend beleid,
gewijzigde
regelgeving,
prestatiecontracten,
decentralisatiediscussies,
marktwerking etc. Op alle niveaus en in alle bestuurslagen wordt gezocht naar een nieuwe, betere invulling van het functioneren van de overheid. Het onderzoek richt zich op het inzichtelijk maken en beoordelen van kritische succesfactoren
van
risicomanagement
bij
de
Provinciale
overheid
in
Nederland.
Verschillende ontwikkelingen zorgen ervoor dat voor de Provincies de aandacht voor het voeren van een gestructureerde, organisatiebrede aanpak van risicomanagement meer dan ooit gewenst is. De vraag dringt zich op hoe Provincies zich op een zo gestructureerd mogelijke manier risicomanagement eigen kunnen maken. Centraal daarbij staat niet alleen het ontwikkelen van risicomanagementbeleid, maar met name het beschikken over een geschikt instrument om haar processen, activiteiten en de hieraan verbonden risico’s te managen, zodat deze aansluiten bij de vastgestelde doelstellingen. Er zijn talloze modellen ontwikkeld om bedrijven en organisaties te helpen om risico’s te managen, een wildgroei aan verschillende systemen en risicoraamwerken is ontstaan. De tot dusver ontwikkelde modellen hebben met name betrekking op private organisaties. Voor Provincies verschilt de (politiek-bestuurlijke) context echter wezenlijk van dat van private organisaties. Er is nauwelijks onderzoek gedaan naar de toepassing van risicomanagement bij de Provinciale overheid in Nederland, met specifieke aandacht voor de invloed van de politiek-bestuurlijke context op het managen van risico’s. De doelstelling van dit onderzoek luidt: Inzicht krijgen in de geschiktheid van ISO-31000 als instrument voor risicomanagement bij de Provinciale overheid. De kritische succesfactoren zijn gebaseerd op de uitgangspunten van de eind 2009 te publiceren
richtlijn
voor
Risicomanagement;
ISO-31000.
ISO-31000
is
een
managementsysteem dat beschrijft wat een organisatie moet doen om de (risico)aspecten van haar processen en activiteiten te managen zodat de resultaten en uitkomsten aansluiten bij de vastgestelde doelstellingen.
Achtereenvolgens is literatuurstudie en veldonderzoek uitgevoerd. Hierbij zijn onder meer experts
op
het
gebied
van
risicomanagement
geïnterviewd.
Op
basis
van
dit
vooronderzoek blijkt dat met name cultuur- en structuuraspecten belangrijk zijn als kritische succesfactor voor een succesvolle toepassing van risicomanagement. Als kritische succesfactor voor risicomanagement bij Provincies dienen: 1. Verantwoordelijkheden met betrekking tot risicomanagement zijn belegd op strategisch, tactisch en operationeel niveau; 2. Er is sprake van een organisatiebreed risicobewustzijn, op zowel strategisch, tactisch en operationeel niveau; 3. Risicomanagement maakt onderdeel uit van (besluitvorming)processen; 4. Risicomanagement sluit aan bij de doelstellingen van de Provinciale organisatie.
Deze criteria zijn vervolgens getoetst door middel van enquêtes en interviews bij de Provincies. Op basis van het uitgevoerde onderzoek zijn de volgende algemene conclusies te trekken: 1. Risicomanagement wordt bij Provincies in toenemende mate aangestuurd vanuit een strategische visie en beleid op de functie van risicomanagement voor de organisatie,
zonder
dat
er
een
gestructureerde
organisatiebrede
aanpak
voorhanden is; 2. Risicomanagementprocessen
zijn
nog
onvoldoende
ingebed
in
de
managementstructuur en besluitvormingsprocessen van Provincies; 3. Risicomanagement wordt bij Provincies nog sterk traditioneel ingestoken vanuit een verplichte externe verantwoordingsbehoefte in de paragraaf Weerstandsvermogen; 4. Hoewel bij het merendeel van de Provincies de behoefte bestaat aan structurering van de versnipperde aanpak van risicomanagement, worden risico’s nog steeds gemanaged binnen afzonderlijke functionele gebieden; 5. Er ligt met name nadruk op de risico-inventarisatie en risicoanalyse en minder op de beheersing van de bijbehorende maatregelen. Samenvattend kan worden gesteld dat ISO-31000, met een expliciete koppeling van de uitgangspunten, raamwerk en proces van risicomanagement, in beginsel een geschikt instrument is voor een Provinciale toepassing van risicomanagement. De generieke opzet van ISO-31000 maakt het een geschikt instrument dat recht doet aan de verschillende fasen waarin Provincies op het gebied van risicomanagement staan. De
complexe
veranderende
besluitvormingsprocessen
van
externe
de
context
waarin
de
Provinciale
Provincies
zich
overheid bevinden,
en
de
maken
sterk een
organisatiebrede aanpak van risicomanagement noodzakelijk. Daarbij dient te worden voldaan aan de genoemde beoordelingscriteria.
VOORWOORD Verdieping en ontwikkeling in bedrijfskunde. Dat waren voor mij de belangrijkste drijfveren om 3 jaar geleden te starten met een Master of Business Administrationopleiding. De specialisatie Controlling was een logische; in mijn loopbaan staat met name het aandachtsgebied control centraal. De keuze voor het onderwerp van het afstudeeronderzoek, risicomanagement, bleek een actuele. De afgelopen jaren is het vakgebied risicomanagement immers volop in het nieuws. Ook het (mis)managen van risico’s bij de Provinciale overheid staat nogal eens ter discussie. De belangstelling voor de resultaten van het onderzoek, bevestigen het beeld dat in toenemende mate
behoefte bestaat aan een doordachte toepassing van
risicomanagement binnen Provincies. Ik hoop dat mijn onderzoek bijdraagt aan de discussie hierover. Inmiddels ben ik 3 jaar, 8 modules, 32 studieboeken, 5 risicomanagementseminars en 4 presentaties verder. En kan ik constateren dat de opleiding bij mij nu al een verdieping heeft opgeleverd op het gebied van bedrijfskunde. Graag wil ik mijn dank uitspreken aan een ieder die mij heeft geholpen danwel gemotiveerd bij het uitvoeren van dit onderzoek en het schrijven van deze rapportage en een aantal mensen in het bijzonder. Allereerst mijn begeleiders. Ik wil Robert ’t Hart danken voor zijn kritische reflectie en aanstekelijke enthousiasme. Veelvuldig en intensief was het contact; het heeft ervoor gezorgd dat er een prima match was tussen mijn kennis en ervaring bij de Provinciale overheid en zijn grote expertise op het vakgebied van risicomanagement. Daarnaast wil ik Joke van den Brink van het opleidingsinstituut bedanken voor de goede inhoudelijke en procesmatige begeleiding van het onderzoek. Dick Hortensius dank ik, als vertegenwoordiger van de normcommissie ISO-31000, voor het frequent informeren over ontwikkelingen op het gebied van de ISO-norm. Het
was
een
lang
en
intensief
traject.
Naast
een
full-time
baan
was
deze
(zater)dagopleiding dan ook een balans zoeken tussen opleiding en privé. Het was derhalve ook een belasting voor het thuisfront. De laatste woorden van het voorwoord zijn dan ook voor Rian, Thieme en Benthe. René Bosman Roermond, 29 september 2009
INHOUDSOPGAVE VOORWOORD SAMENVATTING 1 INLEIDING ..................................................................................................................... 1 1.1
Aanleiding ............................................................................................................1
1.2
Leeswijzer ............................................................................................................3
2
OPDRACHT EN ONDERZOEK........................................................................................... 5
2.1
Probleem- en doelstelling........................................................................................5
2.1.1
Probleemstelling ....................................................................................................5
2.1.2
Doelstelling...........................................................................................................5
2.2
Onderzoeksopzet ...................................................................................................6
2.2.1
Onderzoeksmodel ..................................................................................................6
2.2.2
Onderzoekstype ....................................................................................................7
2.2.3
Centrale vraagstelling ............................................................................................7
3
LITERATUURONDERZOEK ........................................................................................ 9
3.1
Inleiding...............................................................................................................9
3.2
Risico...................................................................................................................9
3.3
Risicomanagement............................................................................................... 10
3.4
Risicoraamwerk ................................................................................................... 12
3.5
ISO-31000 ......................................................................................................... 15
3.6 1. 2. 3. 4. 5.
Risicoagenda bij Provincies ................................................................................... 20 Economische crisis .................................................................................................. 22 Afroming van Rijksuitkeringen................................................................................... 23 Decentralisatiediscussies .......................................................................................... 24 Veranderde wetgeving ............................................................................................. 24 Nederlandse code voor goed openbaar bestuur ............................................................ 28
3.7
Risicomanagement bij Provincies ........................................................................... 29
3.8
Operationaliseren van begrippen............................................................................ 32
4 METHODOLOGIE ........................................................................................................... 35 4.1
Vooronderzoek .................................................................................................... 35
4.2
Te raadplegen bestaande bronnen.......................................................................... 36
4.3
Te raadplegen expert ........................................................................................... 38
4.4
Operationalisatie van begrippen ............................................................................. 38
4.5
Dataverzameling ................................................................................................. 41
4.6
Dataverwerking ................................................................................................... 41
4.7
Kwaliteit van dataverzamelingmethoden ................................................................. 42
5 RESULTATEN ................................................................................................................ 43 5.1
Inleiding............................................................................................................. 43
5.2
Uitgangspunten risicomanagement......................................................................... 44
5.3
Raamwerk risicomanagement ................................................................................ 49
5.4
Risicomanagement proces..................................................................................... 52
6 CONCLUSIES ................................................................................................................ 55 7 BRONNEN ..................................................................................................................... 59 7.1
Literatuur ........................................................................................................... 59
7.2
Methodische literatuur .......................................................................................... 61
7.3
Documenten ....................................................................................................... 61
BIJLAGEN ......................................................................................................................... 63 BIJLAGE 1. BEGELEIDENDE BRIEF ........................................................................................ 65 BIJLAGE 2. GEHANTEERDE VRAGENLIJST .............................................................................. 66 BIJLAGE 3. NEDERLANDSE NORMCOMMISSIE RISICOMANAGEMENT ......................................... 73 BIJLAGE 4. ARTIKEL ‘RISICOMANAGEMENT RUKT OP’ ............................................................. 75
1 INLEIDING Dit hoofdstuk heeft tot doel om de context te schetsen waarbinnen voorliggend onderzoeksverslag tot stand is gekomen (1.1). Daarna wordt in een leeswijzer de opbouw van de rapportage beschreven (1.2).
1.1 Aanleiding De overheid wordt in deze tijd sterk op haar functioneren aangesproken en er bestaat een groeiende onvrede over de prestaties van de overheid. Veranderend beleid, gewijzigde regelgeving,
prestatiecontracten,
marktwerking
etc.
Op
alle
niveaus
en
in
alle
bestuurslagen wordt gezocht naar een nieuwe, betere invulling van het functioneren van de overheid. Specifiek voor de Provincie als middenbestuur geldt dat de meerwaarde regelmatig ter discussie wordt gesteld. Dit vraagt om een duidelijk zichtbare en presterende Provincie, die een herkenbare toegevoegde waarde levert aan maatschappelijke vraagstukken in een steeds complexere en risicovolle context. De externe omgeving van de Provincie is complex en turbulent. De toekomst van de Provincie als bestuurslaag staat daarnaast ook nog ter discussie. Anticiperend op die onzekerheid, zal vooral aandacht voor een effectieve strategische aanpak van de maatschappelijke vraagstukken, zoals ze door de provinciale partners en klanten naar voren worden gebracht, het bewijs voor de toegevoegde waarde van de Provincie moeten leveren. Resultaat en rekenschap over de prestatie van de Provincie is daarbij van groot belang. Risicomanagement als instrument om te prioriteren en als sturingsmiddel om mensen en processen te richten op het bereiken van de (coalitie)doelstellingen wordt daarmee steeds belangrijker. Het niet adequaat managen van risico’s heeft in een recent verleden grote gevolgen gehad voor politiekgevoelige dossiers bij Provincies. Zo speelde bijvoorbeeld in de Provincie ZuidHolland de Ceteco-affaire, waarbij is gebleken dat de Provincie op grote schaal in geld handelde, zonder dat Provinciale Staten hier van af wisten. In de Provincie Gelderland was sprake van een affaire rond het evenementenbeleid, waarbij geld is toegekend voor activiteiten, die –in strijd met de regels- niet waren goedgekeurd door Provinciale Staten. Ook de kredietcrisis toont aan dat niet alleen in de financiële wereld sprake is van een toenemende behoefte aan een adequaat functionerend risicomanagement. In de loop van 2008 bleek dat gemeentelijke en provinciale overheden vele miljoenen euro's hebben uitstaan bij IJslandse banken. Een onderzoek 1 naar het financiële beleid van de Provincie
1
Triple R, regels, Rendement en Risico’, provinciale onderzoekscommissie Noord-Holland, 29 mei 2009.
1
Noord-Holland, concludeerde dat de Provincie ten onrechte geen actief risicomanagement voerde. De uitkomsten van dit onderzoek leidden tot het aftreden van het voltallige College van Gedeputeerde Staten in juni 2009. Verschillende ontwikkelingen zorgen ervoor dat voor de Provincies de aandacht voor het voeren van een gestructureerde, integrale aanpak van risicomanagement meer dan ooit gewenst is. Daarbij is een onderscheid te maken tussen recente externe ontwikkelingen (decentralisatiediscussies, kredietcrisis) en ontwikkelingen vanuit wet- en regelgeving. Als gevolg van genoemde veranderingen staat de legitimiteit van de Provincie als middenbestuur onder druk. Er is verwarring over de vraag wie verantwoordelijk is voor fouten en wat de gevolgen van een dergelijke verantwoordelijkheid moeten zijn [Noordergraaf, 2008]. De druk vanuit de samenleving op overheidsbestuur om te ordenen en te regelen, bijvoorbeeld om risico´s in te dammen, neemt toe. De Provincies hebben vanuit het Besluit Begroting en Verantwoording [BBV, 2003] weliswaar de verplichting om beleid te voeren op het gebied van risicomanagement, de praktijk vraagt echter een bredere benadering met integratie van risicomanagement in de dagelijkse praktijk. Er is dan ook in toenemende mate behoefte aan een organisatiebrede aanpak van risicomanagement en een gemeenschappelijk kader [Hortensius, 2008]. Het managen van risico´s kan niet louter als een technische kwestie worden voorgesteld, waarbij de stappen van risico-identificatie, -analyse, monitoring en bijsturing
wordt
doorlopen. Het managen van risico´s is bij uitstek een politiek vraagstuk [Noordergraaf, 2008]. Er zijn talloze raamwerken ontwikkeld om bedrijven en organisaties te helpen om risico’s te
managen.
Het
risicoraamwerk
risicomanagementprocessen
zijn
is
het
ingebed
kader in
dat de
ervoor
moet
zorgen
managementstructuur
dat en
besluitvormingsprocessen van de organisatie en dat ze worden aangestuurd vanuit een duidelijke visie en beleid op de functie van risicomanagement voor de organisatie. De grote hoeveelheid aan publicaties suggereren dat een risicoraamwerk een makkelijk te ontwikkelen instrument is, waar je na implementatie, als organisatie snel beter van wordt. Het tegendeel blijkt waar. Draagvlak, houding en gedrag zijn een belangrijke succes- en faalfactor voor het adequaat managen van risico’s. Zonder draagvlak van het management kan nooit sprake zijn van succesvol integraal risicomanagement [’t Hart, 2009]. De tot dusver ontwikkelde raamwerken hebben met name betrekking op private organisaties. Voor Provincies verschilt de (politiek-bestuurlijke) context echter wezenlijk
2
van dat van private organisaties. Het is voor Provincies van belang om risico’s te kunnen koppelen aan de doelstellingen, zoals deze zijn opgenomen in het coalitieakkoord en doorvertaald
in
de
programmabegroting.
Daarmee
kan
worden
bereikt
dat
risicomanagement bijdraagt aan de minst risicovolle manier van doelbereik [’t Hart, 2008]. In 2005 is besloten een internationale generieke richtlijn voor risicomanagement te ontwikkelen, die eind 2009 zal worden gepubliceerd. Deze richtlijn: ISO-31000, beoogt een gemeenschappelijk begrippenkader en generiek raamwerk te bieden voor het managen van
allerlei
typen
risico’s.
In dit onderzoek wordt, op basis van de
uitgangspunten van ISO-31000, inzicht verschaft in de kritische succesfactoren van een instrument, geschikt voor toepassing van risicomanagement bij Provincies.
1.2 Leeswijzer Dit rapport en het beschreven onderzoek zijn opgebouwd volgens de methoden van Verschuren en Dodewaard [2007]. Hoofdstuk 1
Hoofdstuk 3
Hoofdstuk 5
Inleiding
Literatuuronderzoek Onderzoeksresultaten
Hoofdstuk 2
Hoofdstuk 4
Hoofdstuk 6
Opdracht en
Methodologie
Conclusies
onderzoek
In het eerste hoofdstuk wordt de achtergrond van het onderzoek beschreven. In hoofdstuk twee wordt ingegaan op de onderzoeksopdracht. Vervolgens geeft hoofdstuk drie inzicht in de onderzoeksoptiek aan de hand van literatuuronderzoek. De onderzoeksopzet is uitgewerkt in het vierde hoofdstuk. De onderzoeksresultaten zijn beschreven in hoofdstuk 5, waarna tenslotte in hoofdstuk 6 de conclusies benoemd zijn.
3
4
2
OPDRACHT EN ONDERZOEK
In dit hoofdstuk wordt afgebakend wat de opdracht is en welk onderzoek daarbij wordt uitgevoerd. Er wordt ingegaan op de probleem- en doelstelling van het onderzoek (2.1), de onderzoeksaanpak en de onderzoeksvragen (2.2). In paragraaf 2.3 wordt tenslotte de aanpak toegelicht.
Hoofdstuk 3 Hoofdstuk 5 Literatuuronderzoek Onderzoeksresultaten
Hoofdstuk 1
Inleiding
Hoofdstuk 4 Methodologie
Hoofdstuk 2
Opdracht en onderzoek
Hoofdstuk 6 Conclusies
2.1 Probleem- en doelstelling 2.1.1 Probleemstelling Naar aanleiding van de in de inleiding genoemde ontwikkelingen, dringt de vraag zich op hoe Provincies zich op een zo gestructureerd mogelijke manier risicomanagement eigen kunnen
maken.
Centraal
daarbij
staat
niet
alleen
het
ontwikkelen
van
risicomanagementbeleid, maar met name het beschikken over raamwerk om haar processen,
activiteiten
te
managen,
zodat
deze
aansluiten
bij
de
vastgestelde
doelstellingen. De tot dusver ontwikkelde raamwerken hebben met name betrekking op private organisaties. Voor Provincies verschilt de (politiek-bestuurlijke) context echter wezenlijk
van
dat
van
private
organisaties.
Een
sectorspecifiek
instrument
van
risicomanagement voor provincies ontbreekt. De probleemstelling luidt dan ook: Voor de toepassing van risicomanagement bij Provincies is geen geschikt raamwerk voorhanden. Het risicoraamwerk is het kader dat ervoor moet zorgen dat risicomanagementprocessen zijn ingebed in de managementstructuur en besluitvormingsprocessen van de organisatie en dat ze worden aangestuurd vanuit een duidelijke visie en beleid op de functie van risicomanagement voor de organisatie. Met de toepassing worden bedoeld alle benodigde activiteiten, om de routinematige toepassing van risicomanagement binnen een organisatie te waarborgen. 2.1.2 Doelstelling Met de doelstelling van het afstudeeronderzoek wordt bedoeld het doel dat beoogd is met het
bereiken
van
de
resultaten
van
het
onderzoek.
De
doelstelling
van
het
afstudeeronderzoek is: Inzicht krijgen in de geschiktheid van ISO-31000 als instrument voor de toepassing van risicomanagement bij de Provinciale overheid.
5
2.2 Onderzoeksopzet Het onderzoek is erop gericht om inzicht te krijgen in kritische succesfactoren voor een raamwerk, geschikt voor toepassing van risicomanagement bij de Provincies. Dit proces wordt hieronder uitgewerkt in een onderzoeksmodel, waarna vervolgens het model wordt gesplitst in onderzoeksvragen. Een uitgebreide opzet en verantwoording van het methodisch onderzoek is opgenomen in hoofdstuk 4 van deze rapportage.
2.2.1 Onderzoeksmodel Om
vanuit
bovengeschetst
kader
uiteindelijk
de
onderzoeksvragen
te
kunnen
beantwoorden, wordt in onderstaand onderzoeksmodel, volgens methode van Verschuren en Dodewaard [2007], verband gelegd tussen de verschillende onderzoeksstappen.
Theorie openbaar bestuur
Literatuur risicomanagement
Criteria risicoframework op basis ISO
Criteria middels Interviews
Onderzoeks resultaten
Gesprekken deskundigen
Literatuur Public Governance
Toetsing criteria experts
Criteria middels enquête
Conclusies
Documentonderzoek Provincies
Wet- en regelgeving Provincies
(A)
Legenda: praktijkonderzoek
(B)
literatuuronderzoek
(C)
(D)
analyse
(E)
(A) De bestudering van verschillende theorieën (openbaar bestuur, risicomanagement, risicomanagementinstrumenten, management control, beleidsdocumenten
(o.a.
programmabegroting,
e.a.), onderzoeken, strategische
paragraaf
weerstandsvermogen),
bestudering van het Besluit Begroting en Verantwoording van Provincies en Gemeenten (BBV) en gesprekken met deskundigen (vooronderzoek) levert uiteindelijk (B) een uitdieping op van bestaande risicomanagement-raamwerken en meer specifiek ISO31000. Het levert vervolgens op basis van de ISO-31000 richtlijn, beoordelingscriteria op (C) waarmee de toepassing van risicomanagement bij Provincies kan worden getoetst (D). Beoordeling van deze criteria bij Provincies (interviews en vragenlijsten) levert onderzoeksresultaten en conclusies op voor de geschiktheid van ISO-31000 als instrument voor risicomanagement bij Provincies (E).
6
2.2.2 Onderzoekstype Het type onderzoek laat zich het beste beschrijven als een praktijkgericht onderzoek. Met het onderzoek wordt immers beoogd een bijdrage te leveren aan een toepassing van een instrument voor risicomanagement bij Provincies. De uiteindelijke beantwoording van de (deel)vragen gebeurt op basis van een probleemanalytisch onderzoek. Vanwege de politiek-bestuurlijke belangen en context van de provinciale organisatie is bewust gekozen voor een probleemverkennende analyse en niet voor een ontwerp- en/of interventiegericht onderzoek.
2.2.3 Centrale vraagstelling In deze paragraaf wordt de doelstelling vertaald in een drietal centrale onderzoeksvragen, met behulp van een splitsing van het onderzoeksmodel. Hierbij worden de centrale onderzoeksvragen gekoppeld aan een gesplitst onderzoeksmodel en onderverdeeld in deelvragen. De eerste centrale vraag heeft betrekking op onderzoeksstap (A) en (B), zoals benoemd in paragraaf 2.2.1. en betreft de bronnen van de beoordelingscriteria, waarmee de toepassing van het bestaand risicomanagement kan worden beoordeeld. 1. Welke kritische factoren over toepassing van risicomanagement zijn te onderkennen na bestudering van de literatuur hierover? 1.1. Wat is een risico? 1.2. Wat is risicomanagement? 1.3. Welke uitgangspunten hanteert ISO-31000 als instrument voor risicomanagement? De tweede centrale vraag is gebaseerd op onderzoeksstap (C). 2. Welke criteria dienen te worden gehanteerd voor een succesvolle toepassing van risicomanagement bij de Provinciale overheid? 2.1. Welke
invloed
heeft
de
Provinciale
politiek/bestuurlijke
context
op
risicomanagement? 2.2. Wat is de risicoagenda van Provincies? 2.3. Welke criteria voor risicomanagement sluiten het beste aan bij de Provinciale overheid? De derde en laatste centrale vraag is gebaseerd op onderzoeksstap (D) en (E). Waarbij de criteria voor toepassing van risicomanagement worden beoordeeld bij provincies. 3. Is ISO-31000 geschikt als instrument voor de toepassing van risicomanagement bij Provincies?
7
3.1. Welke conclusies kunnen worden getrokken op basis van de beoordeling van de criteria aan bestaand risicomanagement bij Provincies? In onderstaande tabel staat vermeld in welke hoofdstukken de centrale vragen worden beantwoord: Tabel 1. beantwoording van centrale vragen:
Centrale vraag
Beantwoord in hoofdstuk
1 Kritische succesfactoren risicomanagement 3 Literatuuronderzoek 2 Criteria risicomanagement Provincies
5 Resultaten van onderzoek
3 Conclusies
6 Conclusies
8
3 Literatuuronderzoek De opzet van dit hoofdstuk is Hoofdstuk 1 Hoofdstuk 3 drieledig. Enerzijds worden de in Inleiding Literatuuronderzoek dit onderzoek te hanteren begrippen afgebakend en Hoofdstuk 4 gedefinieerd (3.1 t/m 3.3). Hoofdstuk 2 Methodologie Vervolgens wordt literatuur- Opdracht en onderzoek verricht naar onderzoek raamwerken, die worden gehanteerd voor het managen van risico’s (3.4 en 3.5). Het derde deel studie naar de (invloeden van de) risicoagenda bij Provincies (3.6 en tenslotte worden de begrippen geoperationaliseerd.
Hoofdstuk 5 Onderzoeksresultaten Hoofdstuk 6 Conclusies
tenslotte bestaat uit de 3.7). In paragraaf 3.8
3.1 Inleiding Het
vakgebied
van
risicomanagement
staat
de
afgelopen
decennia
volop
in
de
belangstelling, de aandacht voor risico’s is explosief toegenomen [Wetenschappelijke Raad voor Regeringsbeleid, 2008]. Meest recent is er aandacht voor risicomanagement vanwege de economische crisis. Onderzoek onder bedrijven van financiële dienstverlening toont aan dat zeventig procent van executives in de financiële dienstverlening vindt dat de verliezen die zijn gemaakt in de kredietcrisis voornamelijk te wijten zijn aan onvoldoende aandacht voor verschillende factoren rond risicomanagement. In hetzelfde onderzoek geeft 60 procent van de respondenten aan dat de kredietcrisis aanleiding is om de activiteiten op het gebied van risicomanagement kritisch te bekijken [Economist Intelligence Unit, 2008]. Risicomanagement is niet een nieuw fenomeen. In iedere organisatie zijn immers al procedures, maatregelen, (ISO) richtlijnen en controles aanwezig die tot doel hebben om risico’s te managen en te beheersen. Bekende beheerssystemen zijn onder meer de administratieve organisatie, interne controles, milieu- en kwaliteitsmanagement (ISO14001 en ISO-9001). Er kan worden gesteld dat iedere organisatie reeds aan risicomanagement doet [Paape, 2005].
3.2 Risico Om vast te stellen wat onder risicomanagement moet worden verstaan is het van belang eerst vast te stellen wat een risico is. Risico is geen eenduidig begrip. Er zijn meer definities van het begrip risico gangbaar. Vier van deze definities zijn [International risk governance council , 2005] een overzicht van de meest gehanteerde terminologieën: 1. risico is de kans op een ongewenste gebeurtenis bij een proces of object; 2. risico is kans x gevolg; 3. risico is de onzekerheid (kans) dat een gebeurtenis zich voordoet waarbij zowel positieve als negatieve effecten kunnen optreden; 4. risico is de kans op een gebeurtenis, die de doelstelling kan beïnvloeden.
9
De eerste definitie is voor het algemene geval niet goed bruikbaar. De risico’s die betrekking hebben op kleine kansen met zeer grote gevolgen of grote kansen met kleine gevolgen, zullen bij gebruik van de eerste definitie niet goed tot uitdrukking komen. De tweede definitie geeft een betere basis voor vergelijking van risico’s. het betreft de meest
gangbare
definitie,
waarbij
de
kans
op
een
bepaalde
gebeurtenis
wordt
gecombineerd met de gevolgen daarvan in de veelgebruikte formule ‘risico = kans x gevolg’. In feite wordt een verwachtingswaarde van het gevolg van een proces bepaald. In sommige gevallen komt dit overeen met het verlies dat mogelijk op de lange termijn optreedt. De kans op een ongewenste gebeurtenis en het gevolg van deze gebeurtenis spelen een even belangrijke rol in deze definitie. De derde definitie zet risico neer als een neutraal begrip (kansen en bedreigingen). In feite zijn de eerste twee definities bijzondere vormen van de derde. Het biedt de mogelijkheid om aan het gevolg van een ongewenste gebeurtenis een gewicht toe te kennen, dat afhankelijk is van de ernst van het gevolg. Deze effecten kunnen beleidsmatig-, organisatorisch, politiek/bestuurlijk en/of financieel van aard zijn. De vierde definitie tenslotte is de meest algemene van de vier genoemde, waarbij aansluiting wordt gezocht bij het omgaan van onzekerheden die zowel positieve als negatieve effecten kunnen hebben op de resultaten en daarmee doelstellingen van een organisatie. Voor een organisatie zijn risico’s alle potentiële gebeurtenissen die het behalen van de doelstellingen van de organisatie kunnen bevorderen dan wel kunnen belemmeren. Deze definitie sluit het meest aan bij de definitie van ‘risico’, volgens ISO 31000: “Het effect van onzekerheid op doelstellingen’. De in dit onderzoek gehanteerde definitie voor risico is dan ook als volgt gedefinieerd: Risico is de onzekerheid dat een gebeurtenis zich voordoet waarbij zowel positieve als negatieve effecten kunnen optreden, die van invloed zijn op het doelbereik.
3.3 Risicomanagement Over het begrip risicomanagement circuleren in de wetenschappelijke literatuur talrijke definities. Het International Risk Governance Council geeft in haar publicatie [2005] een overzicht van de meest gehanteerde terminologieën. De
meest
gangbare
definities
van
risicomanagement
kunnen
als
volgt
worden
onderverdeeld: 1. Risicomanagement is het geheel van activiteiten en maatregelen gericht op het omgaan met en beheersen van risico’s.
10
2. Risicomanagement omvat de gecoördineerde activiteiten om een organisatie te kunnen sturen en controleren met betrekking tot risico´s. 3. Risicomanagement is het vormgeven van een gestructureerd proces van identificeren, analyseren, managen en rapporteren van risico’s op alle niveaus in de organisatie. 4. Risicomanagement is een proces dat bewerkstelligd wordt door het bestuur van de onderneming, het management en ander personeel en wordt toegepast bij het formuleren van de strategie en binnen de gehele onderneming, ontworpen om potentiële gebeurtenissen die
invloed kunnen hebben op de onderneming te
identificeren en om risico´s te beheren zodat deze binnen de risicoacceptatiegraad vallen, om een redelijke zekerheid te bieden ten aanzien van het behalen van de ondernemingsdoelstellingen. 5. Risicomanagement omvat de cultuur, processen en structuren, gekoppeld aan een het realiseren van kansen en het effectief management van de effecten daarvan. De eerste drie definities richten zich in min of meer dezelfde terminologie op de te doorlopen
basisstappen
van
het
risicomanagementproces.
In
de
traditionele
risicobenadering worden twee fasen onderscheiden: het identificeren en beoordelen van risico’s (risicoassesment) en het nemen van maatregelen die niet acceptabel geachte risico’s beperken of beheersbaar maken (risicomanagement) [Wetenschappelijke Raad voor het Regeringsbeleid, 2008]. Ongeacht de exacte uitwerking en invulling van de verschillende stappen komt overal hetzelfde grondpatroon van vier stappen naar voren. De eerste stap is het identificeren van risico’s, waarbij het zaak is een zo volledig mogelijk beeld te krijgen van de verschillende risico’s binnen een organisatie. Wanneer de risico’s bekend zijn, is het zaak deze te beoordelen. Dit schept duidelijkheid over de vraag welke risico’s de grootste bedreiging vormen en waarvoor het eerst beheersmaatregelen genomen moeten worden. Vervolgens ontwerpt men tijdens de volgende fase, aan de hand van de prioriteiten, beheersmaatregelen. Ook de implementatie van beheersmaatregelen behoort tot deze fase. De laatste stap is het rapporteren over de risico’s en beheersmaatregelen en de evaluatie van de laatste. Om de risico’s zo klein mogelijk te houden of de gevolgen zo goed mogelijk op te kunnen vangen, is continue aandacht voor alle vier de stappen noodzakelijk. Hierbij is het van belang om zowel naar het te verwachten gevolg van een risico te kijken als naar de kans dat het zich voordoet, alsmede naar de kosten (in tijd, geld en middelen) van het nemen van beheersmaatregelen. De vierde definitie omvat een expliciete koppeling naar het doelbereik en is afkomstig van het COSO. Het is echter een zeer uitgebreide definitie. “Why not adopt a definition that is
11
brief and easily remembered?” [Knight, 2008]. Volgens Knight staat niet zozeer het gebruik van een juiste definitie centraal. Succesvol risicomanagement is alleen dan mogelijk, wanneer dit is gekoppeld aan het bereiken en managen van doelstellingen. De vijfde definitie (Australian/New Zealand Risk Standard 4360) toont aan dat niet alleen de te doorlopen stappen van belang zijn, maar dat de (aanwezigheid) van cultuur- en structuuraspecten van groot belang is, voor een succesvol risicomanagement binnen een organisatie. Daarnaast maakt de definitie duidelijk dat risicomanagement pas effectief werken als het een integraal onderdeel is van processen in een organisatie. De definitie voor risicomanagement, zoals gehanteerd in dit onderzoek is ontleend aan de definitie
voor
kwaliteitsmanagement
uit
ISO-9000
[Bergenhenegouwen,
2003]
en
aangevuld met de koppeling naar doelbereik. Risicomanagement omvat de gecoördineerde activiteiten, gekoppeld aan een effectief management van gebeurtenissen en de effecten daarvan op de doelstellingen van de organisatie.
3.4 Risicoraamwerk Met de inwerkingtreding van de Foreign Corrupt Practices Act in 1997 in de Verenigde Staten, is de ontwikkeling van interne beheersing in een stroomversnelling geraakt [Santen, 2006]. Deze wet bepaalt dat het illegaal is om een inadequaat intern beheersingsysteem
te
voeren.
De
vele
financiële
(boekhoud-
en
rapporterings-)
schandalen die volgden, zorgden voor de verdere ontwikkeling van risicomanagement. Het heeft geleid tot de corporate governancestructuren, zoals de Sarbanes Oxley wetgeving uit de Verenigde Staten. Ook Europa en ons eigen land zijn niet vrij van de nodige missers en schandalen (Worldonline, Ahold, Qwest, ESF/Arbeidsvoorziening, de bouwfraude, de Hogescholen fraude enzovoort). Mede daarom zijn in Europa en in Nederland diverse wetgevende initiatieven ontplooid [Herwaarden, 2003]:
de International Financial Reporting Standards (IFRS) die vanaf 2005 verplicht moeten worden
toegepast
in
de
geconsolideerde
jaarrekeningen
van
beursgenoteerde
vennootschappen in Europa;
aanbevelingen
van
de
commissie-Peters
inzake
corporate
governance,
goed
ondernemingsbestuur en -toezicht (1997) met het bijbehorende evaluatierapport (2002) over vijf jaar corporate governance in Nederland inzake de status van de aanbevelingen van de commissie-Peters;
12
corporate governance code voor Nederland, opgesteld door de commissie onder leiding van Morris Tabaksblat [Code Tabaksblat, 2003].
In de code Tabaksblat zijn de belangrijkste uitgangspunten van een goede corporate governace uitgewerkt met betrekking tot het bestuur, de raad van commissarissen, de aandeelhouder en de accountant. De code gaat wat betreft reikwijdte verder dan Sarbanes-Oxley (PwC 2005). In de code wordt gesteld dat als onderdeel van het interne beheersings- en controlesysteem, een vennootschap onder meer risicoanalyses uit dient te voeren van de ‘operationele’ en financieel doelstellingen. De code geeft echter geen nadere richtlijnen ten aanzien van de inrichting van de interne beheersings- en controlesystemen. Daarnaast worden de ondernemingen vrij gelaten in de wijze van rapporteren over de gehanteerde risicobeheersings- en controlesystemen (PwC, 2005). De code is overigens alleen van toepassing op statutair in Nederland gevestigde en aan de Euronext genoteerde ondernemingen, dat wil zeggen op circa 0,2 % van de in Nederland gevestigde ondernemingen van toepassing [Santen e.a.; 2006]. De vraag lijkt gerechtvaardigd of wettelijke verankering van eisen ten aanzien van risicomanagement
de
oplossing
is
[PwC,
2005].
Het
gevaar
schuilt
erin
dat
risicomanagement wordt ervaren als een verplichte managementtool, met als uiteindelijke doel: het hebben voldaan aan wet- en regelgeving. In de loop der jaren zijn er voor het managen van risico’s verschillende modellen gebruikt. “In seeking help, you’ll find an abundance of risk management frameworks, (..) developed by consulting organizations, national standards (..).[Rasmussen, 2007]. In 1992 werd er in de Verenigde Staten een framework gepresenteerd voor interne beheersing. Dit framework: ‘Committee of Sponsoring Organizations of the Treadway Commission’ (COSO) richt zich in eerste instantie op de interne beheersing van de financiële processen van een onderneming. Kanttekening bij dit model is dat er weinig aandacht is gegeven voor gedragsverandering [Santen e.a., 2006; Faber, 2006], dat het niet voorziet in een eenduidig normenkader (Faber, 2006) en dat een eenduidige stappenplan
ontbreekt
voor
de
implementatie
van
risicomanagement
binnen
een
organisatie [Faber, 2006]. Eind 2004 is er een nieuwe versie van het COSO raamwerk gepubliceerd [COSO, 2004], te weten Enterprise Risk Management-Integrated Framework (COSO-ERM) waarbij de nadruk meer is komen te liggen bij risicomanagement ten opzichte van de eerste versie van het COSO raamwerk en de explicietere koppeling naar strategie voor de inrichting van risicomanagement en interne beheersingsystemen.
13
Feyter [2006] plaatst als kanttekening bij het herziene COSO-model dat de principes niet rechtstreeks aansluiten op de reguliere ‘planning & control’-cyclus waaraan de interne beheersing in het Nederlandse ondernemingen doorgaans wordt opgehangen. Juist deze verankering van interne beheersing en risicomanagement aan deze cyclus maakt dat risicobeheersing blijvend onder de aandacht wordt gehouden en dat het een natuurlijk, onderhoudbaar en herkenbaar proces wordt. Een ander nadeel dat in de literatuur wordt genoemd [Feyter, 2006], is dat COSO toch nog vooral lijkt uit te gaan van centraal geleide, ‘topdown’ gestuurde organisaties. Dat is enigszins begrijpelijk omdat het een Amerikaanse publicatie is. Maar voor Nederlandse organisaties is dit gegeven wel iets om rekening mee te houden wanneer zij de principes naar hun eigen organisatie vertalen, zeker als deze niet, zoals veel Amerikaanse bedrijven, topdown wordt aangestuurd. De strategie, organisatiecultuur en de keuze van besturingsprincipes bepalen immers in grote mate de wijze waarop de interne beheersing wordt ingericht. Het typeren van de strategie en de besturingsprincipes wordt regelmatig vergeten of onderbelicht bij het vastleggen, begrijpen en beoordelen van de interne beheersing. COSO erkent de invloed van organisatiecultuur op de effectiviteit van het raamwerk en daarmee van risicomanagement. Als belangrijkste kanttekening benoemt de organisatie de menselijke oordeelsvorming bij het nemen van onvolledige of onjuiste beslissingen. Een andere beperking is het kunnen omzeilen van beheersmaatregelen door samenspanning van twee of meer mensen, waardoor het management de mogelijkheid heeft om beslissingen, genomen in het kader van risicomanagement, terzijde te schuiven (Coso 2004). De aanleiding voor organisaties om risicomanagement vorm te geven verschilt sterk en is bepalend voor de effectiviteit ervan. Volgens Knight houdt COSO hier onvoldoende rekening mee: “COSO slips into the fatal fallacy of trying to tell us ‘how’ to do it rather than ‘why’ “[Knight, 2008]. In de praktijk blijkt het vaak moeilijk om organisaties duurzaam enthousiast te maken voor het onderwerp risicomanagement en interne beheersing als zodanig, laat staan om daarbij expliciet het COSO-raamwerk te hanteren [Faber, 2006]. Dit gebrek aan enthousiasme
wordt
vaak
veroorzaakt
door
het
hardnekkige
misverstand
dat
risicomanagement en interne beheersingssystemen het goed functioneren en het aanpassingsvermogen van organisaties eerder belemmeren dan bevorderen.
14
Volgens
Ali
Samad-Khan
[2005]
geeft
COSO
een
gesimplificeerd
beeld
van
de
werkelijkheid, dat kan leiden tot een logge controlstructuur, met een grote kans dat gebieden worden ontzien, waar juist de grootste risico’s zich kunnen voordoen. Hij is stellig ten aanzien van de tekortkomingen van COSO: “Coso not only fails to help a firm asses its risks, it actually obfuscates the risk management process”. Ondanks genoemde kanttekeningen, wordt COSO internationaal nog steeds gezien als hét raamwerk voor interne beheersing. Ook Tabaksblat [2003] noemt in de code het COSO raamwerk voor interne beheersing, als voorbeeld voor een te gebruiken normenkader om te voldoen aan de eis dat het bestuur verklaart dat de interne risicobeheersings- en controlesystemen adequaat en effectief zijn. Voor de integrale benadering van risicomanagement dreigt een wildgroei aan verschillende systemen en richtlijnen [Hortensius, 2007]. Naast COSO zijn er ook nog andere risicoraamwerken ontwikkeld, waarvan de standaard vaak haar oorsprong heeft binnen een bepaalde branche of bepaald land (Paape, 2005). Zo is er de Australian/New Zealand Risk Management Standard 4360 waarvan reeds in 1995 de eerste versie werd uitgegeven door de Council of Standards van beide landen. In 1999 en in 2004 verscheen een geactualiseerde
versie
van
deze
standaard.
Voorbeelden
van
branchespecifieke
risicomanagement-standaarden zijn Bazel IT voor het bankwezen en Solvency II voor de verzekeringsbranche.
3.5 ISO-31000 Ook de Internationale Organisatie voor Standaardisatie (ISO) heeft van zich laten horen op het terrein van risicomanagement: in 2002 verscheen een richtlijn voor het gebruik van risicomanagementtermen
in
standaarden
[ISO/TEC
Guide
73].
ISO
is
een
non-
gouvernementeel netwerk van nationale standaardisatieorganisaties, waar instituten uit 157
landen
(onder
wie
ook
het
Nederlands
Normalisatie-instituut
NEN)
bij
zijn
aangesloten. ISO is opgericht in 1947, met als doel om normen vast te stellen en om organisaties voordeel te laten halen uit het toepassen van internationale normen en uit de implementatie
van
kwaliteitsmanagement-systemen
[Schoutrop,
2006].
ISO
heeft
inmiddels 17000 standaarden ontwikkeld, ieder jaar worden 1100 nieuwe gepubliceerd [ISO.org, november 2008]. De standaarden kunnen worden toegepast voor elke organisatie.
15
Het publiceren van een ISO-richtlijn voor het gebruik van risicomanagementtermen in standaarden kent zijn oorsprong in 1995. In dat jaar confronteerde de aardbeving Japan met het belang van het inschatten van risico’s en het treffen van maatregelen om effecten van
onverwachte
gebeurtenissen
te
minimaliseren.
Daarom
pleitten
de
Japanse
autoriteiten tien jaar geleden voor een universele norm voor risicomanagement, te ontwikkelen door ISO. Uit angst bij het bedrijfsleven voor een nieuwe golf van certificering, werd gekozen voor een ‘veilige’ oplossing, namelijk de ontwikkeling van een Guide met termen en definities op het gebied van risicomanagement. Dat werd uiteindelijk ISO/IEC ´Guide 73, Riskmanagement – Vocabulary–Guidelines for use in standards`, die in 2002 werd gepubliceerd. De titel geeft al aan dat de Guide vooral bedoeld was om harmonisatie te bevorderen binnen het bouwwerk van ISO-normen. Een uniform taalgebruik helpt dan al om vanuit die specifieke normen en richtlijnen een meer integrale kijk op risico ’s te ontwikkelen. In 2005 slaagde Japan er met de hulp van Australië toch in de geesten rijp te maken voor een algemene richtlijn voor risicomanagement. Door ISO is in 2005 besloten een internationale generieke ISO-richtlijn voor Risicomanagement te ontwikkelen: ISO 31000 “Risk management - Guidelines for principles and implementation of risk management.” ISO 31000 beoogt een gemeenschappelijk begrippenkader en generiek raamwerk te bieden voor het managen van allerlei typen risico’s. Naderhand is ook de herziening van ISO Guide 73 “Risk Management – Vocabulary” aan de ISO-werkgroep toevertrouwd. Via NEN, het Nederlandse lid van ISO, wordt door Nederlandse belanghebbende partijen deelgenomen
aan
dit
ISO-project.
Hiertoe
is
in
2006
de
normcommissie
Risicomanagement opgericht. De doelstelling van de normcommissie is tweeledig (NEN, 2008). Enerzijds verzorgt en bepaalt de normcommissie de Nederlandse inbreng bij de internationale normalisatie op het gebied van Risicomanagement (Risk Management), zoals die plaatsvindt in de internationale werkgroep ISO/TMB/WG/RM. Anderzijds faciliteren de normcommissie de implementatie en toepassing van de generieke ISOrichtlijn op nationaal en bedrijfstakniveau, zo nodig door het ontwikkelen van specifieke richtlijnen
die
een
risicomanagement
nadere
[NEN,
invulling
2008].
Zie
geven voor
van een
het
generieke
toelichting
op
ISO-kader de
voor
Nederlandse
Normcommissie Nederland ook bijlage 3.
Een ISO-richtlijn als overkoepelend raamwerk voor risicomanagement lijkt voor de hand te liggen. De verschillende afzonderlijke ISO-normen voor managementsystemen, zoals ISO 9001 en ISO 14001, beschrijven immers al systemen voor het beheersen van maatregelen
16
en risico’s, waarbij de eerder genoemde stappen uit de risicomanagementcyclus (risicoidentificatie, risico-analyse, monitoring risico’s en bijsturen) moeten worden doorlopen.
Het managementsysteem zoals beschreven in de verschillende normen zijn in de kern risicomanagementsystemen voor specifieke risico’s, zoals kwaliteits- en milieurisico’s. Deze normen voor managementsystemen beschrijven wat een organisatie moet doen om de (risicoaspecten van) haar processen en activiteiten te managen zodat de resultaten en uitkomsten aansluiten bij de vastgestelde doelstellingen. Goede managementsystemen zijn gebaseerd op twee principes: de procesbenadering en de Demingcirkel (Hortensius, 2003). De procesbenadering houdt in dat de bedrijfsprocessen uitgangspunt zijn voor de inrichting van het managementsysteem. De Demingcirkel [Deming, 1987] betreft de opeenvolgende fasen van een proces (Plan, Do, Check, Act) dat is gericht op het realiseren van doelen op een steeds effectievere en efficiëntere manier. Door de Demingcirkel steeds opnieuw te doorlopen, en de daarmee behaalde resultaten, kunnen managementsystemen worden verbeterd. Als managementsysteem is ISO-31000 dan ook op de Demingcirkel en op een procesbenadering gestoeld. ISO-31000 bestaat uit drie hoofdonderdelen [NEN, 2008]: (1) de uitgangspunten voor risicomanagement, (2) het raamwerk voor risicomanagement en (3) het risicomanagementproces. Figuur 1. Onderlinge samenhang van de onderdelen van ISO 31000
Mandaat en commitment
a)
Het voegt waarde toe en dr aagt bij aan organ isati everbetering
b)
Integraal onderdeel van (besluitvormings)processen
c)
Het is m aat wer k, p assend bij de organisatiecontext
d)
Een system atisch en op feiten gebaseerd proces
e)
Het is open en tran sparant en houdt rekening m et menselij ke en culturele factoren
Ontwerp het raamwerk v oor risicomanagement
Continue verbeteren
Implementeren
van het
van risicomanagement
raamwerk
Monitoren en analyserenv an het raamwerk
Uitgangspunten
Raamwerk
Proces
Bron: Hortensius, 2008
17
Om als effectief instrument te kunnen dienen, gelden met betrekking tot ISO-31000 onder meer de volgende principes voor risicomanagement: 1. Het voegt waarde toe en draagt bij aan organisatieverbetering 2. Het is een integraal onderdeel van (besluitvormings)processen 3. Het is maatwerk, passend bij de organisatiecontext 4. Een systematisch en op feiten gebaseerd proces 5. Het is open en transparant en houdt rekening met menselijke en culturele factoren De eerst drie kenmerken vormen de basis voor het raamwerk van risicomanagement, de laatste twee zijn vooral terug te vinden in het risicomanagementproces. In het hart van het proces, zitten de bekende stappen van het identificeren, analyseren en evalueren van risico’s, zoals deze verbonden zijn aan het proces, product, project of organisatie als geheel. Die stappen vormen samen de risicobeoordeling. Ook het Nederlands Instituut voor Registeraccountants (NIVRA) geeft in haar publicatie ‘Via interne beheersing naar Corporate Governance’ [2002] aan dat voor een effectieve risicobeoordeling, de organisatiedoelstellingen voor processen en activiteiten moeten worden vastgesteld en in onderlinge samenhang beoordeeld. Die beoordeling kan alleen worden uitgevoerd, als de context en scope goed zijn bepaald. Die context wordt gedeeltelijk
ontleend
aan
het
risicomanagement-raamwerk,
maar
voor
de
risicobeoordeling van een specifieke situatie kan en moet die context gedetailleerder worden bekeken. Aan een dergelijke contextbepaling worden bijvoorbeeld specifieke criteria ontleend om de risico’s te beoordelen. Vanuit de contextbepaling wordt ook duidelijk welke personen/afdelingen/programma’s/projecten moeten worden geconsulteerd of betrokken bij de risicobeoordeling. Op basis van de beoordeling wordt vervolgens besloten of en hoe het risico wordt behandeld. Het
raamwerk
dient
daarbij
risicomanagementprocessen
als
ingebed
een
kader
worden
en
om
ervoor
aansluiten
te bij
zorgen de
dat
algemene
besluitvormingsprocessen van de organisatie.
18
Figuur 2. Risicomanagementproces volgens ISO 31000
6 .3 B e p a a l d e c o n te x t 6 .4 R is ic o b e o o r d e lin g 6 .4 .2 R is ic o id e n tif ic a tie
6 .2 C o m m u n ic a tie e n a d v ie s
6 .4 .3 R is ic o a n a ly s e
6 .6 M o n ito r e n en e v a lu a tie
6 .4 .4 R is ic o e v a lu a tie
6 .5 R is ic o b e h e e r s in g
bron: Hortensius, 2008.
ISO-31000 tracht een complete beschrijving te geven van de verschillende zaken die relevant zijn voor risicomanagement. Daarbij wordt niet alleen ingezoomd op het risicomanagementproces, maar ook op de context ervan, waarin mandaten worden afgegeven door opdrachtgevers en waarbij stakeholders nadrukkelijk worden betrokken bij het proces. Door het benoemen van zowel de context als het proces zelf, ontstaan twee nauw met elkaar verweven processen: (1) het opstellen, uitvoeren, monitoren en bijsturen van het risicomanagement raamwerk, als een kader om ervoor te zorgen dat risicomanagementprocessen ingebed worden en aansluiten bij de algemene (besluitvormings)processen van de organisatie. (2)het
opstellen,
uitvoeren,
monitoren
en
communiceren
van
het
risicomanagementproces. Tevens worden principes van risicomanagement betrokken bij deze twee processen, die in grove lijnen dienen als sturende elementen achter de voorgaande twee processen. Belangrijke uitgangspunt is overigens dat ISO-31000 geen eisenstellende (certificeerbare) norm wordt voor een risicomanagementsysteem. Iedere organisatie of sector kan het beste zelf bepalen welke risicomanagementaanpak het beste past bij haar doelen, (markt)situatie, klanten e.d. “For this reason, the ISO 31000 is designed not to be certifiable
but
to
focus
on
general
principles
and
guidelines.”[Shortreed,
2007].
Certificering heeft bovendien voor de meeste organisaties vooral een externe functie: het onafhankelijke bewijs richting klanten of andere belanghebbenden, dat er sprake is van een managementsysteem dat aan de norm voldoet [Hortensius, 2003]. Daarvoor bestaat
19
vooralsnog geen draagvlak onder de leden van ISO en dat was ook het standpunt van de door NEN in Nederland geconsulteerde belanghebbende partijen toen in 2005 een stem moest worden uitgebracht op het ISO-voorstel [Hortensius, 2008]. In een vergelijking van COSO en ISO 31000 schetst Awad Loubani de belangrijkste verschillen tussen de 2 modellen. Concluderend kan worden gesteld dat ISO 31000 meer de ruimte biedt om een maatwerkoplossing voor risicomanagement te zijn dan COSO. [Loubani, 2008].
3.6 Risicoagenda bij Provincies De strategische context van de provinciale organisatie is van groot belang om de toepasbaarheid van risicomanagement te kunnen duiden. De strategische invulling van de Provincie verschilt op een aantal onderdelen namelijk wezenlijk van die van private organisaties. Daaruit kan worden afgeleid dat strategievorming in de publieke sector extra complex is. De eigen kenmerken van strategievorming bij de overheid [Ter Braak en Van ’T Spijker, 1993; Valens, 1993] zijn als volgt: 1. Multi-organisatiestrategie.
Een
overheid
met
een
breed
takenpakket
en
veel
organisatieonderdelen zal vaak geen strategie formuleren in termen van een missie voor één organisatie maar een multi-organisatiestrategie, dus voor meerdere onderdelen die elk eigen taken vervullen, zoals een sociale dienst, of openbare werken. 2. Minder concurrentie. Door de eigenstandigheid van overheden en de beperkte mogelijkheden tot concurrentie is een strategieformuleringsproces minder op scherpe profilering gericht: het generieke krijgt 'veel plaats toegemeten', het specifieke veel minder. Overheden kunnen niet zomaar zeggen dat ze bepaalde taken niet uitvoeren en zich profileren op een bepaalde taak. 3. Functie en soorten produkten en diensten zijn anders. Een ander verschil is dat een bedrijf handelt in een overigens meestal veel beperkter aantal produkten en diensten, maar
een
overheid
heeft
eveneens
een
functie
bij
de
ontwikkeling
van
maatschappelijke normen en waarden en de handhaving daarvan ten aanzien van de gedragingen van burgers. 4. Meer doelstellingen. Een private organisatie kan zich richten op een beperkt aantal doelstellingen
en
bij
een
overheid
is
dat
meestal
niet
het
geval.
Een
overheidsorganisatie heeft vele taken te vervullen. Bij een private organisatie is de initiële doelstelling vaak nog herkenbaar, bij een overheid ligt dit anders. 5. Vage doelstellingen. In een private organisatie zijn tamelijk precieze doelstellingen te formuleren. Bij een overheid zijn doelstellingen meestal veel vager. Dit laatste wordt ten eerste veroorzaakt door de complexiteit van bepaalde problemen die een overheid
20
onmogelijk
zelf
alleen
kan
oplossen;
denk
bijvoorbeeld
aan
gezondheidszorgvraagstukken. Een tweede oorzaak is de organisatie van de politieke democratie; politieke vertegenwoordigers van verschillende statenfracties dienen vooral compromissen te sluiten om tot een meerderheidsbesluit te komen. Een derde oorzaak is gelegen in de organisatie van het openbaar bestuur zelf, waarbij wetgeving van uitvoering gescheiden is. 6. Openbaarheid. De besluitvorming in een private organisatie voltrekt zich doorgaans niet in de openbaarheid (hoewel er veelal jaarcijfers gepubliceerd worden) terwijl dat bij een overheid doorgaans wel het geval is. 7. Pluriforme samenleving. In private organisaties is minder dan in de overheidssfeer sprake van de noodzaak om rekening te houden met pluriformiteit in de samenleving, zowel qua (doel)groepen van burgers als qua organisaties, die op de een of andere wijze bij beleid betrokken zijn. Ze hebben voorkeuren en kunnen mee- en tegenwerken. In het openbaar bestuur is bovendien sprake van een enorme variëteit aan doelgroepen, belangengroepen en andere betrokkenen. Ook dit compliceert de strategievorming bij de overheid. 8. Politieke cyclus. Een laatste argument is dat in de overheidssfeer sprake is van een politieke cyclus, de periode tussen verkiezingen, van vier jaar of korter. Daardoor bestaat er druk om voorrang te geven aan beleid dat al op korte termijn zichtbaar is of vruchten afwerpt, boven het ontwikkelen van een lange termijnvisie en het 'oogsten' later dan na vier jaar. Bij private organisaties is die cyclus afwezig. Scholes en Johnson [2004] spreken van emergent strategieën, die ontstaan vanuit dagelijkse routines, activiteiten en processen in een organisatie. De auteurs zetten dit af tegen intended strategieën, een uiting van een gewenste strategische koers, nadrukkelijk geformuleerd en uitgedragen door het management van een organisatie. Bij Provincies is sprake van emergent strategievorming, omdat sprake is van veelal decentraal verlopende processen. Vanuit de verschillende beleidsvelden (bv. Ruimtelijke Ordening of Economie) wordt veelal specifieke strategie ontwikkeld, zodat ruimte is voor het inspelen op kansen die zich voordoen. Herman (2004) benoemt dat, ondanks dat risicomanagement voor non-profitorganisaties veelal intuïtief plaats vindt, de noodzaak voor een gestructureerde aanpak wenselijk is. De externe omgeving van de Provincie is complex en turbulent. De toekomst van de Provincie als bestuurslaag staat daarnaast ook nog ter discussie. Anticiperend op die onzekerheid, zal vooral aandacht voor een effectieve strategische aanpak van de maatschappelijke vraagstukken, zoals ze door de provinciale partners en klanten naar voren worden gebracht, het bewijs voor de toegevoegde waarde van de Provincie moeten
21
leveren. Resultaat en rekenschap over de prestatie van de Provincie is daarbij van groot belang. Risicomanagement als instrument om te prioriteren en als sturingsmiddel om mensen en processen te richten op het bereiken van de (coalitie)doelstellingen wordt daarmee steeds belangrijker. De opkomst van de risicoagenda bij Provincies wordt ingegeven door vijf ontwikkelingen;
1. Economische crisis De actualiteit van de economische crisis toont de kwetsbaarheid aan van (regionale) overheden. De kredietcrisis heeft drie Provincies getroffen; Noord-Holland, Groningen en Zeeland en toont aan dat niet alleen in de financiële wereld sprake is van een toenemende behoefte aan een adequaat functionerend risicomanagement. In de loop van 2008 bleek dat gemeentelijke en provinciale overheden vele miljoenen euro's hebben uitstaan bij IJslandse banken.
Bron: www.kredietcrisis.feeder.nl (17/10/8) De Provincie Noord-Holland had € 98 miljoen staan op noodlijdende banken (Landsbanki in IJsland en het Duitse Lehman Bankhaus). Een provinciale onderzoekscommissie heeft onderzoek gedaan naar het door Gedeputeerde Staten vanaf 1 april 2007 gevoerde bestuur aangaande het uitzetten van tijdelijk beschikbare financiële middelen. In haar rapport ‘Triple R; Regels, rendement en Risico 2 ’ kwam de commissie onder meer tot de conclusie dat de Provincie ten onrechte geen actief risicomanagement voerde. Als gevolg van de uitkomsten van dit onderzoek is het voltallige college van gedeputeerde staten in Noord-Holland in juni 2009 afgetreden. Hoewel de kredietcrisis kan worden beschouwd als een uitzonderlijke ontwikkeling (Ministerie van Binnenlandse Zaken en Koninkrijksrelaties, 2008), zijn als gevolg hiervan 2
Triple R, regels, Rendement en Risico’, provinciale onderzoekscommissie Noord-Holland, 29 mei 2009.
22
wet- en regelgeving met betrekking tot het uitzetten van middelen door decentrale overheden in tijden van onrust op de financiële markten, opnieuw kritisch tegen het licht gehouden. Behalve de gevolgen voor de beleggingen van de Provincie raakt de economische crisis de Provincie ook op andere manieren. Op de eerste plaats kan de crisis zijn weerslag hebben op toekomstige opbrengsten van de motorrijtuigenbelasting. Daarnaast is het niet ondenkbaar dat de crisis impact heeft op de uitvoering van het in gang gezette beleid van de Provincie. De partners die bij de uitvoering van beleid betrokken zijn, kunnen wellicht moeilijker financieringsfaciliteiten aantrekken, die de uitvoering kunnen vertragen en/of bemoeilijken. Daarnaast kan de toenemende onzekerheid ook leiden tot aarzeling om met de overheid gezamenlijke projecten op te starten. Door de onzekerheid over de nabije toekomst worden investeringen door ondernemingen uitgesteld of afgesteld. Banken mijden risico’s meer dan voorheen en zijn kritischer bij het verstrekken van leningen (positie private investeerders is daarbij nog een vraagpunt). Zowel de vraaguitval als de vermindering van de investeringsbereidheid leiden tot de uitstoot van arbeid. Een groot aantal Provincies heeft inmiddels een koers uitgezet, gericht op het verminderen van de conjuncturele
kwetsbaarheid
van
de
provinciale
economie.
Als
gevolg
van
deze
economische recessie 3 is extra overheidshandelen essentieel.
2. Afroming van Rijksuitkeringen Een ander actueel thema dat het risicomanagement bij Provincies rechtvaardigt, is de mogelijke afroming van rijksuitkeringen. Het Rijk maakt zich op voor een forse besparing ten koste van de Provincies. Den Haag wacht op een rapport van zijn adviesorgaan ter zake, de Raad voor de Financiële Verhoudingen. De daadwerkelijke inkomsten van de Provincies liggen euro 600 mln tot euro 800 mln 4 boven het bedrag dat zij binnen bestaande afspraken nodig hebben voor de uitoefening van hun taken. Dit bedrag wil Den Haag afromen. Daarmee dreigen de Provincies meer dan de helft te verliezen van de uitkering die zij jaarlijks krijgen van het Rijk. Dit Provinciefonds is jaarlijks goed voor ruim euro 1,1 mrd. De twaalf Provincies krijgen samen verder euro 1,3 mrd binnen uit belastingen en half zoveel uit dividend van nutsbedrijven. Dit zijn bij elkaar de algemene middelen die Provincies voor eigen beleid mogen inzetten. Daarnaast ontvangen de Provincies nog eens ruim euro 3 mrd aan doelheffingen, EU-subsidies en specifieke uitkeringen voor taken die zij in opdracht van het Rijk uitvoeren. In tien jaar tijd zijn de algemene middelen van de Provincies verdubbeld, met name door stijging van de provinciale belastinginkomsten en dividenden. De discussie over de provinciale weelde is
3
Prognose Centraal Planbureau, 17 februari 2009.
4
Financieel Dagblad, 17 februari 2009.
23
op scherp gezet door de verkoop van de productie- en leveringsbedrijven van hun energiebedrijven.
3. Decentralisatiediscussies Het zijn roerige tijden voor de Provincies. In bestuurlijk Nederland leven vele verwachtingen, ambities, frustraties en is er zelfs gelatenheid over de Provincies. Zo speelde in 2006 de politieke discussie over de vorming van één randstadprovincie [Remkes, 2006]. Open of gesloten huishouding 5 , gemeentelijke opschaling, decentralisatie van taken met Rijk en gemeenten, discussie over de rijkdom van Provincies, enz. Tal van rapporten van commissies [Mans 6 , Oosting 7 , Lodders 8 en De Hondt 9 ] gaan in op de bestuurlijke ontwikkelingen in Nederland. Wie deze rapporten leest en op zich in laat werken, komt tot de conclusie dat de veranderingen in de komende 5-7 jaar zeer groot kunnen zijn, waarvan overheveling van taken en verantwoordelijkheden een belangrijk deel uitmaken. Flexibel in kunnen spelen op veranderingen en het tijdig beoordelen van consequenties van risico’s en kansen is daarbij van groot belang.
4. Veranderde wetgeving Er zijn een aantal wetten en besluiten (besluiten bevatten regels die een uitwerking van een wet zijn) die impact hebben op het managen van risico’s bij Provincies. Door wetten en regels te stellen, worden risicovolle activiteiten van Provincie beperkt of verboden.
Wet Dualisering Van
de
overheidsorganisaties
wordt
in
toenemende
mate
gevraagd
dat
zij
verantwoording afleggen over de vraag of zij de goede dingen (doeltreffendheid), of zij de dingen goed doen (doelmatigheid) en of zij daarbij voldoen aan wet- en regelgeving (rechtmatigheid). Dit betekent dat het, ook voor de Provincie, van groot belang is inzicht te hebben in het eigen handelen. Provinciale Staten (PS) en het College van Gedeputeerde Staten (GS) hebben ieder een eigen rol bij het verkrijgen van dit inzicht. Analoog aan de dualisering bij de gemeenten, werd daarna ook het Provinciebestuur veranderd. In maart 2003 werd de Wet Dualisering Provinciebestuur ingevoerd. De kern bij dualisering is de scheiding tussen vertegenwoordigende en bestuurlijke verantwoordelijkheden. Daarnaast schrijft de wet Dualisering Provinciebestuur dat het gevoerde beleid gecontroleerd moet worden en verplicht de Provincies daartoe een onafhankelijke rekenkamer in te voeren. De provinciale rekenkamer moet zich vooral met doelmatigheidsonderzoek bezighouden en mag alle provinciale documenten 5
Een open huishouding betekent dat een Provincie alle relevante opgaven in de regio kan oppakken. Bij een gesloten huishouding, worden enkel wettelijk voorgeschreven taken ingevuld.
6
‘De tijd is rijp’, commissie Mans, 10 juli 2008.
7
‘Van specifiek naar generiek’, commissie Oosting, 8 oktober 2007.
8
‘Ruimte, regie en rekenschap’, commissie Lodders, 17 maart 2008.
9
‘Vertrouwen en verantwoorden’,’ commissie D’Hondt., 4 juni 2008
24
onderzoeken. De rekenkamer houdt zich bezig met onderzoek naar de doelmatigheid, doeltreffendheid en de rechtmatigheid van het gevoerde bestuur. Belangrijke verandering bij de invoering van de Wet Dualisering Provinciebestuur is dat GS hun eigen bestuur dienen te controleren. Dit is vastgelegd in artikel 217a. Het betreft het reguliere onderzoek naar doelmatigheid en doeltreffendheid van hun bestuur. Doelmatigheid heeft betrekking op de vraag of de uitvoering van beleid efficiënt heeft plaats gevonden, of met beschikbare middelen zoveel mogelijk resultaat geboekt is. De vraag die bij doeltreffendheidonderzoek gesteld moet worden: in hoeverre zijn de gewenste doelen en resultaten van beleid bereikt.
Provinciewet. In de Provinciewet wordt het bestuur van de Provincies geregeld. Conform artikel 212 van de Provinciewet stellen Provinciale Staten bij verordening de uitgangspunten voor het financiële beleid, alsmede voor het financiële beheer en voor de inrichting van de financiële organisatie vast. De verordening waarborgt dat aan de eisen van rechtmatigheid, verantwoording en controle wordt voldaan. De wet is in 1992 herzien, houdende nieuwe bepalingen met betrekking tot Provincies.
Besluit Begroting en Verantwoording gemeenten en Provincies (BBV). De
Provinciewet
schrijft
voor
dat
elke
Provincie
jaarlijks
begrotings-
en
verantwoordingsstukken moet opstellen. Het Besluit begroting en verantwoording Provincies en gemeenten (BBV) bevat de regelgeving daarvoor. Het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties (BzK) heeft met de introductie van het voorschrift van een weerstandsparagraaf een pioniersrol vervuld. BZK
heeft
geleerd
van
de
oppervlakkige
toepassing
van
dat
voorschrift
(Comptabiliteitsvoorschriften 1995) in de praktijk en met het nieuwe artikel 11 in het BBV 10 de benadering aangescherpt door voor te schrijven dat de beschikbare weerstandscapaciteit en het uitstaande risico, dus de benodigde weerstandscapaciteit, moet worden berekend. Volgens het BBV 11 moet de weerstandsparagraaf tenminste de volgende elementen omvatten: a) Een inventarisatie van de weerstandscapaciteit, zijnde de middelen en mogelijkheden waarover een gemeente beschikt of kan beschikken om niet begrote kosten te dekken. b) Een inventarisatie van de risico’s, waarvoor geen maatregelen zijn getroffen en die van materiële betekenis kunnen zijn in relatie tot de financiële positie. c) Het beleid omtrent de weerstandscapaciteit en de risico’s en de realisatie daarvan.
10
Besluit Begroting en verantwoording Provincies en gemeenten, 17 januari 2003.
11
Besluit Begroting en verantwoording Provincies en gemeenten, 17 januari 2003, artikel 11, lid 2
25
Volgens de handreiking “duale begroting” van het ministerie van Binnenlandse Zaken en Koninkrijkrelaties [BZK, 2002] zijn er voor Provincies twee methoden om met een paragraaf om te gaan: 1. In de begroting worden in de paragraaf weerstandsvermogen de beleidskaders vastgesteld en vervolgens de uitvoering hiervan weergegeven; 2. Vaststelling van een afzonderlijk beleidsnota voor de beleidskaders. In de paragraaf weerstandsvermogen worden de relevante ontwikkelingen, de voortgang van de beleidsuitvoering behandeld en de vraag gesteld, of de inhoud van het beleid nog steeds van toepassing is. Het is volgens het Ministerie van BZK [2002] niet voldoende om in de paragraaf weerstandsvermogen jaarlijks de risico’s en de aanwezige capaciteit op te nemen. Het is van belang dat er ook iets met de risico’s gebeurt. Een interprovinciale benchmark van de weerstandsparagraaf [Bosman, 2008] laat zien dat de focus in genoemde paragraaf ligt op (het berekenen van) het beschrijven van financiële risico´s. Volgens Segers 12
[2008]
zijn
Provincies
vrij
om
zelf
invulling
te
geven
aan
de
weerstandsparagraaf. Aangezien de risico’s in de risicoparagraaf niet kwantificeerbare risico’s betreffen, is het lastig om een minimumnorm voor de noodzakelijk geachte weerstandscapaciteit te bepalen. Een interprovinciale vergelijking 13 toont aan dat, vanaf de begroting voor het jaar 2005, de Provincies in toenemende mate over gegaan zijn tot het in kwantitatieve grootheden afzetten van de weerstandscapaciteit tegen de gesignaleerde risico’s. Bij de begroting voor 2009 hebben alle Provincies kwantitatieve gegevens over hun risico’s vermeld, waarbij zich echter verschillen in de mate van gedetailleerd voordoen (variërend van kwantitatieve aanduidingen over vrijwel alle genoemde risico’s tot gegevens over slechts enkele risico’s; soms is alleen een totaalbedrag vermeld). Als gekeken wordt naar de mate waarin de Provincies zelf conclusies trekken over hun weerstandscapaciteit in relatie tot hun risico’s, blijkt dat alle Provincies zich uitspreken over de toereikendheid van hun weerstandsvermogen. De Provincies achten hun weerstandsvermogen toereikend of (ruim) voldoende. Het BBV geeft nergens de richting voor criteria van een nota Weerstandsvermogen. Provincies dienen de risico’s en de capaciteit zelf in kaart te brengen en te beoordelen.
12
William Segers, Hoofd Inspectie Financiën Lokale en provinciale Overheden, ministerie BZK, 24 juni 2008.
13
De Provinciale Financiën 2009, een interprovinciale vergelijking. Ministerie van Binnenlandse Zaken en Koninkrijksrelaties, 11 mei 2009.
26
Doordat de risico’s die Provincies lopen verschillen, is het niet mogelijk een algemene norm te stellen voor de omvang van de weerstandscapaciteit van een Provincie. In het BBV wordt onvoldoende uitgelegd welke informatie gepresenteerd moet worden in de paragraaf weerstandsvermogen. Dul [2007] adviseert dan ook om een aparte notitie over de paragraaf Weerstandsvermogen uit te brengen door de commissie BBV.
Wet FIDO De Wet financiering decentrale overheden (FIDO) bevat instrumenten die de risico’s beperken die decentrale overheden lopen bij lenen en beleggen. De wet bevat nieuwe normen
voor
het
beheersen
van
risico´s
op
kort-
en
langlopende
leningen
(respectievelijk de (herziene) kasgeldlimiet en de renterisiconorm). Voorts zijn de decentrale overheden verplicht een treasurystatuut op te stellen en dienen Provincies en gemeenten, door een wijziging van het Besluit comptabiliteitsvoorschriften 1995 een treasuryparagraaf in de begroting en het jaarverslag op te nemen. Het belangrijkste uitgangspunt is het beheersen van financiële risico's. Daarom gelden er op basis van deze wet kwalitatieve randvoorwaarden. Uit deze randvoorwaarden komt naar voren dat bankieren (het aantrekken van gelden louter met het oogmerk om deze tegen een hoger rendement uit te zetten) verboden is. Medeoverheden moeten zich bij uitzettingen of leningen houden aan de Wet Fido. De wet FIDO is in 2000 aangescherpt naar aanleiding van de Ceteco-affaire in Zuid-Holland. Die strenge eisen die de wet Fido aan overheidsbeleggingen stelt, blijken overigens in de kredietcrisis geen garantie te hebben geboden dat uitstaand geld veilig is. De spaardeposito’s van Provincies en gemeenten bij Landsbanki en de obligaties van Lehman Brothers voldeden (net) aan de ondergrens van Fido, maar bleken niet veilig.
Besluit accountantscontrole gemeenten en Provincies (BAPG). Het Besluit accountantscontrole Provincies en gemeenten (BAPG, 2004) bevat minimumeisen
voor
de
accountantscontrole
van
de
jaarstukken.
De
Provincie/gemeente kan daar bovenop eigen eisen stellen. De introductie van het dualisme is van invloed op de accountantcontrole. Sindsdien werkt de accountant nadrukkelijker in opdracht van de Staten en niet meer van het college. Zo ondersteunt hij de controlerende rol van de Staten. De accountant controleert de “getrouwheid” van de jaarstukken. Hij gaat dus na of de cijfers het juiste beeld geven. Sinds het begrotingsjaar 2004 wordt meer dan voorheen naar de “rechtmatigheid” gekeken. De accountant bekijkt of de baten en lasten en de veranderingen in de balans volgens de regels zijn verlopen, bijvoorbeeld of openbare werken volgens de Europese regels zijn aanbesteed. Hij toetst de (financiële) rechtmatigheid aan regels van buiten (Europa, Rijk, Provincie) en van binnen de Provincie.
Afhankelijk van de uitkomst
geeft de accountant een goedkeurende of een niet-goedkeurende verklaring. Ook maakt hij een rapport van bevindingen. Het BAPG bevat ook regels over wanneer de
27
accountant wel of niet goedkeurt en wel of niet iets in het rapport van bevindingen opneemt. Ook hier kan de Provincie strengere regels vaststellen.
5. Nederlandse code voor goed openbaar bestuur Governance
richt
zich
op
de
belanghebbenden
bij
de
organisatie,
de
daarmee
samenhangende doelstellingen van deze organisatie, en de verantwoordelijkheid van de leiding van de organisatie om deze doelstellingen te realiseren. Er is een duidelijk onderscheid tussen corporate governance en Government Governance. Corporate governance is voornamelijk toegesneden op het bedrijfsleven: discussies betreffen de verantwoordelijkheden van de Raad van commissarissen, de Algemene vergadering van Aandeelhouders en de Raad van Bestuur, de aanwezigheid van adequate interne beheersingssystemen, het afleggen van verantwoording en de rol en functie van de accountant. De kern van de theorie is dat belanghebbenden binnen en buiten de organisatie zijn gebaat bij een goede interne beheersing en een goede verantwoording daarover. Government governance is een begrip waarmee 'goed bestuur' in de publieke sector wordt aangeduid. Onder government governance wordt verstaan: ‘Het waarborgen van de onderlinge samenhang van de wijze van sturen, beheersen en toezicht houden van een overheidsorganisatie,
gericht
op
een
efficiënte
en
effectieve
realisatie
van
beleidsdoelstellingen, alsmede het daarover op een open wijze communiceren en verantwoording afleggen ten behoeve van belanghebbenden’ [Directie Accountancy Rijksoverheid, 2000]. Er zijn in de laatste jaren meerdere governancecodes ontwikkeld, in verschillende sectoren. Na de Nederlandse code voor corporate governance (‘code Tabaksblat’) zijn in Nederland vergelijkbare codes ontwikkeld voor onder meer de sectoren zorg, onderwijs, sociale woningbouw, cultuur, pensioenfondsen en omroepen. In juli 2009 heeft het Kabinet een nieuwe Monitoring Commissie Corporate Governance Code benoemd. De Commissie volgt de Commissie Frijns op, die in december 2008 de Code Tabaksblat heeft geactualiseerd 14 . De belangrijkste aanpassingen liggen onder meer op het gebied van risicobeheersing. Vanzelfsprekend is ook voor overheidsorganisaties een goede governance van belang. Zij moeten zich immers kunnen verantwoorden tegenover de politieke toezichthouders: de Tweede Kamer, de Provinciale Staten of de Gemeenteraad. De Directie accountancy Overheid (DAR) stelt in een handleiding Government Governance [2000] dat corporate governance heeft geleid tot visies die bruikbaar zijn in de publieke sector, maar dat het
14
De Nederlandse corporate governance Code, Monitoring Commissie Corporate Governance Code, december 2008.
28
algehele kader waarin deze worden gepresenteerd als zodanig niet goed bruikbaar is in de publieke sector. Er zijn immers belangrijke verschillen tussen publieke organisaties en private organisaties (zie ook paragraaf 3.6). Het betreft zowel de structuur als de processen die zich hierin afspelen. In 2008 heeft een werkgroep een code voor goed openbaar bestuur ontwikkeld. Die is bedoeld voor besturen van het rijk, Provincies, gemeenten, waterschappen en politie. Met deze code maken organisaties in het openbaar bestuur duidelijk dat zij op basis van dezelfde beginselen van goed bestuur willen handelen en optreden. In zowel de handleiding government governance als het concept van de Nederlandse code voor goed openbaar bestuur ontbreekt het aan een expliciete koppeling naar het gebruik van risicomanagement.
3.7 Risicomanagement bij Provincies Hoewel de risicoagenda aantoont dat de noodzaak voor een organisatiebrede toepassing van risicomanagement bij Provincies meer dan ooit aanwezig is, toont onderzoek [Boorsma; 2006, Dul; 2007] aan dat risicomanagement nog onvoldoende verankerd is in de
planning-
en
controlcyclus.
De
bevindingen
worden
gestaafd
door
PricewaterhouseCoopers. In het onderzoek naar de manier waarop risicomanagement in organisaties wordt bedreven, concludeert PwC dat met name bij de overheid een formeel risicomanagementbeleid ontbreekt. [PwC, 2005]. Dat risicomanagement bij de overheid nog in de kinderschoenen, erkent ook Kruf, voorzitter van de PRIMO, Public risk management organization (2008). ‘We kijken er lang niet altijd systematisch en op het juiste niveau naar. Overheden nemen tal van besluiten zonder de risico’s vooraf systematisch te calculeren. Pas bij de uitvoering komen de risico’s dan aan het licht”.
Ook Deloitte constateert dat er door organisaties in het
publieke domein nog weinig gebruik gemaakt wordt van risicomanagement bij het sturen en beheersen van het collegeprogramma (Hofstra, 2007). Een
benchmark 15
weerstandsparagraaf
naar
het
van
de
beleid 12
en
de
Provincies
verantwoording [Bosman,
2008],
hierover toont
in
de
aan
dat
risicomanagement veelal als sturingsinstrument achteraf wordt gehanteerd en dat de focus op financieel risicomanagement in plaats van organisatiebreed risicomanagement ligt. Daarnaast toonde de benchmark aan dat er bij Provincies weinig aandacht is voor het in kaart brengen en monitoren van de bij de risico’s behorende beheersmaatregelen. Een eenduidige manier van rapporteren over risico’s is op basis van de interprovinciale vergelijking niet te onderkennen. 15
Benchmark Provinciale jaarstukken 2007, in opdracht van de Kring van Provinciesecretarissen. 11 december 2008.
29
Veel overheidsorganisaties besteden weliswaar aandacht aan risicomanagement, maar dat gebeurt op versnipperde wijze of louter op basis van actuele problematiek (Van ´t Hart, 2007). In vergelijking met het bedrijfsleven heeft de overheid nog een inhaalslag te maken om risicomanagement systematisch op de kaart te zetten. Risicomanagement, als onderdeel van de planning- & controlcyclus, dient een bijdrage te leveren aan het realiseren van bestuurlijk gewenste doelstellingen, beleidseffecten en prestaties van de Provincie. Hierbij is risicomanagement een methodiek voor het op systematische wijze identificeren, analyseren, evalueren, beheersen, monitoren en communiceren van de risico’s die samenhangen met een activiteit, functie of proces met als doel het verschaffen van een redelijke mate van zekerheid dat de (strategische- en operationele) doelstellingen van de organisatie zullen worden behaald. In onderstaand model is het belang van een adequate koppeling van risicomanagement in relatie tot het bereiken van doelen schematisch weergegeven. De koppeling van strategische risico´s aan de operationele beheersing in processen, is hierin leidend. Het toont aan dat risicomanagement in een organisatie plaats vindt op alle niveau’s binnen de organisatie.
Hierbij wordt ervan uitgegaan dat risicomanagement in ieder geval drie
gebruiksniveaus heeft: (1) het provinciaal bestuur als eindverantwoordelijke om de doelstellingen te realiseren; (2) het College van Gedeputeerde Staten en de directie om de organisatie zo effectief en efficiënt mogelijk in te zetten en (3) de ambtelijke organisatie om interne en/of externe projecten te realiseren. Figuur 3. Risicomanagementmodel Provincies. (Bosman, 2007)
m is si e C oa l iti e ak ko o rd
w ette l ij k k ad er
Do e le n PS: W e lk e d o e l e n e n m a a t s c h a p p e l ij k e E f fe c t e n ?
G S en Di rec t ie :
R isi co ’s
P ro g ra m m a b eg ro ti n g
S tr a te g is c h e r is ic o ’s
P ro d u cte n ram i ng T a ct is c he r is ico ’ s
H o e g a a n w e d it b e r e i k e n ?
A fd e lin g s h o o fd e n / Pr o g r a m m a m a n a g e r s: H o e v oe re n w e di t ui t ?
O r g an i sat ie vi s ie
jjjjj
P r o ce sb es ch ri j vi n g en
O p e ra t io n e le r i sic o ’s
30
Bovenstaand
figuur
schetst
het
belang
van
de
organisatiebrede
benadering
van
risicomanagement bij Provincies. Organisatiebreed risicomanagement gaat uit van een benadering waarbij het management op basis van haar bijdragen aan de realisatie van de organisatiedoelstellingen wordt geïntegreerd en gecoördineerd over de gehele organisatie [Van Moorsel, 2003]. Vaak ontbreekt het overigens aan een duidelijk beeld over de toegevoegde waarde van risicomanagement, zowel op het bestuurlijke niveau als op operationeel niveau [Marle en Haisma, 2008]. Van Doorn benoemt als belangrijke risico’s voor de overheid: “[…] risico’s die de doelen bedreigen en de urgente risico’s die voor de meerjarige agenda belangrijk zijn.” [2006]. Doorvertaald in een sturingsmechanisme duidt Van Doorn het belang van een adequaat sturingsmechanisme: “[…] dat overwegend betrekking heeft op het niveau houden en verbeteren van de processen en de organisatie”. Als de verschillende lagen in een organisatie onvoldoende beseffen waarom aan risicomanagement wordt gedaan en wat dit kan bijdragen aan hun functioneren, zal men ook geen risicobewuste cultuur gaan uitdragen. Bij het implementeren van risicomanagement moet men de toegevoegde waarde ervan voor de verschillende niveaus in de organisatie voor ogen hebben. Pas als er een duidelijke relatie zichtbaar is tussen eigen prestaties en risicomanagement, zal de organisatie gaan bewegen. De toegevoegde waarde hangt nauw samen met belangen, afgeleid van taken en verantwoordelijkheden die men heeft in een organisatie. Met het toenemende belang van –en daardoor belangstelling voor– risicomanagement bij de Provincies, neemt ook de behoefte toe aan een conceptueel raamwerk daarvoor. Een falende risicobeheersing kan immers van directe invloed zijn op het belang dat de stakeholder hecht aan deze overheidsdienst. Daarmee komt de legitimiteit van de Provincie in het geding. Het lijkt erop dat met het opstellen van een internationale standaard voor een raamwerk voor het organisatiebreed managen van risico’s (ISO 31000) een belangrijke stap is gemaakt naar deze gewenste koppeling tussen doelstellingen en processen, zoals in figuur 3 is weergegeven. ISO 31000 tracht een complete beschrijving te geven van de verschillende zaken die relevant zijn voor risicomanagement. Daarbij wordt niet alleen ingezoomd op het risicomanagementproces, maar ook op de context ervan, waarin mandaten worden afgegeven door opdrachtgevers en waarbij stakeholders nadrukkelijk worden betrokken bij het proces.
31
3.8 Operationaliseren van begrippen De aandacht voor het vakgebied risicomanagement staat recent volop in de belangstelling, zowel in profit als non-profit organisaties. Naast de te doorlopen stappen in het risicomanagementproces,
blijkt
uit
de
verschillende
definities
van
risico
en
risicomanagement dat met name cultuur- en structuuraspecten belangrijk zijn als kritische succesfactor voor een succesvolle toepassing van risicomanagement. Als kritische succesfactor dienen: 1. Positionering van risicomanagement binnen de organisatie 2. Draagvlak van management en bestuur 3. Borgen van risicomanagement in proces 4. Aansluiting bij de doelstellingen van de organisatie
Er is een grote verscheidenheid aan werkwijzen en gehanteerde raamwerken voor risicomanagement, waarbij veelal de beheersing van financiële risico´s ten behoeve van de controlerende (externe) accountant centraal staat. Met betrekking tot Provincies, blijkt uit literatuuronderzoek dat ISO-31000 een geschikt kan
zijn
om
risicomanagement
toe
te
passen.
Het
sluit
aan
bij
de
complexe
besluitvormingsprocessen van de Provinciale overheid en de sterk veranderende externe context waarin de Provincies zich bevinden. Los van het te hanteren instrument, dient te worden beoordeeld in welke mate Provincies invulling geven aan de positionering van risicomanagement binnen de organisatie (structuur) en (het verbeteren van) het draagvlak voor risicomanagement bij het management (cultuur). Op basis van de kritische succesfactoren voor risicomanagement , de uitgangspunten voor toepassing van ISO-31000 en de specifieke politiek-bestuurlijke context van Provincies, kunnen de volgende criteria voor een succesvol risicomanagement bij Provincies worden benoemd: 1. Verantwoordelijkheden zijn belegd op strategisch, tactisch en operationeel niveau 2. Er is sprake van een organisatiebreed risicobewustzijn, op zowel strategisch, tactisch en operationeel niveau 3. Risicomanagement maakt onderdeel uit van (besluitvorming)processen 4. Risicomanagement sluit aan bij de doelstellingen van de provinciale organisatie
32
Om te komen van de begrippen, zoals gehanteerd in het literatuuronderzoek, naar toetsbare begrippen in het empirisch onderzoek, worden hieronder de belangrijkste begrippen geoperationaliseerd Risicomanagement Risicomanagement omvat de gecoördineerde activiteiten, gekoppeld aan een effectief management van gebeurtenissen en de effecten daarvan op de doelstellingen van de organisatie. Hiermee worden bedoeld de regels en procedures (activiteiten) waarmee het dagelijkse functioneren van de organisatie gestuurd wordt. Risico. De onzekerheid dat een gebeurtenis zich voordoet waarbij zowel positieve als negatieve effecten kunnen optreden, die van invloed zijn op het doelbereik. Raamwerk Het is het kader dat ervoor moet zorgen dat risicomanagementprocessen zijn ingebed in de managementstructuur en besluitvormingsprocessen van de organisatie en dat ze worden
aangestuurd
vanuit
een
duidelijke
visie
en
beleid
op
de
functie
van
risicomanagement voor de organisatie. Processen Risicomanagement krijgt gestalte door uitvoering van het risicomanagementproces. In het hart van het proces zitten de stappen van het identificeren, analyseren en evalueren van risico’s verbonden aan een proces, project of organisatie. De processen vormen het hart van een organisatie. Hiermee wordt bedoeld de aaneenschakeling van activiteiten in een bedoelde volgorde en met een beoogd resultaat. Voor een uitgebreide opzet en verantwoording van het methodologisch onderzoek wordt verwezen naar hoofdstuk 4.
33
34
4
METHODOLOGIE
In dit hoofdstuk wordt de opzet en Hoofdstuk 1 Hoofdstuk 3 Hoofdstuk 5 verantwoording van het empirisch Inleiding Literatuuronderzoek Onderzoeksresultaten onderzoek afgebakend. In paragraaf 4.1 wordt stilgestaan bij het vooronderzoek, de geraadpleegde bestaande bronnen Hoofdstuk 2 Hoofdstuk 4 Hoofdstuk 6 en experts (4.2 en 4.3). Opdracht en Methodologie Conclusies In paragraaf 4.4 worden de onderzoek begrippen uit het literatuuronderzoek geoperationaliseerd, die in de enquêtes en de interviews worden gehanteerd. Daarnaast worden respectievelijk de dataverzameling, de dataverwerking en de methoden van dataverzameling toegelicht (4.5/4.6/4,7).
4.1 Vooronderzoek Om een goed inzicht te verkrijgen van het vakgebied risicomanagement, is als eerste stap in het onderzoek verschillende soorten literatuur op dit gebied geraadpleegd. Om aan te kunnen geven wat risicomanagement inhoudt, kan aangesloten worden bij de grote hoeveelheid aan (vak)literatuur op dit gebied. Daarnaast is er literatuur afkomstig uit de praktijk, bestaat uit rapporten en artikelen van organisaties die zich bezighouden met risicomanagement zoals bijvoorbeeld PricewaterhouseCoopers, Deloitte, Ernst & Young, het
Nederlands
Adviesbureau
voor
Risicomanagement
(NAR),
het
Nederlands
Normalisatie-instituut (NEN), en trainingen/presentaties/handreikingen/syllabi op het gebied van risicomanagement voor overheden. Ten aanzien van het openbaar bestuur zijn onder meer recente publicaties op het gebied van decentralisatiediscussies en Government Governance beoordeeld, alsmede publicaties van de Wetenschappelijke raad voor het Regeringsbeleid. Op basis van de bestudeerde theorieën en modellen, zijn in het vooronderzoek vervolgens interviews afgenomen met deskundigen om de eerste bevindingen te toetsen. De keuze voor deze deskundigen is gebaseerd op hun ervaring op het gebied van risicomanagement binnen de publieke sector en binnen lokale overheden in het bijzonder. Als deskundigen zijn in het vooronderzoek geïnterviewd: •
Dick Hortensius, senior standardization consultant managementsystemen van het Nederlands Normalisatie-instituut NEN. Dick Hortensius van
de
normcommissie
ISO
31000
en
verzorgt het secretariaat
vertegenwoordigt
Nederland
in
de
internationale werkgroep. •
William Segers, Hoofd Inspectie Financiën Lokale en provinciale Overheden en voorzitter
Kenniskring
Weerstandsvermogen
en
Risicomanagement;
Ministerie
Binnenlandse zaken en Koninkrijkszaken (BzK).
35
•
Maurice Thijssen, directeur Binnenlands Bestuur PricewaterhouseCoopers. PwC heeft ondersteunt bij het totstandkomen van het COSO-framework. Daarnaast is PwC de huisaccountant van het merendeel van de Provincies (8).
•
Robert ’t Hart. Directeur van het Nederlands adviesbureau voor Risicomanagement.
Daarnaast hebben genoemde personen op verschillende momenten conceptversies van het onderzoeksrapport gereviewed. Overigens dient vermeld dat gedurende het vooronderzoek de interesse voor de aanpak en de uitkomsten van het onderzoek groot is gebleken. Dat heeft geleid tot verschillende presentaties van de aanpak en aanleiding in onder meer
de Kenniskring voor
Risicomanagement, onder coördinatie van het Ministerie van BzK. Daarnaast is ook tijdens 3
landelijk
georganiseerde
congressen/seminars
een
presentatie
gehouden
over
Risicomanagement in relatie tot de nieuwe ISO-norm. Eind 2008 is in een publicatie in het tijdschrift Politiek Management stilgestaan bij het voorliggende onderzoek (zie bijlage 4). Daarnaast is er door verschillende instanties interesse voor publicatie van de uitkomsten getoond.
4.2 Te raadplegen bestaande bronnen Reeds beschikbaar is secundaire data, informatie verzameld voor een ander doel, maar bruikbaar als data voor het onderzoek dat voorligt. Het betreft data, verzameld op basis van eerder verricht (literatuur)onderzoek dat ik heb gedaan bij de Provincie Limburg in het kader van de MBA-opleiding, danwel op basis van interne projecten/opdrachten bij de Provincie Limburg: 1. Beschrijving en analyse van de werking van een Provinciale organisatie (rolverdeling Provinciale Staten, gedeputeerde Staten en ambtelijke organisatie). 2. Uitkomsten van de organisatiescan voor bestuurlijke planning en control. (Ontwikkeld door o.a. het ministerie van BZK en de VNG, gestoeld op het INK-model).
36
Figuur 4. INK model Interne beheersing Externe dienstverlening met interne effecten
Maatschappelijke effecten
Interne bedrijfsvoering met externe effecten Producten
Fase Fase11Input Input Sturing op Adequate activiteiten structuur en
Input
Fase Fase22Proces Proces Ontwikkeling Ontwikkeling planning planning&& controlcyclus controlcyclus
Fase Fase33Product Product Product-, Product-, outputoutput-en en prestatiesturing prestatiesturing
Fase Fase44Klant Klant Sturen Sturenop op kwaliteit kwaliteiten en cultuur cultuur
Fase Fase55Omgeving Omgeving Realiseren Realiseren omgevingsomgevingsgerichte gerichtesturing sturing
Ontwikkelvermogen
besturing
Reactief
Proactief
Externe oriëntatie
Bron: Ministerie van Binnenlandse Zaken en Koninkrijksrelaties
Het geeft een beschrijving op een aantal verschillende planning & controldimensies waarbij een onderverdeling in een vijftal ontwikkelingsfasen is te maken. De fasen variëren naar de mate van interne beheersing (van beheersing van activiteiten naar sturing op maatschappelijke effecten) en de mate van externe oriëntatie (van reactief naar pro-actief). Met behulp van dit model is onder meer de strategische positie- en ambitiebepaling van de provinciale managementcontrol van de Provincie Limburg vastgesteld. 3. Benchmarkgegevens paragraaf weerstandsvermogen. Op verzoek van de kring van Provinciesecretarissen 16 , ben ik in juni 2008 gestart met een interprovinciale vergelijking van alle Jaarstukken. Als onderdeel van deze vergelijking is de paragraaf Weerstandsvermogen beoordeeld. De uitkomsten van dit onderzoek heb ik in december 2008 gepresenteerd aan de kring van Provinciesecretarissen. De uitkomsten zijn meegenomen in voorliggend onderzoek. 4. Interne documenten Provincie Limburg: Organisatievisie 2015. (november 2008) ‘Sturen met managementinformatie’, de verbinding tussen coalitieakkoord en outcome, december 2006. Coalitieakkoord 2007-2011: “Investeren en Verbinden’, mei 2007. Verslagen project ‘Procesmanagement’ (2006-2008). Deze verslagen geven inzicht in de samenhang en voortgang van 12 prioritaire projecten, die de strategische alertheid moeten vergroten en die de organisatie gereed maken voor de uitvoering van het coalitieakkoord 2007-2011. 5. Benchmarkgegevens
Aanpak risicomanagement andere Provincies/gemeenten
16
Kring van Provinciesecretarissen, december 2007
37
Weerstandsvermogen en risicomanagement gemeente Venlo; Onderzoek en aanbevelingen, 2006. Kenniskring Risicomanagement en Weerstandsvermogen (ministerie van BZK) , verslagen 2007-2009 Congres Risicomanagement; 21 april 2008, Ministerie van BZK, Rotterdam Seminar Risicomanagement; 12 september 2008, Provincie Limburg, Maastricht. Jaarcongres Primo, Intervisiebijeenkomst Risicomanagement Provincies, 2 juli 2009 6. Onderzoeksrapporten derden
Rapport van onderzoek naar Provinciale bestuurskracht. Interimcontrole 2008, PricewaterhouseCoopers (PwC) 17 Rapport van bevindingen 2007/2008 (PwC) Rapport van de Zuidelijke Rekenkamer (onderzoek naar de jaarstukken 2007) 18
Voor een volledig overzicht van de geraadpleegde bronnen wordt verwezen naar de literatuurlijst.
4.3 Te raadplegen expert Voor dit onderzoek dient Robert ’t Hart (directeur van het Nederlands adviesbureau voor risicomanagement) als sparringpartner/sponsor. Hij beschikt over een uitgebreide kennis en ervaring op het gebied van het toepassen van risicomanagement bij zowel profit als not-for-profit organisaties en heeft rond dit vakgebied een groot netwerk opgebouwd. Robert is als externe adviseur nauw betrokken geweest bij de implementatie van risicomanagement bij de Provincie Limburg. Hij maakt tevens onderdeel uit van de Nederlandse normcommissie, die de ontwerpteksten voor de risicomanagementrichtlijn ISO 31000 beoordeelt.
4.4 Operationalisatie van begrippen Voor de beoordeling van de kritische succesfactoren voor de toepassing van ISO 31000 bij Provincies, is gebruik gemaakt van enquêtes en het houden van interviews. In de enquête zijn vragen opgenomen over de wijze waarop Provincies invulling geven aan de drie onderdelen van de ISO 31000-norm; 1. Principes voor risicomanagement 2. Raamwerk voor risicomanagement 3. Risicomanagement-proces. Om te komen van de begrippen, zoals gehanteerd in het literatuuronderzoek, naar toetsbare begrippen in het empirisch onderzoek, zijn in paragraaf 3.8 de belangrijkste 17
De accountant van de Provincie Limburg (PWC) voert ieder jaar een interimcontrole uit, ter voorbereiding op de controle van de jaarrekening. De aanbevelingen worden benoemd in een managementletter, die wordt voorgelegd aan de Directie.
18 De Zuidelijke Rekenkamer is in 2004 opgericht door de Provincies Noord-Brabant en Limburg en draagt bij aan de transparantie van het intern functioneren van de provinciale organisatie en het extern presteren van de provinciale overheid. In 2006 heeft de Rekenkamer een onderzoek uitgevoerd naar de rolverdeling tussen Provinciale Staten en Gedeputeerde Staten inzake de sturing en beheersing van apparaatskosten.
38
begrippen reeds geoperationaliseerd. Hieronder worden de belangrijkste begrippen nader bepaald. Risicomanagement Op basis van de literatuurstudie van risicomanagement en de theorie van openbaar bestuur, komt samengevat naar voren welke criteria voor risicomanagement bij Provincies worden gehanteerd. Hierin zijn enkele dimensies (onderstreept) opgenomen. Als Provincies risicomanagement willen toepassen, dan dienen : Ze naast een koppeling aan doelstellingen, ook zorg te dragen voor een proces, waarbij risicobewustzijn wordt gedeeld (cultuur). Het succesvol toepassen van risicomanagement bij Provincies vereist dat, naast een geschikt raamwerk, er duidelijkheid is over de uitgangspunten van het gebruik van risicomanagement. Daarnaast moet ook helder zijn op welke niveau’s de verantwoordelijkheid voor risicomanagement binnen de provinciale organisatie is belegd. Op grond van bovengenoemde nadere bepaling, zijn deze dimensies vertaald naar onderwerpen en is aangegeven wat er, wat betreft deze dimensies geacht wordt aanwezig te zijn (begrip zoals bepaald voor dit onderzoek): Doelstellingen Doelstellingen, zoals opgenomen in de programmabegroting van de Provincie, als doorvertaling van het coalitieakkoord, zoals dat voor 4 jaar is opgesteld en vastgesteld door Provinciale Staten. Proces De uitvoering van het risicomanagementproces omvat de stappen van het identificeren, analyseren en evalueren van risico’s verbonden aan een proces of project. De processen vormen het hart van een organisatie. Hiermee wordt bedoeld de aaneenschakeling van activiteiten in een bedoelde volgorde en met een beoogd resultaat. De Provincies dienen dan ook te beschikken over een systematiek van risicoidentificatie, risicobeoordeling en monitoring. Risicomanagement Risicomanagement omvat de gecoördineerde activiteiten, gekoppeld aan een effectief management van gebeurtenissen en de effecten daarvan op de doelstellingen van de organisatie. Hiermee worden bedoeld de regels en procedures (activiteiten) waarmee het dagelijkse functioneren van de organisatie gestuurd wordt.
39
Raamwerk Het is het kader dat ervoor moet zorgen dat risicomanagementprocessen zijn ingebed in de managementstructuur en besluitvormingsprocessen van de organisatie en dat ze worden
aangestuurd
vanuit
een
duidelijke
visie
en
beleid
op
de
functie
van
risicomanagement voor de organisatie. Uitgangspunten Op basis van de kritische succesfactoren voor risicomanagement (paragraaf 3.8) en de specifieke politiek-bestuurlijke context van Provincies (3.6), kunnen de volgende criteria voor een succesvol risicomanagement bij Provincies worden benoemd: 1) Verantwoordelijkheden dienen te zijn belegd op strategisch, tactisch en operationeel niveau. Positionering van risicomanagement is randvoorwaardelijk voor het creëren van
draagvlak.
Op
strategisch
niveau
bij
zowel
Bestuur,
directie
als
overig
management. Op tactisch niveau bij projectleiding en operationeel bij medewerkers, procesbewaking. 2) Risicobewustzijn van verschillende risicogebieden wordt actief gedeeld op strategisch, tactisch en operationeel niveau. Het stimuleert het organisatiebrede risicobewustzijn binnen de Provincie. 3) Risicomanagement maakt onderdeel uit van (besluitvormings) processen. Doorvertaald in een sturingsmechanisme is het van belang dat risicomanagement als een adequaat sturingsmechanisme dient dat betrekking heeft op het niveau houden en verbeteren van de processen en de organisatie. 4) Risicomanagement sluit aan bij de doelstellingen van de provinciale organisatie. Op bestuurlijk als operationeel niveau zijn de belangrijkste risico’s voor de overheid risico’s die de doelen bedreigen en de urgente risico’s die voor de meerjarige agenda belangrijk zijn. Verantwoordelijkheid Voor een succesvol
risicomanagement
is
het
van
belang
dat
rollen,
taken
en
verantwoordelijkheden met betrekking tot risicomanagement duidelijk zijn benoemd. Met het juist vastleggen van taken, verantwoordelijkheden en bevoegdheden ten aanzien van risicomanagement, kan het mandaat en de positionering worden geregeld. Hieronder is de uiteindelijke operationalisering opgenomen in de vorm van vragen die in de interviews gesteld zijn. De vragenlijsten zijn uitgezet op 17 april 2009. De geënquêteerden zijn zorgvuldig geselecteerd op hun directe betrokkenheid met het vakgebied risicomanagement bij de betreffende Provincie. De personen zijn vooraf
40
telefonisch benaderd met het verzoek tot deelname aan het onderzoek. Alle Provincies hebben de vragenlijst ingevuld, de laatste is ontvangen op 26 mei 2009.
Uitgangspunt 1. Positionering. Vraag 1,2,3,4,5,6,12,13,15,16,17,18,19,20,21,31
Uitgangspunt 2. Actief delen risicomanagement. 8, 9,10,11,14,22,24,33,34,35
Uitgangspunt 3. Proces. 23,25,27,28,29,30,32,35,36
Uitgangspunt 4. Doelstellingen. 26
Daarna zijn in een intervisiebijeenkomst met vier betrokken functionarissen nog eens de eerste resultaten besproken (2 juli 2009). Vervolgens is er bij twee Provincies een interview
gehouden, waarin
met
name de focus is gelegd
op de eerste twee
uitgangspunten.
4.5 Dataverzameling
Populatie vragenlijst
Voor het verzamelen van data zijn alle Provincies benaderd. De geënquêteerden zijn zorgvuldig
geselecteerd
op
hun
directe
betrokkenheid
met
het
vakgebied
risicomanagement bij de betreffende Provincie. Het betreft dus een afgebakende populatie. De personen zijn vooraf telefonisch benaderd met het verzoek tot deelname aan het onderzoek. Alle provincies hebben deelgenomen aan het onderzoek.
Populatie diepte-interviews
Op basis van de resultaten van de ingevulde vragenlijsten is nog bij twee Provincies een diepte-interview gehouden. De keuze voor de Provincies is gebaseerd op de ervaringen ten aanzien positionering van risicomanagement en het actief delen van risicomanagement. De interviews dienden dan ook als toets van de algemene bevindingen en zijn afgenomen bij functionarissen, waarbij risicomanagement als verantwoordelijkheid is ondergebracht. Het betreft niet dezelfde personen, die de vragenlijst van de betreffende provincie hebben ingevuld.
4.6 Dataverwerking Bij de in de vragenlijsten gebruikte variabelen is er geen sprake van een bepaalde meeteenheid. Het zijn met andere woorden variabelen op nominaal meetniveau, er kunnen immers geen berekeningen op worden uitgevoerd. Met behulp van rechte tellingen is inzichtelijk gemaakt hoeveel antwoorden de verschillende Provincies in elke antwoordcategorie hebben gegeven.
41
4.7 Kwaliteit van dataverzamelingmethoden In dit onderzoek is gestreefd naar betrouwbaarheid, validiteit en bruikbaarheid van de onderzoeksgegevens.
De
Betrouwbaarheid betrouwbaarheid
van
empirisch
onderzoek
betreft
de
consistentie
en
de
repliceerbaarheid van de methoden, de omstandigheden en de resultaten van dat onderzoek. De maatregel die is genomen om de betrouwbaarheid van de gegevens te bevorderen is de toepassing van verschillende onderzoeksmethoden. In dit onderzoek is gebruik gemaakt van bestaande (benchmark)onderzoeken, documenten van de 12 Provincies, interviewtechnieken en vragenlijsten.
Validiteit
Naast betrouwbaarheid is ook de validiteit van het onderzoek van wezenlijk belang. Met validiteit wordt bedoeld of we wel meten wat we in feite wensen te meten. Bij het voorliggende onderzoek is de validiteit geborgd door het zorgvuldig bepalen van de populatie van de respondenten van de vragenlijsten (zie ook paragraaf 4.5). Daarnaast is met name de operationalisatie van begrippen (paragraaf 4.4) zoals gehanteerd in het literatuuronderzoek, naar toetsbare begrippen in het empirisch onderzoek van belang voor een valide onderzoek.
Bruikbaarheid.
Bij het voorliggende praktijkgerichte onderzoek is gestreefd naar bruikbaarheid van de gegevens. Met de toegepaste kennis en de resultaten van het onderzoek wordt immers beoogd om een bijdrage te leveren aan de passende toepassing voor risicomanagement bij Provincies.
42
5 RESULTATEN In dit hoofdstuk worden de uitkomsten gepresenteerd van het onderzoek, uitgevoerd door middel van vragenlijsten bij Provincies en gehouden interviews.
5.1
Hoofdstuk 1 Inleiding
Hoofdstuk 3 Hoofdstuk 5 Literatuuronderzoek Onderzoeksresultaten
Hoofdstuk 2 Opdracht en onderzoek
Hoofdstuk 4 Methodologie
Hoofdstuk 6 Conclusies
Inleiding
Omdat alleen een overzicht van de bevindingen uit het literatuuronderzoek (hoofdstuk 3) nog geen garantie biedt voor de bruikbaarheid ervan, is op verschillende wijzen aan de hand van de praktijk, beoordeeld in hoeverre de uit de literatuur blijkende kritische succesfactoren ook daadwerkelijk toepasbaar kunnen zijn voor risicomanagement bij de Provinciale overheid. Voor het beoordelen van de kritische succesfactoren voor de toepassing van ISO-31000 bij Provincies, is gebruik gemaakt van enquêtes en interviews. Om inzicht te krijgen in de wijze waarop de beoordelingscriteria bruikbaar zijn, is aan contactpersonen bij de 12 Provincies digitaal een vragenlijst afgenomen en is bij 2 provincies een diepte interview gehouden (zie ook paragraaf 4.5 dataverzameling).
Bij de operationalisering van de vragen is rekening gehouden met de specifieke criteria voor een succesvol risicomanagement bij Provincies: 1. Verantwoordelijkheden zijn belegd op strategisch, tactisch en operationeel niveau 2. Er is sprake van een organisatiebreed risicobewustzijn, op zowel strategisch, tactisch en operationeel niveau 3. Risicomanagement maakt onderdeel uit van (besluitvorming)processen 4. Risicomanagement sluit aan bij de doelstellingen van de provinciale organisatie
In de enquête zijn vragen opgenomen over de wijze waarop Provincies invulling geven aan de drie onderdelen van de ISO 31000-norm;
1. Uitgangspunten voor risicomanagement; 2. Raamwerk voor risicomanagement; 3. Risicomanagement-proces. De uitkomsten worden per onderdeel uitgewerkt.
43
5.2 Uitgangspunten risicomanagement Bij de beoordeling van de uitgangspunten van risicomanagement is stilgestaan bij het gevoerde risicomanagementbeleid, de invloed van recente ontwikkelingen, de gehanteerde definities en de gehanteerde risicomanagement-standaard.
¾ Risicomanagementbeleid Om een uniforme werkwijze in de organisatie te bevorderen is het van belang dat de Provincie een beleid vaststelt ten aanzien van risicomanagement. In dit onderzoek is gevraagd in hoeverre Provincies een formeel risicomanagementbeleid hebben vastgesteld. De belangrijkste resultaten:
Bij 3 Provincies is (nog) geen risicomanagementbeleid vastgesteld.
Bij 9 Provincies zijn de uitgangspunten van risicomanagement formeel vastgelegd in risicomanagementbeleid en vervolgens vastgesteld door Provinciale Staten; het beleidsbepalende en bestuurlijke orgaan van de Provincie.
Bij 6 Provincies is het risicomanagementbeleid recent vastgesteld (in 2007 of later).
Daar waar risicomanagementbeleid in 2006 of eerder is vastgesteld, is door de respondenten aangegeven dat er op korte termijn bijstelling van dit beleid plaats vindt (bij 4 Provincies binnen een half jaar).
Gevraagd
is
aan
de
Provincies
welke
aspecten
aanleiding
zijn
geweest
om
risicomanagementbeleid op te stellen. De uitkomsten zijn in onderstaande tabel gepresenteerd. Tabel 2 Aanleiding opstellen van risicomanagementbeleid Aanleiding voor opstellen van risicomanagementbeleid (N=9) Externe factoren Public Governance Decentralisatie-afromingdiscussies Economische crisis Verscherpte wet- en regelgeving Verzoek Provinciale staten Onderzoek rekenkamer Bevinding accountant Interne factoren Interne veranderingen/reorganisatie Een incident Verbeteren versnipperde aanpak Verzoek college GS
Aantal Provincies 5 0 1 2 1 1 5 2 1 6 0
De aanleiding voor het opstellen van risicomanagementbeleid bij Provincies wordt ingegeven in het geval van externe factoren door bevindingen van de accountant en in mindere mate door recente decentralisatie- cq afromingsdiscussies tussen Rijk en Provincies. Daarnaast is het verbeteren van de inzicht in de bestaande versnipperde
44
risicoaanpak
de
belangrijkste
interne
aanleiding
voor
het
opstellen
van
risicomanagementbeleid. De behoefte van deze Provincies om de versnipperde aanpak te structureren
is
een
belangrijke
stap
tot
een
meer
integrale
benadering
van
risicomanagement bij Provincies. De
respondenten
is
gevraagd
welke
onderdelen
uitmaken
van
het
risicomanagementbeleid. Tabel 3 Onderdelen van risicomanagementbeleid Onderdelen van risicomanagementbeleid (N=9)
Aantal Provincies
Doelstelling Aanleiding Scope Aanpak Tijdspad implementatie Relatie organisatiestrategie Randvoorwaarden Rollen/verantwoordelijkheden Gehanteerde risicotolerantie
8 4 5 6 0 1 3 6 5
Omdat
richtlijnen
ontbreken,
wordt
het
risicomanagementbeleid
door
Provincies
verschillend ingevuld. Opvallend is dat, van de 9 Provincies met een vastgesteld risicomanagementbeleid, 3 Provincies geen rollen en verantwoordelijkheden hebben beschreven
in
het
beleid.
Terwijl
juist
met
het
vastleggen
van
taken,
verantwoordelijkheden en bevoegdheden, het mandaat en de positionering kan worden geregeld. Bij het opstellen van risicomanagementbeleid hebben nagenoeg alle Provincies gebruik gemaakt van externe advisering. 7 Provincies zijn ondersteund door een gespecialiseerd adviesbureau, 3 Provincies door een accountant. Een derde van de Provincies heeft het benchmarkinstrument gebruikt en zich over risicomanagementbeleid laten adviseren door andere Provincies/gemeenten.
¾ Invloed recente ontwikkelingen De Provincies is gevraagd om aan te geven of recente ontwikkelingen van invloed zijn op het risicomanagement. Het betreft : (1) Externe ontwikkelingen ten aanzien van een mogelijke afroming van de inkomsten van de Provincie, boven het bedrag dat zij binnen bestaande afspraken nodig hebben voor de uitoefening van hun taken. Dit in combinatie met de decentralisatiediscussies [Mans (2008), Oosting (2007), Lodders (2008), De Hondt (2008)].
45
(2) De impact van de economische crisis op de uitvoering van het in gang gezette beleid van de Provincie. De kredietcrisis staat immers aan de basis van een conjuncturele terugval die ook de provinciale economie kan raken. Daarnaast heeft de crisis tot gevolg dat risico’s wellicht ook meer dan ooit ook genomen moeten worden. In onderstaande figuur is de impact weergegeven van recente externe ontwikkelingen op risicomanagement. Figuur 5 Impact recente ontwikkelingen op risicomanagement bij de Provincie
5 4
5
4
4 afromingsvoorstellen/ decentralisatiediscussie economische crisis
2 1 0 aanpassen beleid
opnieuw inventariseren
doorbereken consequenties
geen impact
categorie impact
De uitkomsten laten een wisselend beeld zien van de impact van zowel de economische crisis als afromingsvoorstellen op risicomanagement. Bij vier Provincies (economische crisis) respectievelijk 5 Provincies (decentralisatiediscussies) heeft de veranderende externe context geen invloed op risicomanagement. Opmerkelijk is het te noemen dat de –risicovolle- ontwikkelingen die op (middel)lange termijn de organisatie raken, bij een groot aantal Provincies geen invloed hebben op het gevoerde risicomanagement.
¾ Gehanteerde definities Aan de Provincies is gevraagd welke definitie voor risico wordt gehanteerd. Hieruit blijkt dat 3 Provincies geen specifieke definitie hanteren voor het begrip ‘risico’. De resterende 9 Provincies hanteren voor het begrip ´risico´ de volgende definities:
Kans op het optreden van een gebeurtenis met een negatief gevolg voor betrokkene.
Alle potentiële gebeurtenissen of omstandigheden die doelrealisatie kunnen belemmeren. Kans op het optreden van een gebeurtenis met een negatief gevolg voor betrokkene en betrekking op doelrealisatie.
46
Alle potentiële gebeurtenissen die doelrealisatie kunnen bevorderen of belemmeren.
Onzekere gebeurtenis met negatieve invloed op bereiken van doelstellingen.
Zes Provincies hanteren een traditionele definitie voor het begrip risico. 7 Provincies koppelen het begrip expliciet aan doelstellingen. De definitie, waarbij het begrip risico wordt neergezet als een neutraal begrip (kansen en bedreigingen) met een positief of negatief effect op de doelstellingen van de organisatie, wordt slechts door 2 Provincies gehanteerd. Ook over het begrip´risicomanagement´ circuleren talrijke definities. Aan de Provincies is gevraagd welke definitie voor risicomanagement wordt gehanteerd. 3 Provincies gaven aan geen definitie te gebruiken voor het begrip ‘risicomanagement’. De resterende Provincies hanteren uiteenlopende definities:
Proces met als doel om potentiële gebeurtenissen die de organisatie kunnen beïnvloeden, te identificeren en hierop binnen gestelde uitgangspunten, te reageren en daarmee een redelijke zekerheid te kunnen verkrijgen dat de organisatie haar doelstellingen kan realiseren.
Activiteiten uitvoeren ter voorkoming of beperking van gevolgen op een onzekere gebeurtenis.
Continue en systematisch doorlopen van de organisatie op risico´s met als doel om de gevolgen ervan te voorkomen of te vermijden en de kans erop te verkleinen of op een andere manier beheersbaar te maken.
Het gestructureerd managen van het risico dat een organisatie om financiële dan wel niet-financiële redenen de beleidsdoelen niet of niet volledig realiseert.
Regelmatig en systematisch onderzoek naar risico´s die materiële en immateriële belangen, activiteiten en mensen bedragen en de implementatie en formulering van een geïntegreerd beleid met betrekking tot risico-overdracht, risicofinanciering en risicoreductie.
Structureel beheersen van risico´s, gericht op het nemen van beslissingen op het voorkomen of minimaliseren van nadelige effecten bij het optreden van risico´s.
Het geheel van activiteiten en maatregelen gericht op het omgaan met en het beheersen van risico´s.
Nemen van passende maatregelen ter voorkoming of beheersing van risico´s.
Drie Provincies hanteren een definitie, gebaseerd op de te doorlopen basisstappen (identificeren en beheersen van risico´s) van het risicomanagementproces.
47
Overigens is het opvallend dat slechts 1 van de 5 Provincies, die aan hebben gegeven het risicomanagement binnen de organisatie te hebben ingericht volgens het COSOraamwerk, ook daadwerkelijk de definitie voor risicomanagement hanteert, zoals door COSO [2004] wordt gehanteerd: “Risicomanagement is een proces dat bewerkstelligd wordt door het bestuur van de onderneming, het management en ander personeel en wordt toegepast bij het formuleren van de strategie en binnen de gehele onderneming, ontworpen om potentiële gebeurtenissen die invloed kunnen hebben op de onderneming te identificeren en om risico´s te beheren zodat deze binnen de risico-acceptatiegraad vallen, om een redelijke zekerheid te bieden ten aanzien van het behalen van de ondernemingsdoelstellingen”.
¾ Gehanteerde risicomanagementstandaard Het hanteren van een specifiek risicomanagementmodel kan als instrument helpen om de uitgangspunten van risicomanagement en de beheersing ervan te borgen in de organisatie. Daarbij dient te worden vermeld dat bij PricewaterhouseCoopers (PwC) bij 8 Provincies als huisaccountant is benoemd. PwC is een mede-opsteller van het COSOraamwerk.
5 Provincies geven aan dat, bij het inrichten van risicomanagement, gebruik is gemaakt van het COSO-raamwerk. Opmerkelijk daarbij is dat er vervolgens bij de implementatie van risicomanagement slechts zelden gebruik wordt gemaakt van de stappen, zoals in COSO beschreven.
4 Provincies geven aan, geen risicomanagementstandaard te hanteren bij de inrichting van risicomanagement.
1 Provincie gebruikt een combinatie van COSO en een eigen standaard, geïntegreerd in de planning- en controlcyclus.
1 Provincie heeft de inrichting van risicomanagement gestoeld op de regelgeving vanuit het Besluit Begroting en Verantwoording (BBV) in combinatie met een specifieke risicobenadering voor projecten (RISMAN).
1
Provincie
weet
niet
of
er
gebruik
gemaakt
wordt
van
een
specifieke
risicomanagementstandaard.
¾ Belangrijkste bevindingen: 1. Ondanks de risicoagenda van de Provincies is het opvallend dat een kwart van de Provincies nog steeds geen formeel risicomanagementbeleid heeft opgesteld. Hierdoor ontbreekt het aan uniforme kaders en aanpak om risicomanagement organisatiebreed te borgen binnen de organisatie. 2. De scope, aanpak en rollen/verantwoordelijkheden maakt bij 1/3 van de Provincies geen onderdeel uit van het vastgestelde risicomanagementbeleid, Terwijl juist met
48
het vastleggen van taken, verantwoordelijkheden en bevoegdheden, het mandaat en de positionering kan worden geregeld. 3. Eenderde van de Provincies geeft aan dat belangrijke recente externe –risicovolleontwikkelingen (o.a. afromings- en decentralisatiediscussies en de economische crisis) geen invloed hebben op risicomanagement; 4. Bij 6 van de 9 provincies met een vastgesteld risicomanagementbeleid, is de directe aanleiding –onder meer- gelegen in de behoefte aan structurering van de versnipperde aanpak van risicomanagement; 5. Van
de
Provincies
die
het
COSO-raamwerk
benoemen
in
hun
risicomanagementbeleid, wordt slechts in beperkte mate het genoemde raamwerk gehanteerd als leidraad voor implementatie van risicomanagement.
5.3 Raamwerk risicomanagement Het managen van risico’s kan plaats vinden, indien de context en scope van risicomanagement goed zijn bepaald. De context kan worden ontleend aan het risicomanagementraamwerk. Het raamwerk dient daarbij als een kader om ervoor te zorgen dat risicomanagementprocessen ingebed worden en aansluiten bij de algemene besluitvormingsprocessen van de organisatie. Het raamwerk geeft dan ook de basis voor de borging van risicomanagement binnen een organisatie.
Bij de beoordeling van het raamwerk van risicomanagement bij provincies is onder meer stilgestaan bij de typering van risicomanagement, de positionering en de belangrijkste risico’s.
¾ Typering risicomanagement Aan de respondenten is gevraagd hoe het risicomanagement bij de Provincie het beste is
te
omschrijven.
In
figuur
6
zijn
de
resultaten
weergegeven
van
de
antwoordcategorieën.
49
Figuur 6 Omschrijving van risicomanagement
Omschrijving van risicomanagement N = 12 1
1
gemanaged door specialisten
7
gecoordineerd door specialisten
volledig geintegreerd in de lijnorganisatie
3
beperkte interactie tussen de verschillende onderdelen van risicomanagement
Een grote meerderheid (7 Provincies) geeft aan, dat er een beperkte interactie is tussen de afzonderlijke gebieden van risicomanagement. Het geeft het beeld dat risico’s gefragmenteerd worden geïdentificeerd en onafhankelijk van elkaar beoordeeld vanuit separate, gespecialiseerde functies en afdelingen. 1 Provincie geeft aan dat risicomanagement volledig geïntegreerd is in de lijnorganisatie, waarbij een speciaal integraal risicomanagementoverleg is ingesteld, met een periodieke afstemming over risicomanagement op zowel strategisch, tactisch als operationeel niveau.
¾ Positionering Voor een succesvol risicomanagement is het van belang dat rollen, taken en verantwoordelijkheden met betrekking tot risicomanagement duidelijk zijn benoemd. De positionering van risicomanagement is verschillend belegd bij Provincies. De verantwoordelijkheid voor concernbrede risico-identificatie en risico–analyse is als volgt belegd:
hoofd middelen (1).
ondersteunende afdeling (jurist/auditor/financiën) (4)
risicomanagementfunctionaris (2 Provincies)
concerncontroller in combinatie met directeur en gedeputeerde (1)
concerncontroller in combinatie met directeur (1)
concerncontroller in combinatie met hoofd middelen (2)
risicomanager in combinatie met concerncontroller (1)
Door bewust te kiezen voor een expliciete positionering van risicomanagement bij een onafhankelijke functionaris, wordt de kans vergroot op objectiviteit ten opzichte van de medewerkers die verantwoordelijk zijn voor het nemen van risico’s.
50
Vijf
Provincies
hebben
taken
en
verantwoordelijkheden
met
betrekking
tot
risicomanagement (nog) niet in functiebeschrijvingen of risicomanagementbeleid vastgelegd. Voor het creëren van risicobewustzijn binnen een organisatie is het van belang om medewerkers te trainen op het gebied van risicomanagement. Aan de Provincies is de vraag
gesteld
of
en
op
welke
wijze
medewerkers
worden
getraind
in
risicomanagement. Geconstateerd kan worden dat er nog onvoldoende aandacht is voor scholing van medewerkers ten aanzien van aspecten van risicomanagement. Bij 7 Provincies worden medewerkers niet getraind in risicomanagement, daarvan 2 hebben Provincies aangegeven dat hiermee in 2009 zal worden gestart. Slechts 2 Provincies trainen
medewerkers
op
een
combinatie
van
verschillende
onderdelen
(managementontwikkel-programma en projectmatig werken).
¾ Belangrijkste risico’s Gezien de (financiële) focus vanuit de weerstandsparagraaf is het weinig verrassend dat alle Provincies primair focussen op de financiële risico’s. De resultaten geven echter ook aan dat er in veel gevallen nog geen focus is op meerdere, afzonderlijke risicogebieden, waarmee een organisatiebreed risicobeeld kan worden verkregen. Geen van de Provincies werkt met een in-control statement.
¾ Belangrijkste bevindingen 1. Scope, aanpak en rollen/verantwoordelijkheden maakt bij eenderde van de Provincies geen onderdeel uit van het vastgestelde risicomanagementbeleid; 2. Tweederde van de Provincies omschrijft risicomanagement als een beperkte interactie tussen de afzonderlijke risicogebieden; 3. Risicomanagement wordt nog sterk traditioneel ingestoken vanuit een verplichte externe verantwoordingsbehoefte in de paragraaf Weerstandsvermogen. Een aantal Provincies
maakt
een
beweging
naar
een
organisatiebrede
aanpak
van
risicomanagement; 4. Er is slechts in beperkte mate aandacht voor scholing van medewerkers ten aanzien van aspecten van risicomanagement 5. Bij tweederde van de Provincies is de primaire verantwoordelijkheid voor risicomanagement
strategisch
belegd
op
het
niveau
van
directeur/concerncontroller.
51
5.4 Risicomanagement proces Het raamwerk dient als een kader om ervoor te zorgen dat risicomanagementprocessen ingebed worden en aansluiten bij de algemene besluitvormingsprocessen van de organisatie. De Provincies hebben vanuit het Besluit Begroting en Verantwoording (BBV) weliswaar de verplichting om beleid te voeren op het gebied van risicomanagement, de risicoagenda van Provincies vraagt echter een bredere benadering met integratie van risicomanagement in de dagelijkse besluitvormingsprocessen. Bij de beoordeling van het proces van risicomanagement bij Provincies is onder meer stilgestaan bij de risico-identificatie en – beoordeling, de rapportage over risico’s en de toetsing van beheersmaatregelen.
¾ Risicoidentificatie en -beoordeling Om de risico’s inzichtelijk te maken, is het een belangrijke stap om de risico’s te identificeren en te beoordelen. Aan de respondenten is gevraagd wanneer gestart is met risico-inventarisatie en risicoanalyses. In figuur 7 is weergegeven wanneer bij de Provincie hiermee is gestart. Figuur 7 Start risico-inventarisaties
Wanneer gestart met risico-inventarisaties (N=12) 4
minder dan 1 jaar tussen 1 en 3 jaar tussen 3 en 5 jaar
2 2
langer dan 5 jaar nog niet, wel van plan
0 4
Twee Provincies voeren (medio 2009) nog geen risico-inventarisaties uit, maar zijn dat wel van plan.
52
In het onderzoek is aan de respondenten gevraagd op welke wijze en met welke frequentie, risico’s worden geïdentificeerd en beoordeeld in de organisatie. De helft van de Provincies geeft aan, dat de inventarisatie wordt uitgevoerd bij het opstellen van de programmabegroting
en
de
jaarrekening,
als
onderdeel
van
de
paragraaf
weerstandsvermogen. Bij 3 Provincies worden de risico’s slechts 1 keer per jaar geïdentificeerd. Alle Provincies gebruiken de uitkomsten van de risico-inventarisatie voor de paragraaf weerstandsvermogen. Bij het opzetten van de identificatie van risico’s hebben 7 Provincies gebruik gemaakt van externe advisering. 4 Provincies zijn ondersteund door een gespecialiseerd adviesbureau, 3 Provincies door een accountant. Slechts 1 Provincie heeft het benchmarkinstrument gebruikt en heeft zich laten adviseren door ervaringen bij andere Provincies/Gemeenten.
¾ Rapportage Behalve over de in de weerstandsparagraaf opgenomen risico’s, wordt er ook op andere momenten gerapporteerd over risico’s binnen de organisatie. In GS nota’s (8 Provincies), projectplannen (7), voortgangsrapportages richting Provinciale Staten (5), voortgangsrapportages aan Gedeputeerde Staten (3) en in een notitie aan het Directieteam (1). Aan de respondenten is gevraagd om te benoemen hoeveel risico’s periodiek worden gerapporteerd aan het directieteam. Tabel 4 Aantal risico’s gerapporteerd aan directieteam
Aantal risico’s Minder dan 5 Tussen 5 en 10 Tussen 10 en 20 Tussen 20 en 30 Meer dan 30 Er vindt geen rapportage plaats
Aantal Provincies 0 1 2 2 2 5
Opvallend is het grote aantal Provincies, waarbij niet separaat aan het directieteam wordt gerapporteerd. Bij 1 Provincie maakt risicorapportage deel uit van de planningen
controlinstrumenten.
Bij
2
Provincies
wordt
er
tussen
de
verschillende
organisatieonderdelen gerapporteerd over elkaars risico’s.
53
¾ Toetsing van beheersmaatregelen Een belangrijke stap in het risicomanagementproces is toetsing van de werking van de beheersmaatregelen. 6 Provincies geven aan dat de bij de risico’s behorende beheersmaatregelen –nog- niet in kaart worden gebracht. 8 Provincies geven aan dat de beheersing van de risico’s wordt getoetst via de interne controlewerkzaamheden. Het betreft hier over het algemeen controls, als onderdeel van de Jaarrekeningcontrole. De helft van de Provincies heeft de risico’s en beheersmaatregelen niet vastgelegd in processen; 1 Provincie is bezig met het beschrijven ervan.
¾ Belangrijkste bevindingen: 1. Bij twee Provincies wordt er gerapporteerd over de risico’s van de afzonderlijke risicocategorieën 2. De risico-inventarisatie en –beoordeling is nog veelal gekoppeld aan de planningen controlcyclus van de weerstandsparagraaf (Begroting en Jaarrekening) 3. De helft van de Provincies is in 2006 of eerder gestart met risico-identificatie en risicobeoordeling; 2 Provincies moeten daar nog mee starten. 4. Bij de helft van de Provincies worden de beheersmaatregelen –nog- niet in beeld gebracht.
54
6 CONCLUSIES In dit hoofdstuk worden alle resultaten uit het onderzoek gecombineerd tot conclusies.
Hoofdstuk 1 Inleiding
Hoofdstuk 3 Hoofdstuk 5 Literatuuronderzoek Onderzoeksresultaten
Hoofdstuk 2 Opdracht en onderzoek
Hoofdstuk 4 Methodologie
Hoofdstuk 6 Conclusies
Inleiding In dit hoofdstuk worden de conclusies beschreven, op basis van de beoordeling van kritische
succesfactoren
voor
een
raamwerk,
geschikt
voor
toepassing
van
risicomanagement bij de Provincies. Om uiteindelijk antwoord te kunnen geven op de vraag: “Is ISO-31000 geschikt als instrument voor risicomanagement bij de Provinciale overheid?”.
Concluderend Concluderend kan worden gesteld dat ISO-31000, met een expliciete koppeling van de uitgangspunten, raamwerk en proces van risicomanagement, in beginsel een geschikt instrument is voor een Provinciale toepassing van risicomanagement. Het sluit aan bij de complexe besluitvormingsprocessen van de Provinciale overheid en de sterk veranderende externe context waarin de Provincies zich bevinden. De generieke opzet van het systeem doet
recht
aan
de
verschillende
fasen
waarin
Provincies
op
het
gebied
van
risicomanagement staan. Mits voldaan aan de beoordelingscriteria voor risicomanagement bij Provincies, biedt ISO31000 de mogelijkheid om risicomanagement organisatiebreed te borgen. Het is een managementsysteem dat beschrijft wat een organisatie moet doen om de (risicoaspecten van haar) processen en activiteiten te managen zodat de resultaten en uitkomsten aansluiten bij de vastgestelde doelstellingen. Het is met name de koppeling van risicomanagement aan bedrijfsprocessen bij Provincies, dat echter nog in ontwikkeling is. Risicomanagement maakt slechts in enkele gevallen structureel onderdeel uit van besluitvormingsprocessen. Daarnaast is, vanwege de beperkte aandacht voor (toetsen en monitoren van) beheersing van risico’s; risicomanagement is nog niet in alle gevallen voldoende gericht op het realiseren van doelen.
55
Risicoagenda provincies De risicoagenda van Provincies toont aan dat de noodzaak voor het voeren van een gestructureerde, organisatiebrede aanpak van risicomanagement meer dan ooit aanwezig is. Van belang is het om aan te geven dat de strategische context van Provincies op onderdelen wezenlijk verschilt van dat van private organisaties. Met name de turbulente – externe- omgeving van de Provincie en de koppeling aan doelstellingen aan een politieke vierjaarscyclus zorgt ervoor dat bij een succesvolle toepassing van risicomanagement niet alleen
kan
worden
volstaan
met
het
doorlopen
van
de
stappen
van
het
risicomanagementproces. Risicomanagement als instrument om te prioriteren, kansen te benutten en om in te zetten als sturingsmiddel om mensen en processen te richten op het bereiken van de (coalitie)doelstellingen, wordt voor de Provincies steeds belangrijker. Criteria voor toepassing risicomanagement Er is een grote verscheidenheid aan werkwijzen en gehanteerde raamwerken voor risicomanagement, waarbij veelal de beheersing van financiële risico´s ten behoeve van de controlerende (externe) accountant centraal staat. Los van het te hanteren instrument, dient te worden beoordeeld in welke mate Provincies invulling geven aan en de positionering van risicomanagement binnen de organisatie (structuur) en (het verbeteren van) het draagvlak voor risicomanagement bij het management (cultuur). Met betrekking tot Provincies, kan de toegevoegde waarde aan organisatieverbetering en de koppeling aan (besluitvormings)processen een meerwaarde te zijn als instrument voor een organisatiebrede aanpak van risicomanagement. Naast de te doorlopen stappen in het risicomanagementproces, blijkt dat met name cultuur- en structuuraspecten belangrijk zijn als criteria voor een succesvolle toepassing van risicomanagement bij de Provinciale overheid: 1) Verantwoordelijkheden met betrekking tot risicomanagement zijn belegd op strategisch, tactisch en operationeel niveau; 2) Er is sprake van een organisatiebreed risicobewustzijn, op zowel strategisch, tactisch en operationeel niveau; 3) Risicomanagement maakt onderdeel uit van (besluitvorming)processen; 4) Risicomanagement sluit aan bij de doelstellingen van de Provinciale organisatie.
56
Beoordeling van criteria Beoordeling van deze criteria bij Provincies leverde conclusies op voor de toepassingen van ISO 31000 als instrument voor risicomanagement bij Provincies. Op basis van het uitgevoerde onderzoek zijn de volgende algemene conclusies te trekken: 1) Risicomanagement wordt bij Provincies in toenemende mate aangestuurd vanuit een strategische visie en beleid op de functie van risicomanagement voor de organisatie, zonder dat er overigens een gestructureerde organisatiebrede aanpak voorhanden is; 2) Risicomanagementprocessen
zijn
nog
onvoldoende
ingebed
in
de
managementstructuur en besluitvormingsprocessen van Provincies. Als voorbeeld kan
dienen
dat
er
slechts
sporadisch
periodiek
organisatiebreed
wordt
gerapporteerd over (de voortgang) van de meest prioritaire risico’s; 3) Ondanks
het
risicovolle
ontwikkelingen
en
nauwelijks
kansrijke
invloed
op
karakter, het
hebben
gevoerde
recente
externe
risicomanagement.
Risicomanagement wordt bij Provincies dan ook nog sterk traditioneel ingestoken vanuit
een
verplichte
externe
verantwoordingsbehoefte
in
de
paragraaf
Weerstandsvermogen; 4) Hoewel bij het merendeel van de Provincies de behoefte bestaat aan structurering van de versnipperde aanpak van risicomanagement, worden risico’s veelal nog gemanaged
binnen
afzonderlijke
functionele
gebieden
in
plaats
van
organisatiebreed; 5) Er ligt met name nadruk op de risico-inventarisatie en risicoanalyse en minder op de beheersing van de bijbehorende maatregelen. Terwijl juist het monitoren van risicobeheersing zorgt voor een tijdige bijsturing.
57
58
7 BRONNEN 7.1 Literatuur Bergenhenegouwen, L., Gouwens, R., Hortensius, D., Jong de A. (2003). Integratie Kam/managementsystemen. Delft: Nederlands Normalisatie/instituut. Boorsman, P.B., Haisma, A.M., Moolenaar, Y. (2006) Gemeentelijk risicomanagement, een empirisch onderzoek. Zpl. Braak, H.J.M. ter en Spijker, W.J.H. (1993). Overheid en strategie, een introductie. Bestuurskunde, jaargang 2, nummer 1, 2-7. Cameron, K.S. en Quinn, R.E. (1999). Onderzoeken en veranderen van organisatiecultuur, Den Haag: Academic Service. Commissie Corporate Governance (2003). De Nederlandse corporate governance code Beginselen van deugdelijk ondernemingsbestuur en best practice bepalingen. Den haag, maart 2003. COSO. (2004). Risicomanagement van de onderneming geïntegreerd raamwerk. Dooren, J. van. (2006). Risicomanagement: wat kan vervallen in de control- en controletoren? Overheidsmanagement, nummer 5, 134-136. Dul, S.J., (2007). Risicomanagement bij middelgrote gemeenten, te groot voor het servet, te klein voor het tafellaken. Afstudeerscriptie NIVRA. Universiteit Nijenrode. Economic Intelligence Unit (2008). The bigger picture; enterprise risk management in financial service organisations. Londen. Es, van, A.C. (2009). Nederlandse code voor goed openbaar bestuur, beginselen van deugdelijk overheidsbestuur. Breda, Koninklijke Broese en Peereboom. Faber, H. en Visser, C. (2006). nieuw COSO-raamwerk lost problemen voorganger niet op, auditmagazine nr 1, 20-23. Fraser, J.R.S. (red.). (2007). Ten common misconceptions about enterprise risk management. Journal of Applied Corporate Finance, volume 19 number 4, 75-81. Hart, R. ´t. (2007). Risicomanagement: van ad hoc naar integraal. Risicomanagementspecial nr 4, 6-7. Reed Business. Hart, R. ´t. , Scholten, J. (2009). Risicomanagement: meer EQ dan IQ; gedrag net zo belangrijk als kennis. Controllersmagazine, januari/februari 2009, 22-25. Herman, M.L., Head, G.L., Jackson, P.M., Fogarty, T. (2004). Managing risk in nonprofit organizations, a comprehensive guide. New yersey+ John Wiley & Sons. Herwaarden, P. van; Boer, M., Visser, C.A. (2003) Van financial reporting control naar organisatiebrede control en risicomanagement. Artikel in Financieel Management, oktober 2003. Hofstra, P. (2007). Riskmanagement van het collegeprogramma. Deloitte.
59
D´Hondt, E.M. (2008). Vertrouwen en verantwoorden, Voorstellen voor decentralisatie en bestuurskracht. Breda: Koninklijke Broese en Peereboom. Johnson, G., Scholes, K. en Whittington, R. (2005). Exploring Strategy. Essex: Prentice Hall. Knight, K.W. (2008). Risk management, a journey…not a destination. Nundah, Australie. Lodders-Elfferich, P.C. (2008). Ruimte, regie en rekenschap, Rapport van de Gemengde commissie decentralisatievoorstellen provincies. Den Haag: BzK. Mans, J.H.H. (2008). De tijd is rijp, Commissie Herziening Handhavingsstelsel VROMregelgeving. Den Haag: Lifoka kopie & print bv. Marle, E. van, Haisma, G. (2009). ISO 31000 stimuleert integraal risicomanagement. Tijdschrift Public Controlling, februari 2009, 14-19. SDU uitgeveri. Merchant, K.A. en Stede, van der, W.A. (2003) Management control systems, Essex: Prentice Hall. Moerkamp, J.(2003). Risicomanagement achilleshiel decentraal bestuur. Tijdschrift B&G, oktober 2003, 6-7. Moorsel, H. van en Visser, C.A. (2003). Een theoretisch kader voor integraal rirsicomanagement, toegespitst op de overheid. Overheidsmanagement 2003/2, 44-47. Nijendaal, G.A., Steiner, B. (2009). Provinciefonds: omvang en verdeling ter discussie, de rekensommen achter het advies van de Rfv. Tijdschrift B&G, jaargang 36, nummer 4, april 2009, 5-9. Noordergraaf, M. (2008). Management in het publieke domein. Issues, instituties en instrumenten. Muiderberg: Couthino. Oosting, M. (2007). Van specifiek naar generiek, doorlichting en beoordeling van interbestuurlijke toezichtarrangementen. Breda: Koninklijke Broese & Peereboom. Paape, L. (2005). Risicomanagement, de praktijk in Nederland. PricewaterhouseCoopers. Rasmussen, M., (2007). As/NZ 4360- a practical choice over COSO ERM. Forrester Research, 3 januari 2007. Renn, O. (2005). Risk governance, towards an integrative approach. White paper of the Risk Governance Council. Geneve, Zwitserland. Samad-Khan, A. (2005). Why COSO is flawed. Operational Risk magazine, januari 2005. Santen, B.P.A. (2006). Corporate governance in de praktijk. Zpl., Kluwer. Schoutrop, R. (2006). ISO is gelijk aan SOX? Afstudeerscriptie. Amsterdam: Universiteit van Amsterdam. Valens, P.M.M. (1993). Topambtenaren, boeren en levende diamanten, of waarom strategie-ontwikkeling bij de overheid relatief lastig is. Bestuurskunde, jaargang 2, nummer 1, 42-44. Wetenschappelijke Raad voor het regeringsbeleid (2008). Onzekere veiligheid, verantwoordelijkheden rond fysieke veiligheid. Amsterdam:Amsterdam University Press.
60
Zoellick, B., Frank, T. (2005). Governance, risk management and compliance: an operational approach. Zpl, Gilbane Report.
7.2 Methodische literatuur Baarda, D.B., Goede, de M.P.M., Teunisssen, J. (2007). Basisboek voor het opzetten en uitvoeren van kwalitatief onderzoek. Groningen: Wolters-Noordhoff. Swanborn, P.G. (1987). Methoden van sociaal-wetenschappelijk onderzoek. Meppel: uitgeverij Boom. Verschuren, P, Doorewaard, H. (2007). Het ontwerpen van een onderzoek. Den Haag : uitgeverij Lermma. Wester, F. (1991), Strategieën voor kwalitatief onderzoek, Muiderberg, Coutinho.
7.3 Documenten Bosman, R.F.D. (2008). Interprovinciale vergelijking van Jaarstukken. Maastricht. Deloitte. (2008). Risk management in een politiek bestuurlijke omgeving. Verdiepingssessie op het PRIMO-jaarcongres. Den Bosch, 9 oktober 2008. Gemeente Rotterdam (2005). Greep op risico´s, mededeling over de bedrijfsvoering. Ministerie van Binnenlandse Zaken en Koninkrijksrelaties. (2004). Besluit accountantscontrole provincies en gemeenten (BAPG). Den Haag, BZK. Ministerie van Financiën, Directie Accountancy Rijksoverheid (2000). Handleiding Government Governance – een instrument ter toetsing van de governance bij de rijksoverheid. Den Haag, BZK. Ministerie van Binnenlandse Zaken en Koninkrijksrelaties. (2009). Staat van het bestuur 2008, een algemeen beeld van de trends bij gemeenten, provincies en de interbestuurlijke betrekkingen. Den Haag, BZK. Ministerie van BZK. (2003). ‘Respons, een scan voor bestuurlijke planning & control in een duaal stelsel’. februari 2003. Ministerie van Binnenlandse Zaken en Koninkrijksrelaties, Interprovinciaal overleg (IPO) (2005). Paragrafen in een duaal bestel. Den Haag, BZK. Nederlands Normalisatie Instituut NEN. Diverse (internationale) publicaties, presentaties en notities ten aanzien van de norm ISO-31000. Delft/ Secretariat of ISO TMB WG on Risk Management. Provincie Limburg, 2007. Coalitieakkoord 2007-2011: “Investeren en Verbinden”. Maastricht. Provincie Limburg, (2008). Organisatievisie 2015. Provincie Limburg, Maastricht. Provincie Limburg. 2006. Projectplannen van 12 prioritaire projecten (div), Maastricht.
61
Provincie Limburg. 2006. Sturen met managementinformatie, de verbinding tussen coalitieakkoord en outcome., Maastricht. Provincie Limburg. (2008). Presentatie risicomanagement ten behoeve van managementteam. Maastricht. Provincie Limburg. (2008). Presentatie risicomanagement ten behoeve van congres Risicomanagement. Ministerie van binnenlandse Zaken en Koninkrijkszaken. Rotterdam. Provincie Limburg. (2008). Presentatie risicomanagement ten behoeve van seminar Risicomanagement voor Limburgse gemeenten. Maastricht. PricewaterhouseCoopers (2001). Scan planning & control. De planning & control bij 12 Provincies: ervaringen, leer- en verbeterpunten. Almere, PwC. PricewaterhouseCoopers (2005). Governance & Audit bij de rijksoverheid, ontwikkelingen in de private sector: what’s in it for you?. PwC. Public Risk Forum (2007). Magazine for Public Risk Magazine, mei 2007
62
BIJLAGEN
63
64
Bijlage 1. Begeleidende brief Maastricht, 17 april 2009 Betreft: deelname aan afstudeeronderzoek Risicomanagement Beste collega, Sinds 2005 ben ik werkzaam bij de Provincie Limburg in een controllerfunctie. Als onderdeel daarvan heb ik in 2007 een start gemaakt met de implementatie van organisatiebreed risicomanagement. Als afsluiting van mijn opleiding (MBA-controlling) ben ik daarnaast bezig met een afstudeeronderzoek naar de mogelijkheden van een sectorspecifieke vertaling van ISO 31000 naar het provinciale middenbestuur. Eind 2009 wordt er namelijk een nieuwe ISO-richtlijn gepubliceerd; ISO 31000. Deze richtlijn spitst zich toe op de toepassing van risicomanagement binnen organisaties. Om de toepassing van de richtlijn bij Provincies te kunnen toetsen, heb ik 36 vragen opgesteld. De enquêtes worden afgenomen bij de functionaris, die direct betrokken is bij (implementatie/coördinatie) van risicomanagement bij de betreffende Provincie. Nadrukkelijk dient te worden vermeld dat de individuele uitkomsten van de enquêtes niet worden gebruikt in mijn afstudeeronderzoek; van belang is het totaalbeeld. Vanzelfsprekend zal ik zorgen dat je de uitkomsten van mijn afstudeeronderzoek toegestuurd krijgt. Naar verwachting zal ik mijn afstudeeronderzoek kort na de zomer afronden. Het invullen van de enquête duurt ongeveer 20 minuten. De vragenlijst is een PDF-file. Verzoek om deze uit te printen, in te vullen en – uiterlijk 29 april-retour te sturen naar: Provincie Limburg Tav René Bosman Limburglaan 10 6229 GA Maastricht Alvast bedankt voor de medewerking! Met vriendelijke groet René Bosman 043-389 7471
65
Bijlage 2. Gehanteerde vragenlijst Enquête Risicomanagement bij Provincies
Introductie Organisaties worden steeds meer geconfronteerd met risico’s, die adequaat dienen te worden gemanaged, omdat hun stakeholders dat van ze verwacht. Dit geldt ook zeker voor de overheid. Specifiek voor de Provincie als middenbestuur geldt dat de meerwaarde regelmatig ter discussie wordt gesteld. Dit vraagt om een duidelijk zichtbare en presterende Provincie die een herkenbare toegevoegde waarde levert aan maatschappelijke vraagstukken in een steeds complexere en risicovolle context. Voor de Provincies is de aandacht voor het voeren van een gestructureerde, integrale aanpak van risicomanagement meer dan ooit noodzakelijk. Deze enquête bevat in totaal 36 vragen, in drie hoofdonderdelen gesplitst. Naast de uitgangspunten van risicomanagement, worden vragen gesteld over de door de Provincie gehanteerde aanpak. Het laatste hoofdonderdeel staat stil bij het proces van risicobeoordeling tot risicobeheersing, zoals dat plaats heeft binnen uw organisatie.
I.
Uitgangspunten van Risicomanagement
Onderstaande vragen hebben betrekking op de uitgangspunten van risicomanagement, zoals gehanteerd door uw Provincie. 1 Heeft uw Provincie risicomanagementbeleid vastgesteld?
• •
Ja Nee (ga verder met vraag 6)
2 Op welk niveau is het risicomanagementbeleid vastgesteld?
• • • • • • • • • • • • • • •
Directie Gedeputeerde staten Provinciale staten. Anders, nl: Public governance Decentralisatiediscussies Interne veranderingen/reorganisatie Economische crisis Verscherpte wet- /regelgeving Een incident Verzoek transparantie PS. Onderzoek Rekenkamer. Bevinding van accountant Verzoek van college GS. Verbeteren van inzicht in versnipperde risicoaanpak Anders, nl
(meerdere antwoorden mogelijk) 3 Wat was voor uw Provincie de directe aanleiding om risicomanagementbeleid op te stellen? (meerdere antwoorden mogelijk)
•
66
4
Welke onderdelen zijn opgenomen in het risicomanagementbeleid? (meerdere antwoorden mogelijk)
• • • • • • • • • •
5 6
Wanneer is het (gewijzigde) risicomanagementbeleid voor het laatst vastgesteld? Op welke termijn zal er risicomanagementbeleid bij uw Provincie worden ontwikkeld cq gewijzigd?
7
Wanneer is uw Provincie begonnen met het uitvoeren van organisatiebrede risicoinventarisaties en risico–analyses?
8
Is het risicomanagement in uw organisatie ingericht volgens een bepaalde risicomanagementstandaard?
• • • • • • • • • • • • • • •
•
Doelstelling Aanleiding (intern en extern). Scope (op welke organisatieonderdelen, niveau’s is het van toepassing) Aanpak (identificatie risico’s en het managen ervan). Op welke typen risico het beleid van toepassing is Tijdspad implementatie Relatie met organisatiestrategie Beschrijving randvoorwaarden Rollen/verantwoordelijkheden. Gehanteerde risicotolerantie Anders, nl: In . . . . (jaar) Binnen een half jaar Binnen 2 jaar Er zijn geen plannen/voornemens Weet niet Anders, nl Minder dan een jaar geleden Tussen 1 en 3 jaar geleden Tussen 3 en 5 jaar geleden Langer dan 5 jaar geleden Er worden geen organisatiebrede inventarisaties uitgevoerd Nog niet, wel van plan Nee Ja, namelijk: o Coso o ISO 9001/14001 o anders, nl: Weet niet
De volgende vragen hebben betrekking op een aantal specifieke interne en externe ontwikkelingen, die impact kunnen hebben op de risicoagenda van de Provincie. 9 Welke impact hebben de Aanpassen van risicomanagementbeleid decentralisatiediscussies en Het opnieuw inventariseren van afromingvoorstellen vanuit het Rijk op risico’s/kansen- beheersmaatregelen risicomanagement? Doorberekenen van consequenties (in fte en €) (meerdere antwoorden mogelijk) Geen impact Anders, nl:
67
10 Welke impact heeft de uitwerking van de • economische crisis op risicomanagement? • (meerdere antwoorden mogelijk)
11 Welke invloed heeft (gewijzigde) wet- en regelgeving op risicomanagement? (meerdere antwoorden mogelijk)
• • • • • • • •
Aanpassen van risicomanagementbeleid Het opnieuw inventariseren van risico’s/kansen/beheersmaatregelen Doorberekenen van consequenties (in fte en €) Geen impact Anders, nl Aanpassen van risicomanagementbeleid Het opnieuw inventariseren van risico’s/beheersmaatregelen Aanscherpen Interne Controle Geen impact Anders, nl
De volgende vragen hebben betrekking op de definities, zoals door uw Provincie worden gehanteerd . 12 Welke definitie voor risico wordt door de Provincie gehanteerd?
13 Welke definitie van risicomanagement wordt door de Provincie gehanteerd?
•
___________________ ___________________ ___________________ ___________________ ___________________
• •
Geen specifieke definitie ___________________ ___________________ ___________________ ___________________ ___________________ Geen specifieke definitie
•
68
II.
De aanpak van risicomanagement bij uw Provincie
Onderstaande vragen hebben betrekking op de aanpak en positionering van risicomanagement bij uw Provincie. 14 Hoe is risicomanagement van uw Provincie • het beste te omschrijven • (meerdere antwoorden mogelijk)
• •
• 15 Wordt er gewerkt met een verklaring van • het verantwoordelijk management dat hun • organisatieonderdeel ‘in-control’ is? •
gemanaged door specialisten. gemanaged door specialisten, gecoördineerd door topmanagement . volledig geïntegreerd in de lijnorganisatie beperkte interactie tussen de verschillende gebieden van risicomanagement. anders, nl: Ja Nee Weet niet
De volgende vragen hebben betrekking op de rollen en verantwoordelijkheden van risicomanagement binnen uw organisatie. 16 Welke functionaris is primair verantwoordelijk voor concernbrede risicoidentificatie en analyse?
17 Welke taken heeft deze functionaris? (meerdere antwoorden mogelijk)
18 Zijn de taken en verantwoordelijkheden tav risicomanagement vastgelegd? (meerdere antwoorden mogelijk)
• • • • • • •
Gedeputeerde Directeur Concerncontroller Risicomanager Medewerker interne controle Hoofd Middelen (financiën) Anders, nl… • Opstellen risicomanagement beleid • Implementatie van aanpak • Identificeren/analyseren risico’s • Toetsen effectiviteit beheersmaatregelen • Zorgen voor afstemming tussen afzonderlijke gebieden • Rapporteren over risico’s • Anders namelijk…. • Ja, in risicomanagement beleid/-procedures • Ja, in de functiebeschrijving projectleiders • Ja, in functiebeschrijving managers • Nee • Anders namelijk….
69
19 Worden medewerkers risicomanagement?
getraind
(meerdere antwoorden mogelijk)
in
• • • •
20 Van welke externe advisering is gebruik gemaakt bij het opstellen van risicomanagementbeleid? (meerdere antwoorden mogelijk)
21 Van welke externe advisering is gebruik gemaakt bij het identificeren van organisatiebrede risico’s ? (meerdere antwoorden mogelijk)
• • • • • • • • • • • • •
Onderdeel van introductieprogramma nieuwe medewerkers Onderdeel van managementontwikkelprogramma Onderdeel van projectmatig werken Training van bevorderen integraliteit tussen de verschillende risicogebieden Er vindt geen training plaats Anders namelijk…. accountant gespecialiseerd adviesbureau andere Provincie/gemeente Ministerie Binnenlandse Zaken (BZK) Geen gebruik gemaakt Anders, nl…. accountant gespecialiseerd adviesbureau andere Provincie/gemeente geen gebruik gemaakt Anders, nl…
22 In de paragraaf Weerstandsvermogen wordt
• •
Zijn de in deze paragraaf opgenomen risico´s een afgeleide van de organisatiebrede inventarisatie van risico´s? 23 Op de beheersing van welk soort risico’s ligt de nadruk bij uw Provincie?
•
Ja Er vindt geen organisatiebrede risico-inventarisatie plaats Anders, nl…
• • • • • • •
Financieel Juridisch Personeel Politiek/bestuurlijk Bedrijfsvoering Fiscaal anders namelijk…..
gerapporteerd over het beleidskader en de risico´s.
(meerdere antwoorden mogelijk)
70
III.
Het proces van risicomanagen
De volgende vragen gaan over het proces van risicobeoordeling tot risicobeheersing binnen uw organisatie. 24 Worden bij de Provincie risico’s integraal • 1 x per jaar (in samenhang) geïdentificeerd en • 2 x per jaar beoordeeld? • 4 x per jaar • Alleen bij grote (meerdere antwoorden mogelijk) investeringsbeslissingen (ga naar •
25 Worden daarbij ook de bijbehorende beheersmaatregelen in kaart gebracht? 26 Worden de geïnventariseerde risico’s gekoppeld aan de doelstellingen/resultaten van de Provincie?
27 Welke technieken worden gebruikt voor het identificeren en beoordelen van risico’s? (meerdere antwoorden mogelijk)
28 Worden er (kwantitatieve) criteria gehanteerd voor de beoordeling van risico’s? 29 Welke hulpmiddelen worden gebruikt bij het identificeren en beoordelen van risico’s? (meerdere antwoorden mogelijk)
30 Op welke wijze wordt getoetst of de risico’s voldoende worden beheerst? (meerdere antwoorden mogelijk)
• • • • • • • • • • • • • • • • • • • • • • • • • • • • • •
vraag 26)
Alleen bij grote projecten (ga naar vraag 26) Nee (ga naar vraag 26)
Anders, nl ja nee Ja, zoals vastgelegd in de programmabegroting Ja, zoals vastgelegd in de productenraming Nee simulatie scenario analyse checklists workshops interviews documentstudie geen anders namelijk…. Nee Ja, namelijk……… Stemkasten Brainstormsoftware Digitale enquêtes Risicologboek Koppeling aan procesinstrument Risicodatabase Geen Anders namelijk…. Interne Controle Uitvoeren van audits, door afdelingen zelf Uitvoeren van audits, door concern Geen toetsing Anders, nl
71
Onderstaande vragen hebben betrekking op de rapportage van risico’s binnen uw organisatie 31 Benoem het aantal risico’s, zoals periodiek wordt gerapporteerd aan het directieteam
• • • • • •
32 Op welke wijze wordt er gerapporteerd over risico’s binnen uw organisatie?
• • • •
(meerdere antwoorden mogelijk)
• 33 Bestaat er een top 5 of top 10 van risico’s per organisatieonderdeel (afdeling/dienst/programma)?
34 Er bestaan verschillen in risicogebieden en risico’s per organisatieonderdeel.
Op welke wijze wordt gerapporteerd over elkaars risico’s?
• • • • • • • • • •
35 Zijn risico’s en beheersmaatregelen in processen vastgelegd ? 36 Worden de risico’s, zoals vastgelegd in processen, gemonitored?
• • • • •
Minder dan 5 tussen 5 en 10 tussen 10 en 20 tussen 20 en 30 meer dan 30 Er worden geen risico’s gerapporteerd aan directie GS-nota´s Projectplannen Weerstandsparagraaf Voortgangsrapportages richting Provinciale Staten Voortgangsrapportages richting GS Anders namelijk…. Ja, een top 5 Ja, een top 10 Nee, wel een top . . . . Nee Ad-hoc discussies tijdens managementoverleggen Vast agendaonderdeel tijdens managementoverleggen Schriftelijke risicorapportages, op reguliere basis Data, toegankelijk in een risicodatabase Er wordt niet gerapporteerd over elkaars risico’s Anders, nl: ja nee (Einde vragenlijst) Ja nee
Als u nog vragen, opmerkingen heeft, kunt u deze hier kwijt
72
Bijlage 3. Nederlandse Normcommissie Risicomanagement Nederlandse Normcommissie Risicomanagement Achtergrond Door de International Organization for Standardization (ISO) is medio 2005 besloten een internationale generieke ISO-richtlijn voor Risicomanagement te ontwikkelen: ISO 31000 “Risk management - Guidelines for principles and implementation of risk management.” Daarvoor is een werkgroep opgericht waarvan Japan het secretariaat voert en waarvoor Australië de voorzitter levert. ISO 31000 beoogt een gemeenschappelijk begrippenkader en generiek raamwerk te bieden voor het managen van allerlei typen risico’s. Naderhand is ook de herziening van ISO Guide 73 “Risk Management – Vocabulary” aan de ISOwerkgroep toevertrouwd. Via NEN, het Nederlandse lid van ISO, wordt door Nederlandse belanghebbende partijen deelgenomen aan dit ISO-project. Hiertoe is in 2006 de normcommissie Risicomanagement opgericht. Doelstelling van de normcommissie 1. Het verzorgen en bepalen van de Nederlandse inbreng bij de internationale normalisatie op het gebied van Risicomanagement (Risk Management), zoals die plaatsvindt in de internationale werkgroep ISO/TMB/WG/RM. 2. Faciliteren van de implementatie en toepassing van de generieke ISO-richtlijn op nationaal en bedrijfstakniveau, zo nodig door het ontwikkelen van specifieke richtlijnen die een nadere invulling geven van het generieke ISO-kader voor risicomanagement. Werkwijze De nationale normcommissie vergadert circa 4 maal per jaar een halve dag (mede afhankelijk van de internationale ontwikkelingen) om aan beide doelstellingen invulling te kunnen geven. Daarnaast stelt de normcommissie de Nederlandse delegatie naar de vergaderingen van de internationale werkgroep vast. Op die manier kunnen Nederlandse experts een rechtstreekse inbreng leveren bij de ontwikkeling van de internationale richtlijn. Looptijd De ontwikkeling van ISO 31000 zal circa 4 jaar in beslag nemen; het proces is medio 2005 gestart en volgens planning zullen ISO 31000 en ISO Guide 73 najaar 2009 in hun definitieve vorm verschijnen. Parallel en in vervolg daarop zal de normcommissie zich beraden op de noodzaak meer specifieke richtlijnen te ontwikkelen en andere activiteiten te ontplooien ten behoeve van de implementatie van ISO 31000 op nationaal en bedrijfstakniveau. Faciliterende rol NEN NEN verzorgt het secretariaat van de normcommissie en vertegenwoordigt Nederland in de internationale werkgroep. De hiermee verbonden kosten komen voor rekening van de in de normcommissie deelnemende partijen. Deelnemende partijen in de normcommissie Risicomanagement Op dit moment participeren de volgende organisaties in de normcommissie: − Philips; − Genootschap voor Risicomanagement; − Essent NV; − Bouwend Nederland/Risnet; − KEMA; − TenneT BV; − RPS Advies BV;
73
− − − − − − − − −
KDI BV; DHV; Ministerie van VROM, Directie Externe Veiligheid; Narim; Akzo Nobel; Nivra; Nibe-SVV; Equens; NAR.
74
Bijlage 4. Artikel ‘risicomanagement rukt op’ Politiek magazine, nummer 2, najaar 2008
75
