Luttenbergstraat 2 Postbus 10078 8000 GB Zwolle Telefoon 038 499 88 99 Fax 038 425 48 88 overijssel.nl postbus@overijssel. nl
RABO Zwolle 39 73 41 121
PROVINCIALE STATEN VAN OVERIJSSEL Provinciale Staten van Overijssel Reg.nr. F & / Ï U ? l 2 » / Ü t > ^
Inlichtingen bij dhr. R. Anderson a.d.
St:
2 3 HEI'«
Routing
telefoon 038 499 8744
[email protected]
Bijl.:
217 a onderzoek Risicomanagement Datum
21.05.2013 Kenmerk
2013/0142941 Pagina
1
Toezending aan Provinciale Staten met oogmerk: [X] ter informatie [ ] anders, en w e l :
Bijlagen I. Onderzoeksrapport Risicomanagement (te raadplegen via www.overijssel.nl/sis) II. Bijlage bij onderzoeksrapport Risicomanagement (te raadplegen via www.overijssel.nl/sis)
Op 13 november 2012 hebben wij besloten een 217a onderzoek te laten uitvoeren naar het risicomanagementsysteem binnen de provincie. Dit onderzoek is eind februari 2013 afgerond. Gebleken is, dat het risicomanagementbeleid voldoet aan de wet- en regelgeving. Daarnaast worden enkele aanbevelingen in het rapport gedaan. Zo zullen de verschillende rollen binnen het risicomanagement verhelderd, geformaliseerd en gefaciliteerd moeten worden. Het betreft hier dan zowel de roi van GS en PS als de verschillende interne ambtelijke rollen. Daarnaast zullen de spelregels rondom het weerstandsvermogen helder geformuleerd en gecommuniceerd moeten worden. Ook zal meer aandacht besteed moeten worden aan het cyclische karaker van risicomanagement. Het gaat dan om het treffen van de juiste beheersmaatregelen en het evalueren van deze maatregelen. Dit geldt zowel voor reguliere activiteiten als voor projectmatige activiteiten. Ook bij eenmalige projecten is een adequate evaluatie van belang. De uitkomsten van deze evaluaties kunnen immers gebruikt worden om toekomstige projecten van effectievere maatregelen te voorzien. Het belang van het nemen en evalueren van effectieve beheersmaatregelen zal niet alleen beleidsmatig ingebed moeten worden, maar hier zal ook de nodige communicatie en facilitatie aan gewijd moeten worden. Hoewel het onderzoek concludeert dat de provincie in termen van risicomanagement redelijk in control is, geven de aanbevelingen niettemin aanleiding om het beleid met betrekking tot risicomanagement dit najaar te actualiseren. Om die reden bieden wij u het rapport aan.
provincie Datum verzending
2 2. MEI 2013
V-
verijssel
217 a onderzoek Risicomanagement
Mocht het rapport u aanleiding geven tot opmerkingen die wij bij de actualisatie kunnen betrekken, dan vernemen wij die graag van u.
In oktober 2013 zal u het geactualiseerde beleid met betrekking tot risicomanagement ter vaststelling worden aangeboden. Gedeputeerde Staten van Overijssel,
voorzitter,
secretaris, Datum
21.05.2013 Kenmerk
2013/0142941 Pagina
2
provincie
verijssel
Risicomanagement@Overijssel Doelmatigheid- en doeltreffendheidonderzoek (217a) naar Risicomanagement
Betreft:
Doelmatigheid- en doeltreffendheidonderzoek (217a) naar Risicomanagement bij de provincie Overijssel
Uitgebracht aan:
Provincie Overijssel t.a.v. de heer R. Anderson Postbus 10078 8000 GB ZWOLLE
Cc:
[email protected] en
[email protected]
Auteurs:
De heer drs. R.H. Dubbeldeman CMC De heer drs. L. Konings Mevrouw drs. J.K. Volkerink – Kanis De heer drs. A. van Doesburg RA
Reviewer:
De heer ing. J.L. Wisse RA
Ons kenmerk:
12-311332487, versie 1.0
Datum:
11 maart 2013
Inhoudsopgave 1. Inleiding ........................................................................................................................ 3 2. Visie en aanpak............................................................................................................ 7 3. Bevindingen ............................................................................................................... 13 4. Analyse ...................................................................................................................... 41 5. Beantwoording onderzoeks-vragen en aanbevelingen.............................................. 69
1
2
1. Inleiding
In 2009 is door Provinciale Staten (PS) het beleid rondom risicomanagement voor de provincie Overijssel vastgesteld. De kaders die Provinciale Staten hebben aangegeven dienen als basis voor het door de organisatie uitgewerkt risicomanagement-systeem. Een belangrijke stap hierbij is om dat systeem regelmatig aan een onafhankelijke toets te onderwerpen teneinde de opzet en uitwerking te evalueren en bij te stellen. Gezien de directe betrokkenheid van het team concerncontrol bij het risicomanagementsysteem, is de wens dit onderzoek samen met een externe partner uit te voeren om de onafhankelijkheid te borgen. Voorliggend document betreft de eindrapportage van Deloitte aan Gedeputeerde Staten (GS) inzake dit 217a onderzoek naar het risicomanagementsysteem. Achtergrond In 2004 is in het Besluit Begroting en Verantwoording (voortaan BBV) opgenomen dat provincies haar risico’s in kaart moest gaan brengen om op basis hiervan het weerstandsvermogen te bepalen. Het weerstandsvermogen is de buffer die je nodig hebt om negatieve effecten van risico’s op te vangen. Dit is in de periode 2004-2005 voor de eerste keer gedaan. Doordat de provincie Overijssel meer ging investeren (Dynamische Investeringsagenda, Investeren in Overijssel) en er, in de breedte, meer aandacht kwam voor risicomanagement, is in 2009 het beleid rondom risicomanagement door Provinciale Staten vastgesteld. Op basis van deze kaders is een risicomanagementsysteem uitgewerkt dat als doelstelling heeft de organisatie te helpen om continu alert te zijn op wijzigingen in de organisatie en haar omgeving, zodat zij daar actief op kan inspelen om haar doelen te kunnen bereiken. Een risicomanagementsysteem geeft aan hoe de organisatie haar risico’s inzichtelijk krijgt, beheerst, monitort en evalueert. Naast deze ‘harde’ kant van het systeem zal er ook veel aandacht moeten zijn voor de ‘zachte’ kant van het risicomanagementsysteem. De cultuur van de organisatie moet er een zijn waarin mensen open kunnen praten c.q. discussiëren over risico’s. In een politieke organisatie geldt aanvullend dat risico’s ook onderwerp van gesprek met Gedeputeerde Staten en Provinciale Staten kunnen zijn. Veranderingen in de omgeving van de provincie en de organisatie maken dat risicomanagement de afgelopen jaren een (nog) grotere rol is gaan spelen, met name bij de projecten en programma’s in het investeringsprogramma de Kracht van Overijssel. Hierbij is het gesprek over risico’s zowel ambtelijk als bestuurlijk noodzakelijk. Zoals beschreven staat in de verordening doelmatig- en doeltreffendheid (op basis van art. 217a van de provinciewet), laten Gedeputeerde Staten jaarlijks hun eigen functioneren en de
3
uitvoering van werkzaamheden door de eenheden onderzoeken. In 2012 is gekozen voor het thema risicomanagement. Daarnaast is het belangrijk dat een risicomanagementsysteem regelmatig aan een onafhankelijke toets wordt onderworpen. Immers, in de huidige wereld, door tijden van bezuinigingen en ingrijpende externe ontwikkelingen, is het verstandig om te kunnen omgaan met en anticiperen op mogelijke risico’s. In dat kader staat ook in 2013 een herijking van het risicomanagementbeleid door Provinciale Staten op het programma. Met dit onderzoek wil de provincie een oordeel krijgen over de opzet en uitvoering van het risicomanagementsysteem, inclusief aanbevelingen waar mogelijkheden tot verbetering zitten. Hiermee worden de uitkomsten van dit onderzoek input voor de herijking van het beleid rondom risicomanagement.
Opdracht Op basis van bovenstaande achtergrond formuleren wij de volgende opdracht: Onderzoek of het risicomanagementsysteem dat de provincie Overijssel inzet doelmatig en doeltreffend functioneert. En geef, waar mogelijk, verbeteringen voor het risicomanagementsysteem aan.
1
De opdracht is in de volgende deelvragen te splitsen: 1.
Aan welke criteria (wettelijk en vanuit de theorie) moet een risicomanagementsysteem voldoen om doeltreffend en doelmatig te zijn?
2.
Hoe is het risicomanagementbeleid van de provincie vormgegeven (opzet)?
3.
Hoe geeft de provincie in de praktijk invulling aan risicomanagement?
4.
Voldoen het risicomanagementbeleid en de praktijk aan de gestelde criteria van een risicomanagementsysteem?
5.
Zijn er verbeteringen mogelijk in doelmatig- en doeltreffendheid van het risicomanagementsysteem? En hoe kunnen deze vertaald worden in het nieuwe risicomanagementbeleid?
Alle vragen richten zich zowel op de harde als op de zachte kant van het risicomanagementsysteem.
1
Deze verbeteringen kunnen/mogen zowel ‘best practices’ als nieuwe ontwikkelingen op het gebied van risicomanagement zijn.
4
Leeswijzer De voorliggende rapportage bevat de resultaten en conclusies van het 217a-onderzoek waarbij hoofdstuk 2 ingaat op onze visie en aanpak van dit onderzoek. Hoofdstuk 3 toont de bevindingen volgens de volgende indeling:
Bevindingen uit het documentenonderzoek (wet- en regelgeving; opzet en werking van risicomanagement).
Bevindingen uit de enquête (vragen per norm).
Bevindingen uit de interviews (opzet en werking van risicomanagement).
Bevindingen uit casuïstiek (Natura2000-PAS; Kanaal Almelo-De Haandrik; N340; IJsseldelta-Zuid).
Vervolgens gaat hoofdstuk 4 in op onze analyse. Hierbij gaan wij alle toetspunten per norm langs, waarbij wij de eerdere bevindingen hebben gecombineerd. Tenslotte beantwoorden wij in hoofdstuk 5 de onderzoeksvragen zoals door de provincie Overijssel aan ons gesteld. Dit hoofdstuk dient tevens als samenvatting van ons onderzoek.
5
6
2. Visie en aanpak
In dit hoofdstuk geven wij onze visie op en de aanpak van het onderzoek weer. De visie heeft betrekking op het onderzoeksmodel, het normenkader en risicomanagement. Tenslotte is de aanpak van de door Deloitte uitvoerde activiteiten weergegeven. Onderzoeksmodel voor 217a onderzoeken De insteek van het 217a onderzoek is te beoordelen of de huidige risicomanagementsystematiek doeltreffend en doelmatig is en waar zich eventueel verbeterpunten bevinden. Het startpunt betreft het kader waarbinnen onderzocht kan worden. Provinciale Staten hebben hierin 2
een kaderstellende rol. Gedeputeerde Staten zijn verantwoordelijk voor de invulling van het beleid en het toezien op de adequate uitvoering van risicomanagement door het ambtelijk apparaat.
Figuur 1 Onderzoeksmodel Deloitte
2
De rol van Provinciale Staten is in dit onderzoek buiten scope gelaten. Zij zijn ook niet als partij gehoord. Het onderzoek heeft zich gericht op de invulling en uitvoering van het beleid.
7
Risicomanagement volgens Deloitte Risicomanagement is volgens de visie van Deloitte geen doel op zich, maar een middel om vanuit een gemeenschappelijk referentiekader op gestructureerde wijze om te gaan met het beheersen van risico’s in relatie tot organisatie- en/of beleidsdoelstellingen. Daarbij is risicomanagement binnen de gehele organisatie ingebed – als onderdeel van de planning & controlcyclus – en betreft het een pro-actief en continu proces. Onderstaand schema geeft dit risicomanagementproces weer.
8 Continu verbeteren
1 Vaststellen strategie en doelstellingen
7 Rapporteren
6 Monitoren en verkrijgen zekerheid
2 Identificeren risico’s
Informatie voor het nemen van beslissingen (o.a. inzake weerstandsvermogen)
5 Ontwerpen en testen beheersmaatregelen
3 Beoordelen en analyseren risico’s
4 Bepalen risico strategie
Figuur 2 Risicomanagementproces
Teneinde risicomanagement onderdeel van de cultuur van een organisatie te laten worden, bijvoorbeeld in het kader van het principe “integraal management”, is het creëren van begrip van en draagvlak voor risicomanagement een vereiste. Alleen op deze wijze begrijpen bestuur, management en medewerkers nut en noodzaak van risicomanagement en de bijbehorende dynamiek van de cyclus.
Normenkader bestaande uit 7 normen en onderliggende toetspunten Centraal bij het uitvoeren van doelmatigheids- en doeltreffendheidsonderzoek staat het normenkader aan de hand waarvan meting en beoordeling plaatsvindt. De provincie heeft voor dat normenkader een voorzet gedaan, gebaseerd is op Coso, ISO31000, Levers of control (Robert Simons), Managing Risks (Kaplan/Mikes) en het handboek Risicomanagement Gemeenten van Deloitte (2009). Deloitte heeft dit normenkader beoordeeld op volledigheid en in samenwerking met de provincie is tot het volgende normenkader gekomen: Normen
Toelichting norm
1. Samenhang van beleid
Norm 1 betreft de samenhang van alle relevante aspecten met
en risico’s
betrekking tot risico’s en weerstandsvermogen. Die samenhang is noodzakelijk voor een adequate sturing en controle door Provinciale Staten.
8
Normen
Toelichting norm
2. Inventarisatie, analyse,
De impact van de rol van provinciale staten is sterk afhankelijk van
sturing, beheersing van de
de mate waarin juist de (strategische) risico’s die er echt toe doen
juiste risico’s
op de agenda komen. Het sturen op en controleren van de strategische risico’s levert de provincie de meeste toegevoegde waarde op, omdat deze risico’s betrekking hebben op de belangrijkste issues en doelstellingen van de provincie. Aan de andere kant van het spectrum staan de compliance risico’s, zoals een goedkeurende rechtmatigheidsverklaring. Van belang is uiteraard dat een en ander is gebaseerd op een gedegen risicoinventarisatie en -analyse.
3: Heldere onderbouwing
In de praktijk bestaan diverse methodieken voor de onderbouwing
aan de hand van de
van het weerstandsvermogen. Centraal hierbij staat telkens de
methodiek van het
vraag hoe het totaal van de gekwantificeerde risico’s zich verhoudt
weerstandsvermogen
tot de beschikbare middelen om de risico’s op te kunnen vangen. Hiervoor bestaat geen formele norm. De provincie is zelf verantwoordelijk om ten aanzien van het weerstandsvermogen beleid te formuleren. Iedere methode kent zijn voordelen en beperkingen. Het is vooral van belang dat de onderbouwing van het weerstandsvermogen helder is voor Provinciale Staten.
4.Volledig, actueel en
Het beleid van provincie is vastgelegd. Dit beleid bevat de kaders
transparant beleidskader
voor de werkwijze van de provincie inzake risico’s en weerstandsvermogen.
5. Taken, bevoegdheden
Wij onderscheiden een aantal hoofdrolspelers (Provinciale Staten,
en verantwoordelijkheden
Gedeputeerde Staten en de ambtelijke organisatie) die specifieke
zijn helder en worden
taken hebben in relatie tot risico’s en weerstandsvermogen.
uitgevoerd 6. Beleid en uitvoering
Voor alle beleid is de plan-do-check-act cyclus van belang. In het
omtrent risico’s en
kader van dit onderzoek geldt dit uiteraard ook voor het beleid
weerstandsvermogen
omtrent risico’s en weerstandsvermogen. De gedachte achter de
hebben een cyclisch
cyclus is het streven naar een continu verbeterende organisatie.
karakter 7. Er zijn adequate
Het beleid en de uitvoering omtrent risico’s en
instrumenten om de
weerstandsvermogen dient ondersteund te worden door een
uitvoering van het beleid
efficiënt en up-to-date instrumentarium waarmee ambtelijke
met betrekking tot risico’s
organisatie, Gedeputeerde Staten en Provinciale Staten hun taken
en weerstandsvermogen
adequaat kunnen uitvoeren.
te ondersteunen Het volledige normenkader met toetspunten is opgenomen in bijlage I.
9
Onderzoeksaanpak In onze aanpak onderscheiden wij een viertal stappen:
Figuur 3 Vier stappen van onderzoek
Stap 1: Voorbereiding onderzoek In de voorbereiding is de basis gelegd voor een efficiënt en effectief onderzoek. Daartoe is een aantal belangrijke randvoorwaarden ingeregeld die betrekking hebben op onder meer de afbakening van het onderzoek, vaststelling van het normenkader, afstemmen en uitzetten benodigde en beschikbare documentatie, gesprekspartners, belanghebbenden, mijlpalen en planning. Voorts zijn de volgende casussen door de provincie geselecteerd:
Natura2000-Pas
Kanaal Almelo-De Haandrik
N340
IJsseldelta-Zuid
Stap 2: Bronnenonderzoek Het bronnenonderzoek is ter beantwoording van de tweede en derde deelvraag. Daartoe is een documentenstudie en zijn interviews uitgevoerd (zie bijlagen II en III voor de geïnterviewde personen en de literatuurlijst). Na afronding van de documentenstudie heeft afstemming plaatsgevonden met de opdrachtgever en contactpersoon voor Deloitte inzake de bevindingen als mede ter voorbereiding op de interviews. Gelet op dit type onderzoek in het kader van doelmatigheid en doeltreffendheid, hechten wij waarde aan een transparante en zorgvuldige opbouw van het projectdossier. Derhalve hebben wij interviewverslagen opgesteld die ter verificatie en akkoord zijn teruggelegd bij de gesprekspartners en geanonimiseerd gebruikt in voorliggende rapportage.
Stap 3: Casuïstiek Tijdens het bronnenonderzoek is een beeld verkregen over het beleidskader met betrekking tot het risicomanagementsysteem. Insteek van stap 3 is om inzicht te verkrijgen ten aanzien van de werking en de evaluatie van de beleidsuitvoering aan de hand van de eerder geselecteerde casussen. De documentenstudie is bij deze stap verdiept en toegespitst naar de geselecteerde casussen. Waar mogelijk zijn eerdere bevindingen uit het bronnenonderzoek (stap 2) hergebruikt. Documenten die per geselecteerde casus zijn bestudeerd hebben betrekking op de reconstructie van de P&C-cyclus, specifiek de invulling en opvolging van prestatie- en verantwoordingsafspraken. Zodoende wordt een beeld verkregen bij de doelmatigheid en doeltreffendheid van het beleid met betrekking tot risicomanagement.
10
Parallel aan de documentstudie en de interviews hebben wij een vragenlijst uitgezet bij onder alle bij dit onderzoek belanghebbenden, te weten: Gedeputeerde Staten, directie, hoofden eenheden, programma- en projectleiders, concerncontrol en de controllers bij Bedrijfsvoering. Hiermee hebben wij op hoofdlijnen de stand van zaken rondom risicomanagement binnen de provincie gestructureerd in kaart gebracht. De enquête heeft eveneens inzicht gegeven in de huidige situatie (uit te splitsen per groep ondervraagde belanghebbenden, bijvoorbeeld Gedeputeerde Staten, concernmanagementteam, controllers bij Bedrijfsvoering).
Stap 4: Rapportage Om de verkregen informatie uit de documentstudie, de interviews en de enquête te kunnen ordenen en analyseren, hebben wij het normenkader gehanteerd. De verkregen informatie hebben wij getoetst aan de hand van de toetspunten zoals deze zijn opgenomen in het normenkader. Dit heeft geresulteerd in de beantwoording van de deelvragen. Met deze antwoorden geven wij ook invulling aan de beantwoording van de hoofdvraag. Aan de hand van bovenstaande analyse is voorliggende eindrapportage opgesteld waarin een antwoord wordt gegeven op de deelvragen. Daarnaast zijn aanbevelingen gedaan ter verbetering van de doelmatigheid en de doeltreffendheid van het huidige risicomanagementsysteem.
11
12
3. Bevindingen
In dit hoofdstuk geven wij onze bevindingen weer van het documentenonderzoek, de resultaten van de enquête, de weergave van de gevoerde gesprekken en tenslotte de bevindingen over de vier casussen. Bevindingen documentenonderzoek (algemeen) Op basis van documentstudie hebben wij het beleidskader in beeld gebracht. Alvorens hierop in te gaan, geven wij eerst criteria weer waaraan een risicomanagementsysteem volgens wet- en regelgeving moet voldoen. Vervolgens beschrijven wij onze bevindingen van de documentstudie, waarbij wij onderscheid maken in de opzet van het risicomanagementbeleid en hetgeen in de documenten is opgenomen over de werking en evaluatie van datzelfde beleid. Risicomanagementsysteem volgens wet- en regelgeving en theorie Ten aanzien van de wet- en regelgeving omtrent risicomanagement bij provincies, sluiten wij aan bij artikel 11 uit de BBV. Zie bijlage IV. Een risicomanagementsysteem dient uiteraard te voldoen aan de kaders zoals in desbetreffend artikel 11 genoemd. Een doeltreffend en doelmatig risicomanagementsysteem is een systeem dat functioneert als middel om vanuit een gemeenschappelijk referentiekader op gestructureerde wijze om te gaan met het beheersen van risico’s in relatie tot organisatie- en of beleidsdoelstellingen. Daarbij is risicomanagement onderdeel van de planning & controlcyclus en betreft het een pro-actief en continu proces, aangejaagd door met name budgetverantwoordelijken (lijn) en gefaciliteerd vanuit staf (control). Het in dit onderzoek gehanteerde normenkader met toetspunten is een concretisering van de visie van Deloitte op risicomanagement bij provincies. Het risicomanagementsysteem van de provincie Overijssel zal aan de zeven normen van desbetreffend normenkader moeten voldoen, wil het doelmatig en doeltreffend zijn. In het normenkader is onder andere opgenomen dat het moet voldoen aan wet- en regelgeving, dat het een continu proces is, dat er onafhankelijke reflectie moet zijn etcetera. Echter, risicomanagement is alleen dan effectief als vanuit de organisatie begrepen wordt wat de essentie is van risicomanagement en daarmee gepaard gaande dynamiek, waardoor er sprake is van draagvlak (management en medewerkers zie de nut en de noodzaak in van risicomanagement) en daarmee gezamenlijk de verschillende elementen van de cyclus doorlopen wordt. Het laagdrempelig maken van de cyclus helpt bij de doorgronding en acceptatie van risicomanagement als onderdeel van ieders handelen.
13
Opzet van het risicomanagementbeleid (documentenonderzoek) De provincie Overijssel heeft in de ‘Nota risicomanagement’ de beleidsuitgangspunten ten aanzien van risicomanagement vastgelegd. In deze nota wordt onder ander de definitie weergegeven van een risico. Een risico wordt hierin als volgt gedefinieerd: Een risico is de kans op het optreden van een gebeurtenis met een negatief gevolg voor een betrokkene. In de ‘Nota risicomanagement’ is weergegeven dat de provincie twee typen risico’s hanteert, namelijk:
Imago-risico’s: aantasting van het vertrouwen in de organisatie als gevolg van negatieve publiciteit.
Financiële risico’s: directe aantasting van de vermogenspositie van een organisatie.
Voorts is aangegeven dat risico’s binnen de reikwijdte van het weerstandsvermogen risico’s zijn waarvoor geen maatregelen zijn getroffen, maar die wel van materiële betekenis kunnen zijn in relatie tot de financiële positie. Dit betekent dat de volgende risico’s niet meegenomen worden:
Rampen/crisis: serieuze bedreigingen voor de meest basale structuren of fundamentele normen en waarden van ons systeem.
Kortingen: een voorziene (structurele) afname van inkomsten van de organisatie. Kortingen worden verwerkt in de Begroting van het komende begrotingsjaar. De provincie anticipeert op kortingen, waarmee een maatregel wordt getroffen die kortingsrisico’s buiten de reikwijdte van het weerstandsvermogen plaatst.
Kosten: gebeurtenissen waarvan zeker is dat ze zich voor gaan doen en waarvan de omvang ook al bekend is. Kosten dienen als voorzieningen meegenomen te worden en kunnen dus buiten beschouwing gelaten worden.
In de ‘Nota risicomanagement’ heeft de provincie weergegeven dat zij als hoofddoelstelling met risicomanagement beoogt de programmadoelstellingen te realiseren. Door risico’s aan de programma’s te koppelen, wordt inzichtelijk welke risico’s het bereiken van de programmadoelstellingen in de weg staan. Als nevendoelstelling is in de nota weergegeven een goede balans tussen risico’s en de financiële middelen om deze risico’s af te dekken (het weerstandsvermogen). Hierbij is aangegeven dat door te sturen op weerstandsvermogen de mogelijkheid geschapen wordt om meer effectief op zoek te gaan naar de balans tussen intensivering van uitgaven en het vasthouden van een minimaal noodzakelijke financiële positie.
14
De provincie onderscheidt in haar beleid drie actoren die een rol hebben in het risicomanagementproces. In de volgende tabel zijn per actor de taken, verantwoordelijkheden en bevoegdheden omschreven: Actor
Rol Stellen de ratio weerstandsvermogen vast voor een periode van vier jaar. Provinciale Stellen de begroting met de paragraaf over het weerstandsvermogen vast. Staten De perspectiefnota wordt gebruikt om Provinciale Staten te informeren over de invloed van risico’s op de doelstellingen van risicomanagement, over meerdere jaren heen. Risicomanagement valt onder de integrale verantwoordelijkheid van GS. Gedeputeerde GS zijn uiteindelijk verantwoordelijk voor alle provinciale risico’s en de Staten acties die worden ondernomen deze te beheersen. Gedeputeerde Staten dienen ervoor te zorgen dat de organisatiedoelstellingen worden bereikt en daarvan afgeleid de doelstellingen met betrekking tot risicomanagement. Jaarlijks wordt de weerstandsparagraaf in de begroting opgesteld. Gedeputeerde Staten zijn bevoegd te oordelen over de verhouding tussen alle gezamenlijke risico’s en de vermogenspositie van de provincie. Gedeputeerde Staten dienen Provinciale Staten actief te informeren indien de risico’s die zich voordoen impact hebben op het realiseren van programma doelstelling of op de balans tussen risico’s en financiële middelen om deze risico’s af te dekken (het weerstandsvermogen). Bij besluitvorming dienen Gedeputeerd Staten na te gaan wat de belangrijkste risico’s zijn en hierover te rapporteren aan Provinciale Staten. Als regel gebeurt dit in de bestaande verantwoordingsstukken dan wel meer in het bijzonder in de afzonderlijke voorstellen wanneer het onderwerp of risicobedrag hiertoe aanleiding geeft. Risicomanagement is een vorm van integraal management wat inhoudt dat Ambtelijke ‘de lijn’ verantwoordelijk is voor de risico’s. Dit betekent dat de organisatie eenheidshoofden verantwoordelijk zijn voor die risico’s die in de eenheden gelopen worden. Dit werkt door tot op het niveau van directie. De ambtelijke organisatie stelt twee maal per jaar een organisatiebreed risicoprofiel vast, monitort deze en draagt zorg voor de beheersmaatregelen. Binnen de ambtelijke lijn wordt de juiste houding en gedrag ten aanzien van ondernemerschap en de beheersing van de risico’s die daarmee samenhangen, gestimuleerd. Tabel 1 Taken, bevoegdheden en verantwoordelijkheden per actor Naast bovengenoemde drie actoren worden in de ‘Nota risicomanagement’ toezichthouders benoemd. Onder de toezichthouders worden de accountant en de provinciale rekenkamer verstaan. De taken, verantwoordelijkheden en bevoegdheden zijn als volgt weergegeven:
De accountant velt een oordeel over de paragraaf weerstandsvermogen. Bij onduidelijkheden rapporteert de accountant aan Provinciale Staten.
De Provinciale Rekenkamer kan zich op verzoek verder verdiepen in risicomanagement, zoals zij bijvoorbeeld reeds gedaan hebben in het onderzoek naar reserves en voorzieningen.
Op basis van het risicoprofiel van de provincie Overijssel kan de benodigde weerstandscapaciteit worden berekend. De benodigde weerstandscapaciteit wordt berekend op basis van een risicosimulatie, zo blijkt uit de ‘Nota risicomanagement’. Uitgangspunt is een statistische benadering die er van uit gaat dat nooit alle risico’s zich én tegelijk, én in maximale omvang voordoen.
15
De beschikbare weerstandscapaciteit hangt af van de samenstelling van de componenten die worden gebruikt. De beschikbare weerstandscapaciteit bestaat uit de volgende componenten, zo blijkt uit de ‘Nota risicomanagement’: 1.
Reserves. De reserves op de balans zijn in twee typen onder te verdelen, de algemene reserve en de bestemmingsreserves. Deze middelen zijn beschikbaar voor zover de rente niet wordt aangewend als dekkingsmiddel ten behoeve van de lopende exploitatie. Indien dit het geval is dient een correctie plaats te vinden. Binnen de algemene reserve zijn de saldireserve en de algemene dekkingsreserve ingesteld als buffer en om tegenvallers en risico’s op te kunnen vangen.
2.
Bestemmingsreserves. Bestemmingsreserves kunnen worden opgenomen voor zover deze kunnen worden herbestemd. Er is binnen een aantal bestemmingsreserves rekening gehouden met mogelijke financiële risico’s.
De benodigde weerstandscapaciteit die uit de risicosimulatie voortvloeit, kan worden afgezet tegen de beschikbare weerstandscapaciteit. De uitkomst van die berekening vormt de ratio weerstandsvermogen. Om het weerstandsvermogen te kunnen beoordelen dient nog vastgesteld te worden welke ratio de provincie Overijssel nastreeft. Hiertoe wordt gebruik gemaakt van een waarderingstabel. Waarderingscijfer
Ratio weerstandsvermogen
Betekenis
A
2,0 < x
Uitstekend
B
1,4 < x < 2,0
Ruim voldoende
C
1,0 < x 1,4
Voldoende
D
0,8 < x 1,0
Matig
E
0,6 < x < 0,8
Onvoldoende
F x < 0,6 Tabel 2 Waarderingstabel ratio weerstandsvermogen
Ruim onvoldoende
Twee maal per jaar, bij de begroting en bij de perspectiefnota, wordt een risico-analyse uitgevoerd. Eén maal per vier jaar zal de ratio herbeoordeeld worden. De provincie Overijssel werkt ook met een specifieke visie op control. Om het ‘in control’ zijn van de organisatie te kunnen borgen, wordt in de ‘Visie op control’ van de provincie Overijssel naar de organisatie gekeken volgens het ‘Three lines of defence’ model. Dit model maakt het onderscheid tussen de verschillende verantwoordelijkheden voor control duidelijk:
De 1e lijn: medewerkers, (adjunct)hoofden eenheden, Programma- en projectleiders en de directie zijn in de eerste plaats zelf verantwoordelijk voor de sturing en beheersing (control) van de eigen werkzaamheden. Ook vindt ondersteuning plaats vanuit
Bedrijfsvoering, Publieke Dienstverlening en Bestuurs- en Concernzaken (juridisch). De 2e lijn: vanuit genoemde control functies bij Bedrijfvoering, Publieke Dienstverlening en Bestuurs- en Concernzaken (juridisch) worden zogenaamde tweedelijns controles gedaan bijvoorbeeld vanuit risicomanagement, rechtmatigheidstoetsen en aanvullende interne controle. Een aantal teams (bijvoorbeeld bij subsidies en VV&HH, bedrijfsvoeringsbureaus) voert zelf een check (controle) uit op de werkzaamheden. De 3e lijn: betreft het leveren van aanvullende zekerheid/comfort aan de directie en GS. Dit wordt geleverd door het concerncontrol team. Hiervoor kunnen adviezen,
16
beoordelen van systemen, (bijvoorbeeld P&C-systeem, risicomanagementsysteem) onderzoeken, audits, stresstesten etcetera ingezet worden. Er wordt ook een externe controltoets ingezet als ‘4th line of defence’ op de organisatie door partijen als de accountant (de ‘eigen’ accountant en accountantsdiensten van Rijk en EU) en Rekenkamer Oost-Nederland. De uitgangspunten voor de controlorganisatie zijn in de ‘Visie op control’ als volgt verwoord: Er wordt uitgaan van brede control: dit bestaat uit in ieder geval de onderwerpen financiele, etceterabeleids-, juridische, HRM- en ICT-control. Control wordt ‘risico-gestuurd’ ingezet. Dat houdt in dat concernbreed gekeken wordt waar de organisatie de meeste risico’s loopt en waar meer ‘control-inzet’ ingezet moet worden om de risico’s (en kansen) te kunnen beheersen (en benutten). Een onafhankelijke concerncontroller beoordeeld of de organisatie ‘in control is’. De concerncontroller is de eerste adviseur van de Directie op het gebied van concerncontrol. De concerncontroller heeft een eigen team en is geplaatst binnen de eenheid Bestuursen Concernzaken. De concerncontroller heeft een directe lijn naar de Directie en indien nodig naar GS (zonder inmenging van Hoofd Eenheid Bestuurs- en Concernzaken). Er komen brede controlfuncties binnen de nieuwe eenheid Bedrijfsvoering die een kaderstellende en toetsende rol op het niveau van eenheden en projecten en programma’s gaan uitvoeren. Deze controllers zijn sparringpartner voor managers in de organisatie. Binnen Bedrijfsvoering komt een nieuwe rol van bedrijfsvoeringsadviseur. Deze rol staat tussen de administratieve en uitvoerende bedrijfsvoeringswerkzaamheden en de medewerkers in de eenheden in. De bedrijfsvoeringsadviseur legt verbinding tussen de vraag van eenheden en Project- en programmaleiders en zorgt ervoor dat gevraagde informatie beschikbaar komt uit bestaande systemen. Er blijven ‘experts’ op verschillende controldomeinen (beleid, financieel, juridisch, ICT, HRM). Deze experts leveren input voor de controllers en concerncontroller, kaderstellingen en specifieke vragen voor lijn en Project- en programmaleiders. De concerncontroller zorgt ervoor dat hij zicht heeft op de concernbrede risico’s en de beheersing hiervan. Hiervoor gaat hij uit van risicomanagementsystemen die in de organisatie gebruikt worden. Hij kan ook eigen instrumenten inzetten zoals scenarioanalyse en de beoordeling van de gebruikte risicomanagementsystemen. Control is breed en geldt niet alleen voor control aan de achterkant van het proces (bij voortgang en afrekening) maar zeker aan de ‘voorkant’. Hiermee wordt bedoeld de inzet van controladviseurs bij grote nog op te starten projecten, wanneer er nieuwe ideeën zijn voor nieuw beleid, het coalitieakkoord etcetera. In de advisering naar de Directie worden control-onderwerpen ingebracht door de concerncontroller en hoofd eenheid bedrijfsvoering.
17
Werking van het risicomanagementbeleid (documentenonderzoek) Risico-inventarisatie en kwantificering In de ‘Nota risicomanagement’ wordt ten aanzien van risico-inventarisatie, kwantificering en beheersing van risico’s een aantal stappen omschreven die in 2008 zijn uitgevoerd door het projectteam specifiek belast met risicomanagement. In februari 2008 hebben Gedeputeerde Staten namelijk aan de Eenheid Middelen de opdracht gegeven voor het uitvoeren van het project risicomanagement. Daartoe is een projectteam opgezet bestaande uit medewerkers van diverse eenheden in samenwerking met het externe adviesbureau Nederlands Adviesbureau voor Risicomanagement (voortaan: NAR). Het projectteam heeft in april 2008 tot en met juli 2008 risico’s binnen de provincie geïnventariseerd. Dit heeft geleid tot een risicoprofiel. Dit risico profiel bevatte de grootste risico’s van de provincie en bracht tevens in beeld waar extra inzet door de organisatie moest plaatsvinden ten behoeve van beheersing van die risico’s. Van het risicoprofiel is tevens de benodigde weerstandscapaciteit afgeleid. Het project risicomanagement in 2008 heeft zich daarmee gericht op
De volgende activiteiten zijn in 2008 door het project risicomanagement uitgevoerd:
het bepalen van de grote financiële risico’s, waardoor – aldus
•
verondersteld door het projectteam – mogelijk kleine risico’s in het
•
profiel ontbraken. Ter compensatie is een bedrag van 25% van de berekende benodigde capaciteit als
•
opslag gerekend. Dit percentage is vastgesteld op basis van ervaringsgegevens van andere organisaties. Uit het jaarverslag 2010 blijkt dat in
•
Voor de risico-inventarisatie zijn door middel van individuele gesprekken met het bestuur, de directie, hoofden Eenheden, enkele programmaleiders en de accountant de risico’s van de organisatie in beeld gebracht danwel geactualiseerd. Op basis van de interviews zijn risicoprofielen vanuit verschillende invalshoeken opgesteld. Alle risicoprofielen tezamen vormen het geconsolideerde risicoprofiel van de provincie Overijssel. De waardering/inschatting van de kansen en gevolgen van risico’s heeft door de geïnterviewden plaatsgevonden. Dit betrof veelal een persoonlijke zienswijze, indien mogelijk ondersteund met documentanalyse. De risico’s zijn kwantitatief gemaakt en onderling gerangschikt op grootte, de zogeheten risicoscore. Deze score wordt bepaald door de kans en het gevolg te vermenigvuldigen. Met behulp van de risicoscore kunnen risico’s worden geprioriteerd en wordt inzichtelijk welke risico’s het meest belangrijk zijn om te worden gemanaged. Door middel van simulatie in NARIS risicomanagementsoftware (voortaan NARIS) zijn de risico’s gekwantificeerd en tegen elkaar uitgezet. Dit levert het risicoprofiel van de organisatie op. In het risicoprofiel wordt per risico, naast kans, gevolg en risicoscore ook de maximale financiële impact weergegeven.
de eerste maanden van 2010 een inventarisatie van risico’s heeft plaatsgevonden met als doel het risicoprofiel en weerstandsvermogen te actualiseren. In 2010 is een aantal risico’s toegevoegd, maar zijn ook risico’s verdwenen en risicobedragen gewijzigd van het overzicht uit 2008. Als verklaring wordt hiervoor in het ‘Jaarverslag 2010’ vermeld dat dit mogelijk is vanwege afgeronde activiteiten en projecten, maar ook door het invoeren van adequate beheersmaatregelen. Tevens is in 2010 bij diverse projecten en programma’s is een instrument ingezet dat het risicoprofiel van een project of programma visueel inzichtelijk maakt, zo blijkt uit het ‘Jaarverslag 2010’. In de ‘Programmabegroting 2011’ is opgenomen dat door middel van interviews geïdentificeerde risico’s worden gekwantificeerd door aan te geven wat de kans van optreden is en welk financieel gevolg deze risico’s hebben. Met een (statistische) simulatie van deze gekwantificeerde risico’s wordt het risicoprofiel van de provincie inzichtelijk gemaakt. Omdat als
18
hoofddoelstelling het realiseren van programmadoelstellingen is geformuleerd en om inzicht te geven in het risicoprofiel van de provincie Overijssel, worden per programma risico’s benoemd. Uit het ‘Jaarverslag 2010’ blijkt dat in 2010 nadrukkelijk is ingezet op het gedrag en bewustzijn. Door het organiseren van risicoworkshops op eenheid-, team-, project- en programmaniveau zijn onderling beelden uitgewisseld over risico’s en de oorzaken daarvan. Tegelijkertijd is met deze workshops een aanzet gegeven tot het invoeren van beheersmaatregelen. In het ‘Jaarverslag 2011’ is dit eveneens opgenomen. In de ‘Kerntakenbegroting 2012’ is opgenomen dat projecten, programma’s en ‘verbonden partijen’ als deelnemingen en subsidies speerpunten zijn voor risicomanagement. Uit het ‘Jaarverslag 2011’ blijkt dat verder wordt gewerkt aan het in beeld brengen van de risico’s, beheersmaatregelen en de daarbij aan te houden risicoreserve voor de Kracht van Overijssel in relatie tot de Algemene Dekkingsreserve. Grofweg worden in het jaarverslag drie stappen onderscheiden: 1.
Opstellen risicoprofiel van de afzonderlijke opgaven en het consolideren daarvan op hoofdlijnniveau.
2.
Inventariseren waar en hoe risico’s zijn afgedekt.
3.
Adviseren hoe om te gaan met de risico’s en reserves in relatie tot de Algemene Dekkingsreserve en het weerstandsvermogen.
Hierbij wordt in het ‘Jaarverslag 2011’ aangegeven dat in het derde kwartaal van 2012 naar alle waarschijnlijkheid een nagenoeg volledig beeld van de benodigde weerstandscapaciteit opgeleverd kan worden. Uit een analyse van concerncontrol, waarbij werkplannen zijn bestudeerd, is door adviseurs concerncontrol geconstateerd dat bij de meeste eenheden het analyseren van risico’s, de wijze waarop dit wordt gedaan en de hele risicomanagementcyclus, nog niet op een actieve en gestructureerde wijze wordt ingezet en dus niet ondersteunend is aan de doelbereiking. Beheersing van risico’s Voor de beheersing van risico’s heeft de provincie Overijssel, blijkt uit de ‘Nota risicomanagement’, ingezet op de volgende risico’s: 1.
Projecten: voor projecten betekent de inbedding van risicomanagement het toevoegen van de component risico aan de projectstructuur. Door voor de belangrijkste projecten onderscheid te maken tussen invloed van risico’s, onzekerheden en vertragingen, kunnen bedreigingen meer volledig in beeld worden gebracht. Aan de hand van een volledig zicht op risico’s kan expertise worden toegewezen en verantwoordelijkheden op de juiste plaats worden neergelegd, ter beheersing van deze risico’s. Door risicomanagement vanaf het eerste moment integraal onderdeel uit te laten maken van het handelen van het projectenbureau, kan beheersing van projectrisico’s beter gegarandeerd worden.
2.
Aanbestedingen: voor de beheersing rondom aanbestedingen zijn beheersmaatregelen getroffen. In 2009 wordt gestart met een centrale inkoopgroep die aanbestedingen begeleiden.
19
3.
Externe ontwikkelingen: om externe ontwikkelingen te beheersen, zal de provincie haar krachten in IPO verband moeten bundelen en een sterke lobby moeten realiseren. De resultaten zal de provincie moeten accepteren. Deze kunnen alleen worden gefinancierd, waarbij een volledig beeld op risico’s verbonden aan externe ontwikkelingen noodzakelijk is.
De beheersing op deze aandachtsgebieden is versterkt naast de vele beheersmaatregelen die al zijn toegepast, denk aan het vastleggen van bevoegdheden en verantwoordelijkheden, het kader voor integriteit, verordeningen en uitvoeringsbesluiten, beleidsnota’s etcetera. Weerstandsvermogen Uit de verschillende documenten is het verloop van de ratio weerstandvermogen over de afgelopen jaren inzichtelijk:
De benodigde weerstandscapaciteit in 2009 is uitgekomen op €35 mio. De ratio weerstandsvermogen was 1,33 oftwel voldoende (‘Nota risicomanagement’ en zie tabel 2 op pagina 12).
Uit de ‘Programmabegroting 2011’ blijkt dat de ratio tussen de beschikbare weerstandscapaciteit en de benodigde weerstandscapaciteit is uitgekomen op 38. Een daling van de ratio onder het grensniveau van 1 werd niet voorzien.
Uit het ‘Jaarverslag 2010’ blijkt dat de ratio tussen de beschikbare weerstandscapaciteit en de benodigde weerstandscapaciteit komt uit op circa 35 waarbij een daling van de ratio onder het grensniveau van 1 niet werd voorzien.
In de ‘Perspectiefnota 2012’ worden geen opmerkingen over gemaakt over het weerstandsvermogen en of risicomanagement in algemene zin.
In de ‘Kerntakenbegroting 2012’ is opgenomen dat uitgaande van de Algemene Dekkingsreserve en andere reserves als beschikbare weerstandscapaciteit, de ratio tussen de beschikbare weerstandscapaciteit en de benodigde weerstandscapaciteit circa 12 is. Een daling van de ratio onder het grensniveau van 1 werd niet voorzien. Tevens is in de ‘Kerntakenbegroting 2012’ weergegeven dat op het moment meer projecten in uitvoering komen en er meer verbonden partijen ontstaan en de benodigde weerstandscapaciteit (als aanduiding van de omvang van de risico’s) zal toenemen. Daarbij zal de beschikbare weerstandscapaciteit binnen de reserves dalen door de investeringen die de komende jaren gedaan worden. Het instellen van het energiefonds kan zorgen voor een daling van de factor naar 6. Het benodigde weerstandsvermogen zal – aldus de ‘Kerntakenbegroting 2012’ – goed gemonitord moeten worden en indien aanvulling van de benodigde weerstandscapaciteit nodig is, worden hiertoe voorstellen opgesteld.
In het ‘Jaarverslag 2011’ is opgenomen dat de provincie beschikt over voldoende weerstandsvermogen. Het weerstandsvermogen is de afgelopen drie jaar echter wel kleiner geworden. De ratio in 2011 is 17. In 2010 echter 35 en in 2009 is de ratio 63. Tevens is opgenomen dat deze trend zich hoogstwaarschijnlijk doorzet. De gewenste weerstandscapaciteit zal daarentegen groter worden door de risico’s die de opgaven Kracht van Overijssel met zich meebrengen. De beschikbare weerstandscapaciteit zal kleiner worden door deze investeringen van de Kracht van Overijssel. Een daling tot onder de één (1) in casu de norm voor het weerstandsvermogen is binnen deze coalitieperiode, afhankelijk van de investeringen en de daarbij behorende risico’s, 20
mogelijk. Er wordt in het ‘Jaarverslag 2011’ onderscheid gemaakt tussen de huidige (provincie brede) risico’s en de opgaven die voortkomen uit de Kracht van Overijssel. Een overzicht met de risico’s met de grootste impact op het weerstandsvermogen is opgenomen in desbetreffend jaarverslag. Dit is tot stand gekomen door simulatie op basis van kansberekening. Het weerstandsvermogen zal in de huidige coalitieperiode sterk omlaag gaan en de genoemde norm van één (1) naderen of deze zelfs passeren. Het ‘Jaarverslag 2011’ meldt dat op dat moment (of eerder) een aanzuivering van de reservepositie zal moeten plaatsvinden.
In de ‘Perspectiefnota 2013 ‘ is opgenomen dat eens per vier jaar volgens de BBV vaststelling van de norm voor weerstandsvermogen dient plaats te vinden. In 2013 is derhalve vaststelling van de norm aan de orde. Vanwege onder andere de opgaven uit de Kracht van Overijssel en het feit dat enkele projecten zich in een uitvoeringsfase (gaan) bevinden, is meer ruimte nodig om te anticiperen op grootschalige risico’s. Derhalve wordt voorgesteld om gedurende de looptijd van ‘Kracht van Overijssel’ het weerstandsvermogen te verhogen naar 1,6. Wanneer het weerstandsvermogen gedurende deze looptijd onder de 1,6 komt, volgt een voorstel tot aanzuivering van de saldireserve (risicoreserve). Effecten van veranderende risico’s worden meegenomen in het weerstandsvermogen en geactualiseerd in de paragraaf weerstandsvermogen van de planning & controldocumenten. Uitgaande van een weerstandsvermogen norm van 1,6 dient een weerstandscapaciteit beschikbaar te zijn van €106 miljoen.
Bevindingen enquête Door middel van het uitzetten van een vragenlijst (zie bijlage V) onder direct en indirect betrokkenen bij het onderwerp risicomanagement, hebben wij informatie verzameld teneinde de werking en evaluatie van het risicomanagementbeleid in de praktijk binnen de provincie te kunnen toetsen. Wij hebben daarbij onderscheid gemaakt tussen een drietal groepen, te weten: 1.
Gedeputeerde Staten, directie, hoofden eenheden en concernstaf
2.
Programmamanagers, projectleiders en projectsecretarissen
3.
Controllers van de eenheid bedrijfsvoering.
Het merendeel van de vragen (90% à 95%) is aan iedere groep gesteld. Per groep hebben wij echter een aantal afwijkende c.q. aanvullende vragen gesteld. Wij hebben onze bevindingen op totaalniveau weergegeven. Aan stapeling van risico’s bij een zekere samenhang wordt volgens 41% van de respondenten Norm 1: Samenhang van beleid en risico’s.
van groep 1 weinig aandacht geschonken. Diezelfde mening is 31% van groep 2 toegedaan. Van groep 3 is voor 50% van de respondenten niet bekend of hieraan überhaupt aandacht wordt geschonken. Aan groep 1 is specifiek de stelling voorgelegd of er samenhang is aanwezig tussen de risico's, weerstandsvermogen, beleid, processen en instrumenten en het daarnaar handelen. 65% van de respondenten geeft aan dat er deels sprake is van deze samenhang.
21
GS hebben volgens groep 1 (>60%), groep 2 (>30%) en groep 3 (50%) inzicht in de top 10 belangrijkste risico’s. Bij groep 2 is 16% het oneens met deze stelling en 16% is hierin neutraal. Norm 2: Inventarisatie, analyse, sturing, beheersing van de juiste risico’s.
Alle groepen scoren lager op de stelling dat GS hoofdzakelijk sturen op de strategische risico’s. 58% van de respondenten uit groep 1 is van mening dat GS sturen op zowel financiële als nietfinanciële risico’s (bijvoorbeeld risico’s omtrent imago). 29% van de respondenten is hierover neutraal. Van de andere groepen vindt een meerderheid (circa 52% bij groep 2 en 75% bij groep 3) dat GS op financiële als niet-financiële risico’s sturen. Van de respondenten uit groep 1 is 47% (score 4) van mening dat het proces rondom risicomanagement is ingericht op verschillende soorten risico’s zoals bijvoorbeeld strategische, operationele en externe risico’s. 30% is het hier (gedeeltelijk of volledig) niet mee eens. Bij groep 2 vindt 30% van de respondenten dat dat zo is, is 18% hierover neutraal en antwoordt 26% “weet niet”. Eenzelfde score geldt voor groep 3: oneens, neutraal of weet niet. Uit groep 1 is 35% van de respondenten het er gedeeltelijk mee eens dat de inventarisatie van risico’s plaats vindt langs heldere lijnen: projecten, programma’s, afdelingen of thema’s. 29% is hierover neutraal. 24% is het hier mee oneens. Van groep 2 is 35% van de respondenten is het gedeeltelijk eens met deze stelling, 22% is hierover neutraal en eveneens 22% is het met deze stelling oneens. Van groep 3 zijn alle respondenten het gedeeltelijk of volledig eens met deze stelling. Op de stelling of actuele en nieuwe risico’s tijdig worden betrokken, antwoordde 47% uit groep 1, 35% uit groep 2 en 75% uit groep 3 dat zij het hier mee eens zijn. Per groep is een minderheid het oneens met deze stelling dan wel neutraal. Bijna 80% van de respondenten uit groep 1 is het eens met de stelling dat risico’s worden gerangschikt/ geprioriteerd naar waarschijnlijkheid (kans) en impact. Datzelfde geldt voor 32% bij groep 2 en 75% bij groep 3. Van groep 2 is 19% het oneens met deze stelling en 19% geeft aan dit niet te weten (“weet niet”). De helft van de respondenten uit groep 3 scoort hierbij neutraal dan wel is het eens met deze stelling. Van de respondenten uit groep 1 is 29% het er gedeeltelijk mee eens en 29% is neutraal dat er binnen de organisatie een eenduidig proces aanwezig is voor het analyseren en beoordelen van risico’s op waarschijnlijkheid (kans) en impact. Bij groep 2 is 23% het met deze stelling oneens en 18% eens. 18% is eveneens neutraal en 23% geeft aan ‘weet niet’. Eenzelfde spreiding in antwoorden als bij groep 2 geldt voor groep 3. Er bestaat een gelijke verdeeldheid per groep over de stelling of er een eenduidig proces bestaat om maatregelen vast te stellen teneinde de risico’s te beheersen. De verhoudingen zijn circa 35% van de respondenten is het er mee eens, 35% mee oneens en de rest scoort neutraal of geeft aan dat niet te weten. Indien nodig worden beheersmaatregelen getroffen en tevens geïmplementeerd. Een meerderheid uit groep 1 is het hier mee eens (circa 52%) en 24% antwoordt neutraal of is het oneens met deze stelling. Bij groep 2 is bijna 60% het eens met deze stelling en is 24% neutraal tegenover 16% oneens. In groep 3 is het merendeel neutraal of is het oneens met de stelling. 22
Bij groep 1 bestaat een gelijke verdeeldheid in scores over de stelling dat de getroffen beheersmaatregelen periodiek worden beoordeeld op effectiviteit (30% eens, 30% oneens, 30% neutraal). Een meerderheid bij groep 2 en groep 3 is het oneens met deze stelling. Op de stelling of indien zich risico’s toch voordoen een beroep wordt gedaan op het weerstandsvermogen, gaf 35% van groep 1 een neutrale score en is meer dan 42% het eens met deze stelling. Van groep 2 weet 50% van de respondenten niet of er een beroep op weerstandsvermogen wordt gedaan indien risico’s zich toch voordoen. Bij groep 3 weten alle respondenten dat er wel een beroep wordt gedaan op het weerstandsvermogen. 41% van de respondenten bij groep 1 is het er gedeeltelijk mee eens dat er onderscheid wordt Norm 3: Heldere onderbouwing aan de hand van de methodiek van het weerstandsvermogen
gemaakt tussen structurele en incidentele risico’s. 18% is het hier echter gedeeltelijk mee oneens en 18% weet dit niet. Bij groep 2 en groep weet het merendeel niet of er dit onderscheid wordt gemaakt (respectievelijk >40% en 50%) of is er neutraal over (respectievelijk bijna 20% en 50%). Een meerderheid van de respondenten (circa 47%) uit groep 1 is het er mee eens dat risico’s op een eenduidige wijze worden gekwantificeerd (bepalen van de middelen die nodig zijn om de risico’s op te vangen), 29% antwoordt neutraal op deze stelling. Bij groep 2 is een kwart het eens en een kwart het oneens met de stelling. De overige scores zijn evenredig verdeeld over ‘neutraal’ en ‘weet niet’. Bij groep 3 is het merendeel neutraal of niet eens met deze stelling. Bij groep 1 is het merendeel eens met de stelling dat de grondslagen van het kwantificeren (bepalen van de middelen die nodig zijn om risico’s op te vangen) zijn gebaseerd op feiten en concrete schattingen (41%). 35% van groep 1 gaf hierop een neutraal antwoord. Bij groep 2 is het merendeel neutraal over deze stelling (32%). De rest van groep 2 is het deels eens (23%) en deels oneens (18%) met deze stelling. Bij groep 3 is sprake van een gelijke verdeling over eens en oneens antwoorden. Aan groep 1 en groep 3 zijn specifiek nog een specifieke stellingen voorgelegd. Hieruit blijkt het volgende: 47% van de respondenten is het er gedeeltelijk mee eens dat bij het bepalen van middelen die nodig zijn om risico’s op te vangen een duidelijke periode wordt bepaald waarin een mogelijk beroep op deze middelen gedaan kan worden (weerstandsvermogen gekoppeld aan tijdshorizon). 24% is het hier echter gedeeltelijk mee oneens. Het merendeel van de groepen 1 en 3 (respectievelijk 50% en 75%) zijn het eens met de stelling dat de onderbouwing van de benodigde weerstandscapaciteit transparant en eenduidig is. 25% uit groep 1 is het oneens met deze stelling en circa 17% respectievelijk 12% zijn neutraal of weten het niet. Bij groep 1 is sprake van een meerderheid die het eens is met de stelling dat er voor
Norm 4: Volledige, actuele en transparante beleidskaders
risicomanagement een duidelijk beleidskader bestaat (46%). Bij de andere twee groepen is men neutraal (merendeel in groep 2) of het oneens met deze stelling.
23
Eenzelfde score geldt voor groep 1 bij de stelling dat het risicomanagementbeleid afdoende is gecommuniceerd binnen de organisatie. Bij groep 2 is 63% van de respondenten het hier niet mee eens. Bij groep 3 is sprake van verdeeldheid waarbij 50% neutraal scoort. Op de stelling of het beleid duidelijke werkinstructies bevat (wie doet wat op welke wijze) is er sprake van een evenredige verdeling van scores over eens, neutraal en oneens (allen 29%) bij groep 1. Bij de groepen 2 en 3 is men het overwegend oneens met deze stelling (beiden >50%) en een hoge neutrale score bij groep 2 (30%). Voor de respondenten uit de groepen 1 en 3 is het duidelijk welke doelen met het risicomanagementbeleid worden nagestreefd en welke middelen daarvoor beschikbaar zijn (groep 1 47% en groep 3 75%). Voor groep 2 is het niet duidelijk of wordt neutraal gescoord op deze stelling. Groep 1 laat een meerderheid zien van 53% die het eens is met de stelling dat de capaciteit (kwalitatief) in de organisatie aanwezig is om risico’s te identificeren. 23,5% van de respondenten uit groep 1 is niet met deze stelling eens en 23,5% scoort neutraal. Bij groep 2 is 55% het eens met de stelling tegenover 27% oneens. Bij groep 3 is scoort 50% neutraal en 25% weet het niet. Op de stelling of de capaciteit (kwantitatief) hiervoor aanwezig blijkt scoort groep 1 bijna 65% eens. Een meerderheid is het ook eens bij groep 2 en groep 3 (respectievelijk 40% en 50%). Groep 1 laat zien dat zij het eens is met de stelling dat er periodiek beoordeling plaatsvindt of het risicomanagementbeleid voldoet aan de wet- en regelgeving (circa 42%) en het oneens met de oneens is met de stelling of er binnen de organisatie een proces bestaat dat de wijze van doorvoeren van nieuwe regelgeving beschrijft (circa 30%).
Norm 5: Taken, bevoegdheden en verantwoordelijkheden zijn helder en worden uitgevoerd
Van groep 1 is 44% het eens met de stelling of taken, bevoegdheden en verantwoordelijkheden van GS, directie, concernmanagementteam, project- en programmaleiders en controllers Bedrijfsvoering ten aanzien van risicomanagement zijn beschreven en vastgelegd. Bij de groepen 2 en 3 is de spreiding over de antwoordcategorieën evenredig (eens, oneens en neutraal is gemiddeld 20% à 25%). Op de stelling of dit vervolgens ook duidelijk gecommuniceerd is, scoort van groep 1 47% neutraal en is 24% het hier mee oneens. Bij de groepen 2 en 3 is een meerderheid het oneens met deze laatste stelling. Bij groep 1 zijn voor 65% van de respondenten de eigen taken, bevoegdheden en verantwoordelijkheden ten aanzien van risicomanagement duidelijk. Bij groep 3 is dat ook het geval (75%). Bij groep 2 zijn deze taken, bevoegdheden en verantwoordelijkheden voor circa 30% niet duidelijk en voor circa 30% duidelijk. 30% uit groep 2 scoort neutraal. 35% van de respondenten uit groep 1 is neutraal en 35% is het eens dat PS en GS voldoende inzicht hebben in de wederzijdse taken, bevoegdheden en verantwoordelijkheden. Volgens een meerderheid van groep 1 geven zowel PS (>35%) als GS (41%) invulling aan hun taken zoals vastgelegd in het risicomanagementbeleid. Ongeveer 25% van de respondenten is hierover neutraal. Tenslotte is bijna 90% het eens met de stelling dat actiepunten voorvloeiende uit de opmerkingen van de accountant en de auditcommissie worden opgevolgd.
24
Voor iedere groep geldt dat respondenten overwegend duidelijke verwachtingen hebben ten aanzien van risicomanagement (groep 1 82%; groep 2 71% en groep 3 75%). Van groep 1 is 35% het eens met de stelling dat de inventarisatie, analyse en beoordeling van risico’s wordt voorzien van een onafhankelijke reflectie. 29% is het hier mee oneens. Voor groep 3 geldt ook dat een meerderheid het eens is met deze stelling. Bij de groep 2 is een meerderheid het oneens (43%) met deze stelling. Een zelfde verdeling van stemmen geldt voor de stelling dat de reflectie op geïnventariseerd, geanalyseerde en beoordeelde risico’s wordt gedaan door iemand buiten de eenheid waar de risico’s betrekking op hebben.
Norm 6: Beleid en uitvoering omtrent risico’s en weerstands-vermogen hebben een cyclisch karakter
Van groep 1 is 35% het oneens met de stelling dat PS duidelijke kaders geven voor risicomanagement. 29% is hierover neutraal en 29 is het eens met de stelling. Van groep 2 geldt dat 46% het oneens is met deze stelling. Circa 20% is neutraal. Bij groep 3 is Het merendeel van alle respondenten is het eens met de stelling dat GS de belangrijkste risico’s met PS delen (groep 1 65%; groep 2 40% en groep 3 50%). Vervolgens is de score op de stelling dat GS open en transparant met risico’s omgaan, antwoorden de respondenten als volgt: groep 1 41% eens ( 35% neutraal); groep 2 28% eens (20% neutraal); groep 3 25% eens (50% neutraal/weet niet). Dezelfde stelling ten aanzien van de ambtelijke top: groep 1 58% eens ( 30% neutraal); groep 2 50% eens (21% neutraal); groep 3 50% eens (25% neutraal/weet niet). Voor alle groepen geldt dat een meerderheid het eens is met de stelling dat GS risico’s meewegen bij het nemen van beslissingen (groep 1 53%; groep 2 72% en groep 3 75%). 58% van de respondenten uit groep 1 is het er mee oneens dat de actuele thema’s ten aanzien van risicomanagement maandelijks op de agenda van GS staan. Op de stelling of de werking van het beleid in de praktijk omtrent risico’s en weerstandsvermogen regelmatig worden geëvalueerd en bijgesteld antwoord 35% van de respondenten uit groep 1 dat zij het hier mee eens zijn. 29% van groep 1 is het oneens met deze stelling en 24% scoort neutraal. Van alle groepen geldt dat men het eens is (of neutraal) met de stelling dat de frequentie van monitoring en rapportages voldoende zijn om blootstelling aan risico’s tijdig te signaleren (groep 1 65% (12% neutraal); groep 2 40% (26% neutraal) en groep 3 50% (50% neutraal). Daarnaast is 70% van groep 1 het eens met de stelling dat risico’s en weerstandsvermogen zijn geïntegreerd in de reguliere planning & controlcyclus. 47% van groep 2 en 100% van groep 3 is het eens met deze stelling. 24% het gedeeltelijk oneens is met de stelling of PS ten aanzien van strategische risico’s bijstuurt naar aanleiding van beschikbare informatie over de ontwikkeling van risico’s of het weerstandsvermogen. 24% is neutraal en 35% weet dit niet. 47% van de respondenten is het gedeeltelijk eens met de stelling of GS ten aanzien van de strategische risico’s bijsturen naar aanleiding van beschikbare informatie over de ontwikkeling van risico’s of het weerstandsvermogen. 18% is het hier gedeeltelijk mee oneens, 18% is neutraal en 18% weet het niet. 25
Het merendeel uit groep 1 (41%) is het eens met de stelling dat er een gezamenlijke risicotaal en Norm 7: Er zijn adequate instrumenten om de uitvoering van het beleid met betrekking tot risico’s en weerstandsvermogen te ondersteunen
een consistente methodologie gebruikt wordt binnen de organisatie om risico’s te managen. Van Groep 2 is 50% is het oneens met deze stelling (9% is het eens) hierover neutraal. Bij groep 3 is het merendeel neutraal (50%), weet niet (25%) en eens (25%). Van de respondenten uit groep 1 is 53% het gedeeltelijk eens met de stelling dat de aan GS verstrekte informatie inzake risico’s en weerstandsvermogen relevant en eenduidig is. Bij groep 2 scoort 27% eens op deze stelling, 36% staat hier neutraal tegenover (23% weet niet). Tenslotte is 50% van de respondenten uit groep 3 het eens met deze stelling. 35% van groep 1 is het eens dat de aan GS verstrekte informatie inzake risico’s volledig en actueel is. 24% is hierover neutraal en 18% is het gedeeltelijk oneens. Van groep 2 geeft 36% van de respondenten aan met deze stelling eens te zijn. 31% weet dit niet en 23% is hierover neutraal. Bij groep 3 is 50% van de respondenten het eens met de stelling. Bij alle groepen is het merendeel van de respondenten het eens dat risicomanagement deel uitmaakt van de formele besluitvorming (groep 1 58%; groep 2 63% en groep 3 75%. Ten aanzien van de stelling over informele besluitvorming geldt dat groep 1 47%; groep 2 59% en groep 3 50%. Van de respondenten uit groep 1 is 77% eens met de stelling dat in de besluitvormingsprocessen ruimte is voor een effectieve toelichting ten behoeve van GS over de effecten van besluiten in termen van risico’s en weerstandsvermogen. Ook bij groep 2 en 3 gelden een meerderheid (respectievelijk 55% en 75%) die het eens zijn met deze stelling Onder de respondenten van groep 1 is circa 70% het eens met de stelling dat risico’s eenduidig worden vastgelegd. Bij groep 2 zijn de respondenten het oneens met deze stelling (30%) of scoren zij neutraal (30%). Bij groep 3 is 50% het eens tegenover 25% oneens en 25% neutraal ten opzichte van de stelling. Het belang van risicomanagement wordt regelmatig onder de aandacht gebracht. Met deze stelling is 64% van de respondenten van groep 1 het gedeeltelijk eens. 40% van groep 2 is het eens (32% neutraal) en 75% van groep 3 zijn het eens met deze stelling. 41% van de respondenten uit groep 1 is het oneens met de stelling dat er opleidingen en trainingen worden aangeboden om een juiste uitvoering van het risicomanagementbeleid te ondersteunen. 12% is van deze groep neutraal en 29% is het niet eens met deze stelling. Bij groep 2 geeft 41% een neutrale score op deze stelling, 32% weet niet en 18% is het oneens met deze stelling. Bij groep 3 is 50% het oneens met de stelling, is 25% neutraal en 25% weet niet. Van alle groepen is een meerderheid het niet eens met de stelling dat medewerkers voldoende expertise bezitten ten aanzien van het identificeren van risico’s, beoordelen van risico’s en risicomanagement. De overige respondenten staan overwegend neutraal tegenover deze stelling (groep 1 35%; groep 2 55% en groep 3 25%). Op de stelling of de respondent zelf voldoende expertise heeft ten aanzien van het identificeren en beoordelen van risico’s en anders faciliteiten heeft om dit intern/extern in te huren geeft 41% 26
van groep 1 een neutrale score. 58% is het eens met deze stelling. Van groep 2 geeft 40% van de respondenten aan het eens te zijn met deze stelling. 40% is eveneens neutraal. Tenslotte geeft 50% van groep 3 aan het eens te zien, tegenover 25% neutrale en 25% oneens score.
Bevindingen interviews Op basis van interviews hebben wij bevindingen over enerzijds de opzet van het risicomanagementbeleid en anderzijds de werking en evaluatie van het beleid in de praktijk. In deze paragraaf geven wij onze bevindingen op beide onderdelen weer. Volledigheidshalve merken wij op dat wij voor het onderdeel casuïstiek ook interviews hebben gehouden. De bevindingen uit deze interviews worden weergegeven in de volgende paragraaf onder ‘casuïstiek’. Opzet van het risicomanagementbeleid (interviews) Sinds 2008/2009 is het risicomanagementbeleid binnen de provincie verder vormgegeven. Voor Context
deze periode lag de focus binnen de provincie vooral op imago-risico’s en aanzienlijk minder op financiële risico’s. Dit is mede aanleiding geweest voor het verder vormgegeven van het risicomanagementbeleid. Geïnterviewden zijn op hoogte van het feit dat er risicomanagementbeleid bestaat binnen de provincie. Met name is men op de hoogte van de instrumenten en methodieken, bijvoorbeeld methodieken om risico’s te inventariseren, methodieken voor waardering/prioritering van risico’s en NARIS-simulaties.
Visie op control
Het afgelopen jaar heeft de provincie Overijssel de volgende visie op control geïntroduceerd:
e
1 lijn control wordt uitgevoerd door managers/budgethouders/budgetbeheerders in de vorm van control op processen.
e
2 lijn control wordt uitgevoerd door bedrijfsvoering in de vorm van programmacontrol, projectcontrol, unitcontrol.
e
3 lijn control wordt uitgevoerd door (de) concerncontrol(ler). Concerncontrol ziet toe op e
e
de wijze waarop de 1 en 2 lijn control functioneren door middel van audits, steekproeven, etcetera. Alle drie niveaus hebben een nadrukkelijke rol bij het vormgeven van risicomanagement in de reguliere bedrijfsvoering van een eenheid alsook bij projecten/programma’s. In de opzet bewaakt e
e
daarmee zowel de 1 als de 2 lijn of er voldoende aandacht is voor risicomanagement en risicomanagement een plek heeft binnen de eenheid of binnen een project/programma. Vanuit bovengenoemde hoedanigheid kennen de controllers (bedrijfsvoering) een aanjagende rol bij het inventariseren van risico’s en het borgen van de kwaliteit hiervan. Deze rol is voor de controllers (bedrijfsvoering) relatief nieuw aangezien hun rol voorheen vooral een faciliterend karakter had. Bijvoorbeeld het opstellen van rapportages, het adviseren over de financiële paragraaf bij GS-nota’s en statenvoorstellen. OVS
De Overijsselse Standaard (OVS) is binnen de organisatie een bekend instrument. Niet alleen bij hoofden eenheden, (programma)managers en projectleiders, ook bij controllers (bedrijfsvoering) 27
is de OVS gemeengoed. De OVS biedt kaders voor het uitvoeren van programma’s en projecten, waarbij risicomanagement onderdeel is van deze methodiek. In die hoedanigheid wordt de OVS gebruikt voor inventarisaties en prioritering van risico’s, maar ook voor rapportage en monitoring van in kaart gebrachte en gewaardeerde risico’s. Door programmamanagers, (externe) projectleiders, maar ook (project)controllers wordt in de lijn met de OVS ook gebruik gemaakt van methodieken als RISMAN (Twijnstra Gudde) en of methodieken die vanuit externe bureaus worden geïntroduceerd (o.a. bmc, Tauw).
Facilitatie
De aanwezigheid van een adviseur bij concerncontrol die zich specifiek bezighoudt met risicomanagement is bij de meeste geïnterviewden bekend. Niet iedereen doet een beroep op deze functionaris in geval van bijvoorbeeld vragen over risicomanagement, het uitvoeren van risico-inventarisaties en of het waarderen van risico’s. Hiervoor wordt geen eenduidige reden gegeven. Bijvoorbeeld onbekendheid met de persoon (dus niet de functionaris), eigen aanpak voor inventarisatie, een andere (opgelegde) aanpak voor risicomanagement (door bijvoorbeeld partner Rijkswaterstaat), niet duidelijk of een beroep kan worden gedaan op deze functionaris, vermoeden van beperkte toegevoegde waarde op een inhoudelijk dossier. De geïnterviewden die een beroep doen of hebben gedaan op de adviseur bij concerncontrol zien toegevoegde waarde in de facilitering bij de inventarisatie, bij de prioritering van risico’s, bij de kwantificering in termen van financiële berekening dekking risico’s en de registratie c.q. administratie van risico’s in NARIS. Werking van het risicomanagementbeleid (interviews) Volgens de meest geïnterviewden zijn de ingrediënten voor risicomanagement binnen de
Werking beleid
organisatie aanwezig. Het consequent en systematisch vormgegeven van en omgaan met risicomanagement is daarbij nog geen vanzelfsprekendheid (“Het zit nog niet in de genen van projectleiders en bestuurders.”). Facilitatie en begeleiding is noodzakelijk en wenselijk. Er is sprake van een groeimodel bij het inbedden van risicomanagement in de organisatie. Tot het moment in 2008/2009 is risicomanagementbeleid niet expliciet vormgegeven of structureel geborgd bij de provincie Overijssel. Vanuit de directie is risicomanagement nadrukkelijk op de agenda gezet. Vanwege de ambities van de provincie heeft risicomanagement recent een impuls gekregen. Voor alle projecten die onder de Kracht van Overijssel (voortaan KvO) vallen zijn risico-inventarisaties uitgevoerd. Momenteel is het praktiseren van risicomanagement afhankelijk van een aantal medewerkers. Deze medewerkers geven(pro-)actief vanuit hun rol risicomanagement een nadrukkelijke plek binnen de eenheid, het programma of het project waar zij verantwoordelijk of bij betrokken zijn.
OVS
Door de OVS wordt het risicomanagementproces (instrumenteel) in projecten ondersteund. Het werken volgens deze standaard is met name bij de meer ‘recht toe, recht aan’-projecten (zowel financieel omvangrijke als kleinere projecten) goed toepasbaar. Bij meer (inhoudelijk) complexe processen en projecten, volstaan slechts principes van de OVS. De risicomanagementcyclus is bij inhoudelijk complexe en financieel omvangrijke processen en projecten beter op orde dan bij de kleinere projecten. Zij kennen hun eigen dynamiek die erg 28
specifiek is en waarbij risicomanagement ook anders (niet beter of slechter) een plek krijgt in de governance. De risico’s bij de grote projecten zijn groter en derhalve worden zaken aan de voorkant van het project goed in beeld gebracht en worden hierop beheersmaatregelen getroffen. Het voeren van een eenduidig risicomanagementproces is daarmee situationeel en hangt af van soort en omvang van proces/project. Ook werken medewerkers (ambtelijk opdrachtgevers, programmamanagers en projectleiders) nadrukkelijk op gevoel, ervaring en ‘boerenverstand’ en minder volgens de letter van het bestaande beleid en bestaande faciliteiten als formats en templates. Voor een zwaar inhoudelijk initiatief wordt thans een eigen besturings- en beheersingsinstrument opgezet dat aansluit op reeds aanwezige systemen. Een belangrijk reden die werd aangedragen voor afwijking van de ‘standaard’ wijze waarop met risicomanagement wordt omgegaan, is de instrumentele en systeemtechnische ondersteuning vanuit control (bedrijfsvoering) als concerncontrol in plaats van een inhoudelijke benadering.
Cyclus
Met het doorlopen van de planning & controlcyclus lijkt de rapportagestructuur van reguliere risico’s in de bedrijfsvoering geborgd. Een extra moment waarop risico’s aan de orde komen, is bij de presentatie van het werkplan van de directie. Ambtelijk opdrachtgevers zien het belang van risicomanagement in. Zij zijn niet altijd direct betrokken bij inventarisaties en waarderingen van risico’s. Dit is wel het geval bij ‘zware’ casussen (bijvoorbeeld vanwege politieke gevoeligheid of omvang in financiën) en vervolgens bij het delen van deze risico’s bij bestuurlijk verantwoordelijken. Het bespreken van risicoprofielen en -analyses tussen ambtelijk apparaat en ambtelijk opdrachtgever, maar ook tussen ambtelijk opdrachtgever en bestuurlijk verantwoordelijke vindt doorgaans niet gestructureerd plaats, dat wil zeggen gestructureerd periodiek. Besprekingen vinden alleen plaats indien dat noodzakelijk wordt geacht. Bijvoorbeeld aan het begin van projecten, start van programma’s en dergelijke, en dan vervolgens op momenten dat deze (politiek) actueel dreigen te worden. De waardering van risico’s vindt doorgaans plaats zonder tussenkomst van de controller (bedrijfsvoering). Wel is door enkele geïnterviewden gebruik gemaakt van ondersteuning vanuit concerncontrol bij waardering c.q. prioritering van risico’s. Ditzelfde geldt voor het bedenken van (niet-)financiële beheersmaatregelen. Door enkele geïnterviewden werd gesteld dat bij de waardering van risico’s in sommige processen en projecten simulaties als “kans * impact” minder geschikt zijn, maar dat het uitwerken van scenario’s c.q. het uitvoeren van scenario-analyses meer toegevoegde waarde heeft. De stapeling van risico’s wordt op basis van adviezen vanuit budgetverantwoordelijken (bijvoorbeeld budgethouder of budgetbeheerder) beoordeeld door de directie, concerncontroller en de opdrachtgever. Met deze stapeling van risico’s wordt op dit moment nog beperkt rekening gehouden. Het realiteitsgehalte ontbreekt thans in de analyses volgens geïnterviewden. Voor veel geïnterviewden is het kwantificeren van risico’s en de grondslagen voor kwantificering in termen van het financieel afdekken van risico’s, ‘iets voor bedrijfsvoering’. Bijvoorbeeld het 29
inschatten van de financiële dekking van risico’s bij het aanleggen van een weg. Daarmee is de visie op control nog geen gemeengoed binnen de organisatie. Aanvankelijk, bij de invoering van het beleid in 2008/2009, was het identificeren, waarderen en Visie op control
kwantificeren van risico’s bij de hoofden eenheden belegd. Vanwege het feit dat deze werkwijze in de praktijk niet optimaal functioneerde, zijn op initiatief van concerncontrol afspraken gemaakt om risicoprofielen te bespreken en bij te stellen. De verantwoordelijkheid voor het bijhouden van het risicoprofiel ligt echter in de lijn en niet bij (concern)control. Control (bedrijfsvoering) is niet/nauwelijks betrokken bij gesprekken tussen bestuurder, ambtelijk opdrachtgever en programmamanager/projectleider. Van de controllers (bedrijfsvoering) wordt volgens de visie op control verwacht dat zij meer onafhankelijk optreden en kritisch zijn richting eenheid en projecten/programma’s. Uit de interviews blijkt dat de controllers (bedrijfsvoering) momenteel bezig zijn om zich verder te ontwikkelen in deze onafhankelijke rol en dat enkele controllers (bedrijfsvoering) nog geen heldere rolt neemt, speelt en of krijgt bij het vormgeven van risicomanagement bij de eenheid en of projecten/programma’s. Wij begrijpen dat twee van de drie geïnterviewde controllers (bedrijfsvoering) vanuit een financiële invalshoek werken. Zij zijn nadrukkelijk gefocust op de financial control en zetten daarbij ook sub-administraties op voor processen c.q. projecten en of produceren c.q. worden verantwoordelijk geacht ‘voor de cijfers’ en financieel overzichten. Afhankelijk van enerzijds de kwaliteit van de controller (bedrijfsvoering) zelf en anderzijds de ruimte die de controller (bedrijfsvoering) krijgt van de budgetverantwoordelijke, krijgt risicomanagement een formele plaats in een proces, programma of project (ofwel governance structuur). In de praktijk blijkt dat de controller (bedrijfsvoering) vaak de rol van business partner zelf moet opeisen. De controllers (bedrijfsvoering) zijn dus niet altijd aanwezig bij het inventariseren en bespreken van de risico’s. Of bij het waarderen en benoemen van beheersmaatregelen. Ook bij het opstellen van periodieke voortgangsrapportages van projecten zijn niet altijd controllers (bedrijfsvoering) betrokken. De rol van de controller (bedrijfsvoering) wordt zowel door twee van de drie controllers (bedrijfsvoering) zelf als door programmamanagers, projectleiders gezien als facilitair en niet als onafhankelijke, kritische derde die te pas en te onpas zorgt voor reflectie op inhoud, output en financiën.
30
Bij de invulling van risicomanagement heeft concerncontrol in de praktijk nog een belangrijke Rol concerncontrol
aanjaagfunctie. Concerncontrol begeleidt, adviseert en faciliteert eenheden, teams, projecten en programma’s in het risicomanagementproces. Concreet betekent dit bijvoorbeeld dat vanuit concerncontrol wordt gefaciliteerd bij het opstellen van een risicoprofiel of een herijking van het risicoprofiel. Hierin nemen de controllers (bedrijfsvoering) nog een beperkte rol in. Rondom de totstandkoming van de reguliere planning & controldocumenten, inclusief de risicomanagementparagra(a)f(en) zijn de controllers (bedrijfsvoering) echter wel betrokken. In een aantal processen en projecten heeft concerncontrol een actieve rol. Bijvoorbeeld door het gedurende het project permanent beschikbaar stellen van een risicomanager of door het toetsen van een plan van aanpak van een project aan de visie op control. e
Om goed te kunnen functioneren als 3 lijn control, voert concerncontrol systematisch onderzoek uit, bijvoorbeeld naar het systeem van risicomanagement en het verrichten van audits op projecten. Concerncontrol verdiept zich daarbij inhoudelijk in dossiers en gaat het gesprek aan e
e
met de 1 en 2 lijn control, respectievelijk de budgetverantwoordelijke en de controller e
(bedrijfsvoering). In de gevallen dat de 2 lijn control in de praktijk niet optimaal fungeert, krijgt en neemt concerncontrol een meer uitvoerende rol aan. Thans worden gestructureerd activiteitenplanningen door concerncontrol gemaakt op welke thema’s, projecten en dergelijke zij audits uitvoert waarbij risicomanagement onder andere aan de orde komt Vastlegging van risico’s vindt bij een reeks processen en projecten plaats in NARIS. Ook hierin speelt een adviseur van concerncontrol een nadrukkelijke rol. Het gebruik van NARIS kan gekenschetst worden als een groeimodel. Inmiddels hebben enkele projectleiders c.q. projectsecretarissen zelf toegang tot het softwaresysteem en een autorisatie voor het betreffende proces of project om risico’s te kunnen muteren (aanpassen, toevoegen en verwijderen). Geïnterviewden melden dat nauwelijks een beroep wordt gedaan op het weerstandsvermogen. Weerstandsvermogen
Indien risico’s zich (minimaal) voordoen, worden deze doorgaans gedekt uit het projectbudget. Volgens enkele geïnterviewden wordt in projectbudgetten veelal een post onvoorzien opgenomen en of worden projectrisico’s afgedekt in het weerstandsvermogen. Hiervoor bestaan geen procedures en is men niet consequent. Risicomanagement staat niet als een apart onderwerp op de agenda van GS. Het maakt
Rol GS
onderdeel uit van hun dagelijks handelen als bestuurder én wordt expliciet meegenomen in GSen PS-nota’s. In het zeldzame geval dat uit parafen blijkt dat bijvoorbeeld een controller (bedrijfsvoering) niet betrokken is geweest bij het opstellen van een nota, stellen Gedeputeerden hier vragen over aan de verantwoordelijke opsteller van de nota. In het handelen van de bestuurder is het ingebakken om door te vragen naar de risico’s. Om bestuurlijk te kunnen handelen is het noodzakelijk om inzicht te hebben in de geïdentificeerde risico’s. Dit kan worden gezien als een voortdurende vorm van risicomanagement. Risicomanagement wordt wel expliciet benoemd in geval van complexe en financieel omvangrijke processen, programma’s en projecten. Daarbij neemt een Gedeputeerde op basis van dossierkennis deel aan risico-inventarisaties, maar soms ook waarderingen en het
31
benoemen van beheersmaatregelen. Per geïnterviewde Gedeputeerde wisselt niet alleen de invulling van zijn/haar rol bij risicomanagement bij processen, programma’s en of projecten. Ook de rolopvatting verschilt: van gedetailleerde inhoudelijke betrokkenheid van het dossier tot en met zuiver procesmatige betrokkenheid. Naarmate de impact van proces, programma en of project groter is, is ook de openheid richting PS over mogelijke risico’s groter. Hierbij geldt dat in sommige gevallen niet openlijk over risico’s kan worden gesproken, bijvoorbeeld in gevallen dit de onderhandelingspositie van de provincie ten opzichte van derden ondermijnt. Ten aanzien van reguliere bedrijfsvoering en ‘recht toe, recht aan’-projecten die dicht bij de traditionele kernactiviteiten van de provincie liggen volstaat volgens de gesproken Gedeputeerden de reguliere planning & controlcyclus. Bijvoorbeeld de aanleg van een weg of het uitvoeren van beheerwerkzaamheden in de openbare ruimte.
Bevindingen casuïstiek (zowel documenten en interviews) Aan de hand van een viertal casussen hebben wij een verdiepend onderzoek uitgevoerd. Per casus volgen hieronder onze bevindingen uit de documentstudie alsook de interviews ten aanzien van risicomanagement. Bevindingen casus Natura 2000-PAS Natura2000-PAS is een beleidsonderwerp (en geen programma of project) dat de afgelopen periode breed is voorbereid voor standpuntbepaling zowel op landelijk niveau (uitwerking Context
Deelakkoord Natuur tussen Rijk en provincies, verdeelmodel Commissie Jansen etcetera) als op provinciaal niveau (besluitvorming GS/PS). De lijnverantwoordelijkheid binnen de ambtelijke organisatie is belegd bij het hoofd eenheid Natuur & Milieu. ‘Natura’ zijn gebieden waar internationale voorgeschreven natuurdoelen gerealiseerd moeten worden. ‘PAS’ is een instrument om de effecten van de maatregelen, in de zin van uitstootbeperking stikstof, te kunnen aantonen. De gevolgen van Natura2000-PAS zijn groot. Als het Rijk niet financiert, zal de provincie zelf moeten voorzien in de financiering. Hierdoor zal een groot deel van de investeringsagenda van de provincie onder druk komen te staan. Voor een groot aantal projecten op de investeringsagenda zullen namelijk compenserende maatregelen moeten plaatsvinden. Het Natura2000-PAS dossier bevindt zich thans in de beleidsvoorbereidende fase. Voorop staat het bepalen van de toekomstige begrenzing van de Ecologische Hoofdstructuur (EHS), waarbij de internationale eisen van Natura en PAS zijn verwerkt. Een onderdeel van de voorbereiding van het beleid was het in kaart brengen van concept
Risicomanagementcyclus
beheerplannen PAS en inzicht in consequenties van beleid en maatregelen (inclusief kosten). Dit onderdeel was ondergebracht bij het Provinciaal Meerjarenprogramma (Pmjp). De verwachting is dat GS/PS hierover uiterlijk juli 2013 bij de vaststelling van de Omgevingsvisie een besluit nemen.
32
In 2008/2009 zijn de eerste stappen genomen voor Natura. In eerste instantie is aan GS en PS toegelicht wat Natura betekent en welke gevolgen dit heeft voor het provinciaal beleid. Daarbij bleek een grote afhankelijkheid van collega-provincies (en IPO) en het Rijk. Meer landelijke helderheid over dit dossier kwam in oktober 2010, waarbij een verdieping richting GS plaatsvond via het ontwikkelen van de zogeheten ‘PAS-kaart’. De PAS-kaart heeft de impact van Natura/PAS op de totale investeringsagenda van de provincie laten zien. Hierdoor is voor buitenstaanders inzichtelijk gemaakt waar een en ander ingrijpt en wat dit betekent. In dezelfde periode is gewerkt via eerste concept beheerplannen per Natura-gebied aan financiële doorrekeningen en onderbouwingen van de noodzakelijke maatregelen om ontwikkelruimte te creëren. Daarbij zijn de termijnen van de maatregelen in kaart gebracht en mogelijke schades. De scenario’s zijn doorgerekend op basis van de nota grondbeleid. Inmiddels is binnen de provincie expertise opgebouwd ten aanzien van grondzaken. Dit ontbrak in het verleden omdat er toen geen grond bij de provincie in eigendom was. De doorrekening heeft plaatsgevonden in maatregelen, effecten en bedragen per gebied. Hiermee zijn de eigen uitgangsposities goed in beeld gebracht. Momenteel bevindt zich de besluitvorming over de begrenzing van de herijkte EHS, inclusief Natura2000-PAS, in een slotfase. In het projectplan voor de uitvoeringsstrategie EHS heeft risicomanagement op het totale project (inclusief de zware grondcomponent daarin) een nadrukkelijk plek gekregen. In het voorjaar van 2013 zal het eerste voorstel voor de uitvoeringsstrategie EHS opgeleverd worden. In 2011/2012 is bij de perspectiefnota geld vrijgespeeld en gereserveerd voor te nemen maatregelen. Bij de perspectiefnota 2014 zal de financiële en risicodoorwerking weer opnieuw bekeken worden op basis van de dan bekende gegevens. Gelet op de complexiteit van Natura2000-PAS is de verantwoordelijke Gedeputeerde Betrokkenheid en transparantie
nadrukkelijk bij de inhoud van het dossier betrokken. Tussen de Gedeputeerde, ambtelijk opdrachtgever, ambtelijk opdrachtnemer en overige ambtelijk betrokkenen zijn verschillende sessies geweest om grip te krijgen op (de inhoud) van Natura2000-PAS. Bij ambtelijke overleggen zijn geen controller (bedrijfsvoering) en of medewerkers vanuit concerncontrol aanwezig. Bij besluitvormingsprocessen wordt de controller vanuit de eenheid Bedrijfsvoering betrokken. Sinds een jaar vindt periodiek (wekelijks) een strategische discussie plaats tussen de gedeputeerde, ambtelijk opdrachtgever en ambtelijk opdrachtnemer en overig betrokken ambtenaren/specialisten. De stand van zaken van het project wordt in deze overleggen doorlopend besproken, waarbij risico’s nadrukkelijk onderwerp van gesprek zijn. Door de Gedeputeerde is bewust niet gekozen voor een ‘traditionele aanpak’ waarbij wordt gewerkt met voorstellen vanuit de ambtelijke organisatie. In dit traject is ervoor gekozen het gesprek met verschillende belanghebbenden aan te gaan: binnen GS, met PS, met de ambtelijke organisatie en met vele externe partners en belanghebbenden. Bijvoorbeeld ter informatie zijn verslagen met voortgangsinformatie naar PS gestuurd. Tevens zijn informatiesessies voor PS georganiseerd, zodat zij inhoudelijk betrokken zijn met het dossier. 33
Aangezien Natura2000-PAS consequenties heeft en zouden kunnen hebben op alle portefeuilles (en daarmee de investeringsagenda van de provincie Overijssel), zijn strategische sessies belegd. Deze sessies hadden ten doel enerzijds het dossier Natura2000-PAS inhoudelijk te doorgronden en anderzijds de (mogelijke) (financiële) gevolgen zichtbaar te maken ten behoeve van besluitvorming door GS. Door middel van een PAS-kaart zijn zaken ook visueel inzichtelijk en transparant gemaakt voor GS. Tevens is de PAS-kaart besproken met de bewindslieden in Den Haag. Bovengenoemde aanpak kenmerkt zich door een hoge mate van transparantie en het in kaart hebben c.q. brengen van alle belanghebbenden. Dit kent ook een keerzijde. Doordat veel met actoren wordt gesproken, worden verwachtingen gewekt. Uit de interviews blijken de volgende belangrijkste risico’s: het Rijk stelt de gelden niet ter beschikking voor de uitvoering. Als de gelden wel ter beschikking worden gesteld, vormen de Wet Hof en ‘Grond voor Grond’ wezenlijke risico’s. Andere risico’s zijn:
Financiële risico’s zoals bijvoorbeeld tegenvallende grondopbrengsten, moeten opkopen in plaats van uitkopen van bedrijven etcetera.
Het niet kunnen sluiten van een ‘pact’ omdat externe partners elkaar niet vertrouwen.
Het niet realiseren van een politieke meerderheid bij de ter visie legging van de begrenzing.
De provincie heeft op voorhand dekking gereserveerd om de minimaal noodzakelijke maatregelen (om maximaal economische ontwikkelruimte te krijgen) te kunnen financieren als het Rijk geen middelen beschikbaar stelt. Rol control en concerncontrol
Uit de interviews blijkt dat het voor controller (bedrijfsvoering) en concerncontrol moeilijk is om Natura2000-PAS te overzien. De koppeling tussen financiën en beleid en het kunnen overzien van het geheel is vanwege de inhoudelijke complexiteit (bijvoorbeeld de samenhang met andere dossiers zoals de EHS en het Pmjp) lastig. Uit de interviews blijkt eveneens dat de eenheid Bedrijfsvoering (controllers) beperkt is aangesloten vanwege beperkt beschikbare capaciteit. In zowel de administratieve vormgeving van risicomanagement, maar ook voor de ontwikkeling en toepassing van een besturingsmodel zijn grondzaken en de controller (bedrijfsvoering) betrokken geweest. De controller (bedrijfsvoering) heeft een rol gehad in het opzetten van rekenmodellen en administraties. Er is bewust gekozen om de controller (bedrijfsvoering) daarmee niet zozeer zijn onafhankelijke rol te laten invullen, maar een rol om de meest acute risico’s te beperken. e
e
De ondersteuning vanuit de 2 en 3 lijn control wordt vanuit inhoudelijk betrokkenen bij Natura2000-PAS ervaren als instrumenteel en systeemtechnisch. Er wordt gesteld dat zonder verdieping in de inhoud er een beperkte toegevoegde waarde is vanuit control (bedrijfsvoering) en concerncontrol , anders heeft het geen toegevoegde waarde. Tenslotte wordt momenteel een eigen (binnen de eenheid) besturings- en beheersingsinsturment opgezet dat aansluit op de reeds aanwezige concernsystemen. Risico’s zijn thans nog niet vastgelegd in NARIS.
34
Bevindingen casus Kanaal Almelo-De Haandrik Het project Kanaal Almelo-De Haandrik bestaat uit drie onderdelen, te weten het vervangen van Context
vijf bruggen, het aanleggen of verbeteren van twaalf wachtplaatsen en grootscheeps baggeren. Het doel is dat het kanaal straks geschikt is voor schepen met een laadvermogen van 700 ton. Het project bevindt zich thans in de uitvoeringsfase. De voorbereidingsfase en de vaststelling van de scope van het project Kanaal Almelo-De Haandrik is uitgevoerd door een interne projectleider. Voor de uitvoeringsfase is een projectleider van buiten aangetrokken. Deze externe projectleider is sinds april 2012 betrokken bij het project. De externe projectleider is bij aanvang van de werkzaamheden bij de provincie geïnformeerd over de OVS door middel van overhandiging van een boekje c.q. een map. Tevens is hij doorverwezen naar procedures die op het intranet van de provincie te raadplegen zijn.
Risicomanagementcylcus
Sinds april 2012 zijn meerdere risicosessie belegd door de externe projectleider waarbij in kleine groepjes risico’s voor het project zijn geïnventariseerd. Deze risico’s zijn onderverdeeld in drie onderwerpen (te weten baggeren, bruggen en objecten). Deze zijn vervolgens gewaardeerd. Voor de vijf belangrijkste risico’s zijn beheersmaatregelen getroffen. De risico-sessies zijn bewust informeel ingestoken om de drempel laag te houden voor het projectteam om risicomanagement op te pakken. Maandelijks komt het projectteam bij elkaar en worden de risico’s doorgesproken, wordt de beheerinspanning bepaald en wordt vastgesteld of een nieuwe actualisatie van de risicoprofielen per onderwerpen nodig zijn. Binnen het project wordt zelf ondersteuning georganiseerd om risicomanagement permanent aandacht te kunnen geven (aanjagen projectteam, updaten overzichten, ondersteunen bij maandelijkse sessies). In de OVS wordt ten aanzien van risico’s gewerkt met een 1-5 score. De ambtelijk opdrachtnemer heeft risicomanagement anders en minder formeel ingestoken en werkt met de scores klein, middel en groot. Dit is volgens hem laagdrempeliger en wordt als meer praktisch ervaren door projectteamleden. NARIS wordt binnen het project niet gebruikt, blijkt uit de interviews. De ambtelijk opdrachtnemer heeft inzake NARIS geen contacten met concerncontrol. In het projectbudget van circa €20 miljoen is een post van €4,3 miljoen onvoorzien opgenomen. Hoe deze post is opgebouwd en wat de link tussen het risicoprofiel en de post onvoorzien, is niet door geïnterviewden toegelicht. Inmiddels is het projectteam gewend aan de routine om maandelijks de risico-overzichten te bespreken en gaan de bijeenkomsten meer over de risico’s en hoe deze worden beheerst (de analyse) in plaats van de scores op zich. Hierdoor komt risicomanagement niet over als ‘verplichte kost’ voor het projectteam.
Voortgang project
Iedere twee maanden vindt een voortgangsgesprek plaats tussen de ambtelijk opdrachtgever (programmamanager) en ambtelijk opdrachtnemer (externe projectleider). Dit voortgangsgesprek gaat over een aantal projecten die worden uitgevoerd door de externe projectleider, waaronder het project Kanaal Almelo-De Haandrik. In de praktijk gaan richten deze gesprekken zich op de afwijkingen uit de vooraf aan de ambtelijk opdrachtgever op te sturen voortgangsrapportages. 35
Vanwege deze te lange periode van twee maanden, spreken programmamanager en projectleider elkaar ook tussentijds informeel om elkaar op de hoogte te houden. Tussen programmamanager en de verantwoordelijk Gedeputeerde vinden geen periodieke voortgangsbesprekingen plaats over dit project. De Gedeputeerde gaat uit van professie van de programmamanager en zijn projectleider en daarmee van een wederzijds vertrouwen. In geval escalatie moet plaatsvinden, vindt dit rechtstreeks vanuit de programmamanager richting Gedeputeerde of via het hoofd van de eenheid plaats. In de besluitvorming wordt altijd (als onderdeel van de nota) een risicoparagraaf opgenomen. Hierdoor zijn GS aan de voorkant actief betrokken om te komen tot besluitvorming. Noch de programmamanager noch de projectleider heeft veelvuldig contact met de controller Control
(bedrijfsvoering). In de voorbereidingsfase is de controller (bedrijfsvoering) wel betrokken geweest bij het project in termen van het opstellen van de financiële paragraaf. Bevindingen casus N340 Het planvormingsproces voor de N340 startte eind 2007 met een startnotitie
Context
milieueffectrapportage (m.e.r.). PS hebben op 21 december 2011 het Investeringsbesluit Programma Mobiliteit vastgesteld. Het Programma Mobiliteit draagt met 18 investeringsopgaven bij aan de verbetering van de bereikbaarheid van Overijssel. De opwaardering van de N340/N48 en de inrichting ervan is opgenomen in een Provinciaal Inpassingsplan (PIP). Het PIP is door PS op 12 juni 2012 vastgesteld. Vanaf vaststelling van het PIP op 12 juni 2012 is een externe projectmanager aangetrokken voor het project. Bij de aanvang van het project tot de vaststelling van het PIP is een interne projectleider betrokken geweest. De overdracht van het project aan de externe projectleider bestond uit de GS- en PS-besluiten en de risico’s zoals opgenomen in NARIS ten aanzien van de vorige fase. Vóór 12 juni 2012 vonden wekelijks overleggen plaats met het ingenieursbureau dat betrokken
Risicomanagementcyclus
was bij het project. In deze gesprekken kwamen de risico’s van het project aan de orde. Vanaf de start van het project zijn periodiek risicosessies belegd. In totaliteit zijn vijf risicosessies gehouden. Bij deze sessies zijn ook externe partners betrokken geweest. De risico’s zijn vastgelegd in NARIS. Onlangs is weer een risicosessie gehouden om de risico’s te actualiseren. Momenteel vindt kwantificering en prioritering van deze risico’s plaats. Vanuit concerncontrol bestaat een actieve betrokkenheid bij het project N340. Normaliter ligt e
e
deze rol bij het team zelf (1 lijn) en bij de (project)controller (2 lijn). Nu heeft een adviseur van concerncontrol onder anderen een aantal risico-inventarisatiesessies van de N340 begeleid. e
Daarnaast voert concerncontrol, in het kader van de 3 lijn control, periodiek audits uit op het project. De projectleider heeft zelf toegang tot NARIS. NARIS wordt gehanteerd om het weerstandsvermogen te bepalen. Op dit onderdeel vindt facilitatie plaats vanuit concerncontrol. NARIS wordt echter niet als gebruiksvriendelijk ervaren. Aangezien niet dagelijks wordt gewerkt 36
met dit systeem is het gebruik ervan lastig. De faciliterende rol vanuit concerncontrol is hierbij zeer wenselijk. De controller (bedrijfsvoering) richt zich bij dit project vooral op de PS- en GS-nota’s en de Rol controllers
diverse onderdelen van de planning & controlcyclus, zoals jaarrekening, begroting en voortgangsrapportages. Ook heeft de controller (bedrijfsvoering), met ondersteuning van concerncontrol, het concept plan van aanpak na de vaststelling van het PIP beoordeeld. De controller (bedrijfsvoering) is daarmee voornamelijk vanuit een financiële invalshoek betrokken bij het project en niet inhoudelijk. Daarnaast heeft de controller (bedrijfsvoering) in ieder geval geen (pro-)actieve rol in het project, ook niet bij de risico-inventarisatiesessies. De ambtelijk opdrachtgever (programmamanager) is lid van het MT van de eenheid en rapporteert op uitzonderingen via vaste rapportages naar het MT. Escalatie vindt rechtstreeks naar GS plaats of via het hoofd van de eenheid. De ambtelijke opdrachtgever (programmamanager) heeft periodiek (één keer per twee maanden, conform de OVS) een voortgangsgesprek met de ambtelijk opdrachtnemer (projectleider) van de N340. Uit de voortgangsrapportages over de periode januari tot en met 15 oktober 2012 blijkt het
Voortgang project
volgende:
In alle voortgangsrapportages is een risicoparagraaf opgenomen.
In de voorgangsrapportage over 15 januari tot en met 15 maart 2012 is een risicotabel opgenomen waarin onderscheid wordt gemaakt naar verschillende soorten risico’s (RISMAN brillen). Er worden zowel politieke, financiële, organisatorische, juridische, ruimtelijke, maatschappelijke en technische risico’s benoemd. Tevens worden de verschillende risico’s en de beheersmaatregel omschreven en wordt een actiehouder benoemd. Tevens is aangegeven dat bij de GS-nota van 6 maart 2012 een vertrouwelijke risicoparagraaf is gevoegd. In de vertrouwelijke GS-nota van 13 maart 2012 is hierop verder ingegaan.
In de voortgangsrapportage van 5 maart tot en met 15 mei 2012 is op basis van de op 20 maart 2012 gehouden risicosessie een weergave gegeven van de top 17 risico’s.
In deze rapportage worden de oorzaken en de gevolgen per risico benoemd en wordt gescoord op een schaal van 1-5 op de onderwerpen: kans, geld, tijd, kwaliteit, omgeving. Op basis van deze score wordt een totale score gegeven voor het gevolg van de risico’s. Vervolgens wordt kans maal tijd, kans maal geld en kans maal gevolg totaal berekend. De grootste risico’s zijn vervolgens benoemd in de risicoparagraaf bij de GS-nota van 15 mei 2012.
In de voortgangsrapportage van 15 mei 2012 tot en met 1 augustus 2012 zijn de resultaten van de top 17 risico’s bijgevoegd en wordt vermeld dat de risicoparagraaf op korte termijn wordt bijgesteld.
In de voortgangsrapportage over 1 augustus tot en met 15 oktober 2012 is opgemerkt dat op 8 november 2012 een risicosessie wordt gehouden. Er is verder geen risicotabel opgenomen.
Het niet tweemaandelijks opleveren van de voortgangsrapportages aan de programmamanager heeft een ‘rode kaart’ tot gevolg. Dit is vervolgens onderwerp van gesprek tijdens jaarlijkse beoordelingsgesprekken.
37
Binnen het projectbudget is een post onvoorzien opgenomen van 10% van het totale projectbudget. Het streven is om het project binnen het budget te realiseren. De spelregels ten aanzien van de verdeling ‘post onvoorzien’ versus ‘weerstandsvermogen’ ter dekking van risico’s zijn niet duidelijk voor de geïnterviewden. 3
Bevindingen casus IJsseldelta-Zuid
Het project IJsseldelta-Zuid is in het najaar 2004 gestart door de provincie Overijssel. Aanleiding Context
waren door het Rijk voorgestelde maatregelen voor meer afvoercapaciteit van de IJssel door de klimaatverandering. De planstudie voor het project IJsseldelta-Zuid is in september 2012 afgerond. Het project zal binnenkort van de voorbereidende fase overgaan naar de realisatiefase. In de realisatiefase is sprake van een gedeelde verantwoordelijkheid tussen provincie Overijssel en Rijkswaterstaat (RWS). Voor het project is hiermee sprake van twee ambtelijk opdrachtgevers. Deze gedeelde verantwoordelijkheid met RWS schept een andere dimensie op dit project ten opzichte van de projecten die alleen onder de verantwoordelijkheid van de provincie vallen. Het project maakt onderdeel uit van het programma ‘Ruimte voor de Rivier’. Het project IJsseldelta-Zuid is een groot en complex project alleen al gelet op het feit dat er 14 externe partners bij betrokken zijn. Dit vraagt om een andere aanpak ten aanzien van risicomanagement dan bijvoorbeeld de reguliere begroting. RWS past voor dit project haar eigen projectmanagementmethodiek toe. Deze methodiek van RWS lijkt dieper en gedetailleerder te gaan. Voor de voortgangsrapportages van het project IJsseldelta-Zuid wordt daarom niet conform de modellen van de OVS gewerkt. Voor de uitvoering van de realisatiefase is een nieuw projectteam geformeerd. In deze fase wordt de algemeen projectleider geleverd vanuit RWS. De projectleider zal evenals het team op locatie bij de provincie werken. In het team is onder andere een manager projectbeheersing aangesteld. Tevens is een omgevingsmanager aangesteld om zich te richten op alle conditionele werkzaamheden om het project te laten slagen. De controller (bedrijfsvoering) maakt geen onderdeel uit van het beheersteam van de projectorganisatie. De controller (bedrijfsvoering) zal op mijlpaalmomenten gevraagd en ongevraagd reflectie geven op de stukken ten behoeve van de ambtelijk opdrachtgever, directie, GS en PS. De controller (bedrijfsvoering) is overigens wel lid van de landelijke werkgroep van controllers die betrokken zijn bij ‘Ruimte voor de Rivier-projecten’. Dit zijn intervisie-bijeenkomsten waarin praktijkervaringen worden gedeeld.
3
De bevindingen zijn gebaseerd op de situatie zoals deze was ten tijde van de uitvoering van het onderzoek. Wijzigingen die zich naderhand hebben voorgedaan (bijvoorbeeld de betrokkenheid bij dit project vanuit concerncontrol vanaf 1 februari 2013) zijn hierin niet meegenomen.
38
De GS-nota’s volgen een standaard routing waaronder langs de betreffende controller (bedrijfsvoering). Het volgen van de routing wordt op de nota’s zichtbaar gemaakt door middel Risicomanagementcyclus
van een paraaf. Een risicoparagraaf is onderdeel van ieder GS-besluit. Daarnaast is er een vertrouwelijk deel waarin mogelijk additionele risico’s zijn opgenomen. Door een aantal geïnterviewden wordt als risico genoemd dat indien risico’s niet worden benoemd in nota’s, dit ook geen onderwerp van gesprek is met GS. In de voorbereidingsfase werd ten aanzien van financiële risico’s gewerkt met bandbreedtes. In de uitvoeringsfase wordt nog sterker dan in de voorbereidingsfase gestuurd op financiële risico’s. RWS werkt voor het opstellen van kostenramingen met de PRI-systematiek. Dit wil zeggen dat per object ramingen worden gemaakt en een risico-analyse en hierin ook een post onvoorzien wordt opgenomen. Deze risico-analyses zijn gericht op de kostenkant. De PRI-ramingen zijn de kaders voor het project waarbinnen de gedeputeerde kan handelen. Om te voorkomen dat men voor extra middelen naar PS moet, is het van belang dat de ambtelijk opdrachtnemer op transparante wijze integraal kijkt of de huidige risico’s voldoende worden afgedekt. De Gedeputeerde is namens GS verantwoordelijk voor de realisatieovereenkomst. De verantwoordelijkheid hiervoor is echter binnen GS gescheiden doordat het onderwerp samenwerking bij een andere gedeputeerde is belegd. Doel hiervan is om kritische massa te creeren. Deze integraliteit verminderd risico’s en is in die zin een beheersmaatregel. Afgelopen periode is het risicoprofiel opgesteld voor de realisatiefase en is bepaald welke risico’s worden opgenomen in het scopeformulier. Voor het opstellen van het risicoprofiel voor de realisatiefase zijn sessies georganiseerd. Bij deze sessies zijn naast de ambtelijk opdrachtnemer ook deelprojectleiders betrokken geweest. De risico’s voor de realisatiefase zijn door middel van deze sessie in beeld gebracht. Uit de interviews blijkt echter dat er nog een slag gemaakt kan worden naar de specifieke risico’s voor de provincie. De risico’s zijn namelijk meer beredeneerd vanuit de reikwijdte van het project en minder vanuit de verantwoordelijkheid van de provincie. Naast de formele overlegmomenten bespreekt de ambtelijk opdrachtnemer informeel de risico’s met een aantal projectteamleden die inhoudelijk goed in het project zitten. Periodiek (1 à 2 maal per jaar) wordt een bijstelling van de risico-analyse gedaan. De basis voor deze bijstelling is de vorige risico-analyse maar ook de risico’s zoals opgenomen in de PRIramingen, hierbij wordt tevens gekeken of risico’s elkaar beïnvloeden. Gedurende het jaar wordt bijgestuurd op afwijkingen. Beheersmaatregelen worden één keer per twee maanden besproken en beoordeeld op effectiviteit. Maandelijks hebben de ambtelijk opdrachtgever en de ambtelijk opdrachtnemer een voortgangsoverleg. Hierin worden o.a. de risico’s besproken. Deze gesprekken vinden momenteel nog niet plaats op basis van rapportages. Inmiddels zijn afspraken gemaakt over de rapportagestructuur. 39
Het format voor voortgangsrapportages is voorzien van een risicoparagraaf. In deze paragraaf dient gerapporteerd te worden over:
Nieuw geconstateerde risico’s. Tevens dient een voorstel gedaan te worden voor een risico-eigenaar, wat de mogelijke beheermaatregelen zijn, en de wijze en frequentie van assessment (identificatie, analyse en prioritering) en control (planning, besluitvorming, monitoring). Daarbij moet aan de opdrachtgever gevraagd worden in het onderdeel “gevraagde besluiten” of hij hiermee kan instemmen.
Opgetreden risico’s en de genomen beheersmaatregelen.
De uitvoering van maatregelen en evt. voorstellen van bijsturingsmaatregelen;
De effectiviteit van maatregelen en eventueel voorstellen van bijsturingsmaatregelen.
De maandelijkse rapportages krijgt de projectcontroller eveneens te zien waarbij hij reflectie kan geven. Indien door de oprachtnemer niets gedaan wordt met de bevindingen van de Rol projectcontroller
projectcontroller, kan door de projectcontroller geëscaleerd worden naar de ambtelijk opdrachtgever, concerncontroller en/of directie. De control van het project is vooral ingestoken op beheersing van de risico’s. Bij de maandelijkse rapportage wordt het risicoprofiel doorlopen en worden indien nodig (aanvullende) beheersmaatregelen getroffen. De Gedeputeerde heeft in het project met name contact met de ambtelijk opdrachtgever en de ambtelijk opdrachtnemer. De ambtelijk opdrachtnemer betrekt op zijn beurt de controller (bedrijfsvoering) bij het project. De projectcontroller is niet aanwezig bij de overleggen tussen verantwoordelijk Gedeputeerde, opdrachtgever en de programmamanager. De Gedeputeerde verwacht een integraal product van de ambtelijk opdrachtnemer. Tussen twee Gedeputeerden, de ambtelijk opdrachtgever en ambtelijk opdrachtnemer vindt iedere twee weken een gesprek plaats. Tijdens dit overleg zijn onder andere de verschillende acties en beheersmaatregelen die worden genomen onderwerp van gesprek. Wekelijks krijgt de Gedeputeerde een update over de belangrijkste risico’s. Dit zijn zowel financiële, juridische, politieke als bestuurlijke risico’s. De risico’s worden hiermee doorlopend in beeld gebracht. Om een prioritering ten aanzien van de risico’s te maken wordt het principe “kans * impact” in tijd en geld ingeschat. Deze prioritering wordt uitgevoerd door de programmamanager in samenwerking met de manager projectbeheersing. Vanuit concerncontrol is overigens wel een adviseur betrokken bij het project. De risico’s worden beperkt vastgelegd in NARIS. Alleen de risico’s met betrekking tot grond worden hierin vastgelegd. Een groot deel van de risico’s is afgedekt binnen het project met “project onvoorzien” en “programma onvoorzien”.
40
4. Analyse
In het voorgaande hoofdstuk zijn onze objectieve bevindingen vastgesteld. Deze bevindingen worden in het voorliggende analyse hoofdstuk langs het normenkader en de onderliggende toetspunten gelegd. Deze normen zijn leidend geweest in ons onderzoek en meten de mate waarin het risicomanagementbeleid van de provincie Overijssel voldoet aan enerzijds weten regelgeving en anderzijds efficiënt en effectief is. Criteria voor een risicomanagementsysteem In samenspraak met de opdrachtgever is onderstaand normenkader gehanteerd. Iedere norm met onderliggende toetspunten scoren wij aan de hand van onze bevindingen. Per norm geven wij een totaal oordeel in hoeverre de provincie Overijssel aan deze norm voldoet qua opzet en werking in de praktijk.
Norm 3:
Norm 2
Heldere onderbouwing aan de hand van de methodiek van het weerstandsvermogen
Inventarisatie, analyse, sturing, beheersing van de juiste risico’s
Norm 4: Volledige, actuele en transparante beleidskaders
Norm 1
Samenhang van beleid en risico’s
Norm 6:
Norm 5:
Beleid en uitvoering omtrent risico’s en weerstandsvermogen hebben een cyclisch karakter
Taken, bevoegdheden en verantwoordelijkheden zijn helder en worden uitgevoerd
Norm 7:
Adequate instrumenten om de uitvoering van het beleid (mbt risico’s en weerstandsvermogen) te ondersteunen.
Figuur 4 Toegepast normenkader voor risicomanagement
Op verzoek van de opdrachtgever is PS niet expliciet betrokken bij dit onderzoek. Voor wat betreft toetspunten die specifiek ingaan op de rol van PS, baseren wij onze analyse op de bevindingen verkregen uit de gesprekken, enquête en documentatie.
41
Norm 1. Samenhang van beleid en risico’s Analyse toetspunt 1.1 Beleid In het beleid zijn de afzonderlijke componenten omschreven, maar nog beperkt in samenhang met elkaar. Bijvoorbeeld hoe verhoudt zich de wijze waarop risico’s worden geïdentificeerd tot het weerstandsvermogen en op welke wijze wordt toegezien dat handelen van medewerkers conform processen en beschikbare instrumenten plaatsvindt? Toetspunt 1.1 De samenhang tussen de diverse componenten uit het normenkader (de risico’s, het weerstandsvermogen, het beleid, de processen en instrumenten, het handelen).
Praktijk Tijdens de interviews wordt de samenhang tussen de componenten beaamd, zeker in de top van de ambtelijke organisatie en bij GS. Dit wordt ook onderschreven met de scores uit de enquête. Organisatiebreed heeft risicomanagement sinds 2009 steeds meer aandacht gekregen. Hierdoor zijn medewerkers minimaal op de hoogte van deze samenhang. In de dagelijkse praktijk zien wij echter dat niet iedere medewerker deze samenhang overziet dan wel bewust op de hoogte is van het vigerend beleid. Bijvoorbeeld bij projecten en in projectteams zijn belanghebbenden soms ‘onbewust onbekwaam’, maar ook ‘onbewust bekwaam’ ten aanzien van het huidige beleid en de samenhang tussen de componenten. Deze samenhang is grotendeels gebaseerd op ervaring van professionals en hun ‘gevoel’ bij risicomanagement. Analyse toetspunt 1.2 Beleid In het beleid is het volgende over stapeling opgenomen:
Risicomanagement valt onder de integrale verantwoordelijkheid van GS. GS zijn uiteindelijk verantwoordelijk voor alle provinciale risico’s en de acties die worden ondernomen deze te beheersen.
Toetspunt 1.2 De mate waarin er aandacht wordt geschonken aan de “stapeling” van risico’s, waaronder ook de risico’s die onderweg zijn in het besluitvormingsproces. Risico’s kunnen individueel aanvaardbaar zijn, maar hoe is het beeld als alle risico’s bij elkaar worden genomen? En wat wordt met dat beeld gedaan?
Gedeputeerde Staten zijn bevoegd te oordelen over de verhouding tussen alle gezamenlijke risico’s en de vermogenspositie van de provincie.
Risicomanagement is een vorm van integraal management wat inhoudt dat ‘de lijn’ verantwoordelijk is voor de risico’s. Dit betekent dat de eenheidshoofden verantwoordelijk zijn voor die risico’s die in de eenheden gelopen worden. Dit werkt door tot op het niveau van directie.
De ambtelijke organisatie stelt twee maal per jaar een organisatiebreed risicoprofiel vast, monitort deze en draagt zorg voor de beheersmaatregelen.
Praktijk Tijdens de interviews is aangegeven dat het stapelen van risico’s binnen programma’s en projecten beperkt aandacht krijgt. Het koppelen van risico’s en het aangeven van een veranderende positieve of negatieve impact, vereist doorgaans gedegen analyse door betrokkenen op inhoudelijk alsook financiën. Indien wel aandacht wordt gegeven aan het stapelen van risico’s, blijkt het vervolgens een uitdaging om ook het realiteitsgehalte in deze analyse mee te nemen.
42
Bovenstaand wordt onderschreven door de data uit de enquête: een meerderheid van de respondenten uit groep 1 en groep 2 vinden dat er weinig aandacht wordt geschonken aan de stapeling van risico’s. Door respondenten uit groep 3 wordt aangegeven dat zij niet op de hoogte zijn of hier aandacht aan wordt gegeven. Een ander deel van groep 3 scoort hierop neutraal of vindt dat hier geen aandacht aan wordt gegeven. Dit impliceert dat zij zelf niet of in ieder geval beperkt betrokken zijn bij deze analyses.
Norm 2. Inventarisatie, analyse, sturing, beheersing van de juiste risico’s Analyse toetspunt 2.1 Beleid Ten aanzien van dit toetspunt lezen wij het volgende terug in beleidsdocumenten:
GS dienen PS actief te informeren indien de risico’s die zich voordoenen impact hebben op het realiseren van programma doelstelling of op de balans tussen risico’s en financiële middelen om deze risico’s af te dekken (het weerstandsvermogen).
Bij besluitvorming dienen GS na te gaan wat de belangrijkste risico’s zijn en hierover te rapporteren aan PS. Als regel gebeurt dit in de bestaande verantwoordingsstukken dan wel meer in het bijzonder in de afzonderlijke voorstellen wanneer het onderwerp of risicobedrag hiertoe aanleiding geeft.
Wij constateren dat in het beleid impliciet waarborgen worden ingebouwd om een zo compleet mogelijk beeld te krijgen van alle risico’s binnen de provincie. Door risicomanagement onderdeel van integraal management te laten zijn, wordt impliciet verondersteld dat binnen de lijn (eenheden) en binnen programma’s en projecten, risicomanagement wordt vormgegeven (zie de rol van de ambtelijke organisatie). Toetspunt 2.1 PS hebben inzicht in de belangrijkste risico’s en er zijn waarborgen ingebouwd dat de risico’s op het juiste niveau worden gesignaleerd en geregistreerd.
Praktijk Het projectteam risicomanagement heeft organisatiebreed risico’s geïnventariseerd dan wel geactualiseerd. Deze inventarisatie en actualisatie is begin 2010 herhaald. Op basis van de huidige formats is het voor betrokkenen (bijvoorbeeld budgethouders, directie, maar ook GS) zichtbaar door middel van de parafenlijst welke functionarissen betrokken zijn geweest bij het opstellen of de review van rapportages, nota’s en dergelijke. Dit verondersteld waarborgen voor onafhankelijke reflectie, maar niet dat risico’s op het juiste niveau gesignaleerd en geregistreerd worden. Overigens is het volgens ons een illusie om limitatief te zijn bij risicoinventarisaties en -registraties, op welk niveau dan ook. Door de gesproken GS-leden wordt gemeld dat er sprake is van transparantie omtrent gesignaleerde risico’s richting PS, daar waar dat de onderhandelingspositie ten opzichte van derden niet ondermijnd (bijvoorbeeld bij grondexploitaties). Bij de casus Natura2000-PAS wordt nadrukkelijk aangegeven dat PS op de hoogte is van de voortgang van processen en de risico’s die met dit onderwerp gemoeid zijn.
43
Uit de enquête blijkt dat 41% van de respondenten uit groep 1 het eens met de stelling dat GS(!) inzicht heeft in de belangrijkste risico’s. De respondenten uit de groepen 2 en 3 geven aan dat zij hiervan niet op de hoogte zijn of zijn het deels eens met deze stelling. Analyse toetspunt 2.2 Beleid Het beleid gaat niet in op dit toetspunt. Wel wordt de rol van PS weergegeven:
PS stellen de ratio weerstandsvermogen vast voor een periode van vier jaar.
PS stellen de begroting met de paragraaf over het weerstandsvermogen vast.
De perspectiefnota wordt gebruikt om Provinciale Staten te informeren over de invloed van risico’s op de doelstellingen van risicomanagement, over meerder jaren heen.
Ten aanzien van ‘het proces is op verschillende soorten risico’s ingericht’ is in het beleid opgenomen dat de provincie twee typen risico’s hanteert, namelijk: imago-risico’s (bijvoorbeeld Toetspunt 2.2 PS stuurt hoofdzakelijk op voorspelbare, strategische en externe risico’s en daarnaast eventueel op de operationele risico’s. Het proces is op deze verschillende soorten risico’s ingericht.
aantasting van het vertrouwen in de organisatie als gevolg van negatieve publiciteit) en financiële risico’s (die directe aantasting van de vermogenspositie van de organisatie hebben). Over de inrichting van het proces op verschillende soorten risico’s wordt in het beleid echter niets vermeld. Praktijk De wijze waarop PS op risico’s stuurt, is in dit onderzoek niet of beperkt meegenomen. In de enquête hebben wij specifiek gevraagd of GS sturen op strategische risico’s en op zowel financiële als niet financiële risico’s. Dit wordt door een groot deel van de respondenten van de verschillende groepen beaamd. Echter of het proces op verschillende soorten risico’s is ingericht, is niet duidelijk. Wel blijkt uit de interviews dat zowel interne als externe risico’s in beeld worden gebracht. Tevens blijkt dat in de praktijk onderscheid gemaakt wordt tussen bijvoorbeeld bestuurlijke, juridische, politieke, financiële, maatschappelijke risico’s. Opvallend is dat scores uit de enquête aangeven dat een groot deel van de respondenten van groep 3 het niet eens is met de stelling of het proces rondom verschillende soorten risico’s is ingericht. Dit in tegenstelling met de respondenten van groep 1 en 2 waar een merendeel het wel eens is met deze stelling. Dit laatste is in lijn met de bevindingen uit de interviews. In de enquête is de stelling opgenomen of GS voornamelijk sturen op strategische risico’s. Dit wordt met name door groep 1 beaamt en deels door groep 2 (30% versus 30% neutraal, de rest weet dit niet). Bij de groep controllers (bedrijfsvoering) weet 50% van de groep niet of GS dat doen. Wij vermoeden dat de respondenten van de groepen 2 en 3 niet of beperkt zicht hebben op de feitelijke sturing van GS op risico’s.
44
Analyse toetspunt 2.3
Toetspunt 2.3 De inventarisatie van deze risico’s vindt plaats langs heldere lijnen: projecten, programma’s, afdelingen of thema’s.
Beleid In het beleid worden ten aanzien van het signaleren en registreren van risico’s stappen omschreven die in 2008 zijn uitgevoerd door het projectteam voor risicomanagement. In het beleid is omschreven op welke wijze in 2008 de risico’s zijn geïnventariseerd, hoe de risicoprofielen tot stand zijn gekomen, op welke wijze de waardering en inschatting van de kansen en gevolgen van de risico’s heeft plaatsgevonden en hoe deze kwantitatief zijn gemaakt. De wijze waarop deze stappen echter cyclisch worden vormgegeven komt echter niet aan de orde in de ‘Nota risicomanagement’. Praktijk Er sprake is van een groeimodel bij het inbedden van risicomanagement in de organisatie. Uit de analyse van de werkplannen 2013 door concerncontrol, is door concerncontrol geconstateerd dat bij de meeste eenheden het analyseren van de risico’s, de wijze waarop dit wordt gedaan en de hele risicomanagementcyclus nog niet op een actieve en gestructureerde wijze wordt ingezet. Uit de interviews blijkt ook dat het systematisch omgaan met risicomanagement is nog geen vanzelfsprekendheid is. Momenteel is risicomanagement nog te veel afhankelijk van individuele medewerkers uit lijn en of staf en is het nog niet geïncorporeerd in de handelswijzen van medewerkers door zichzelf vragen te stellen als op welke wijze kunnen risico’s worden geïnventariseerd, hoe wordt een risicoprofiel opgesteld en bijgehouden en hoe kunnen beheersmaatregelen worden bepaald? Ook constateren wij dat risico’s worden geïdentificeerd (en vervolgens geanalyseerd) vanuit de reikwijdte van een project in plaats vanuit de verantwoordelijkheid van de provincie. Een voorbeeld hiervan is het project IJsseldelta-Zuid. De verantwoordelijkheid voor het inventariseren van risico’s ligt ‘in de lijn’. Op dit punt is facilitatie en begeleiding vanuit concerncontrol nog noodzakelijk en wenselijk. Concerncontrol heeft daarin momenteel nog een (te) belangrijke aanjaagfunctie. Ten aanzien van de inventarisatie van risico’s is het wisselend wie daarbij betrokken zijn. Wat bijvoorbeeld opvalt is dat bij ‘zware’ casussen (bijvoorbeeld vanwege politieke gevoeligheid of omvang in financiën) de ambtelijk opdrachtgevers en zelf verantwoordelijke GS-leden bij de analyses betrokken zijn. In de minder zware casussen is dat (logischerwijze) echter bij het merendeel niet het geval. Ook controllers (bedrijfsvoering) zijn niet vanzelfsprekend aanwezig bij het inventariseren en bespreken van de risico’s. Hoe dit wordt ingevuld is afhankelijk van enerzijds de betreffende controller (bedrijfsvoering) en anderzijds de ruimte die de controller (bedrijfsvoering) van de budgethouder of budgetbeheerder krijgt. In de praktijk blijkt dat de controller (bedrijfsvoering) deze rol moet opeisen. De stelling in de enquête of de inventarisatie van risico’s plaatsvindt langs heldere lijnen, laat eenzelfde verdeeldheid zien tussen de respondenten in groep 1 en groep 2. Een kleine meerderheid is het eens (circa 35%) en een kwart van ieder van deze groepen zijn het (volledig) oneens met deze stelling. Van groep 3 (de controllers van bedrijfsvoering) is het merendeel het eens met deze stelling, terwijl deze soms wel en soms niet betrokken zijn bij risicoinventarisaties.
45
Bovenstaand blijkt ook uit alle casussen. Inventarisatie vindt weliswaar plaats, maar per casus verschilt de wijze waarop deze heeft plaatsgevonden en de functionarissen die hierbij betrokken waren. Bijvoorbeeld op een iteratieve wijze sterk geredeneerd vanuit de complexiteit van de inhoud met beperkte betrokkenheid vanuit de controller (Natura2000-PAS), geïnventariseerd met methodieken van RWS met nauwe betrokkenheid van de projectcontroller (IJsseldelta-Zuid), op een alternatieve wijze die laagdrempelig is zonder directe betrokkenheid van controller (bedrijfsvoering) maar wel volgens de OVS (Kanaal Almelo-De Haandrik) en volgens de OVS met directe ondersteuning van het projectteam vanuit concerncontrol (N340). Met andere woorden in de praktijk blijkt dat risico-inventarisaties op verschillende manieren worden uitgevoerd, langs verschillende lijnen en geïnitieerd vanuit verschillende functionarissen. Analyse toetspunt 2.4 Toetspunt 2.4 Actuele/nieuwe/toekomstige risico’s worden hierin ook tijdig betrokken.
Beleid In het beleid is niet omschreven op welke wijze inventarisatie van risico’s cyclisch plaatsvindt. In het beleid is echter wel aangegeven dat twee maal per jaar, bij de begroting en bij de perspectiefnota een risico-analyse wordt uitgevoerd. Praktijk De OVS is een belangrijk instrument bij het actueel houden van risico’s en het betrekken van nieuwe risico’s. De OVS biedt kaders voor het uitvoeren van programma’s en projecten, waarbij risicomanagement onderdeel is van deze methodiek. Ten aanzien van reguliere bedrijfsvoering en ‘recht toe, recht aan’-projecten volstaat de reguliere planning & controlcyclus. De OVS is echter een instrument bij het inventariseren en actualiseren van risico’s dat het risicomanagementproces ondersteund. Het gesprek over de risico’s en het ‘doorleven’ van risico’s is hierbij van groot belang. Uit de interviews blijkt dat dit zeer wisselend plaats vindt en ook weer situationeel is. Daarnaast blijkt dat er met name een afhankelijkheid is van de complexiteit en de financiële omvang van het project/programma of proces. Het tijdig betrekken van actuele, nieuwe en toekomstige risico’s is in de grote en complexe projecten/programma’s goed geborgd. Zo vindt bijvoorbeeld in de casus Natura2000-PAS wekelijks een strategische discussie plaats tussen Gedeputeerde, ambtelijk opdrachtgever en –nemer en overig betrokken ambtenaren waarbij risico’s een nadrukkelijk onderwerp van gesprek zijn. De scores uit de enquête laten eenzelfde mening zien: 47% van de respondenten uit groep 1, 35% uit groep 2 en 75% uit groep drie geven aan dat actuele en nieuwe risico’s tijdig worden betrokken in analyses. De besprekingen van risicoprofielen en –analyses tussen ambtelijk apparaat en ambtelijk opdrachtgever, maar ook tussen ambtelijk opdrachtgever en bestuurlijk verantwoordelijke vinden niet gestructureerd periodiek plaats. Deze besprekingen vinden in de praktijk met name plaats wanneer dit noodzakelijk wordt geacht. Bijvoorbeeld aan het begin van projecten, start van programma’s e.d. en op momenten dat deze (politiek) actueel dreigen te worden.
46
Analyse toetspunt 2.5 Toetspunt 2.5 Bij de analyse van deze risico’s wordt een schatting gemaakt van de potentiële schade en de kans dat deze schade zich voordoet.
Beleid In de aanpak uit 2008 worden risico’s gerangschikt en geprioriteerd naar waarschijnlijkheid en impact. Destijds zijn op basis van interviews risicoprofielen opgesteld. De geïnterviewden hebben een inschatting van de kansen en gevolgen gegeven. Daar waar mogelijk is per geïnterviewde zijn/haar zienswijze ondersteund met een documentanalyse. Een risicoscore is bepaald door de kans en het gevolg met elkaar te vermenigvuldigen. Met behulp van de risicoscore zijn risico’s geprioriteerd. Het cyclische karakter van deze exercitie en de duurzame borging ervan komt niet in het beleid aan de orde. In het beleid wordt wel vermeld dat op basis van het risicoprofiel van de provincie Overijssel de benodigde weerstandscapaciteit kan worden berekend. De benodigde weerstandscapaciteit wordt berekend op basis van een risicosimulatie. Uitgangspunt is een statistische benadering die er van uit gaat dat nooit alle risico’s zich én tegelijk, én in maximale omvang voordoen. Praktijk In de enquête geeft het merendeel van de respondenten aan dat de geïdentificeerde risico’s worden gerangschikt en geprioriteerd naar waarschijnlijkheid en impact. Met name de respondenten in groep 1 en 3 beamen dit. Opvallend is dat ook 19% van de respondenten van groep 2 het hier niet mee eens zijn. Dit zagen wij terug in de interviews waaruit bleek dat bij de waardering van risico’s in sommige processen en projecten, bijvoorbeeld Natura2000-PAS, de simulatie kans * impact minder geschikt zijn (te instrumenteel), maar dat het uitwerken van scenario’s c.q. het uitvoeren van scenario-analyses meer toegevoegde waarde zou hebben. Ook blijkt uit de enquête dat 23% van groep 2 het oneens is met de stelling dat er binnen de organisatie een eenduidig proces aanwezig is voor het analyseren en beoordelen van risico’s op waarschijnlijkheid en impact. Als waardering van risico’s plaatsvindt in de praktijk, is dat doorgaans zonder tussenkomst van de controller (bedrijfsvoering), blijkt uit de interviews. Uit de interviews blijkt tevens dat ten aanzien van het waarderen van risico’s veelal gebruikt wordt gemaakt van de ondersteuning vanuit concerncontrol. Het kwantificeren van risico’s wordt in de praktijk vaak gezien als ‘iets voor bedrijfsvoering’. Analyse toetspunt 2.6 Beleid
Toetspunt 2.6 Bij de analyse van deze risico’s wordt vastgesteld of en hoe de risico’s worden beheerst. Naast financiële maatregelen worden overige maatregelen overwogen.
In het beleid is ten aanzien van het beheersen van risico’s opgenomen dat is ingezet op de volgende risico’s: projecten, aanbestedingen en externe ontwikkelingen. Tevens is opgenomen: “De beheersing op deze aandachtsgebieden is versterkt naast de vele beheersmaatregelen die al zijn toegepast, denk aan het vastleggen van bevoegdheden en verantwoordelijkheden, het kader voor integriteit, verordeningen en uitvoeringsbesluiten, beleidsnota’s etcetera.”.
47
Praktijk Toetspunt 2.6 Bij de analyse van deze risico’s wordt vastgesteld of en hoe de risico’s worden beheerst. Naast financiële maatregelen worden overige maatregelen overwogen.
Ten aanzien van het vaststellen of en hoe risico’s worden beheerst en het overwegen van zowel financiële als niet financiële maatregelen, moet onderscheid worden gemaakt tussen complexe projecten/programma’s en meer reguliere activiteiten. Met het doorlopen van de planning & controlcyclus is de rapportagestructuur van reguliere risico’s in de bedrijfsvoering formeel geborgd. Echter, op basis van een onderzoek door concerncontrol blijkt dat het analyseren van risico’s en de hele risicomanagement-cyclus nog niet op een actieve en gestructureerde wijze wordt vormgegeven. Dit is door concerncontrol gedeeld met de lijnmanagers. Wij hebben echter beperkt zicht gekregen op de getroffen (niet-)financiële maatregelen in reguliere activiteiten. Ten aanzien van projecten/programma’s is het voeren van het risicomanagementproces situationeel en hangt dit af van soort en omvang van het proces/project/programma. Bij complexe en grote projecten/processen wordt frequenter en zeer bewust aandacht besteed aan beheersmaatregelen. Bijvoorbeeld bij de casus IJsseldelta-Zuid vindt iedere twee weken een gesprek plaatsvindt tussen Gedeputeerde, de ambtelijk opdrachtgever en ambtelijk opdrachtnemer, waarin onder andere de verschillende acties en beheersmaatregelen die worden genomen onderwerp van gesprek zijn. Bij de casus Natura2000-PAS vindt eveneens periodiek strategische discussies plaats tussen verantwoordelijk Gedeputeerde, ambtelijk opdrachtgever en -nemer en overig betrokken ambtenaren/specialisten. Tijdens deze overleggen zijn onder andere risico’s en de getroffen beheersmaatregelen nadrukkelijk onderwerp van gesprek. Uit de interviews blijkt dat, afgezien van de grote projecten, medewerkers (ambtelijk opdrachtgevers, programmamanagers en projectleiders) ook op gevoel, ervaring en ‘boerenverstand’ werken en minder volgens de letter van het bestaande beleid en bestaande faciliteiten als formats en templates. Uit de enquête blijkt dat respondenten vinden dat er weliswaar beheersmaatregelen (financieel en niet-financieel) worden getroffen, maar dat dit niet gestructureerd volgens een eenduidig proces plaatsvindt. Analyse toetspunt 2.7 Beleid Indien risico’s zich voordoen kan volgens het beleid een beroep worden gedaan op het weerstandsvermogen. Het beleid gaat niet in wanneer dat mag, bijvoorbeeld met het aangeven
Toetspunt 2.7 Indien risico’s zich toch voordoen wordt een beroep gedaan op het weerstandsvermogen. De getroffen maatregelen worden periodiek beoordeeld op effectiviteit.
van bandbreedtes. Ten aanzien van het weerstandsvermogen is wel opgenomen uit welke componenten dit bestaat en tevens wordt weergegeven welke ratio weerstandsvermogen de provincie nastreeft. Hiertoe wordt gebruik gemaakt van een waarderingstabel. In het beleid wordt niets vermeld of en op welke wijze de getroffen maatregelen periodiek op effectiviteit worden beoordeeld. Praktijk Uit de interviews blijkt dat er zelden/nooit een beroep gedaan wordt op het weerstandsvermogen. Indien risico’s zich (minimaal) voordoen worden deze doorgaans gedekt uit het projectbudget. Uit 48
de interviews blijkt dat risico’s zowel in het projectbudget worden opgenomen als een post onvoorzien alsook meegenomen worden in het weerstandsvermogen. Consequentheid ontbreekt hierin. De beleidsregels ten aanzien van de verdeling ‘post onvoorzien’ versus ‘weerstandsvermogen’ ter dekking van de risico’s zijn niet duidelijk vastgesteld. Dit blijkt ook uit de casus Kanaal Almelo-De Haandrik. In het projectbudget van circa €20 miljoen van dit project is een post van €4,3 miljoen onvoorzien opgenomen. Uit de casus N340 blijkt dat binnen dit project een post onvoorzien is opgenomen van 10% van het totale projectbudget. In de enquêtescores van respondenten valt ons op dat de groepen 1 en 3 vinden dat indien zich een risico voordoet, doorgaans een beroep wordt gedaan op het weerstandsvermogen. Groep 2 scoort hier overwegend neutraal of geeft aan dit niet te weten. Ten aanzien van de periodieke beoordeling van beheersmaatregelen op effectiviteit valt op dat veel respondenten (29% van groep 1; 32% van groep 2 en 50% van groep 3) aangeven dat dit niet periodiek geschiedt. Een wisselend beeld verkrijgen wij ook uit de interviews. Bij bijvoorbeeld de casussen IJsseldelta-Zuid en Natura2000-PAS vinden periodiek (maandelijks) gesprekken plaats tussen verantwoordelijk Gedeputeerde, ambtelijk opdrachtgever en -nemer. Bij de casussen N340 en Kanaal Almelo-De Haandrik vinden iedere twee maanden voortgangsgesprekken plaats. Echter, deze gesprekken richten zich op actuele onderwerpen (mogelijk actuele risico’s) en op afwijkingen. Daarmee richten deze zich niet zozeer structureel op alle (project)risico’s en reeds geformuleerde beheersmaatregelen en de effectiviteit ervan, maar incidenteel op basis van met name actualiteit. (Project)controllers zijn overigens niet of nauwelijks betrokken bij deze voortgangsgesprekken tussen (bestuurder) /ambtelijk opdrachtgever en programmamanager/ projectleider. Respondenten uit groep 1 laten een evenredig verdeelde score zien of beheersmaatregelen op effectiviteit worden beoordeeld. De meerderheid bij groepen 2 en 3 geven aan dat dit niet gebeurt.
Norm 3. Inventarisatie, analyse, sturing, beheersing van de juiste risico’s Analyse toetspunt 3.1 Beleid Toetspunt 3.1 Het weerstandsvermogen is een kwantitatieve uitspraak over de verhouding tussen de risico’s die de provincie loopt en de middelen die beschikbaar zijn om deze risico’s op te vangen.
In het beleid is opgenomen dat op basis van het risicoprofiel van de provincie Overijssel de benodigde weerstandscapaciteit wordt berekend. De benodigde weerstandscapaciteit wordt berekend op basis van een risicosimulatie. Uitgangspunt is een statistische benadering die er van uit gaat dat nooit alle risico’s zich én tegelijk, én in maximale omvang voordoen. De benodigde weerstandscapaciteit die uit de risicosimulatie voortvloeit, wordt afgezet tegen de beschikbare weerstandscapaciteit. De uitkomst van die berekening vormt de ratio weerstandsvermogen. De ratio weerstansvermogen wordt conform de BBV eens per vier jaar vastgesteld. Praktijk Uit de documenten en interviews blijkt dat (het opnieuw) vaststellen van de ratio in 2013 aan de orde is. Bij vaststelling van het beleid is uitgegaan van regulier structureel beleild. Aangezien de provincie de komende jaren te maken heeft met meer risicovolle activiteiten en met een groter
49
financiële omvang dan voorheen, is voorgesteld om gedurende de looptijd van ‘De Kracht van Overijssel’ het weerstandsvermogen te verhogen naar 1,6. Hiermee speelt de provincie in op de ontwikkeling van de risico’s die in de praktijk worden gelopen enerzijds en de beschikbare middelen die beschikbaar zijn om de risico’s op te vangen anderzijds. Analyse toetspunt 3.2
Toetspunt 3.2 De risico’s worden op eenduidige wijze gekwantificeerd en de grondslagen van het kwantificeren zijn op feiten en concrete schattingen gebaseerd.
Beleid Over de wijze waarop risico’s worden gekwantificeerd en over de grondslagen van het kwantificeren wordt in het beleid niets vermeld. In het beleid wordt ten aanzien van het kwantificeren van risico’s omschreven op welke wijze dit in 2008 is uitgevoerd door het projectteam specifiek belast met risicomanagement. Praktijk Uit de interviews blijkt dat het kwantificeren van risico’s (bepalen van de middelen die nodig zijn de risico's op te vangen) en de grondslagen voor kwantificering in termen van het financieel afdekken van risico’s, voor veel geïnterviewden ‘iets voor control’ is. Daarmee wordt niet alleen de controller (bedrijfsvoering) bedoeld, maar ook concerncontrol voor wat betreft facilitatie van kwantificering. Uit de casus N340 blijkt dat concerncontrol een nadrukkelijke rol in het projectteam heeft rondom risicomanagement. Ten aanzien van de scores in de enquête valt ons op dat groep 2 ten opzichte van groep 1 en 3 relatief minder positief is ten aanzien van de stelling of risico’s op eenduidige wijze worden gekwantificeerd. In de praktijk ligt het kwantificeren van risico’s voor een belangrijk deel bij groep 2, de inhoudelijk betrokken en ervaren programmamanagers en projectleiders. Ook ten aanzien van de stelling in de enquête of het kwantificeren op feiten en concrete schattingen is gebaseerd valt op dat groep 2 ten opzichte van groep 1 en 3 minder positief oordeelt. Er ligt volgens Deloitte een uitdaging om groep 2 beter te equiperen om meer ervaring op te doen met het kwantificeren van risico’s (daarbij kunnen uiteraard controllers van bedrijfsvoering (en adviseurs van concerncontrol) ondersteunen). Analyse toetspunt 3.3 Beleid
Toetspunt 3.3 Er is onderscheid tussen structurele en incidentele risico’s.
In het beleid wordt niets vermeld over het onderscheid tussen structurele en incidentele risico’s. Er wordt ten aanzien van typen risico’s vermeld dat onderscheid wordt gemaakt tussen imagorisico’s en financiële risico’s. Praktijk Uit de interviews blijkt dat met name onderscheid wordt gemaakt in interne en externe risico’s en tussen bijvoorbeeld bestuurlijke, juridische, politieke, financiële, maatschappelijke etcetera risico’s. Uit de interviews blijkt niet dat er onderscheid wordt gemaakt tussen incidentele en structurele risico’s. Uit de enquête blijkt dat relatief veel respondenten ook niet weten of dit onderscheid wordt gemaakt (respectievelijk 18% van groep 1, 39% van groep 2 en 50% van groep 3).
50
Analyse toetspunt 3.4 Beleid Over de tijdshorizon van het weerstandsvermogen wordt in het beleid niet gerept. Wel wordt Toetspunt 3.4
vermeld dat de ratio van het weerstandsvermogen één maal per vier jaar opnieuw beoordeeld
De tijdhorizon van het weerstandsvermogen is duidelijk.
wordt. Praktijk Dit is in de interviews/casuistiek niet echt aan de orde geweest. Wel blijkt uit de interviews dat de spelregels ten aanzien van doen van een beroep op weerstandsvermogen bij veel geïnterviewden niet duidelijk zijn. Aan groep 1 en 3 is de stelling voorgelegd of bij het bepalen van middelen die nodig zijn om risico’s op te vangen, een duidelijke periode wordt bepaald waarin een mogelijk beroep op deze middelen kan worden gedaan. Van groep 1 is 47% van de respondenten het hier gedeeltelijk mee eens en 50% van groep 3. Van groep 1 is ook 24% het hier gedeeltelijk mee oneens en van groep 3 geeft 50% een neutraal antwoord. Tijdens de interviews en bij de bestudering van documentatie blijkt dat in het algemeen beleidsregels rondom het weerstandsvermogen en het beroep kunnen doen op het weerstandsvermogen voor velen niet duidelijk en helder zijn. Analyse toetspunt 3.5
Toetspunt 3.5 De opbouw van de beschikbare weerstandscapaciteit voldoet aan wet- en regelgeving (BBV) en is juist, volledig en actueel.
Beleid Ten aanzien van de wet- en regelgeving omtrent risicomanagement bij provincies, sluit de provincie aan bij artikel 11 uit de BBV (zoals opgenomen in bijlage IV). Zie ook toetspunt 3.1. Praktijk Uit de documenten en interviews blijkt dat de provincie serieus omgaat met het bepalen van de weerstandscapaciteit. In 2013 is de ratio aangepast aan actuele ambities. Daarmee voldoet de provincie aan de kaders uit de BBV en heeft deze zelfs situationeel invulling gegeven. Analyse toetspunt 3.6 Beleid Op basis van het risicoprofiel van de provincie Overijssel kan de benodigde weerstandscapaciteit
Toetspunt 3.6 De onderbouwing van de benodigde weerstandscapaciteit is actueel, transparant en eenduidig en er wordt helder gecommuniceerd wat het bedrag of de ratio met betrekking tot het weerstandsvermogen betekent.
worden berekend. De benodigde weerstandscapaciteit wordt berekend op basis van een risicosimulatie. Op deze wijze kan het weerstandsvermogen worden onderbouwd. Om het weerstandsvermogen te kunnen beoordelen streeft de provincie een ratio ten aanzien van het weerstandsvermogen na. Hiertoe wordt gebruik gemaakt van een waarderingstabel die in het beleid is opgenomen. Praktijk Ten aanzien van de onderbouwing van het weerstandsvermogen is gebleken dat aan het weerstandsvermogen een risicoprofiel ten grondslag ligt. Dit profiel wordt periodiek
51
geactualiseerd. Jaarlijks vindt namelijk de verantwoording over risicomanagement plaats via de paragraaf weerstandsvermogen. Voor de begroting wordt een risico-analyse gemaakt om de stand voor het komende jaar aan te geven en eveneens bij de perspectiefnota wordt eenzelfde analyse gemaakt waarbij wordt gekeken naar risico’s die zich op de langere termijn kunnen voordoen. De ratio weerstandsvermogen is over de loop der jaren steeds inzichtelijk gemaakt en communiceert langs verschillende kanalen. In de ‘Programmabegroting 2011’, het ‘Jaarverslag 2010’, de ‘Kerntakenbegroting 2012’, het ‘Jaarverslag 2011’ en de ‘Perspectiefnota 2013’ wordt nadrukkelijk ingegaan op de ratio weerstandsvermogen en de betekenis van de hoogte van de ratio voor het benodigde weerstandsvermogen. Opvallend is echter wel dat in de ‘Perspectiefnota 2012’ geen opmerkingen worden gemaakt over het weerstandsvermogen of risicomanagement in algemene zin. In de enquête hebben wij gevraagd of de onderbouwing van de benodigde weerstandscapaciteit transparant en eenduidig is. Een meerderheid van de respondenten is het hier (gedeeltelijk) mee eens. Opvallend is echter de score van groep 1: 18% van groep 1 (en ook 25% van groep 3) is het hier ook gedeeltelijk niet mee eens is. Ten aanzien van de stelling of helder gecommuniceerd wordt wat de ratio betekent, valt ook weer de score van groep 1 op. 29% van groep 1 is het hier gedeeltelijk niet mee eens. Bovenstaande is in lijn met de algemene constatering dat communicatie rondom de betekenis van weerstandsvermogen en geldende beleidsregels noodzakelijk is. Analyse toetspunt 3.7 Beleid Toetspunt 3.7 Er is een heldere relatie tussen enerzijds de risico’s die zich voor hebben gedaan en de beschikking over reserves of andere middelen die tot de weerstandscapaciteit worden gerekend anderzijds.
In het beleid is opgenomen dat de beschikbare weerstandscapaciteit bestaat uit de volgende componenten:
Reserves.
Bestemmingsreserves.
Over de relatie tussen de risico’s die zich hebben voorgedaan en de beschikking over reserves of andere middelen die tot de weerstandscapaciteit worden gerekend, wordt in het beleid niets vermeld Praktijk In de praktijk blijkt dat er geen heldere relatie is tussen de risico’s die zich voordoen en de middelen die tot de weerstandscapaciteit worden gerekend. Uit de interviews blijkt dat het voordoen van risico’s en de hierbij horende lasten zoveel mogelijk worden opgelost binnen het projectbudget (post onvoorzien). Een beroep op de middelen die behoren tot de weerstandscapaciteit wordt niet of zelden gedaan.
52
Norm 4. Volledige, actuele en transparante beleidskaders Analyse toetspunt 4.1 Beleid Het beleid is opgezet volgens de kaders zoals deze worden genoemd in artikel 11 van de BBV. Toetspunt 4.1 Het beleid voldoet aan weten regelgeving (BBV).
Praktijk Wij constateren dat het risicomanagementsysteem van de provincie Overijssel voldoet aan de kaders die de BBV stelt in artikel 11. Een specifiek onderdeel van dit artikel is de vormgeving van de periodieke beoordeling of het risicomanagementbeleid (nog steeds) voldoet aan de wet- en regelgeving. Hierover hebben wij in de enquête een stelling opgenomen, waarop 41% van de respondenten van groep 1 heeft gescoord dat deze beoordeling inderdaad periodiek plaatsvindt. 24% van groep 1 geeft ook aan dat er geen proces bestaat dat de wijze van doorvoeren van nieuwe regelgeving beschrijft. Analyse toetspunt 4.2 Beleid In het beleid is opgenomen wat de provincie onder een risico verstaat, welke typen risico’s worden onderscheiden en wat de doelen zijn van risicomanagement. Tevens is opgenomen wat het weerstandsvermogen is, wat de benodigde weerstandscapaciteit is en op welke wijze het weerstandsvermogen kan worden beoordeeld. Praktijk In de enquête is groep 1 ten opzichte van groep 2 en 3 relatief gezien positiever over de stelling of het beleid kaders bevat omtrent risico’s en het risicoprofiel van de provincie, de weerstandscapaciteit en het weerstandsvermogen. Van groep 2 en 3 zijn veel respondenten ten aanzien van
Toetspunt 4.2 Het beleid bevat kaders omtrent de risico’s en het risicoprofiel van de provincie, de weerstandscapaciteit en het weerstandsvermogen.
deze stelling neutraal of het gedeeltelijk oneens. Ook ten aanzien van de stelling of het beleid voldoende is gecommuniceerd binnen de organisatie valt op dat groep 1 ten opzichte van groep 2 en 3 positiever is. Van groep 2 is 63% het niet eens dat het beleid voldoende is gecommuniceerd en voor groep 3 geldt dit voor 50%. Zowel groep 1, 2 en 3 geven tevens aan dat het beleid geen duidelijke werkinstructies bevat. Uit de interviews blijkt dat slechts weinigen letterlijk op de hoogte zijn van het beleid en dat velen zich richten op de praktische vormgeving en uitvoering van risicomanagement. Analyse toetspunt 4.3 Beleid Er is sprake van één beleidsdocument. In het document worden verschillende afzonderlijke componenten omschreven, maar deze componenten worden nog beperkt met elkaar in samenhang gebracht. Bijvoorbeeld hoe verhoudt zich de wijze waarop risico’s worden geïdentificeerd tot het weerstandsvermogen en op welke wijze wordt toegezien dat handelen van medewerkers conform processen en beschikbare instrumenten plaatsvindt?
53
Praktijk Toetspunt 4.3 De diverse beleidsdocumenten en -uitgangspunten vertonen een logische samenhang.
Uit de interviews blijkt dat de meesten slechts op de hoogte zijn van het feit dat er risicomanagementbeleid bestaat. De inhoud is minder bekend. In het verlengde van analyses bij voorgaande toetspunten, constateren wij dat enerzijds samenhang van beleid een verdiepingslag mag krijgen en anderzijds in de praktijk pragmatisch wordt omgegaan met deze samenhang en dat dit op een logische wijze in de praktijk reeds plaatsvindt. Bijvoorbeeld na de identificatie van risico’s bij de casus Kanaal Almelo-De Haandrik, vindt waardering plaats (kans * impact), vindt kwantificatie plaats, maar vindt ook periodieke bespreking tussen opdrachtgever en opdrachtnemer plaats. Analyse toetspunt 4.4 Beleid Het beleid is op verschillende onderdelen niet meer actueel. Dit geldt met name voor de onderdelen risico-identificatie, kwantificering van risico’s, en beheersing van risico’s, oftewel de
Toetspunt 4.4
risicomanagementcyclus. In de beleidsuitgangspunten worden typen risico’s benoemd die
Het beleid is actueel. Het biedt kaders en aanknopingspunten die tegemoet komen aan de actuele risico’s en de actuele financiële positie.
worden onderscheiden. In de praktijk blijkt echter dat er naast deze risico’s ook andere risico’s worden onderscheiden. Praktijk De aansluiting van het beleid bij de praktijk is niet optimaal. Het beleid is met name geschreven vanuit een (eenmalige) projectbenadering in 2008. Het vormgeven van de risicomanagementcyclus en het borgen van deze cyclus in de praktijk komt in het beleid niet aan de orde. Daarnaast mist het beleid duidelijke werkinstructies c.q. spelregels voor de organisatie en is het beleid in de beleving van de groepen 2 en 3 uit de enquete onvoldoende gecommuniceerd. Analyse toetspunt 4.5 Beleid
Toetspunt 4.5 Het beleid is transparant. Het is duidelijk welke doelen worden nagestreefd en welke middelen daarvoor beschikbaar zijn. De doelstellingen zijn bekend in de organisatie.
In het beleid is opgenomen welke doelen met risicomanagement worden nagestreefd. Welke middelen daarvoor beschikbaar is niet beschreven. Ook is niet beschreven op welke wijze bekendheid wordt verondersteld of gegeven aan de doelstellingen. Praktijk In het beleidsdocument is opgenomen welke doelen worden nagestreefd. Uit de enquête blijkt echter dat met name de groepen 2 en 3 vinden dat het beleid onvoldoende is gecommuniceerd. Uit de interviews blijkt dat een groot deel van de geïnterviewden op de hoogte zijn dat er risicomanagementbeleid bestaat, maar op hoofdlijnen niet weet wat daar de strekking van is. Uit de enquête blijkt tevens dat voor een groot deel van groep 2 (29%) niet duidelijk is welke doelen worden nagestreefd met het risicomanagementbeleid en welke middelen daarvoor beschikbaar zijn. Voor groep 1 is dit echter voor een groot deel wel duidelijk (47%). Opvallend is dat groep 1 op de stelling of het risicomanagementbeleid is geborgd 18% van de respondenten wel aangeeft het hier gedeeltelijk niet mee eens te zijn. Ook blijkt dat actieve bevraging door de opdrachtgever of controller (bedrijfsvoering) op de naleving van het risicomanagementbeleid volgens de
54
respondenten vrijwel niet plaats vindt (relatief veel neutrale antwoorden of antwoordcategorieën “volledig/gedeeltelijk oneens”). Analyse toetspunt 4.6 Beleid In het beleid is vastgelegd wie waarvoor verantwoordelijk is. Er wordt onderscheid gemaakt naar de volgende actoren: kaderstelling door PS, uitvoering door GS, uitvoering door de ambtelijke organisatie en toezichthouders. Praktijk Toetspunt 4.6 In het beleid ligt vast wie waarvoor verantwoordelijk is.
Er blijken in de praktijk verschillen te zijn tussen de rol zoals op hoofdlijnen is het beleid is beschreven, de rolopvatting door functionarissen en tenslotte de rolinvulling van functionarissen. De omschrijving van de rollen geeft op hoofdlijnen inzicht in de verdeling van rollen tussen actoren. Deze omschrijving gaat minder in op wat daadwerkelijk wordt verwacht van verschillende functionarissen binnen het ambtelijk apparaat. In hoeverre deze rol is omschreven in werkplannen of functieprofielen, hebben wij echter niet onderzocht. De rolopvatting door sommige functionarissen, wijkt af van bijvoorbeeld de visie op de controlfunctie die binnen de provincie is vastgesteld. De integrale verantwoordelijkheid, ook voor de vormgeving van de controlfunctie inclusief risicomanagement op projecten of binnen de eenheid, wordt door budgetverantwoordelijkheden (houder en beheerder) verschillend geïnterpreteerd. De rolinvulling wijkt tenslotte ook weer af van de rolopvatting, blijkt uit interviews. Bijvoorbeeld twee van de drie gesproken controllers (bedrijfsvoering) vullen hun rol zuiver vanuit een financiële invalshoek in en niet conform de bredere definitie waar de visie op control vanuit gaat. Analyse toetspunt 4.7 Beleid In het beleid is opgenomen dat GS PS actief dienen te informeren indien de risico’s die zich
Toetspunt 4.7 Het beleid bevat afspraken over de informatievoorziening aan PS.
voordoen impact hebben op de geformuleerde doelstellingen:
Het realiseren van programma doelstellingen;
Goede balans tussen risico’s en de financiële middelen om deze risico’s af te dekken (het weerstandsvermogen).
Tevens is in het beleid opgenomen dat bij besluitvorming GS dienen na te gaan wat de belangrijkste risico’s zijn en hierover te rapporteren aan PS. Als regel gebeurt dit in de bestaande verantwoordingsstukken dan wel meer in het bijzonder in de afzonderlijke voorstellen wanneer het onderwerp of risicobedrag hiertoe aanleiding geeft. Praktijk De wijze waarop PS in de praktijk wordt geïnformeerd is lastig te onderzoek vanwege het feit dat PS hierin niet gekend is. Wel constateren wij bij enkele casussen, met name de casus Natura2000-PAS dat in een openbare, maar ook vertrouwelijke setting binnen GS en met PS 55
gesproken is over dit proces en wat de consequenties hiervan (kunnen) zijn voor de provincie en haar ambities. Hierbij zijn mogelijke risico’s en beheersmaatregelen impliciet besproken met PS. Analyse toetspunt 4.8 Beleid In het beleid wordt niets vermeld over de middelen om het gewenste risicomanagementbeleid uit te voeren. Toetspunt 4.8 Er zijn voldoende middelen (geld, kwalitatief en kwantitatief voldoende personeel, technische ondersteuning e.d.) om het gewenste risicomanagementbeleid uit te voeren.
Praktijk In verkregen documentatie, bijvoorbeeld jaarverslagen, is niets opgenomen over de relatie tussen voldoende middelen en uitvoering risicomanagementbeleid. Wel wordt in de enquête wordt relatief positief gescoord op de stelling of capaciteit kwalitatief en kwantitatief in de organisatie aanwezig is om de risico’s te identificeren. Dit geldt ook voor de stelling of de capaciteit (kwalitatief als kwantitatief) in de organisatie aanwezig is om preventief beheersmaatregelen te nemen. Tijdens enkele interviews waar gebruik is gemaakt van advisering vanuit concerncontrol, bijvoorbeeld de casus N340, was men te spreken over de facilitering en procesmatige begeleiding.
Norm 5. Taken, bevoegdheden en verantwoordelijkheden zijn helder en worden uitgevoerd. Analyse toetspunt 5.1 Beleid In het beleid zijn de taken, verantwoordelijkheden en bevoegdheden van zowel PS als GS Toetspunt 5.1 PS en GS hebben voldoende inzicht in de wederzijdse taken, bevoegdheden en verantwoordelijkheden.
beschreven. Hieruit blijkt dat PS de ratio weerstandsvermogen vaststellen voor een periode van vier jaar en eveneens de begroting met de paragraaf over het weerstandsvermogen vaststellen. De perspectiefnota wordt gebruikt om PS te informeren over de invloed van risico’s op de doelstellingen van risicomanagement over meerdere jaren heen. Risicomanagement valt onder de integrale verantwoordelijkheid van GS. GS zijn uiteindelijk verantwoordelijk voor alle provinciale risico’s en de acties die worden ondernomen deze te beheersen. GS dienen ervoor te zorgen dat de doelstellingen van risicomanagement worden bereikt. GS dienen PS actief te informeren indien de risico’s die zich voordoen impact hebben op het realiseren van programma doelstelling of op de balans tussen risico’s en financiële middelen om deze risico’s af te dekken (het weerstandsvermogen). Bij besluitvorming dienen GS na te gaan wat de belangrijkste risico’s zijn en hierover te rapporteren aan PS. Als regel gebeurt dit in de bestaande verantwoordingsstukken dan wel meer in het bijzonder in de afzonderlijke voorstellen wanneer het onderwerp of risicobedrag hiertoe aanleiding geeft. Daarnaast zijn GS er voor verantwoordelijk dat jaarlijks de weerstandsparagraaf in de begroting wordt opgesteld. Tevens zijn GS bevoegd te oordelen over de verhouding tussen alle gezamenlijke risico’s en de vermogenspositie van de provincie.
56
Praktijk In het beleid is duidelijk opgenomen wat respectievelijk de taken, bevoegdheden en verantwoordelijkheden van PS en GS zijn. Uit de enquête blijkt dat een groot deel van de respondenten van groep 1 van mening is dat er inzicht is tussen de wederzijdse taken, bevoegdheden en verantwoordelijkheden van PS en GS (35% gedeeltelijk eens, 35% neutraal). In de enquête is – iets breder dan specifiek dit toetspunt – gevraagd of de taken, bevoegdheden en verantwoordelijkheden van GS, directie, concernmanagementteam, project- en programmaleiders en controllers ten aanzien van risicomanagement zijn beschreven en vastgelegd. Een deel van de ondervraagden is het gedeeltelijk eens met deze stelling. Echter ook een aanzienlijk deel is het gedeeltelijk oneens met deze stelling (groep 1 25%, groep, groep 2 22% en groep 3 25%. Wat blijkt is dat in het beleid de taken, bevoegdheden en verantwoordelijkheden van GS en PS specifiek worden omschreven. De taken, bevoegdheden en verantwoordelijkheden van de ambtelijke organisatie zijn in het beleid onder één noemer vermeld en hierbij ontbreken werkinstructies voor het ambtelijk apparaat. Echter op de stelling of het de respondenten duidelijk is wat hun eigen taken, bevoegdheden en verantwoordelijkheden zijn blijkt dat dit beeld er bij groep 1 en 3 grotendeels is. In groep 2 is 21% het hier gedeeltelijk mee oneens. Opvallend is dat 24% van groep 1 (ten opzichte van 42% gedeeltelijk eens) ten aanzien van de stelling of taken, bevoegdheden en verantwoordelijkheden duidelijk zijn gecommuniceerd aangeeft het hier gedeeltelijk mee oneens te zijn. Analyse toetspunt 5.2 Beleid Zie hieronder bij Praktijk. Praktijk In de praktijk blijkt dat PS de ratio voor het weerstandsvermogen vaststellen en eveneens de begroting met de paragraaf over het weerstandsvermogen. Tevens worden PS door middel van de perspectiefnota’s geïnformeerd over de invloed van risico’s op de doelstellingen. Aan onder andere groep 1 is in de enquête gevraagd of PS invulling geven aan hun taken zoals vastgelegd in het risicomanagementbeleid: 35% van groep 1 is het hier gedeeltelijk mee eens. 24% is hierover neutraal en 24% weet dit niet. Toetspunt 5.2 PS en GS geven invulling aan bovengenoemde taken.
GS zijn verantwoordelijk voor risicomanagement en dienen ervoor te zorgen dat de doelstellingen worden bereikt. Via de planning & controlcyclus geven GS aandacht aan risicomanagement. De wijze waarop dat gebeurt, is niet inzichtelijk, behalve door middel van bespreking van de planning & controlproducten en de risicoparagrafen. In de enquête is gevraagd of GS invulling geven aan haar taken zoals vastgelegd in het risicomanagementbeleid: 41% van groep 1 is hier gedeeltelijk mee eens (29% neutraal, 24% weet dit niet). Uit de interviews blijkt dat GS bij besluitvorming nagaan wat de belangrijkste risico’s zijn en hoe hierover kan worden gerapporteerd aan PS. Uit de interviews blijkt tevens dat naarmate de
57
impact van het proces, programma of project groter is, ook de mate van openheid richting PS over mogelijke risico’s groter worden. GS functioneren als een filter op alle vanuit het ambtelijk apparaat geïdentificeerde risico’s, door alleen te focussen op die risico’s die GS in gezamenlijkheid van strategisch belang acht. Risico’s die niet aan PS worden gecommuniceerd dan wel alleen in een vertrouwelijke behandeling met elkaar worden gedeeld, zijn doorgaans risico’s die bij openbaring de onderhandelingspositie van de provincie rechten derden ondermijnt. Bijvoorbeeld het risico dat de maximale aanneemsom niet kan worden bepaald omdat er onzekerheid bestaat over de bodemgesteldheid en de kwantificatie van dit risico gekoppeld aan het weerstandsvermogen, kan bij openbaarheid de onderhandelingspositie van de provincie met de aannemer ondermijnen. Ook blijkt uit de casus Natura2000-PAS dat bewust voor een andere aanpak is gekozen om risico’s met PS te delen vanwege de complexiteit van het onderwerp en de fase waarin de casus zich bevindt. Bijvoorbeeld er zijn ter informatie verslagen over de voortgang van de voorbereidingsfase naar PS gestuurd en er is een informatiesessie voor PS georganiseerd in het kader van een nadrukkelijke inhoudelijke betrokkenheid bij desbetreffend dossier. Analyse toetspunt 5.3 Beleid Zie hieronder bij Praktijk. Toetspunt 5.3 Verwachtingen tussen PS, GS, Directie, Concern Managementteam (CMT) en Project- en Programmaleiders over nut en noodzaak van risicomanagement sluiten op elkaar aan en worden uitgewisseld en de informatievoorziening is hierop aangepast.
Praktijk In de enquête is de stelling opgenomen of men duidelijke verwachtingen heeft over het nut en de noodzaak ten aanzien van risicomanagement. Respondenten van alle groepen geven aan dat de verwachtingen over nut en noodzaak volledig duidelijk zijn (71% of meer per groep). In de enquete is vervolgens gevraagd of de verwachtingen aansluiten bij de kaders die zijn geformuleerd door PS ten aanzien van risicomanagement, zien wij een minder grote eensgezindheid. Alleen groep 1 is het voornamelijk eens met deze stelling, van groep 2 weet 46% dit niet (de rest is het oneens of is neutraal, totaal 42%) en van groep 3 50% niet en is 50% neutraal. Wij constateren dat er verwachtingen zijn, maar dat deze beperkt aansluiten op elkaar en of worden uitgewisseld met hierop aangepaste informatievoorziening. Analyse toetspunt 5.4 Beleid In het beleid zijn de toezichthouders benoemd. Onder de toezichthouders wordt in het beleid de accountant en de provinciale rekenkamer verstaan. De taken, verantwoordelijkheden en bevoegdheden zijn als volgt weergegeven:
De accountant velt een oordeel over de paragraaf weerstandsvermogen. Bij onduidelijkheden rapporteert de accountant aan Provinciale Staten.
58
De Provinciale Rekenkamer kan zich op verzoek verder verdiepen in risicomanagement,
Toetspunt 5.4
zoals zij bijvoorbeeld reeds gedaan hebben in het onderzoek naar reserves en
Er ten aanzien van risico’s en weerstandsvermogen interactie plaatsvindt met overige toezichtsfuncties als de auditcommissie en de accountant.
voorzieningen. Praktijk Doorgaans geeft de accountant een oordeel over de paragraaf weerstandsvermogen. In welke mate de accountant andere contacten met de provincie heeft over risicomanagement, hebben wij niet kunnen constateren op basis van interviews, documenten en enquête. Hetzelfde geldt voor de interactie over risico’s met de auditcommissie. Analyse toetspunt 5.5 Beleid Zie hieronder bij Praktijk.
Toetspunt 5.5 Eventuele actiepunten die hier uit voortvloeien worden uitgevoerd.
Praktijk Uit de enquête blijkt dat de respondenten van mening zijn dat actiepunten uit opmerkingen van de accountant en auditcommissie worden opgevolgd. Van groep 1 is 88% het hier mee eens en 75% van de controllers (bedrijfsvoering) zijn het hier mee eens. Analyse toetspunt 5.6 Beleid In het beleid is niets opgenomen over de maandelijkse besluitvorming door PS inzake risico’s en
Toetspunt 5.6 Er in de (voorbereiding van) de maandelijkse besluitvorming door PS (dus buiten de planning & control cyclus om) een relatie wordt gelegd met de beleidskaders.
risicomanagement. Praktijk De praktijk wijst uit dat in geval van enkele casussen, met name IJsseldelta-Zuid en Natura2000PAS, de omvang en complexiteit ervan ertoe nopen om buiten reguliere contactmomenten informatiebijeenkomsten te houden om PS op de hoogte te brengen van de inhoud van dossiers. Uit de interviews vernemen wij dat hierbij ook nadrukkelijk wordt stilgestaan bij mogelijk risico’s. Analyse toetspunt 5.7 Beleid In het beleid wordt niets vermeld over onafhankelijke reflectie. Het afgelopen jaar heeft de
Toetspunt 5.7 De inventarisatie, analyse en beoordeling van risico’s wordt van onafhankelijke reflectie voorzien. Deze reflectie wordt verzorgd door een actor die organisatorisch niet gepositioneerd is binnen de eenheid waar de risico’s betrekking op hebben. Deze reflectie heeft ook betrekking op de effectiviteit van beheersmaatregelen.
provincie Overijssel echter een visie op control geïntroduceerd. Hieruit kunnen wij herleiden dat deze visie erop moet toezien dat vanuit controllers (bedrijfsvoering)en vervolgens concerncontrol, onafhankelijke reflectie dient plaats te vinden op risico’s. Dit zogeheten ‘Three lines of defence’ model maakt het onderscheid tussen de verschillende verantwoordelijkheden binnen de organisatie voor control duidelijk. e
In de opzet bewaakt daarmee de 1 lijn voor risicomanagement aandacht is en dat dit een plek e
e
heeft binnen de eenheid of binnen een project/programma. De 2 en 3 lijn kijken daarbij mee e
e
over de schouder van de 1 lijn. Ook is er sprake van een 4 lijn control (bijvoorbeeld de accountant).
59
Praktijk Vanuit de visie op control kennen de controllers (bedrijfsvoering) een aanjagende rol bij het inventariseren en analyseren van risico’s en borgen zij de kwaliteit daarvan. Deze rol is echter voor de controllers (bedrijfsvoering) relatief nieuw aangezien hun rol vooral een faciliterend karakter had. Momenteel zijn (project)controllers niet of nauwelijks betrokken bij gesprekken of de voorbereiding ervan tussen bestuurder, ambtelijk opdrachtgever en programmamanager/ projectleider. De (project)controllers zijn ook niet altijd aanwezig of op de achtergrond betrokken bij het inventariseren en bespreken van de risico’s of het waarderen en benoemen van beheersmaatregelen. Eveneens bij het opstellen van periodieke voortgangsrapportages van projecten zijn controllers (bedrijfsvoering) niet altijd betrokken. Uit de enquête blijkt ook dat nog 29% van groep 1 en 38% van groep 2 het niet eens is met de stelling dat de inventarisatie, analyse en beoordeling van risico’s wordt voorzien van een onafhankelijke reflectie. Van de controllers (bedrijfsvoering) wordt echter volgens de visie op control verwacht dat zij meer onafhankelijk optreden en kritisch zijn richting de eenheid en projecten/programma’s. In de praktijk blijkt dat de controllers (bedrijfsvoering) momenteel bezig zijn om zich verder te ontwikkelen in deze rol en dat enkele controllers (bedrijfsvoering) nog geen heldere rol neemt, speelt en/of krijgt bij het vormgeven van risicomanagement binnen de eenheid en of projecten/programma’s. De rol van de controller (bedrijfsvoering) wordt door zowel twee van de drie controllers (bedrijfsvoering) zelf als door programmamanagers, projectleiders gezien als facilitair en niet als onafhankelijke, kritische derde die te pas en te onpas zorg voor reflectie op inhoud, output en financiën.
Norm 6. Beleid en uitvoering omtrent risico’s en weerstandsvermogen hebben een cyclisch karakter. Analyse toetspunt 6.1 Beleid In het beleid is opgenomen dat de verantwoording over risicomanagement plaats vindt via de paragraaf weerstandsvermogen en risicomanagement in de begroting en jaarrekening. De paragraaf dient vastgesteld te worden door PS. Voor de begroting wordt een update van de risico-analyse gemaakt om de stand voor het komende jaar aan te geven. Voor de perspectiefnota wordt eenzelfde analyse gemaakt, waarbij Toetspunt 6.1
wordt gekeken naar risico’s die zich op de langere termijn kunnen voordoen.
Het beleid en de praktijk bevatten aanknopingspunten voor toezicht en toetsing door PS.
In het jaar waarin het coalitie-akkoord wordt afgesloten is het coalitie-akkoord onderwerp van de risico-analyse. Een weergave van de bevindingen uit deze analyse wordt meegenomen in de perspectiefnota. Met de begroting en de perspectiefnota wordt PS geïnformeerd over de risico’s. Daarnaast dient er in de jaarrekening teruggekeken worden naar het afgelopen jaar, waarin ook de risico’s een rol spelen.
60
In het beleid is opgenomen dat GS als regel PS informeren in bestaande verantwoordingsstukken dan wel meer in het bijzonder in de afzonderlijke voorstellen wanneer het onderwerp of risicobedrag hiertoe aanleiding geeft. Praktijk In de enquête is gevraagd of PS duidelijk kaders geven voor risicomanagement. Een kleine meerderheid is het niet eens met of staat neutraal tegenover deze stelling. Daartegenover vindt een kleine meerderheid van de respondenten uit alle groepen dat de frequentie van monitoring en rapportages voldoende zijn om blootstelling aan risico's tijdig te signaleren. Wij herleiden hier niet aan af dat PS ondanks het niet geven van duidelijke kaders, wel in staat zouden moeten zijn om aanknopingspunten voor toezicht en toetsing uit hun informatievoorziening te halen. Analyse toetspunt 6.2 Beleid In het beleid is opgenomen:
Jaarlijks vindt de verantwoording over risicomanagement plaats via de (jaarlijkse) paragraaf weerstandsvermogen.
Begroting: Voor de begroting wordt een update van de risico-analyse gemaakt om de stand voor het komende jaar aan te geven.
Toetspunt 6.2 GS benaderen risico’s en weerstandsvermogen cyclisch en hebben dit geïntegreerd in het reguliere planning & controlproces.
Perspectiefnota: Voor de perspectiefnota wordt eenzelfde analyse gemaakt, waarbij wordt gekeken naar risico’s die zich op de langere termijn kunnen voordoen.
Coalitie-akkoord: In het jaar waarin het coalitie-akkoord wordt afgesloten is het coalitieakkoord onderwerp van de risico-analyse. Een weergave van de bevindingen uit deze analyse wordt meegenomen in de perspectiefnota.
Jaarrekening: Daarnaast dient er in de jaarrekening teruggekeken worden naar het afgelopen jaar, waarin ook de risico’s een rol spelen.
Praktijk In de praktijk blijkt dat de (planning & control-)cyclus, zoals hierboven omschreven in het beleid ook in de praktijk wordt uitgevoerd. Dit blijkt ook uit de enquête. Het merendeel van de respondenten is het eens met de stelling dat de risico’s en het weerstandsvermogen zijn geïntegreerd in de reguliere planning & controlcyclus. Tevens blijkt uit de interviews dat met het doorlopen van de planning & controlcyclus de rapportagestructuur van reguliere risico’s in de bedrijfsvoering wordt geborgd. Een extra moment waarop de risico’s aan de orde komen, is bij de presentatie van het werkplan van de directie. Opvallend is wel dat 59% van de respondenten van groep 1 aangeeft het niet eens te zijn met de stelling dat actuele thema’s ten aanzien van risicomanagement maandelijks op de agenda van GS staan.
61
Analyse toetspunt 6.3 Beleid Toetspunt 6.3 PS en ook GS ten aanzien van de strategische risico’s daadwerkelijk bijsturen naar aanleiding van beschikbare informatie over de ontwikkeling van risico’s of het weerstandsvermogen.
Over het bijsturen naar aanleiding van beschikbare informatie ten aanzien van strategische risico’s is niets in het beleid vermeld. Praktijk PS hebben wij in dit onderzoek niet expliciet ondervraagd en uit documentatie en de interviews kunnen wij weinig concluderen ten aanzien van de rol van PS. Ten aanzien van GS kunnen wij melden dat risicomanagement niet als een apart onderwerp op de agenda van GS staat. Het maakt echter onderdeel uit van het dagelijks handelen van de bestuurder, zo blijkt uit de interviews. In het handelen van de bestuurders is volgens één van de geïnterviewde Gedeputeerden “het ingebakken om door te vragen naar risico’s”. Om bestuurlijk te kunnen handelen is het noodzakelijk om inzicht te hebben in de geïdentificeerde risico’s. Dit kan worden gezien als een voortdurende toepassing van risicomanagement. Per geïnterviewde Gedeputeerde wisselt de invulling van zijn/haar rol bij risicomanagement bij processen, programma’s en of projecten. Risicomanagement wordt expliciet meegenomen in GS- en PS-nota’s. Een risicoparagraaf maakt onderdeel uit van ieder GS-besluit. Daarnaast bestaat een vertrouwelijk deel waarin mogelijk additionele risico’s zijn opgenomen. Door deze nota’s is zijn GS aan de voorkant actief betrokken om te komen tot besluitvorming. Uit de enquête blijkt ook dat het merendeel positief antwoord op de stelling of GS de risico’s meewegen bij het nemen van beslissingen. Opvallend is vervolgens de score in de enquête op de stelling of GS bijsturen naar aanleiding van beschikbare informatie over de ontwikkeling van risico’s en weerstandsvermogen: 24% van groep 1 is het oneens met deze stelling zelfs 59% scoort (opgeteld) neutraal en “weet niet”. Analyse toetspunt 6.4 Beleid In het beleid is opgenomen dat bij besluitvorming GS dienen na te gaan wat de belangrijkste
Toetspunt 6.4 Nieuwe/actuele/toekomstige risico’s door GS met PS worden gedeeld.
risico’s zijn en hierover te rapporteren aan PS. In het beleid is opgenomen dat GS als regel PS informeren in bestaande verantwoordingsstukken dan wel meer in het bijzonder in de afzonderlijke voorstellen wanneer het onderwerp of risicobedrag hiertoe aanleiding geeft. Praktijk Met het doorlopen van de planning & controlcyclus en de totstandkoming van de rapportages voor GS en PS, worden risico’s uit de reguliere bedrijfsvoering en bijzondere projecten/processen geborgd. Of deze wijze van rapporteren voldoende is, bijvoorbeeld voor PS, is onbekend. In de enquête is de stelling opgenomen of GS de belangrijkste risico's met PS delen. Van groep 1 geeft een meerderheid aan dat dit plaatsvindt (65%). Dit percentage ligt lager bij de groepen 2 en 3, respectievelijk 24% en 25%. Gezien bij de groepen 2 en 3 veel respondenten “weet niet”
62
scoren, gaan wij er vooralsnog vanuit dat risico’s door GS met PS worden gedeeld via de reguliere planning & controlcyclus. Analyse toetspunt 6.5 Beleid Zie hieronder bij Praktijk. Toetspunt 6.5 Er is commitment van bestuurlijke en ambtelijke top om open en transparant met risico’s om te gaan.
Praktijk Opvallend is de score van groep 1 in de enquête ten aanzien van de stelling dat GS open en transparant omgaan met risico’s: 41% is het hier mee eens, echter ook 18% is het oneens met deze stelling en 35% geeft een neutraal antwoord. Uit de interviews blijkt dat naarmate het proces en of project groter is, ook de openheid richting PS over mogelijke risico’s groter is. Hierbij geldt echter dat in sommige gevallen niet openlijk over risico’s kan worden gesproken, bijvoorbeeld in gevallen dat dit de onderhandelingspositie van de provincie ten opzichte van derden ondermijnt. In de enquête is aan alle groepen de stelling voorgelegd of de ambtelijke top open en transparant met risico’s omgaat. 47% van de respondenten van groep 1 is het hier mee eens en 43% van groep 2. Opvallend is dat 25% van groep 3 het niet eens is met deze stelling, 50% neutraal scoort en 25% het niet weet. Uit de scores van groep 3 herleiden wij dat deze groep ver van de bestuurlijke en ambtelijke top afstaat, hetgeen ook in lijn is met eerdere constateringen. Analyse toetspunt 6.6 Beleid In het beleid is niet opgenomen met welke frequentie beleidsevaluatie plaatsvindt. Specifiek ten
Toetspunt 6.6 Het beleid en de praktijk omtrent risico’s en weerstandsvermogen worden regelmatig geëvalueerd en eventueel bijgesteld.
aanzien van de ratio weerstandsvermogen is echter wel opgenomen dat deze periodiek opnieuw beoordeeld wordt. Praktijk Wij constateren dat sinds de vaststelling van het beleid, ditzelfde beleid omtrent risicomanagement niet eerder geëvalueerd en bijgesteld is. Dit is overigens overeenkomstig datzelfde beleid. Uit de enquête blijkt ook dat respondenten weliswaar overwegend veronderstellen dat het beleid en de praktijk regelmatig worden geëvalueerd en bijgesteld, echter ten aanzien van evaluatie en bijstelling van de werking van beleid is men minder postief gestemd. Analyse toetspunt 6.7 Beleid In het beleid is onderscheid gemaakt in een hoofddoelstelling en een nevendoelstelling. Als
Toetspunt 6.7
hoofddoelstelling beoogt de provincie met risicomanagement de programmadoelstellingen te
De gestelde beleidsdoelen zijn bereikt.
realiseren. Door risico’s aan de programma’s te koppelen, wordt inzichtelijk welke risico’s het bereiken van de programmadoelstellingen in de weg staan.
63
Als nevendoelstelling is in het beleid weergegeven een goede balans tussen risico’s en de financiële middelen om deze risico’s af te dekken (het weerstandsvermogen). Hierbij is aangegeven dat door te sturen op weerstandsvermogen de mogelijkheid geschapen wordt om meer effectief op zoek te gaan naar de balans tussen intensivering van uitgaven en het vasthouden van een minimaal noodzakelijke financiële positie. Praktijk Of in de praktijk gestelde beleidsdoelen zijn bereikt, verdient een separaat onderzoek. Wel kunnen wij constateren dat de provincie haar ambities heeft vertaald naar grote programma’s (waaronder de ‘Kracht van Overijssel’) en dat in de afzonderlijke projecten waaruit de KvO bestaat risico-inventarisaties hebben plaatsgevonden en de risicomanagement-cyclus is opgepakt. Daarnaast zijn de risico’s, voor zover dat noodzakelijk werd geacht, gekwantificeerd ten behoeve van opname in het weerstandsvermogen.
Norm 7. Er zijn adequate instrumenten om de uitvoering van het beleid met betrekking tot risico’s en weerstandsvermogen te ondersteunen. Analyse toetspunt 7.1 Beleid Zie hieronder bij Praktijk. Praktijk Voor de vastlegging van risico’s heeft de provincie Overijssel NARIS risicomanagement-software Toetspunt 7.1 Relevante informatie is eenduidig, eenvoudig en toegankelijk vastgelegd.
aangeschaft. Registratie van risico’s vindt bij een reeks processen en projecten plaats in NARIS. Hierin speelt concerncontrol een nadrukkelijke rol. Het gebruik van NARIS kan gekenschetst worden als een groeimodel. Inmiddels hebben verschillende projectleiders c.q. projectsecretarissen zelf toegang tot het softwaresysteem en een autorisatie voor het betreffende proces of project op risico’s te kunnen muteren (aanpassen, toevoegen en verwijderen). Uit de casus Kanaal Almelo-De Haandrik blijkt dat vastlegging niet in NARIS maar in een andere systematiek plaatsvindt. Ook hebben de ambtelijk opdrachtgever en –nemer geen contacten met de controller (bedrijfsvoering) en of concerncontrol, zo blijkt uit de interviews. Dit in tegenstelling tot het project N340 waar facilitatie plaatsvindt vanuit concerncontrol en derhalve NARIS ook wordt gebruikt als leidende administratie. Bij de casus IJsseldelta-Zuid blijkt dat alleen de risico’s met betrekking tot grondzaken worden vastgelegd in NARIS. Een groot deel van de risico’s is namelijk afgedekt binnen het project met een project- en programma post onvoorzien. Ten aanzien van de toegankelijkheid van NARIS blijkt uit de interviews dat het systeem niet als gebruiksvriendelijk wordt ervaren door de geïnterviewden die niet dagelijks met NARIS werken. Derhalve wordt de faciliterende rol vanuit concerncontrol als zeer wenselijk ervaren. Eenduidige vastlegging wordt thans geborgd door concerncontrol. Op termijn, bij zelfstandig gebruik zonder tussenkomst van concerncontrol bij de uitvoering, is het van belang deze uniformiteit in vastlegging te blijven borgen.
64
Andere risico-overzichten zijn toegankelijk via separate daarvoor ingerichte systematieken in bijvoorbeeld MS Excel, MS Word etcetera. De algemene toegankelijkheid van deze overzichten is beperkt. Uit de enquête blijkt dat van de respondenten van groep 3 25% het gedeeltelijk oneens is en 25% volledig oneens met de stelling of NARIS toegankelijk een eenvoudig in gebruik is. Analyse toetspunt 7.2 Beleid Zie hieronder bij Praktijk. Praktijk Uit de interviews blijkt dat ten aanzien van beslismomenten informatie in de vorm van nota’s aan Toetspunt 7.2 De aan PS verstrekte informatie is relevant, eenduidig en volledig.
GS en PS wordt verstrekt. In verschillende interviews wordt als risico ten aanzien van de volledigheid genoemd dat indien risico’s niet worden benoemd in de nota’s, dit ook geen onderwerp van gesprek met GS (en uiteindelijk PS is). In deze strekking valt ook de score van groep 1 in de enquête op ten aanzien van de stelling of de aan GS verstrekte informatie inzake risico’s volledig en actueel is: 18% van de respondenten is het hier gedeeltelijk niet mee eens. Het merendeel van de groep (35%) is het hier echter wel gedeeltelijk mee eens en een groot deel is hierover neutraal (24%). Analyse toetspunt 7.3 Beleid Zie hieronder bij Praktijk. Praktijk Uit de interviews blijkt dat de ingrediënten voor risicomanagement binnen de organisatie
Toetspunt 7.3 Er bestaat in de organisatie een werkend proces van risicomanagement (dat in ieder geval betrekking heeft op de strategische risico’s).
aanwezig zijn. Echter het consequent en systematisch vormgeven van en omgaan met risicomanagement is daarbij nog geen vanzelfsprekendheid. Facilitatie is hierbij momenteel noodzakelijk en wenselijk. Opvallend is in dit licht ook de score van groep 1 op de stelling in de enquête of er in de organisatie een werkend proces van risicomanagement bestaat (dat in ieder geval betrekking heeft op strategische risico’s): 24% van de respondenten is het hier gedeeltelijk mee oneens (en eveneens 29% is het gedeeltelijk eens). Ook van de groep programma-/ projectleiders en –secretarissen is 30% het gedeeltelijk oneens met deze stelling en van de controllers (bedrijfsvoering) ook 25%. In de praktijk blijkt dat het praktiseren van risicomanagement afhankelijk is van een aantal medewerkers. Deze medewerkers geven (pro-)actief vanuit hun rol risicomanagement een nadrukkelijke plek binnen de eenheid, het programma of het project waar zij verantwoordelijk voor dan wel betrokken bij zijn. Ook blijkt dat het risicomanagementproces c.q. de cyclus bij inhoudelijk complexe en financieel omvangrijke processen en projecten beter op orde is dan kleinere projecten. Door de OVS wordt het risicomanagementproces instrumenteel in projecten ondersteund. Het werken volgens deze standaard is met name bij de meer ‘recht toe, recht aan’-projecten (zowel 65
financieel omvangrijke als kleinere projecten) goed toepasbaar. Bij meer inhoudelijk complexe processen en projecten volstaan slechts principes van de OVS. Een belangrijke reden die in de interviews werd aangedragen voor afwijking van de ‘standaard’ wijze waarop met risicomanagement wordt omgegaan, is de instrumentele en systeemtechnische ondersteuning vanuit control (bedrijfsvoering) als concerncontrol in plaats van een inhoudelijke benadering. Een voorbeeld hiervan is de casus Natura2000-PAS. Uit de interviews blijkt dat het voor de controller (bedrijfsvoering) en concerncontrol moeilijk is om Natura2000-PAS te overzien vanwege de inhoudelijke complexiteit van het dossier. in de interviews wordt hierbij aangegeven dat zonder verdieping in de inhoud er sprake is van een beperkt toegevoegde waarde vanuit control (bedrijfsvoering) en concerncontrol. In de enquête hebben wij de stelling opgenomen of er een gezamenlijke risicotaal en een consistente methodologie wordt gebruikt binnen de organisatie om risico’s te managen. Opvallend hierin is de score van groep 2: 32% van deze groep is het gedeeltelijk oneens, 18% is het volledig oneens en 23% neutraal. De groep 1 en 3 scoren aanzienlijk positiever op deze stelling. Analyse toetspunt 7.4 Beleid In het beleid is opgenomen dat bij besluitvorming GS dienen na te gaan wat de belangrijkste risico’s zijn en hierover te rapporteren aan PS. Ten aanzien van ruimte voor toelichting ten behoeve van PS over de effecten van besluiten wordt in het beleid niets vermeld. Toetspunt 7.4 Risicomanagement maakt deel uit van de besluitvorming en in besluitvormingsprocessen is ruimte voor een effectieve toelichting, ten behoeve van PS, over de effecten van besluiten in termen van risico’s en weerstandsvermogen.
Praktijk Risicomanagement wordt expliciet meegenomen in GS- en PS-nota’s in de zogenoemde risicoparagraaf. Daarnaast wordt er in een vertrouwelijk deel de mogelijkheid geboden om additionele risico’s op te nemen. Door deze nota’s zijn GS aan de voorkant actief betrokken om te komen tot besluitvorming. Reeds opgemerkt is dat risicomanagement onderdeel uitmaakt van het dagelijks handelen van de bestuurder zo blijkt uit de interviews. In het handelen van de bestuurders is het ingebakken om door te vragen naar risico’s. Om bestuurlijk te kunnen handelen is het noodzakelijk om inzicht te hebben in de geïdentificeerde risico’s. Dit kan worden gezien als een voortdurende rol van risicomanagement. Analyse toetspunt 7.5
Toetspunt 7.5 Er worden opleidingen en trainingen aangeboden ten aanzien van risicomanagement om een juiste uitvoering van het beleid te ondersteunen, o.a. ten behoeve gebruik van Naris. Daarnaast vindt periodiek communicatie plaats en wordt het belang van risicomanagement periodiek onder de aandacht gebracht.
Beleid Over opleidingen en trainingen voor de uitvoering van het risicomanagement wordt in het beleid niets vermeld. Dit geldt eveneens voor de vormgeving van de periodieke communicatie om het belang van risicomanagement onder de aandacht te brengen. Praktijk Sinds 2008/2009 is het risicomanagementbeleid binnen de provincie verder vormgegeven. Zoals blijkt uit het jaarverslag 2010 is nadrukkelijk ingezet op het gedrag en bewustzijn door het 66
organiseren van risicoworkshops op eenheid-, team-, project- en programmaniveau. Onderling zijn beelden uitgewisseld over risico’s en oorzaken daarvan. Hierin heeft concerncontrol een belangrijke rol gehad in het verleden en heeft deze nog steeds. Vanuit concerncontrol wordt geïnvesteerd in het begeleiden, faciliteren en adviseren ten aanzien van risicomanagement. Hierin heeft concerncontrol een belangrijkrijke aanjaagrol. Concerncontrol heeft hierbij ondersteuning gehad van het Nederlands Adviesbureau voor Risicomanagement (NAR). De stelling of er opleiding en trainingen worden aangeboden om de juiste uitvoering van het risicomanagementbeleid te ondersteunen, is in de enquête opgenomen en voorgelegd aan de verschillende groepen: 41% van de respondenten van groep 1 is het hier volledig/gedeeltelijk niet mee eens. Van groep 2 is 18% het hier gedeeltelijk niet mee eens en 32% van de respondenten van groep 2 weten dit niet. Ook van groep 3 is 50% het gedeeltelijk oneens met deze stelling. Uit de enquête blijkt echter ook dat relatief veel respondenten vinden dat medewerkers onvoldoende expertise bezitten ten aanzien van het identificeren en beoordelen van risico’s. Van de respondenten van groep 1 is 29% het gedeeltelijk oneens met de stelling en 35% is hierover neutraal. Opvallend is ook de score van groep 2: 55% is neutraal ten aanzien van deze stelling en 27% is het gedeeltelijk oneens met deze stelling. Op de stelling of de respondent zelf over voldoende expertise beschikt en anders over faciliteiten om deze in te huren, wordt opvallend positiever geoordeeld.
67
68
5. Beantwoording onderzoeksvragen en aanbevelingen
In dit hoofdstuk beantwoorden wij de zes geformuleerde onderzoeksvragen op basis van de bevindingen en analyse in voorgaand hoofdstuk. Voldoen aan wet- en regelgeving, maar ook theorie Beantwoording van onderzoeksvraag 1:
“Aan welke criteria (wettelijk en vanuit de theorie) moet een risicomanagementsysteem voldoen om doeltreffend en doelmatig te zijn?”. Een risicomanagementsysteem van de provincie moet voldoen aan de kaders zoals opgenomen in artikel 11 van de BBV (zie bijlage IV). Een doeltreffend en doelmatig risicomanagementsysteem is een systeem dat functioneert als middel om vanuit een gemeenschappelijk referentiekader op gestructureerde wijze om te gaan met het beheersen van risico’s in relatie tot organisatie- en of beleidsdoelstellingen. Daarbij is risicomanagement onderdeel van de planning & controlcyclus en betreft het een pro-actief en continu proces, aangejaagd door met name budgetverantwoordelijken (lijn) en gefaciliteerd vanuit staf (control). Het in dit onderzoek gehanteerde normenkader met toetspunten is een concretisering van de visie van Deloitte op risicomanagement bij provincies. Het risicomanagementsysteem van de provincie Overijssel zal aan de zeven normen van desbetreffend normenkader moeten voldoen, wil het doelmatig en doeltreffend zijn. In het normenkader is onder andere opgenomen dat het moet voldoen aan wet- en regelgeving, dat het een continu proces is, dat er onafhankelijke reflectie moet zijn etcetera. Echter, risicomanagement is alleen dan effectief als vanuit de organisatie begrepen wordt wat de essentie is van risicomanagement en daarmee gepaard gaande dynamiek, waardoor er sprake is van draagvlak (management en medewerkers zie het nut en de noodzaak in van risicomanagement) en daarmee gezamenlijk de verschillende elementen van de cyclus doorlopen wordt. Het laagdrempelig maken van de cyclus helpt bij de doorgronding en acceptatie van risicomanagement als onderdeel van ieders handelen.
69
De opzet van het risicomanagementbeleid van de provincie Overijssel Beantwoording van onderzoeksvraag 2:
“Hoe is het risicomanagementbeleid van de provincie vormgegeven (opzet)”. De provincie Overijssel heeft in 2009 in de ‘Nota risicomanagement’ de beleidsuitgangspunten ten aanzien van risicomanagement vastgelegd. In deze nota wordt een risico als volgt gedefinieerd: Een risico is de kans op het optreden van een gebeurtenis met een negatief gevolg voor een betrokkene. Tevens is weergegeven dat de provincie twee typen risico’s hanteert, namelijk imago-risico’s en financiële risico’s. Als hoofddoelstelling van risicomanagement beoogt de provincie de programmadoelstellingen te realiseren. Door risico’s aan de programma’s te koppelen, wordt inzichtelijk welke risico’s het bereiken van de programmadoelstellingen in de weg staan. Als nevendoelstelling beoogt de provincie een goede balans tussen risico’s en de financiële middelen om deze risico’s af te dekken (het weerstandsvermogen). De provincie maakt in het ‘Nota risicomanagement’ onderscheid naar verschillende actoren en kent deze actoren verschillende rollen toe. Onderscheid gemaakt wordt naar de volgende actoren:
Provinciale Staten: stellen de ratio weerstandsvermogen vast en stellen de begroting met de paragraaf over het weerstandsvermogen vast. PS worden door middel van de Perspectiefnota geïnformeerd over de invloed van risico’s op de doelstellingen van risicomanagement over de jaren heen.
Gedeputeerde Staten: risicomanagement valt onder de integrale verantwoordelijkheid van GS. GS zijn verantwoordelijk voor alle provinciale risico’s en de acties die worden ondernomen om deze te beheersen. GS zijn bevoegd om te oordelen over de verhouding tussen alle gezamenlijke risico’s en de vermogenspositie van de provincie. GS dienen er voor te zorgen dat de doelstellingen van risicomanagement worden bereikt. GS zijn bevoegd om te oordelen over de verhouding tussen alle gezamenlijke risico’s en de vermogenspositie van de provincie. GS dienen PS actief te informeren indien de risico’s die zich voor doen impact hebben op het realiseren van programma doelstellingen of op de balans tussen risico’s en financiële middelen om deze risico’s af te dekken. Bij besluitvorming dienen GS na te gaan wat de belangrijkste risico’s zijn en hierover te rapporteren aan PS. Als regel gebeurt dit in de bestaande verantwoordingsstukken dan wel meer in het bijzonder in de afzonderlijke voorstellen wanneer het onderwerp of het risicobedrag hiertoe aanleiding geeft. Jaarlijks wordt de weerstandsparagraaf in de begroting opgesteld.
Ambtelijke organisatie: de eenheidshoofden zijn verantwoordelijk voor die risico’s die in de eenheden gelopen worden. Dit werkt door tot op het niveau van de directie. De ambtelijke organisatie stelt twee maal per jaar een organisatiebreed risicoprofiel vast, monitort deze en draagt zorg voor de beheersmaatregelen. Binnen de ambtelijke lijn wordt de juiste houding en gedrag ten aanzien van ondernemerschap en de beheersing van de risico’s die daarmee samenhangen, gestimuleerd.
De accountant: velt een oordeel over de paragraaf weerstandsvermogen. Bij onduidelijkheden rapporteert de accountant aan PS.
70
De Provinciale Rekenkamer: kan zich op verzoek verder verdiepen in risicomanagement, zoals zij bijvoorbeeld reeds gedaan hebben in het onderzoek naar reserves en voorzieningen.
Op basis van het risicoprofiel van de provincie wordt de benodigde weerstandscapaciteit berekend. Deze wordt berekend op basis van een risicosimulatie (statistische benadering). Om de weerstandscapaciteit te beoordelen heeft de provincie een ratio weerstandsvermogen vastgesteld. Op basis van een waarderingstabel wordt de ratio beoordeeld. Deze (her-) beoordeling vindt twee maal per jaar plaats, bij de begroting en bij de perspectiefnota. Ten aanzien van de rol van control heeft de provincie Overijssel afgelopen jaar de volgende visie op control geïntroduceerd:
1e lijn control wordt uitgevoerd door managers/budgethouders/budgetbeheerders in de vorm van control processen.
2e lijn control wordt uitgevoerd door bedrijfsvoering in de vorm van programmacontrol, projectcontrol, unitcontrol.
3e lijn control wordt uitgevoerd door (de) concerncontrol(ler). Concerncontrol ziet toe op de wijze waarop de 1e en 2e lijn control functioneren door middel van audits, steekproeven, etcetera.
Alle drie niveau’s hebben nadrukkelijk een rol bij het vormgeven van risicomanagement in de reguliere bedrijfsvoering van een eenheid alsook bij projecten/programma’s. In de opzet bewaakt e
e
daarmee zowel de 1 als de 2 lijn of er voldoende aandacht is voor risicomanagement en risicomanagement een plek heeft binnen de eenheid of binnen een project/programma. Gebleken is dat het risicomanagementbeleid voldoet aan wet- en regelgeving omtrent risicomanagement bij provincies (artikel 11 BBV). Het beleid is in 2009 vastgesteld en met het doel van dit onderzoek beoogt de provincie een oordeel te vormen over de opzet en uitvoering van het risicomanagementsysteem. Ten aanzien van de opzet van het beleid komen uit het onderzoek verschillende aandachtspunten:
In het beleid zijn afzonderlijke componenten omschreven, maar nog beperkt in samenhang met elkaar. Bijvoorbeeld hoe verhoudt zich de wijze waarop risico’s worden geïdentificeerd tot het weerstandsvermogen en op welke wijze wordt toegezien dat handelen van medewerkers conform processen en beschikbare instrumenten plaatsvindt.
Het beleid richt zich op slechts twee typen risico’s: imago-risico’s en financiële risico’s. Over de inrichting van het proces op overige risico’s wordt niets vermeld. De praktijk wijkt op dit punt echter af van hetgeen in het beleid is opgenomen.
In het beleid worden ten aanzien van het signaleren, registreren, kwantificeren en beheersen van risico’s stappen omschreven die in 2008 zijn uitgevoerd door het projectteam voor risicomanagement. De wijze waarop deze stappen echter cyclisch worden vormgegeven komen niet aan de orde. Ten aanzien van het cyclisch karakter is slechts opgenomen dat bij begroting en perspectiefnota een risico-analyse wordt uitgevoerd.
In het beleid zijn geen ‘spelregels’ opgenomen ten aanzien van het doen van een beroep op het weerstandsvermogen (versus post onvoorzien).
71
De invulling in de praktijk van risicomanagement Beantwoording van onderzoeksvraag 3:
“Hoe geeft de provincie in de praktijk invulling aan risicomanagement?” Sinds 2009 heeft risicomanagement binnen de provincie meer aandacht gekregen. Er is sprake van een groeimodel bij het inbedden van risicomanagement in de organisatie. Het blijkt dat men in de organisatie op de hoogte is van het feit dat risicomanagementbeleid bestaat. In de dagelijkse praktijk blijkt dat niet iedere medewerker bewust op de hoogte is van dit beleid. De verantwoordelijkheid voor het inventariseren van risico’s ligt in ‘de lijn’. In de praktijk blijkt dat op dit punt facilitatie en begeleiding vanuit concerncontrol noodzakelijk en wenselijk is. Concerncontrol heeft ten aanzien van risicomanagement een belangrijk aanjaagfunctie. De meeste eenheden benaderen de risicomanagementcyclus nog niet op een actieve en gestructureerde wijze. Het systematisch omgaan met risicomanagement is nog geen vanzelfsprekendheid. Het risicomanagement is momenteel nog afhankelijk van een aantal medewerkers en is nog niet geïncorporeerd in de handelswijzen van alle medewerkers. De OVS is in de praktijk ten aanzien van programma’s en projecten een belangrijk instrument om de risicomanagementcyclus te (instrumenteel) te ondersteunen. De OVS wordt gebruikt voor inventarisaties, prioritering van risico’s, maar ook voor rapportage en monitoring van in kaart gebrachte en gewaardeerde risico’s. Het blijkt dat OVS bij meer (inhoudelijk) complexe processen en projecten minder goed toepasbaar is en in deze gevallen volstaan slechts principes van de OVS. Ten aanzien van reguliere bedrijfsvoering volstaat de reguliere planning & controlcyclus. Naast de OVS worden ten aanzien van het inventariseren van risico’s worden door programmamanagers, (externe) projectleiders, maar ook (project)controllers in de lijn eveneens gebruik gemaakt van methodieken als RISMAN en of methodieken die vanuit externe bureau’s worden geïntroduceerd. De OVS is een belangrijk instrument om het risicomanagementproces te ondersteunen. Tevens is in de besluitvorming de opbouw van de nota’s een belangrijk instrument om het risicomanagement onder de aandacht te brengen in besluitvormingsprocessen. Risicomanagement is namelijk expliciet als onderdeel opgenomen in de GS- en PS-nota’s in een specifieke paragraaf. Tevens is er additioneel een vertrouwelijk onderdeel waar over risico’s gerapporteerd kan worden. In tegenstelling tot het beleid dat slechts imago- en financiële risico’s beschrijft, is in de praktijk het proces rondom risico’s op verschillende soorten risico’s is ingericht. In de praktijk wordt onderscheid gemaakt tussen bijvoorbeeld bestuurlijke, juridische, politieke, financiële, maatschappelijke etcetera risico’s. Het gesprek over risico’s is van groot belang. Bij grote projecten is dit geborgd. Gebleken is dat deze gesprekken niet altijd periodiek gestructureerd plaatsvinden waarbij ook de tijd wordt genomen om bij risico’s en de beheersmaatregelen stil te staan. Het wisselt ook wie betrokken is bij deze gesprekken. Bij de ‘zware’ casussen is dit de ambtelijk opdrachtgever. Bij de minder zware casussen wordt hooguit met de lijnverantwoordelijke of programmamanager gesproken. 72
In de praktijk blijkt dat het voeren van een eenduidig risicomanagementproces situationeel is en afhangt van het soort en de omvang van het proces/project. Bij grote projecten (politiek gevoelig en omvangrijk in financiën) is de risicomanagementcyclus geborgd. Ten aanzien van de minder grote projecten werken medewerkers nadrukkelijk op gevoel, ervaring en ‘boerenverstand’ en minder volgens de letter van het bestaande beleid en bestaande faciliteiten als formats en templates. Risicomanagement krijgt in deze projecten anders een plek in de governance. Wat bijvoorbeeld opvalt, is dat bij ‘zware’ casussen de gedeputeerde en ambtelijk opdrachtgevers bij de analyses betrokken zijn. Bij de minder zware casussen is dat echter voor het merendeel niet het geval. Ook blijkt dat het tijdig betrekken van actuele, nieuwe en toekomstige risico’s in grote en complexe projecten/programma’s goed geborgd is. Vanuit de visie op control kennen de controllers (bedrijfsvoering) een aanjagende rol bij het inventariseren van risico’s en het borgen van de kwaliteit hiervan. Van de controllers (bedrijfsvoering) wordt volgens de visie op control verwacht dat zij meer onafhankelijk optreden en kritisch zijn richting eenheid en projecten/programma’s. In de praktijk blijkt dat de controllers (bedrijfsvoering) momenteel geen heldere rol nemen, spelen of krijgen bij het vormgeven van risicomanagement bij de eenheid en of projecten/programma’s. Zij zijn niet altijd aanwezig bij het inventariseren en bespreken van risico’s, bij het waarderen en benoemen van beheersmaatregelen en of het opstellen van periodieke voortgangsrapportages. Ook niet bij de voorbereiding van deze activiteiten. Hierbij wordt de inventarisatie, analyse en beoordeling van risico’s niet van een onafhankelijke reflectie door een controller (bedrijfsvoering) voorzien. De reflectie van de controller (bedrijfsvoering) is vooral gericht op de GS- en PS-nota’s. De stapeling van risico’s binnen programma’s en projecten krijgt beperkt aandacht. Indien wel aandacht wordt gegeven aan het stapelen van risico’s, blijkt het een uitdaging om het realiteitsgehalte in deze analyse mee te nemen. Ten aanzien van het waarderen van risico’s wordt veelal gebruik gemaakt van de ondersteuning vanuit concerncontrol. Het vertalen van risico’s naar het weerstandsvermogen wordt in de praktijk vaak gezien als ‘iets voor bedrijfsvoering’. Uit het onderzoek blijkt dat de programmamanagers en projectleiders de mening zijn toegedaan dat er binnen de organisatie geen eenduidig proces aanwezig is voor het analyseren en beoordelen van risico’s op “waarschijnlijkheid” en “impact”. Bij complexe en grote projecten/processen wordt frequenter en bewust aandacht besteed aan beheersmaatregelen. Verder blijkt dat een eenduidig proces om maatregelen vast te stellen en het periodiek beoordelen van deze maatregelen op effectiviteit in de organisatie nog een aandachtspunt is. De vastlegging van risico’s vindt plaats in NARIS. Hierin speelt concerncontrol eveneens een nadrukkelijke rol. Het gebruik van NARIS kan gekenschetst worden als een groeimodel. Inmiddels hebben verschillende projectleiders c.q. projectsecretarissen zelf toegang tot het systeem en een autorisatie voor het betreffende proces of project om risico’s te kunnen muteren.
73
In de praktijk blijkt dat de groep progammamanagers en projectleiders –secretarissen minder positief zijn over de (eenduidige) vastlegging van risico’s. Ten aanzien van de toegankelijkheid van NARIS blijkt dat het niet als een gebruiksvriendelijk systeem wordt ervaren door de medewerkers die niet dagelijks met deze software werken. In de praktijk blijkt dat zelden/nooit een beroep wordt gedaan op het weerstandsvermogen. Indien risico’s zich (minimaal) voordoen worden deze doorgaans gedekt uit het projectbudget. In de praktijk blijkt dat risico’s zowel in het projectbudget worden opgenomen als in een post onvoorzien en tevens worden meegenomen in het weerstandsvermogen. De ratio weerstandsvermogen wordt periodiek (1 maal in de vier jaren) beoordeeld en wordt eventueel bijgesteld indien de omstandigheden daarvoor aanleiding geven, blijkt uit de praktijk.
Beleid en praktijk versus criteria voor een risicomanagementsysteem Beantwoording van onderzoeksvraag 4:
“Voldoen het risicomanagementbeleid en de praktijk aan de gestelde criteria van een risicomanagementsysteem?” De criteria voor het risicomanagementsysteem bestaat uit een zevental normen. Per norm geven wij onderstaand aan of het risicomanagementbeleid en de praktijk aan de norm voldoen.
Norm 1: Samenhang van beleid en risico’s. Norm 1 betreft de samenhang van alle relevante aspecten met betrekking tot risico’s en weerstandsvermogen. Die samenhang is noodzakelijk voor een adequate sturing en controle door Provinciale Staten. In het beleid zijn afzonderlijke componenten omschreven, maar nog beperkt in samenhang met elkaar. Bijvoorbeeld hoe verhoudt zich de wijze waarop risico’s worden geïdentificeerd tot het weerstandsvermogen en op welke wijze wordt toegezien dat handelen van medewerkers conform processen en beschikbare instrumenten plaatsvindt? Ook in de dagelijkse praktijk zien wij echter dat niet iedere medewerker deze samenhang overziet dan wel bewust op de hoogte is van het beleid. De samenhang is grotendeels gebaseerd op ervaring van professionals en hun ‘gevoel’ ten aanzien van risicomanagement. Ten aanzien van de stapeling van risico’s is gebleken dat de stapeling binnen programma’s en projecten beperkt aandacht krijgt. Indien wel aandacht wordt gegeven aan het stapelen van risico’s, blijkt het een uitdaging om het realiteitsgehalte in deze analyse mee te nemen. Norm 2: Inventarisatie, analyse, sturing, beheersing van de juiste risico’s. De impact van de rol van provinciale staten is sterk afhankelijk van de mate waarin juist de (strategische) risico’s die er echt toe doen op de agenda komen. Het sturen op en controleren van de strategische risico’s levert de provincie de meeste toegevoegde waarde op, omdat deze risico’s betrekking hebben op de belangrijkste issues en doelstellingen van de provincie. Aan de andere kant van het spectrum staan de compliance risico’s, zoals een goedkeurende
74
rechtmatigheidsverklaring. Van belang is uiteraard dat een en ander is gebaseerd op een gedegen risico-inventarisatie en -analyse. Het beleid ten aanzien van de inventarisatie, analyse, sturing en beheersing van de juiste risico’s is verouderd. In het beleid worden werkzaamheden beschreven die door het project risicomanagement in 2008 zijn uitgevoerd. Omschreven wordt hoe destijds de inventarisatie, het opstellen van risicoprofielen, de waardering en inschatting van kansen en gevolgen, en het kwantitatief maken van risico’s en rangschikken van risico’s is uitgevoerd. In het beleid wordt de inventarisatie, analyse, sturing en beheersing van (de juiste) risico’s niet cyclisch benaderd. In de praktijk blijkt dat er weinig waarborgen zijn dat de juiste risico’s worden gesignaleerd en geregistreerd. Onderscheid moet hierbij gemaakt worden tussen grote en complexe projecten en de minder grote projecten. Bij de grote projecten is namelijk de risicomanagementcyclus geborgd. Eveneens zijn risico’s in grote en complexe projecten onderwerp van gesprek tussen gedeputeerde, ambtelijk opdrachtgever en –opdrachtnemer. Hiermee wordt kritische massa gecreëerd en worden risico’s doorleefd. Bij kleinere projecten daarentegen is de risicomanagementcyclus niet geborgd en is het meer persoonsafhankelijk op welke wijze het risicomanagementproces wordt doorlopen. Risico’s zijn daar ook niet gestructureerd periodiek onderwerp van gesprek met de ambtelijk opdrachtgever of gedeputeerde. Het format voor GSen PS-nota’s waarin in risicomanagement als afzonderlijke paragraaf wordt weergegeven, veronderstelt waarborgen voor onafhankelijk reflectie. Echter, het is geen waarborg dat de juiste risico’s zijn gesignaleerd en dat deze op het juiste niveau zijn gesignaleerd. Norm 3: Heldere onderbouwing aan de hand van de methodiek van het weerstandsvermogen. In de praktijk bestaan diverse methodieken voor de onderbouwing van het weerstandsvermogen. Centraal hierbij staat telkens de vraag hoe het totaal van de gekwantificeerde risico’s zich verhoudt tot de beschikbare middelen om de risico’s op te kunnen vangen. Hiervoor bestaat geen formele norm. De provincie is zelf verantwoordelijk om ten aanzien van het weerstandsvermogen beleid te formuleren. Iedere methode kent zijn voordelen en beperkingen. Het is vooral van belang dat de onderbouwing van het weerstandsvermogen helder is voor Provinciale Staten. In het beleid is helder omschreven uit welke componenten de beschikbare weerstandscapaciteit bestaat. Gebleken is dat de opbouw van de beschikbare weerstandscapaciteit voldoet aan de wet- en regelgeving (BBV). De benodigde weerstandscapaciteit wordt afgezet tegen de beschikbare weerstandscapaciteit. De uitkomst hiervan vormt de ratio weerstandsvermogen. Om een beoordeling uit te kunnen voeren heeft de provincie vastgesteld welke ratio zij nastreeft in een zogenaamde waarderingstabel. De ratio wordt één maal per vier jaar (her)beoordeeld, zo blijkt uit het beleid. In 2012 is herbeoordeling van de ratio weerstandsvermogen aan de orde geweest. Gebleken is dat de ratio niet (meer) voldoet en voorgesteld is deze bij te stellen. De reden hiervoor is gelegen in het feit dat de provincie de komende jaren te maken heeft met meer risicovolle activiteiten en met een groter financiële omvang gedurende de looptijd van ‘Kracht van Overijssel’.
75
Communicatie over de ratio en de betekenis van deze ratio heeft de afgelopen jaren langs verschillende communicatiekanalen plaatsgevonden (zo blijkt uit de perspectiefnota, jaarverslagen, programmabegroting, kerntakenbegroting). Toch blijkt uit het onderzoek dat de communicatie niet altijd als even helder en transparant wordt ervaren. Uit het onderzoek blijkt dat het op eenduidige wijze kwantificeren van risico’s, het kwantificeren op concrete feiten en het baseren op aannemelijke schattingen, nog een aandachtspunt is. Uitzondering vormen hierop de grotere en complexe projecten waarin dit goed geborgd is. Ook de onderbouwing van het weerstandsvermogen is niet voor iedereen even helder. Aan het weerstandsvermogen ligt een risicoprofiel ten grondslag. Dit profiel wordt periodiek geactualiseerd. In de praktijk blijkt echter dat er zelden een beroep wordt gedaan op de weerstandscapaciteit. Het blijkt dat indien risico’s zich voordoen dit veelal wordt opgelost binnen het projectbudget (post onvoorzien). Norm 4: Volledige, actuele en transparante beleidskaders Het beleid van de provincie is vastgelegd. Dit beleid bevat de kaders voor de werkwijze van de provincie inzake risico’s en weerstandsvermogen Het risicomanagementbeleid voldoet aan de wet- en regelgeving (BBV). Het beleid is echter op verschillende onderdelen niet meer actueel. Dit geldt met name voor de onderdelen risicoidentificatie, kwantificering, beheersing oftewel de risicomanagementcyclus. Tevens blijkt dat de aansluiting van het beleid bij de praktijk in een aantal gevallen niet optimaal is. Een voorbeeld hiervan is dat ten aanzien van risico’s in het beleid slechts imago-risico’s en financiële risico’s worden benoemd als scope. In de praktijk blijkt dat het proces rondom risico’s op meerdere soorten risico’s is gericht. De communicatie van het beleid c.q. de beleidskaders is in de praktijk nog een aandachtspunt. De meeste medewerkers zijn op de hoogte van het bestaan van risicomanagement, maar kennen echter de inhoud van het beleid niet. Tevens blijkt uit de enquête dat met name de groep programmamanagers, projectleiders en –secretarissen de mening zijn toegedaan dat het beleid niet voldoende is gecommuniceerd. Met name de vertaling van beleid en beleidskaders naar praktisch toepasbare werkwijzen (en eventueel werkinstructies) kunnen meer houvast bieden voor de medewerkers die ‘dagelijks’ bezig zijn met risicomanagement. Dit maakt de bruikbaarheid van beleid over risicomanagement meer laagdrempelig. Norm 5: Taken, bevoegdheden en verantwoordelijkheden zijn helder en worden uitgevoerd. Wij onderscheiden een aantal hoofdrolspelers (provinciale staten, gedeputeerde staten en de ambtelijke organisatie) dat specifieke taken heeft in relatie tot risico’s en weerstandsvermogen. In het risicomanagementbeleid is helder en duidelijk vastgelegd wat de verantwoordelijkheden zijn van respectievelijk PS, GS, ambtelijke organisatie, de accountant en de provinciale Rekenkamer. 76
GS zijn verantwoordelijk voor risicomanagement en dienen ervoor te zorgen dat de doelstellingen worden bereikt. Via de planning & controlcyclus geven GS aandacht aan risicomanagement. De wijze waarop dat gebeurt, is niet inzichtelijk, behalve door middel van bespreking van de planning & controlproducten en de risicoparagrafen Bij besluitvorming gaan GS na wat de belangrijkste risico’s zijn en hoe hierover kan worden gerapporteerd aan PS. Het blijkt dat naarmate de impact van het proces, programma of project groter is, ook de mate van openheid richting PS over mogelijke risico’s groter worden. GS functioneren als een filter op alle vanuit het ambtelijk apparaat geïdentificeerde risico’s, door alleen te focussen op die risico’s die GS in gezamenlijkheid van strategisch belang achten. De verantwoordelijkheden van de ambtelijke organisatie zijn in het beleid onder één noemer beschreven en hier is geen onderscheid gemaakt in bijvoorbeeld verantwoordelijkheden of taken van de directie, concernmanagementteam, project- en programmaleiders en controllers. In de praktijk blijkt dat de communicatie over de taken, bevoegdheden en verantwoordelijkheden niet even duidelijk wordt ervaren door iedereen. Medewerkers hebben verwachtingen over het nut en de noodzaak van risicomanagement, maar deze sluiten beperkt op elkaar aan. Vanuit de visie op control kennen de controllers (bedrijfsvoering) een aanjagende rol bij het inventariseren en analyseren van risico’s en het borgen van de kwaliteit daarvan. In de praktijk blijkt echter dat controllers (bedrijfsvoering) momenteel bezig zijn om zich verder te ontwikkelen in deze rol en ook dat enkele controllers (bedrijfsvoering) nog geen heldere rol innemen, spelen en/of krijgen bij het vormgegeven van risicomanagement binnen de eenheid en of projecten/programma’s. De inventarisatie, analyse en beoordeling van risico’s wordt, zo blijkt uit het onderzoek, nauwelijks voorzien van een onafhankelijke kritische reflectie door de controllers (bedrijfsvoering). Tenslotte strekt de rol van concerncontrol ten aanzien van risicomanagement erg breed: van uitvoering (bijvoorbeeld de rol van risicomanager invullen), via tactisch advies (bijvoorbeeld over plannen van aanpak) tot en met strategisch advies richting directie en andere budgetverantwoordelijken (zoals bijvoorbeeld in de visie op control opgenomen). Concerncontrol e
begeeft zich daarmee niet alleen (tijdelijk) op het terrein van (project)controllers (2 lijn). Geredeneerd vanuit het huidige groeimodel is dat begrijpelijk, maar wij zien vaak dat historisch gegroeide rollen anders worden vormgegeven dan initieel bedacht en bedoeld. Dit kan voor een organisatie gewenst of ongewenst zijn. Norm 6: Beleid en uitvoering omtrent risico’s en weerstandsvermogen hebben een cyclisch karakter. Voor alle beleid is de plan-do-check-act cyclus van belang. In het kader van dit onderzoek geldt dit uiteraard ook voor het beleid omtrent risico’s en weerstandsvermogen. De gedachte achter de cyclus is het streven naar een continu verbeterende organisatie. Het beleid is echter op verschillende onderdelen niet meer actueel. Dit geldt met name op het punt van de risicomanagementcyclus. Het beleid is gericht op de activiteiten die zijn verricht in 2008 in het kader van het project risicomanagement.
77
Het consequent en systematisch omgaan met risicomanagement is binnen de provincie Overijssel nog geen vanzelfsprekendheid. In de praktijk blijkt dat het voeren van een eenduidig risicomanagementproces/-cyclus situationeel is en afhangt van het soort en de omvang van het proces/project. Met het doorlopen van de planning & controlcyclus worden de reguliere risico’s in de bedrijfsvoering geborgd. Bij grote projecten (politiek gevoelig en omvangrijk in financiën) is de risicomanagementcyclus geborgd. Hierbij zien wij dat het tijdig betrekken van actuele, nieuwe en toekomstige risico’s in grote en complexe projecten/programma’s eveneens geborgd is. Ten aanzien van de minder grote projecten werken medewerkers nadrukkelijk op gevoel, ervaring en ‘boerenverstand’ en minder volgens de letter van het bestaande beleid en bestaande faciliteiten als formats en templates. Het gesprek (gedurende de cyclus) over risico’s is van groot belang. Bij grote projecten is dit geborgd. Gebleken is dat deze gesprekken niet altijd periodiek gestructureerd plaatsvinden waarbij de tijd wordt genomen om bij risico’s en de beheersmaatregelen stil te staan en deze te evalueren. Het wisselt ook wie betrokken is bij deze gesprekken. Bij de ‘zware’ casussen is dit de ambtelijk opdrachtgever, bij de minder zware casussen is dit hooguit een lijnverantwoordelijke (niet zijnde het hoofd eenheid) of een programmamanager. Controllers (bedrijfsvoering) zijn beperkt betrokken bij deze gesprekken en moeten daarin hun rol opeisen. Gebleken is dat naarmate het proces en of project groter is, ook de openheid richting PS over mogelijke risico’s groter is. Hierbij geldt echter dat in sommige gevallen niet openlijk over risico’s kan worden gesproken, bijvoorbeeld indien dit de onderhandelingspositie van de provincie ten opzichte van derden ondermijnt. Risicomanagement wordt expliciet meegenomen in GS- en PS-nota’s in de vorm van een risicoparagraaf. Daarnaast is er een vertrouwelijk deel waarin mogelijk additionele risico’s zijn opgenomen. Door deze nota’s zijn GS aan de voorkant actief betrokken om te komen tot besluitvorming. Uit het onderzoek blijkt dat actief en tussentijds bijsturen naar aanleiding van beschikbare informatie over de ontwikkeling van risico’s en weerstandsvermogen nog een aandachtspunt is. Norm 7: Adequate instrumenten om de uitvoering van het beleid (met betrekking tot risico’s en weerstandsvermogen) te ondersteunen. Het beleid en de uitvoering omtrent risico’s en weerstandsvermogen dient ondersteund te worden door een efficiënt en up-to-date instrumentarium waarmee ambtelijke organisatie, gedeputeerde staten en provinciale staten hun taken adequaat kunnen uitvoeren. De ingrediënten voor risicomanagement zijn binnen de organisatie aanwezig. Het blijkt dat nog niet iedereen in de organisatie van mening is dat er een werkend proces van risicomanagement bestaat. Tevens blijkt dat een gezamenlijke risicotaal en een consistente methodologie om risico’s te managen nog een aandachtspunt is. Uit het onderzoek bleek tevens dat de ondersteuning vanuit control (bedrijfsvoering) en concerncontrol ten aanzien van risicomanagement in sommige gevallen als te instrumenteel en systeemtechnisch wordt ervaren.
78
Door de OVS wordt het risicomanagementproces instrumenteel in projecten ondersteund. Het werken volgens deze standaard is met name bij de meer ‘recht toe, recht aan’-projecten goed toepasbaar. Bij meer inhoudelijke complexe processen en projecten volstaan slechts principes van de OVS. Ten aanzien van reguliere bedrijfsvoering volstaat de reguliere planning & controlcyclus. Naast de OVS worden voor het inventariseren van risico’s worden door programmamanagers, (externe) projectleiders, maar ook (project)controllers in de lijn, eveneens gebruik gemaakt van methodieken als RISMAN en of methodieken die vanuit diverse externe bureaus worden geïntroduceerd. Door middel van de formats voor de GS- en PS-nota’s is risicomanagement altijd een onderdeel van deze nota’s in de vorm van de risicoparagraaf. Dit is echter ondersteunend aan het proces. Indien risico’s niet worden benoemd in de nota’s is dit ook geen onderwerp van gesprek met GS (en uiteindelijk PS). Het blijkt dat medewerkers niet altijd over voldoende expertise bezitten om risico’s te identificeren en te beoordelen (analyse). NARIS faciliteert de vastlegging van risico’s. Het gebruik van NARIS verloopt via een groeimodel. Met name de programmamanagers en projectleiders geven aan dat eenduidige vastlegging van risico’s momenteel nog een aandachtspunt is. Ook de toegankelijkheid van NARIS wordt door medewerkers, die niet dagelijks met het systeem werken, als niet gebruiksvriendelijk ervaren. De faciliterende rol vanuit concerncontrol ten aanzien van het gebruik van NARIS, zoals deze momenteel wordt ingevuld, wordt als zeer wenselijk ervaren. In 2010 is nadrukkelijk ingezet op het gedrag en bewustzijn ten aanzien van risicomanagement door het organiseren van risicoworkshops op eenheid-, team-, project- en programmaniveau. Hierin heeft concerncontrol een belangrijke rol gespeeld. Concerncontrol (destijds als Concernauditteam onderdeel van de Eenheid Middelen) heeft bij deze rol ook ondersteuning gehad van het Nederlands Adviesbureau voor risicomanagement (NAR). Tenslotte blijkt dat opleidingen en trainingen om de juiste uitvoering van het risicomanagementbeleid te ondersteunen, momenteel zeer beperkt worden gevolgd en of aangeboden. Door niet alleen te faciliteren in instrumenten en formats, maar ook medewerkers op te leiden in de wijze waarop risico-analyse kan plaatsvinden, kunnen zaken worden ondervangen als stapeling van risico’s, koppeling van risico’s tussen verschillende projecten etcetera.
79
Conclusie en aanbevelingen Beantwoording van onderzoeksvraag 5:
“Zijn verbeteringen mogelijk in doelmatig- en doeltreffendheid van het risicomanagementsysteem? En hoe kunnen deze vertaald worden in het nieuwe risicomanagementbeleid?” Conclusies Op basis van de voorgaande hoofdstukken geven wij hieronder op een compacte wijze de belangrijkste conclusies van ons onderzoek weer:
Wij constateren dat een verdiepingsslag mag plaatsvinden in de samenhang van de in het risicomanagementbeleid genoemde afzonderlijke componenten. Bijvoorbeeld hoe verhoudt zich de wijze waarop risico’s worden geïdentificeerd tot het weerstandsvermogen en op welke wijze wordt toegezien dat handelen van de medewerkers conform processen en beschikbare instrumenten plaatsvindt? In de dagelijkse praktijk zien wij dat niet iedere medewerker deze samenhang overziet dan wel bewust op de hoogte is van het beleid. De samenhang is grotendeels gebaseerd op eigen ervaringen van deze professionals.
Wij merken op dat in de praktijk de gesprekken rondom risicomanagement zich meer richten op de risico’s zelf dan op de analyse wat deze risico’s betekenen voor de organisatie en hoe deze zich tot elkaar verhouden. Ook analyses van mogelijke stapeling van risico’s of de koppeling van project en programma overstijgende risico’s vinden nog beperkt plaats.
In geval van omvangrijke onderwerpen of projecten vindt risicomanagement in de volle breedte – meer of minder gestructureerd – plaats. Dit in tegenstelling tot de reguliere bedrijfsvoering waar nog beperkt sprake is van het gestructureerd doorlopen van de risicomanagementcyclus en kleinere projecten waar het doorlopen van de risicomanagementcyclus vooral nog persoonsafhankelijk is.
Bij belangrijke dossiers en projecten worden op verschillende manieren invulling gegeven aan de risicomanagementcyclus, specifiek de onderdelen uit deze cylcus. Vaak wordt hier bewust voor gekozen, omdat bijvoorbeeld een ‘standaard’ risicosimulatie minder past dan het uitwerken van één of meer scenario’s. Ook kan hiervoor worden gekozen omdat van buitenaf een risicomanagementstandaard wordt opgelegd door een derde partij. Het huidige beleid staat situationele invulling van de cyclus impliciet toe.
Bij omvangrijke dossiers en projecten is sprake van een hoge mate van transparantie. Zowel intern, binnen het programma- of projectteam, alsook richting GS en PS. Nadrukkelijk vinden informatieve bijeenkomsten plaats waar risico’s, al dan niet in een besloten setting, met elkaar worden gedeeld. Qua structuur biedt onder andere ook een parafenlijst inzicht wie welke bijdrage heeft geleverd of review heeft uitgevoerd op GSen PS-nota’s, ook voor wat betreft de risicoparagraaf.
GS sturen doorgaans op strategische risico’s en laten zich periodiek direct informeren door verantwoordelijken vanuit eenheden en projecten/programma’s. Het valt op dat controllers (bedrijfsvoering) zowel bij de voorbereiding van gesprekken tussen ambtelijk apparaat en bestuurder als bij de gesprekken zelf, een beperkte rol hebben.
80
De visie van de provincie Overijssel op control impliceert dat control ‘risico-gestuurd’ wordt ingezet. Concernbreed wordt gekeken waar de organisatie het meeste risico loopt en waar meer control moet worden ingezet om de risico’s te kunnen beheersen. Bewust heeft de organisatie gekozen om ‘kleine’ projecten minder aandacht te geven dan ‘grote’ projecten. In de praktijk zien wij dat ook nadrukkelijk terugkomen.
Eveneens gaat de provincie Overijssel er in haar visie op control uit van het principe van ‘Three lines of defence’ model. Dit model maakt het onderscheid tussen de e
e
verschillende verantwoordelijkheden: 1 lijn (grofweg budgetverantwoordelijken), 2 lijn e
(controllers bedrijfsvoering) en 3 lijn (concerncontrol). In de praktijk wordt ten aanzien van risicomanagement niet altijd volgens dit principe gewerkt. Dit heeft verschillende redenen. Hieronder volgen de belangrijkste:
Verschillen van inzicht over rolopvatting, maar ook rolinvulling bij en tussen functionarissen.
Historisch gegroeide werkinvulling bij controllers (bedrijfsvoering), met name vanuit een financiële invalshoek, maar ook bij budgetverantwoordelijken (meer inhoud dan proces gedreven).
(Nog) geen vanzelfsprekende positie van controllers (bedrijfsvoering) binnen eenheid of project.
e
Niet (kunnen) vormgeven van kritische reflectie vanuit de 2 lijn (controllers bedrijfsvoering).
De methodiek om het weerstandsvermogen te kunnen bepalen is, inclusief de norm ratio voor weerstandsvermogen en de periodieke herijking hiervan, door provincie Overijssel beschreven. Echter, deze methodiek, maar zeker ook de essentie van het weerstandsvermogen, is niet voor iedere belanghebbende duidelijk.
In het verlengde van bovengenoemde conclusie blijken de ‘spelregels’ ten aanzien van de verdeling ‘post onvoorzien’ versus ‘het weerstandsvermogen’ ter financiële dekking van risico’s, niet duidelijk te zijn vastgelegd. Wanneer kan een beroep worden gedaan op het weerstandsvermogen en wanneer op de post onvoorzien? Hoe groot mag een post onvoorzien zijn? Ter illustratie: bij een projectbudget van circa € 20 miljoen is een post van ruim € 4 miljoen onvoorzien opgenomen. Het is onduidelijk hoe de opbouw van deze post en de link tussen het risicoprofiel en de post onvoorzien luiden.
Beheersmaatregelen die worden getroffen betreffen meestal het financieel afdekken van risico’s. Deze hebben ofwel een relatie met het weerstandsvermogen ofwel een relatie met een post onvoorzien. Beheersmaatregelen zijn beperkt kwalitatief (nietfinanciële aard). Bijvoorbeeld er wordt eerder als beheersmaatregel financiële dekking getroffen voor toekomstige claims dan dat communicatie-uitingen richting omwonenden (burgers) door het projectteam als beheersmaatregel worden genomen. Daarnaast worden beheersmaatregelen, zowel financiële als niet-financiële, beperkt geëvalueerd en of beoordeeld op effectiviteit.
Opleidingen en trainingen om de juiste uitvoering van het risicomanagementbeleid te ondersteunen, zijn door veel medewerkers gevolgd. In 2012 is door Concerncontrol gebruik gemaakt van een coach/trainer in risicomanagement. Wij constateren echter dat ‘opfris’ trainingen en cursussen op dit moment beperkt organisatiebreed worden gevolgd en of aangeboden. Door niet alleen te faciliteren in instrumenten en formats, maar ook medewerkers continu op te leiden in de wijze waarop risico-analyse kan
81
plaatsvinden, kunnen zaken worden ondervangen als stapeling van risico’s, koppeling van risico’s tussen verschillende projecten etcetera.
Tenslotte concluderen wij dat de provincie Overijssel, in vergelijking met andere overheden, zeker niet achterloopt op het gebied van risicomanagement. Zowel in opzet alsook qua werking. Echter, risicomanagement bij de provincie Overijssel is daarmee niet 100% doelmatig en doeltreffend vormgegeven. De opzet verdient een nadere verdiepingslag opdat de risicomanagementcyclus in de volle omvang wordt omschreven en betere uitvoeringskaders biedt. Eveneens geldt dat organisatiebrede ‘bijscholing’ en permanente training en opleiding van medewerkers in risicomanagement, maar ook in de kennisname van de geldende visie op control, noodzakelijk is. Hiermee wordt voorkomen dat niet alleen instrumenteel aandacht wordt gegeven aan risicomanagement, maar dat de risicomanagementcyclus (met aandacht voor onder andere evaluatie en bijstelling) daadwerkelijk wordt doorleefd.
Aanbevelingen Zoals reeds weergegeven zijn verschillende verbeteringen mogelijk in de doelmatigheid en doeltreffendheid van het risicomanagementsysteem. Hieronder schetsen wij hoe deze verbeteringen vertaald kunnen worden in het nieuwe risicomanagementbeleid van de provincie Overijssel. Zoals gesteld is het risicomanagementbeleid op hoofdlijnen op orde. Het risicomanagementbeleid voldoet aan de huidige wet- en regelgeving (artikel 11 BBV). Echter een actualisatie- en verdiepingsslag van het beleid is op een aantal onderdelen noodzakelijk. Enerzijds vanwege het feit dat er verouderde informatie is opgenomen in het beleid (bijvoorbeeld specifiek over het project risicomanagement in 2008). Anderzijds zijn onderwerpen en onderdelen in het beleid slechts op hoofdlijnen weergegeven en vergen deze in onze ogen een verdiepingsslag om de werking van het beleid in de praktijk te bevorderen. Tevens is gebleken dat de werking in de praktijk op een aantal punten in positieve zin afwijkt van hetgeen is vastgelegd in het beleid. Deze punten zullen ook doorvertaald moeten worden naar het huidige beleid. De volgende punten verdienen in het nieuwe beleid nadrukkelijk aandacht:
De wijze waarop de risicomanagementcyclus een meer permanent karakter krijgt (op dit moment gaat het beleid uit van een eenmalige projectbenadering van risicomanagement) en de wijze waarop borging van deze cyclus in de praktijk vorm krijgt. Bijvoorbeeld in het beleid ontbreekt op dit moment een beschrijving van een cyclische methodiek die gekoppeld is aan de reguliere planning & controlcyclus dan wel aan de dynamiek van het eigen programma of project. Daarnaast ontbreekt in het beleid in dit verband de wijze waarop risicoprofielen worden beoordeeld.
Het in samenhang beschrijven van afzonderlijke componenten van risicomanagement. Bijvoorbeeld hoe verhoudt zich de wijze waarop risico’s worden geïdentificeerd tot het weerstandsvermogen en op welke wijze wordt toegezien dat handelen van medewerkers conform processen en beschikbare instrumenten plaatsvindt. Dit vergt enerzijds (herhalings)training van medewerkers om zowel inhoudelijke als procesmatige analyses te kunnen uitvoeren. Hiermee zijn medewerkers, zeker in geval de visie op control in de praktijk daadwerkelijk wordt toegepast, beter uitgerust om verbanden en
82
koppelingen te kunnen leggen. Anderzijds betekent dit dat medewerkers moeten worden aangesproken op het feit dat zij niet conform vastgestelde processen en procedures handelen. Bijvoorbeeld op dit moment vindt risico-inventarisatie plaats geredeneerd vanuit de inhoud van het project in plaats vanuit de verantwoordelijkheid van de provincie. Of bij risico-waarderingen vindt geen stapeling plaats van risico’s dan wel wordt de impact van risico-stapeling overzien en meegenomen in de waardering (bijvoorbeeld risico’s als vertraging in de besluitvorming binnen het project of programma, mogelijke claims van bedrijven en imago schade voor de provincie worden beperkt gestapeld en of gecombineerd in de waardering).
Het beleid dient op het punt van typen risico’s aangepast te worden aan de werking in de praktijk. Het beleid richt zich namelijk op slechts twee typen risico’s: imago-risico’s en financiële risico’s. In de praktijk blijkt dat zowel interne als externe risico’s in beeld worden gebracht. Tevens blijkt dat in de praktijk onderscheid wordt gemaakt tussen bijvoorbeeld bestuurlijke, juridische, politieke, financiële en maatschappelijke risico’s. Door de mogelijkheid om risico’s breder te kunnen typeren, is het doorgaans eenvoudiger voor medewerkers eenheidoverstijgend of tussen projecten verbanden te leggen en koppelingen te maken.
Verhelderen van de verschillende rollen in het risicomanagementbeleid. o
Rol van PS helder neerzetten in relatie tot c.q. ten opzichte van de rol van GS. Een rolinvulling waarin PS namelijk te veel op detail zit, leidt tot rolvervuiling; te weinig op detail leidt weer tot een gevoel van te weinig informatie bezitten om daadwerkelijk te kunnen sturen. Wij adviseren om GS en PS de ruimte te geven wanneer en op welke wijze informatievoorziening toegevoegde waarde biedt. Met andere woorden situationeel moet de informatiebehoefte worden bepaald.
o
De rollen van de ambtelijke organisatie moeten meer specifiek worden beschreven per groep, bijvoorbeeld directie, concernmanagementteam, programma- en projectleiders, controllers, etcetera. De rolbeschrijving heeft als doel te voorzien in een eenduidige rolopvatting, maar ook rolinvulling en rolvastheid. Daarbij geldt door ook een nadrukkelijke link moet worden gelegd met uitgangspunten zoals vastgelegd in het document ‘Visie op control’. Meer e
expliciet moet een kanteling plaatsvinden van de rolinvulling door de 3 lijn e
(Concerncontrol) op het gebied van risicomanagement naar de 1 lijn e
(budgetverantwoordelijken) en vooral ook 2 lijn (controllers bedrijfsvoering).
Helder opnemen wat de betekenis is van het weerstandsvermogen (essentie van risicomanagement en de relatie met het weerstandsvermogen van de organisatie). Daarnaast bevelen wij aan om ‘spelregels’ op te nemen wanneer een beroep op het weerstandsvermogen kan worden gedaan en of wanneer een eenheid, programma en of project zelf in het budget dient te voorzien in risicodekking. Dit komt neer op het vaststellen van beleidsregels ten aanzien van de verdeling ‘post onvoorzien’ versus ‘weerstandsvermogen’ ter dekking van de risico’s.
Weergeven van kaders in het risicomanagementbeleid ten aanzien van het gebruik van instrumenten, zoals de OVS en de mate van invullingsvrijheid qua te gebruiken instrumentarium. Belangrijk hierbij is om in eerste instantie de diversiteit in methodieken en aanpakken terug te brengen. Vervolgens is van belang om criteria in het beleid te
83
formuleren waar te gebruiken instrumenten aan moeten voldoen. De wijze waarop dit wordt ingevuld kan situationeel worden bekeken. Het beleid moet dit mogelijk maken en hiervoor kaders bieden. Bijvoorbeeld: o
Momenteel worden risico-inventarisaties op verschillende manieren uitgevoerd, langs verschillende lijnen en geïnitieerd vanuit verschillende functionarissen. Dit hoeft niet per sé in strijd met de visie op risicomanagement te zijn. Ervan uit gaande dat het doelmatig en doeltreffend doorlopen van de risicomanagementcyclus een middel is om belemmeringen die het bereiken van (strategische) doelstellingen in de weg staan, kan ‘opvoeding’ in het risicomanagementgedachtengoed volgens een groeimodel plaatsvinden. Bijvoorbeeld door middel van het introduceren van een ‘light’ versie voor risicomanagement, met onder andere een eenvoudige wijze voor inventarisaties van ‘belemmeringen’/ ‘uitdagingen’ en vervolgens waardering in zwaarte van deze belemmeringen, zorgt voor drempelverlaging in de dagelijkse toepassing van risicomanagementtools. Een volgende stap kan het focussen op de analyse van deze ‘belemmeringen’/’uitdagingen’ zijn in plaats van het alleen maar in kaart brengen.
o
Het blijkt dat er in de organisatie geen eenduidig proces is voor het analyseren en beoordelen van risico’s op waarschijnlijkheid en impact. Gebleken is dat bij sommige projecten en beleidstrajecten die zich in een verkennende of voorbereidende fase bevinden (dus met veel onzekerheden), de simulatie kans * impact minder geschikt is (te instrumenteel). Het uitwerken van scenario’s c.q. het uitvoeren van scenario-analyse aan de hand van in het beleid opgenomen criteria als tijdsfactor waarbinnen het scenario zich kan afspelen of interne en externe betrokkenen bij desbetreffend scenario, zijn in die gevallen meer passend. Hiermee kan een verdieping van de risico-analyse plaatsvinden.
o
Gebleken is dat bij complexe en grote projecten/processen frequent en zeer bewust aandacht wordt besteed aan beheersmaatregelen van zowel financiële als niet-financiële aard. Bij kleinere projecten meer op gevoel, ervaringen en ‘boerenverstand’ en minder volgens de letter van het bestaande beleid en bestaande faciliteiten als formats en templates. Vanwege een bewuste keuze van de provincie Overijssel om vooral een focus te hebben op de meer omvangrijke thema’s en projecten, kunnen bij kleine projecten een ‘light’ versie van risicomanagement worden toegepast.
o
Beheersmaatregelen worden niet gestructureerd volgens een eenduidig proces getroffen en niet in alle gevallen periodiek beoordeeld op effectiviteit. Structurele onafhankelijke reflectie kan een criterium zijn ten behoeve van borging van adequaatheid en effectiviteit van beheersmaatregelen. Vanuit met e
name de 2 lijn control (controllers bedrijfsvoering) kan hier nadrukkelijke aandacht aan worden gegeven. o
Eenduidige vastlegging van risico’s wordt nu geborgd door concerncontrol (bijvoorbeeld administratie van risico’s in NARIS). Op termijn, bij zelfstandig gebruik zonder tussenkomst van concerncontrol bij de uitvoering (dus niet bij het beheer van concerncontrol van NARIS), is het van belang dat deze
84
uniformiteit in vastlegging blijft geborgd. Dit impliceert de eerder aangehaalde e
e
kanteling van 3 lijn (concerncontrol) naar 1 lijn (budgetverantwoordelijken) en e
met name 2 lijn (controllers bedrijfsvoering) voor wat betreft de aanjaagfunctie voor toepassing en uitvoering van risicomanagement.
Het communiceren van het (nieuwe) beleid in de organisatie op verschillende niveaus is een aandachtspunt. Het blijkt dat niet iedere medewerker de samenhang van het beleid overziet dan wel bewust op de hoogte is van het beleid. Tevens is in het huidige beleid opgenomen welke doelen worden nagestreefd. Niet is opgenomen welke middelen daarvoor beschikbaar zijn en op welke wijze bekendheid wordt verondersteld of gegeven aan de doelstellingen.
Permanente training, opleiding en coaching voor met name budgetverantwoordelijken (projectleider, maar ook lijnmanagers) en controllers (bedrijfsvoering) voor wat betreft beleid, instrumenten en de rol in het proces van risicomanagement (zie visie op controlfunctie). Momenteel is risicomanagement nog te veel afhankelijk van individuele medewerkers uit lijn en of staf. Het is ook nog niet geïncorporeerd in de handelswijzen van medewerkers door zichzelf vragen te stellen als op welke wijze kunnen risico’s worden geïnventariseerd, hoe wordt een risicoprofiel opgesteld en bijgehouden en hoe kunnen beheersmaatregelen worden bepaald? Tevens blijkt dat training en opleiding ter ondersteuning van het risicomanagementbeleid niet permanent worden aangeboden, maar dat wel gewenst is.
85
Bijlagen Doelmatigheid- en doeltreffendheidonderzoek (217a) naar Risicomanagement
Inhoudsopgave Bijlage I ............................................................................................................................ 3 Bijlage II ........................................................................................................................... 7 Bijlage III .......................................................................................................................... 9 Bijlage IV ........................................................................................................................ 11 Bijlage V ......................................................................................................................... 13
1
2
Bijlage I
Normenkader Normen
Nr
Toetspunten
Toelichting norm
1.1
De samenhang tussen de diverse componenten uit het normenkader (de risico’s, het
1. Samenhang van beleid en
1.2
risico’s
weerstandsvermogen, het beleid, de processen
Norm 1 betreft de samenhang van
en instrumenten, het handelen).
alle relevante aspecten met
De mate waarin er aandacht wordt geschonken
betrekking tot risico’s en
aan de “stapeling” van risico’s, waaronder ook de
weerstandsvermogen. Die
risico’s die onderweg zijn in het
samenhang is noodzakelijk voor
besluitvormingsproces. Risico’s kunnen
een adequate sturing en controle
individueel aanvaardbaar zijn, maar hoe is het
door Provinciale Staten.
beeld als alle risico’s bij elkaar worden genomen? En wat wordt met dat beeld gedaan? 2.1
PS hebben inzicht in de belangrijkste risico’s en er zijn waarborgen ingebouwd dat de risico’s op het juiste niveau worden gesignaleerd en geregistreerd.
2.2
PS sturen hoofdzakelijk op voorspelbare, strategische en externe risico’s en daarnaast eventueel op de operationele risico’s. Het proces is op deze verschillende soorten risico’s ingericht.
2.3
De inventarisatie van deze risico’s vindt plaats langs heldere lijnen: projecten, programma’s,
2. Inventarisatie, analyse, sturing, beheersing van de juiste risico’s
afdelingen of thema’s. 2.4
Actuele/nieuwe/toekomstige risico’s worden hierin ook tijdig betrokken.
2.5
Bij de analyse van deze risico’s wordt een schatting gemaakt van de potentiële schade en de
meeste toegevoegde waarde op, omdat deze risico’s betrekking hebben op de belangrijkste issues en doelstellingen van de provincie. Aan de andere kant van het
beheerst. Naast financiële maatregelen worden overige maatregelen overwogen.
risico-inventarisatie en -analyse.
Bij de analyse van deze risico’s wordt vastgesteld of en hoe de risico’s worden
2.7
mate waarin juist de (strategische) risico’s die er echt toe doen op de agenda komen. Het sturen op en controleren van de strategische risico’s levert de provincie de
spectrum staan de compliance risico’s, zoals een goedkeurende rechtmatigheidsverklaring. Van belang is uiteraard dat een en ander is gebaseerd op een gedegen
kans dat deze schade zich voordoet. 2.6
De impact van de rol van provinciale staten is sterk afhankelijk van de
Indien risico’s zich toch voordoen wordt een beroep gedaan op het weerstandsvermogen. De getroffen maatregelen worden periodiek beoordeeld op effectiviteit.
3
Normen
Nr
Toetspunten
3.1
Het weerstandsvermogen is een kwantitatieve
Toelichting norm
uitspraak over de verhouding tussen de risico’s die de provincie loopt en de middelen die 3.2
3.3
3. Heldere onderbouwing aan de hand van de methodiek van het
3.4 3.5
weerstandsvermogen 3.6
3.7
beschikbaar zijn om deze risico’s op te vangen.
In de praktijk bestaan diverse
De risico’s worden op eenduidige wijze
methodieken voor de onderbouwing
gekwantificeerd en de grondslagen van het
van het weerstandsvermogen.
kwantificeren zijn op feiten en concrete
Centraal hierbij staat telkens de
schattingen gebaseerd.
vraag hoe het totaal van de
Er is onderscheid tussen structurele en incidentele
gekwantificeerde risico’s zich
risico’s.
verhoudt tot de beschikbare
De tijdhorizon van het weerstandsvermogen is
middelen om de risico’s op te
duidelijk.
kunnen vangen. Hiervoor bestaat
De opbouw van de beschikbare
geen formele norm. De provincie is
weerstandscapaciteit voldoet aan wet- en
zelf verantwoordelijk om ten
regelgeving (BBV) en is juist, volledig en actueel.
aanzien van het
De onderbouwing van de benodigde
weerstandsvermogen beleid te
weerstandscapaciteit is actueel, transparant en
formuleren. Iedere methode kent
eenduidig en er wordt helder gecommuniceerd
zijn voordelen en beperkingen. Het
wat het bedrag of de ratio met betrekking tot het
is vooral van belang dat de
weerstandsvermogen betekent.
onderbouwing van het
Er is een heldere relatie tussen enerzijds de
weerstandsvermogen helder is voor
risico’s die zich voor hebben gedaan en de
Provinciale Staten.
beschikking over reserves of andere middelen die tot de weerstandscapaciteit worden gerekend anderzijds. 4.1
Het beleid voldoet aan wet- en regelgeving (BBV)
4.2
Het beleid bevat kaders omtrent de risico’s en het risicoprofiel van de provincie, de weerstandscapaciteit en het weerstandsvermogen.
4.3
De diverse beleidsdocumenten en uitgangspunten vertonen een logische samenhang.
4.4
4. Volledig, actueel en transparant beleidskader
4.5
Het beleid is actueel. Het biedt kaders en aanknopingspunten die tegemoet komen aan de
Het beleid van provincie is
actuele risico’s en de actuele financiële positie.
vastgelegd. Dit beleid bevat de
Het beleid is transparant. Het is duidelijk welke
kaders voor de werkwijze van de
doelen worden nagestreefd en welke middelen
provincie inzake risico’s en
daarvoor beschikbaar zijn. De doelstellingen zijn
weerstandsvermogen.
bekend in de organisatie. 4.6
In het beleid ligt vast wie waarvoor verantwoordelijk is.
4.7
Het beleid bevat afspraken over de informatievoorziening aan PS.
4.8
Er zijn voldoende middelen (geld, kwalitatief en kwantitatief voldoende personeel, technische ondersteuning e.d.) om het gewenste risicomanagementbeleid uit te voeren.
4
Normen
Nr
Toetspunten
5.1
PS en GS hebben voldoende inzicht in de
Toelichting norm
wederzijdse taken, bevoegdheden en verantwoordelijkheden. 5.2
PS en GS geven invulling aan bovengenoemde taken.
5.3
Verwachtingen tussen PS, GS, Directie, Concern Managementteam (CMT) en Project- en Programmaleiders over nut en noodzaak van risicomanagement sluiten op elkaar aan en worden uitgewisseld en de informatievoorziening is hierop aangepast.
5.4 5. Taken, bevoegdheden en verantwoordelijkheden zijn helder en worden uitgevoerd
5.5 5.6
Er ten aanzien van risico’s en
Wij onderscheiden een aantal
weerstandsvermogen interactie plaatsvindt met
hoofdrolspelers (Provinciale Staten,
overige toezichtsfuncties als de auditcommissie
Gedeputeerde Staten en de
en de accountant.
ambtelijke organisatie) die
Eventuele actiepunten die hier uit voortvloeien
specifieke taken hebben in relatie
worden uitgevoerd.
tot risico’s en weerstandsvermogen.
Er in de (voorbereiding van) de maandelijkse besluitvorming door PS (dus buiten de planning & control cyclus om) een relatie worden gelegd met de beleidskaders.
5.7
De inventarisatie, analyse en beoordeling van risico’s wordt van onafhankelijke reflectie voorzien. Deze reflectie wordt verzorgd door een actor die organisatorisch niet gepositioneerd is binnen de eenheid waar de risico’s betrekking op hebben. Deze reflectie heeft ook betrekking op de effectiviteit van beheersmaatregelen.
6.1
Het beleid en de praktijk bevatten aanknopingspunten voor toezicht en toetsing door PS.
6.2
GS benaderen risico’s en weerstandsvermogen cyclisch en hebben dit geïntegreerd in het reguliere planning & control proces.
Voor alle beleid is de plan-do-
PS en ook GS ten aanzien van de strategische
check-act cyclus van belang. In het
6. Beleid en uitvoering
risico’s daadwerkelijk bijsturen naar aanleiding
kader van dit onderzoek geldt dit
omtrent risico’s en
van beschikbare informatie over de ontwikkeling
uiteraard ook voor het beleid
weerstandsvermogen
van risico’s of het weerstandsvermogen.
omtrent risico’s en
Nieuwe/actuele/toekomstige risico’s door GS met
weerstandsvermogen. De gedachte
PS worden gedeeld.
achter de cyclus is het streven naar
Er is commitment van bestuurlijke en ambtelijke
een continu verbeterende
top om open en transparant met risico’s om te
organisatie.
6.3
hebben een cyclisch
6.4
karakter 6.5
gaan. 6.6
Het beleid en de praktijk omtrent risico’s en weerstandsvermogen worden regelmatig geëvalueerd en eventueel bijgesteld.
6.7
De gestelde beleidsdoelen zijn bereikt.
5
Normen
Nr
Toetspunten
7.1
Relevante informatie eenduidig en eenvoudig
Toelichting norm
toegankelijk is vastgelegd. 7.2
De aan PS verstrekte informatie relevant, eenduidig, volledig en actueel is.
7.3
7. Er zijn adequate instrumenten om de
7.4
uitvoering van het beleid met betrekking tot risico’s en weerstandsvermogen te ondersteunen
7.5
Er bestaat in de organisatie een werkend proces van risicomanagement (dat in ieder geval
Het beleid en de uitvoering omtrent
betrekking heeft op de strategische risico’s).
risico’s en weerstandsvermogen
Risicomanagement maakt deel uit van de
dient ondersteund te worden door
besluitvormen en in besluitvormingsprocessen is
een efficiënt en up-to-date
ruimte voor een effectieve toelichting, ten behoeve
instrumentarium waarmee
van PS, over de effecten van besluiten in termen
ambtelijke organisatie,
van risico’s en weerstandsvermogen.
Gedeputeerde Staten en Provinciale
Er worden opleidingen en trainingen aangeboden
Staten hun taken adequaat kunnen
ten aanzien van risicomanagement om een juiste
uitvoeren.
uitvoering van het beleid te ondersteunen, o.a. ten behoeve gebruik van Naris. Daarnaast vindt periodiek communicatie plaats en wordt het belang van risicomanagement periodiek onder de aandacht gebracht.
6
Bijlage II
Lijst met geïnterviewde medewerkers ID
Geïnterviewde medewerkers
Functie
1.
Theo Rietkerk
Gedeputeerde
2. 3.
Hester Maij Gerrit Jan Kok
Gedeputeerde Gedeputeerde
4. 5.
Harry Timmerman Johan Osinga
Provinciesecretaris Directeur strategie
6. 7.
Thea Hofs Linda Meijer
Hoofd eenheid Natuur en Milieu Adjunct hoofd eenheid Natuur en Milieu
8. 9.
Jean Buskens Eef Uiterwijk
Programmamanager Programmamanager
10. 11.
Herbert Bos Frank Faassen
Programmaleider Projectmanager
12. 13.
Henry Uiterwijk Dimitri Jansen
Projectleider Projectleider
14. 15.
Rick Anderson Robin Broekhuizen
Concerncontroller Adviseur concerncontrol/ risicomanager
16. 17.
Peter Sanders Henk Martens
Teamleider Financiën Projectcontroller
18. 19.
Paul van Selling Lita Niekoop
Projectcontroller Unit controller
7
8
Bijlage III
Aan Deloitte beschikbaar gestelde documentatie
ID
Titel
Datum
1.
Jaarverslag 2011
Mei 2012
2.
Bijlage: investeringsprogramma’s
Mei 2012
3.
Jaarverslag 2010
23 mei 2011
4.
Kerntakenbegroting 2012
Oktober 2011 e
5.
Statenvoorstel nr. PS/2012/275 (2 versie) - Perspectiefnota 2013
29 mei 2012
6.
Perspectiefnota 2012, financiële vertaling De kracht van Overijssel, Hoofdlijnenakkoord 2011 - 2015
Mei 2011
7.
Programmabegroting 2011
November 2010
8.
Risicomanagement – kennis en ervaring binnen de provincie Overijssel
n.b.
9.
Statenvoorstel nr. PS/2009/358 – Beleid rondom risicomanagement
14 april 2009
10. 11.
Visie op control Format projectplan en projectvoorgangsrapportage IJsseldelta-Zuid
November 2011 n.b.
12.
Diverse documentatie website IJsseldelta-Zuid
n.v.t.
13.
Berekeningen maatregelen PAS
n.b.
14.
Presentatie Bestuurlijke Sessie PS Natura 2000-PAS
4 juli 2012
15.
Projectopdracht, status definitief
5 januari 2011
16.
Risicolijst t.b.v. contractbeheersing
20 augustus 2012
17.
Diverse periodieke rapportages project Kanaal Almelo de Haandrik
15 mei 2012 – 15 oktober 2012
18.
Periodieke rapportage, N340/N48 opwaardering Zwolle – Ommen, 15 mei t/m 1 augustus 2012
1 augustus 2012
19.
Periodieke rapportage, N340/N48 opwaardering Zwolle – Ommen, 1 augustus t/m 15 oktober 2012
15 oktober 2012
20.
Rapportage N340 risico’s NAR I (oud)
n.b.
21.
Rapportage N340 risico’s NAR II (oud)
n.b.
22.
Statenvoorstel PS/2012/149 – Provinciaal inpassingsplan N340/N48 en Investeringsbesluit N340/N48 en N377
15 mei 2012
23.
Risicoparagraaf bij GS nota – Statenvoorstel provinciaal inpassingsplan N340/N48 (PIP)
n.b.
24.
Risicoprofiel N340 – in opzet (nieuw)
Januari 2013
9
10
Bijlage IV
Artikel 11 Besluit Begroting en Verantwoording 1.
Het weerstandsvermogen bestaat uit de relatie tussen: a. de weerstandscapaciteit, zijnde de middelen en mogelijkheden waarover de provincie onderscheidenlijk gemeente beschikt of kan beschikken om niet begrote kosten te dekken; b. alle risico’s waarvoor geen maatregelen zijn getroffen en die van materiële betekenis kunnen zijn in relatie tot de financiële positie.
2.
2.De paragraaf betreffende het weerstandsvermogen bevat ten minste: a. een inventarisatie van de weerstandscapaciteit; b. een inventarisatie van de risico’s; c. het beleid omtrent de weerstandscapaciteit en de risico’s.
De weerstandscapaciteit bestaat uit de middelen en mogelijkheden waarover de provincie of gemeente beschikt om niet begrote kosten die onverwachts en substantieel zijn te dekken. Het gaat om die elementen waarmee tegenvallers eventueel bekostigd kunnen worden zoals bijvoorbeeld de algemene reserve, maar ook de onbenutte belastingcapaciteit en de stille reserves. Stille reserves zijn de meerwaarden van activa die te laag of tegen nul zijn gewaardeerd doch direct verkoopbaar zijn indien men dat zou willen. Onderscheid kan worden gemaakt in incidentele en structurele weerstandscapaciteit. Met het eerste wordt bedoeld het vermogen om calamiteiten en andere eenmalige tegenvallers op te kunnen vangen zonder dat dit invloed heeft op de voortzetting van taken op het geldende niveau. Met de structurele weerstandscapaciteit worden de middelen bedoeld die permanent ingezet kunnen worden om tegenvallers in de lopende exploitatie op te vangen, zonder dat dit ten koste gaat van de uitvoering van de bestaande taken. De risico’s relevant voor het weerstandsvermogen zijn die risico’s die niet anderszins zijn ondervangen. Reguliere risico’s – risico’s die zich regelmatig voordoen en die veelal vrij goed meetbaar zijn – maken geen deel uit van de risico’s in de paragraaf weerstandsvermogen. Hiervoor kunnen immers verzekeringen worden afgesloten of voorzieningen worden gevormd. Voorbeelden van risico’s die wel tot de paragraaf weerstandsvermogen horen zijn ondernemersrisico’s (of bedrijfsrisico’s) en hangen vooral samen met grondexploitatie, gebiedsuitbreiding, publiek – private samenwerking (PPS), sociale structuur (bij neergaande conjunctuur) en open-einde regelingen. Overigens dienen ook positieve risico’s meegenomen te worden. Het gaat hierbij om dezelfde risico’s als die in de Comptabiliteitsvoorschiften uit 1995 zijn beschreven bij de risicoparagraaf.
11
De paragraaf weerstandsvermogen bevat een aanduiding van de weerstandscapaciteit en de risico’s, alsmede het beleid omtrent beide. Wat in provincies en gemeenten tot de weerstandscapaciteit wordt gerekend en welke risico’s relevant zijn kan niet in zijn algemeenheid worden aangegeven. Provincies en gemeenten dienen de capaciteit en de risico’s zelf na te lopen en in kaart te brengen. Doordat de risico’s die provincies en gemeenten lopen verschillen, is het niet mogelijk een algemene norm te stellen voor een goede relatie tussen de weerstandscapaciteit en de risico’s. Het is aan de provincies en gemeenten zelf een beleidslijn te formuleren over de in de organisatie noodzakelijk geachte weerstandscapaciteit in relatie tot de risico’s. Een voorbeeld van een beleidslijn zou kunnen zijn dat de weerstandscapaciteit binnen 5 jaar wordt verhoogd met een x-aantal euro’s.
12
Bijlage V
Vragenlijst digitale enquête Nr. 1.1 1.2 1.3 1.4 1.5 1.6 1.7 1.8 1.9 1.10 1.11 1.12 1.13 1.14 1.15 1.16 1.17 1.18 2.1 2.2 2.3 2.4 2.5 2.6
Enquête-vragen
Voor risicomanagement is een duidelijk beleidskader beschikbaar. PS geven duidelijke kaders voor risicomanagement. Het risicomanagementbeleid is afdoende gecommuniceerd binnen de organisatie. Het beleid bevat duidelijke (werk)instructies (wie doet wat op welke wijze). In het beleid zijn de buitengrenzen van de maximaal te nemen risico's eenduidig geëxpliciteerd. Het is duidelijk welke doelen met het risicomanagementbeleid worden nagestreefd en welke middelen daarvoor beschikbaar zijn. Er is samenhang aanwezig tussen de risico's, weerstandsvermogen, beleid, processen en instrumenten en het daarnaar handelen. Taken, bevoegdheden en verantwoordelijkheden van GS, directie, concernmanagementteam,project- en programmaleiders en controllers ten aanzien van risicomanagement zijn beschreven en vastgelegd. Taken, bevoegdheden en verantwoordelijkheden van GS, directie, concernmanagementteam,project- en programmaleiders en controllers ten aanzien van risicomanagement zijn duidelijk gecommuniceerd. PS en GS hebben voldoende inzicht in de wederzijdse taken, bevoegdheden en verantwoordelijkheden. De taken, bevoegdheden en verantwoordelijkheden ten aanzien van risicomanagement zijn mij duidelijk. PS geven invulling aan haar taken zoals vastgelegd in het risicomanagementbeleid. GS geven invulling aan haar taken zoals vastgelegd in het risicomanagementbeleid. Actiepunten voortvloeiende uit opmerkingen van de accountant en auditcommissie worden opgevolgd. Ik heb duidelijke verwachtingen over de nut en noodzaak ten aanzien van risicomanagement. Mijn verwachtingen sluiten aan bij de kaders die zijn geformuleerd door PS ten aanzien van risicomanagement. Mijn verwachtingen sluiten aan bij het vastgestelde risicomanagementbeleid. Mijn verwachtingen sluiten aan op de wijze waarop risicomanagement in de (dagelijkse) praktijk wordt vormgegeven c.q. toegepast. Eventuele toelichting op of opmerking bij bovenstaande vragen. GS hebben zicht op de top tien belangrijkste risico's. GS sturen hoofdzakelijk op strategische risico's. GS sturen op zowel financiële als niet-financiële risico's (vb. imagorisico's). Er wordt onderscheid gemaakt tussen structurele en incidentele risico's. Het proces rondom risicomanagement is op verschillende soorten risico's (bijvoorbeeld strategische risico's, operationele risico's en externe risico's (vb. economische crisis)) ingericht. Er bestaat in de organisatie een werkend proces van risicomanagement
13
Nr. 2.7 2.8 2.9 2.10 2.11 2.12 2.13 2.14 2.15 2.16 2.17 2.18 2.19 2.20
2.21 2.22 3.1 3.2 3.3 3.4 3.5 3.6 3.7 3.8 3.9 3.10 3.11 3.12 3.13
Enquête-vragen
dat betrekking heeft op strategische risico's. De inventarisatie van risico's vindt plaats langs heldere lijnen: projecten, programma's, afdelingen of thema's. GS delen de belangrijkste risico's met PS. GS gaan open en transparant met risico's om. De ambtelijke top gaat open en transparant met risico's om. Actuele/nieuwe/toekomstige risico's worden tijdig betrokken. De capaciteit (kwalitatief) is in de organisatie aanwezig om risico's te identificeren. De capaciteit (kwantitatief) is in de organisatie aanwezig om risico's te identificeren. Risico's kunnen individueel aanvaardbaar zijn, maar in samenhang met elkaar niet. Aan deze samenhang (stapeling) wordt aandacht geschonken. De inventarisatie, analyse en beoordeling van risico's wordt van een onafhankelijke reflectie voorzien (beoordeeld door een ander). De reflectie op geïnventariseerd, geanalyseerde en beoordeelde risico's wordt gedaan door iemand buiten de eenheid waar de risico's betrekking op hebben. De geïdentificeerde risico's worden gerangschikt/geprioriteerd naar impact en waarschijnlijkheid. Binnen de organisatie is een eenduidig proces aanwezig voor het analyseren en beoordelen van risico's op waarschijnlijkheid en impact. De risico's worden op eenduidige wijze gekwantificeerd (bepalen van de middelen die nodig zijn om de risico's op te vangen). De grondslagen van het kwantificeren (bepalen van de middelen die nodig zijn de risico's op te vangen) zijn op feiten en concrete schattingen gebaseerd. Bij het bepalen van middelen die nodig zijn om risico's op te vangen, wordt een duidelijke periode bepaald waarin een mogelijk beroep op deze middelen gedaan kan worden (weerstandsvermogen gekoppeld aan een tijdshorizon). Er wordt een gezamenlijke risicotaal en consistente methodologie gebruikt binnen de organisatie om risico's te managen. Eventuele toelichting op of opmerking bij bovenstaande vragen. De aan GS verstrekte informatie inzake risico's en weerstandsvermogen is relevant en eenduidig. De aan GS verstrekte informatie inzake risico's is volledig en actueel. Risicomanagement maakt deel uit van de formele besluitvorming. Risicomanagement maakt deel uit van de informele besluitvormingsprocessen. GS wegen risico's mee bij het nemen van beslissingen. In de besluitvormingsprocessen is ruimte voor een effectieve toelichting ten behoeve van GS over de effecten van besluiten in termen van risico's en weerstandsvermogen. Binnen de organisatie is een eenduidig proces aanwezig om maatregelen vast te stellen teneinde de risico's te beheersen. Indien nodig worden beheersmaatregelen getroffen en tevens geïmplementeerd. De getroffen beheersmaatregelen worden periodiek beoordeeld op effectiviteit. Er wordt een onafhankelijke reflectie gegeven op de effectiviteit van beheersmaatregelen. Er worden maatregelen getroffen indien beheersmaatregelen onvoldoende blijken te zijn. De capaciteit (zowel kwalitatief als kwantitatief) is in de organisatie aanwezig om preventief beheersmaatregelen te nemen. De onderbouwing van de benodigde weerstandscapaciteit is transparant en eenduidig.
14
Nr. 3.14 3.15 3.16 4.1 4.2 4.3 4.4 4.5 4.6 4.7 4.8 4.9 4.10 4.11 4.12 4.13 4.14 4.15 4.16 4.17 4.18 4.19 4.20 4.21 4.22
Enquête-vragen
Er wordt helder gecommuniceerd wat de ratio met betrekking tot weerstandsvermogen betekent. Indien risico's zich toch voordoen wordt een beroep gedaan op het weerstandsvermogen. Er is een heldere relatie tussen de risico's die zich hebben voorgedaan en de beschikking over reserves en andere middelen die tot de weerstandscapaciteit worden gerekend. Eventuele toelichting op of opmerking bij bovenstaande vragen. Risico's worden eenduidig vastgelegd. Risico's worden vastgelegd volgens een duidelijke (rapportage) handleiding, zoals bijvoorbeeld de Overijsselse standaard/handleiding werkplannen. Het risicomanagementsysteem Naris is toegankelijk en eenvoudig in gebruik. Alle relevante risico's worden geregistreerd in het risicomanagmentsysteem (Naris). Naris faciliteert het verzamelen van risico's. De frequentie van monitoring en rapportages zijn voldoende om blootstelling aan risico's tijdig te signaleren. PS sturen ten aanzien van de strategische risico's bij naar aanleiding van beschikbare informatie over de ontwikkeling van risico's of het weerstandsvermogen. Er vindt periodieke beoordeling plaats of het risicomanagementbeleid voldoet aan de wet- en regelgeving. Binnen de organisatie bestaat een proces die de wijze van doorvoeren van nieuwe regelgeving beschrijft. Er wordt juist en tijdig geanticipeerd op wijzigingen in wet- en regelgeving. De naleving van het risicomanagementbeleid is geborgd in de organisatie. Het beleid omtrent risico's en weerstandsvermogen wordt regelmatig geëvalueerd en bijgesteld. De werking van het beleid in de praktijk omtrent risico's en weerstandsmogen worden regelmatig geëvalueerd en bijgesteld. Door (mijn opdrachtgever en) betrokken controller word ik actief bevraagd op het naleven van het risicomanagementbeleid. Risico's en weerstandsvermogen worden cyclische benaderd. Het belang van risicomanagement wordt periodiek onder de aandacht gebracht. De actuele thema's ten aanzien van risicomanagement staan maandelijks op de agenda van GS. Risico's en weerstandsvermogen zijn geïntegreerd in de reguliere planning- en controlcyclus. GS sturen ten aanzien van de strategische risico's bij naar aanleiding van beschikbare informatie over de ontwikkeling van risico's of het weerstandsvermogen. Er worden opleidingen en trainingen aangeboden om juiste uitvoering van het risicomanagementbeleid te ondersteunen. Medewerkers bezitten voldoende expertise ten aanzien van het identificeren van risico's, beoordelen van risico's en risicomanagement. Ik heb voldoende expertise ten aanzien van het identificeren en beoordelen van risico's en anders zijn er voldoende faciliteiten om deze expertise in-/extern in te huren. Eventuele toelichting op of opmerking bij bovenstaande vragen.
15